Connect with us

Hi, what are you looking for?

Tra me & Tech
L'Incident Response Plan contro gli attacchi cibernetici

Security

L’Incident Response Plan per sventare gli attacchi cibernetici

Quando si tratta di affrontare una crisi cibernetica che può causare danni considerevoli a un’azienda o a un’organizzazione, due sono i fattori cruciali da considerare. Ovvero assumere un sguardo ampio, non focalizzato sul singolo problema, e disporre di un nucleo operativo adeguato, ben supportato del management. Ecco i consigli di Stefano Brusaferro, Sales & Marketing Director di HWG nel testo che segue che riguarda l’Incident Response Plan.

La crisi cibernetica e l’Incident Response Plan

La gestione di una crisi crisi è caratterizzata da diversi elementi, che la rendono complessa. Innanzitutto, la sua natura sistemica coinvolge diverse parti dell’entità colpita, non limitandosi ai reparti IT: anche settori come quello finanziario, operativo e legale ne subiscono le conseguenze. Inoltre, una crisi cibernetica supera il confine della semplice business continuity poiché richiede di prendere decisioni complesse. Dalle quali possono sorgere incertezza e potenziali conflitti tra coloro che devono far fronte a un evento potenzialmente disastroso per la reputazione e l’esistenza stessa dell’organizzazione coinvolta.

Tra i momenti centrali nella gestione di una crisi di questo tipo, uno dei più rilevanti è l’Incident Response Plan. La sua importanza risulta ancora più evidente considerando l’aumento continuo degli incidenti informatici e dei danni che ne derivano, soprattutto sul piano economico.

L’Incident Response Plan, strumento indispensabile

Il NIST (National Institute of Standards and Technology) considera l’Incident Response Plan uno degli strumenti più efficaci per la gestione e la mitigazione degli incidenti di sicurezza informatica. La capacità di risposta agli incidenti misura l’abilità nel ridurre al minimo l’impatto delle violazioni e nel ripristinare le normali operazioni nel minor tempo possibile.

L’obiettivo è triplice:

  • garantire la continuità operativa delle organizzazioni colpite;
  • fornire una difesa efficace;
  • servire come strumento utile nelle indagini finalizzate a identificare la causa dell’incidente.

L’Incident Response Plan è un processo strutturato e ripetibile che aiuta le organizzazioni a prevedere, assegnare priorità e rispondere in modo tempestivo ed efficace agli incidenti informatici. La sua base consiste nella definizione di standard, politiche e procedure appropriate, implementate da team dedicati e si suddivide in diverse fasi che consentono di prevenire o ridurre i danni grazie a una valutazione anticipata della capacità dell’organizzazione di gestire problemi di sicurezza. Ciò richiede l’implementazione di strumenti e conoscenze necessarie per prevenire le violazioni.

Nella fisiologia dell’Incident Response, l’aspetto preventivo basato sulla valutazione del rischio informatico riveste un ruolo davvero cruciale, anche in considerazione del costante aumento degli attacchi e delle attività cibernetiche criminali. Pertanto, è fondamentale identificare e analizzare costantemente le minacce, che sono elementi in continua evoluzione. La condivisione delle informazioni, sia all’interno della stessa organizzazione che tra diverse entità, rappresenta una delle pratiche più efficaci per difendersi.

È essenziale che ogni azienda o organizzazione designi un responsabile della sicurezza informatica, che sia investito del compito di supervisionare i processi di gestione della sicurezza. E che funga da punto di contatto con il Computer Emergency Response Team (CERT), responsabile del monitoraggio degli incidenti a livello nazionale.

I modelli di team per l’Incident Response

Esistono diversi modelli sui quali costituire i gruppi dedicati all’attuazione dell’Incident Response Plan, a seconda della struttura interna di ciascuna organizzazione. Secondo il NIST (National Institute of Standards and Technology), la maggiore efficacia è garantita tra tre modelli:

  1. Central Incident Response Team: un unico team gestisce tutti gli incidenti. Questo modello è adatto alle piccole imprese con risorse IT limitate o assenti.
  2. Distributed Incident Response Teams: in questo modello, la gestione degli incidenti è affidata a più squadre, ognuna responsabile di un segmento fisico o logico specifico. Questo modello è efficace per le grandi organizzazioni e per quelle che gestiscono risorse distribuite sul territorio. Le squadre dovrebbero far parte di un’unica entità coordinata, in modo da garantire una risposta coesa agli incidenti e la condivisione delle informazioni all’interno dell’organizzazione.
  3. Coordinating Team: questo modello prevede l’esistenza di un gruppo per l’Incident Response che fornisce consulenza alle altre squadre senza esercitare su di esse un’autorità diretta, limitandosi a un ruolo di assistenza. È un modello pensato per lavorare in collaborazione con strutture come i CSIRT.

Le fasi dell’Incident Response Plan e le migliori pratiche di adozione

La gestione degli incidenti informatici richiede l’adozione di diverse fasi e l’applicazione di best practice per garantire una risposta efficace agli attacchi.

1 – La preparazione

In questa fase è fondamentale muoversi in anticipo individuando e catalogando tutti gli asset sensibili e le possibili minacce. È importante anche stabilire una strategia che definisca le priorità in base all’impatto potenziale sugli obiettivi dell’organizzazione. La protezione dell’infrastruttura IT avviene attraverso valutazioni periodiche del rischio, l’adozione di politiche adeguate, l’applicazione di patch di sicurezza e la protezione della rete in conformità agli standard di sicurezza.

Best practice: durante questa fase si raccomanda di mettere a disposizione tutte le risorse necessarie per la gestione dell’eventuale incidente. Queste risorse possono includere software di crittografia e analisi, hardware per la mitigazione degli incidenti. Nonché il ripristino, documentazione sugli incidenti, piani di comunicazione interna ed esterna, elenchi di contatti utili, software forensi e dispositivi di archiviazione sicura.

2 – Rilevamento e Analisi

La fase di rilevamento e analisi si concentra sull’individuazione degli incidenti informatici. Quest’attività può essere facilitata dall’identificazione di due elementi: i precursori, cioè quei segnali che indicano la possibile presenza di un incidente, e gli indicatori, segnali di un incidente in corso o già accaduto. È sempre importante condurre un’analisi accurata per determinare se effettivamente si è verificato un incidente, dato che molti segnali possono essere falsi positivi.

Best practice: durante l’analisi degli incidenti è essenziale dedicare all’attività il tempo e le energie necessarie poiché le informazioni potrebbero essere ambigue o incomplete. È consigliabile avere un team di esperti che segua le procedure operative standard. E utilizzi strumenti tecnici come sistemi di rilevamento delle intrusioni (IDS/IPS), sniffer di pacchetti, analizzatori di log, software di verifica degli hash crittografici e sistemi di gestione delle informazioni di sicurezza (SIEM). Questi strumenti aiutano a ottenere informazioni più accurate sull’incidente e a prendere decisioni appropriate.

Un punto cruciale: la comunicazione

Un incidente informatico ha profonde ripercussioni sulla brand reputation dell’organizzazione che lo subisce. All’interno dell’Incident Response Plan è cruciale individuare anche il miglior modo di comunicare l’accaduto. Ciò va fatto con un’informazione precisa e accurata ai dipendenti, per chiarire loro quel che devono fare; all’ufficio legale per ogni questione che sia di loro pertinenza; ai media, per evitare speculazioni.

Dichiarare di essere stati colpiti e di essere al lavoro per gestire l’attacco è una scelta opportuna: rivela quanto l’organizzazione fosse preparata all’evento e avesse predisposto un team e delle azioni per una risposta efficace. Nascondere l’accaduto può sortire effetti ancor più dannosi dell’incidente stesso.

giornalista appassionato di tutto quanto fa tecnologia, caporedattore del quotidiano Il Giornale

Potrebbe interessarti

innovazione

Un importante investimento per supportare lo sviluppo dei settori della robotica e della cybersecurity. Arriva dal fondo CYSERO EuVECA – promosso da AVM Gestioni...

Security

Negli ultimi anni, l’uso delle Virtual Private Network (VPN) è cresciuto in modo esponenziale, diventando uno strumento indispensabile per molti utenti in tutto il...

Security

La rivoluzione digitale ha portato con sé un’espansione rapida del mondo online. Ma una nuova ricerca di Grenke Italia e di Clio security, sotto...

Security

In un’era digitale piena di minacce informatiche, la necessità di una sicurezza proattiva non è mai stata così importante. I sistemi di password tradizionali...

Iscriviti alla Newsletter

Tutorials Point
Advertisement

Ultime news

News

Samsung annuncia la sua partecipazione al Fuorisalone 2024, in programma dal 16 al 21 aprile, con un’installazione unica all’interno delle Cavallerizze del Museo Nazionale...

Italpress

MILANO (ITALPRESS) – Range Rover sceglie il palcoscenico della Design Week, per aprire le porte della Range Rover House Milano. Immerso nel cuore della...

telefonia

Motorola alza il tiro con la sua nuova famiglia di smartphone edge 50, composta da tre modelli: edge 50 ultra, edge 50 pro e...

Italpress

TORINO (ITALPRESS) – La Alfa Romeo Milano non arriverà mai in concessionaria. Il nuovo B-Suv del Biscione presentato solo giovedì scorso, infatti, si chiamerà...

Italpress

RIMINI (ITALPRESS) – Si è svolto a Rimini il Folgore Day: un evento che, nell’anniversario dei 110 anni di Maserati, segna ufficialmente l’ingresso nella...

Italpress

TORINO (ITALPRESS) – “Il rinascimento di Lancia è partito dall’Italia con nuova Lancia Ypsilon. Da sempre il marchio è simbolo di stile ed eleganza...

Copyright © 2023 Trameetech
Testata giornalistica online registrata il 29 dicembre 2021 al n. 238 del registro della Stampa del Tribunale di Milano
P.IVA: 12562100961