Ultimo aggiornamento: 01 settembre 2021
Che cos’è la risposta agli incidenti
La risposta agli incidenti (IR, dall’inglese incident response) è un approccio sistematico che aiuta i team IT ad essere preparati e a pianificare gli incidenti informatici, tra cui interruzioni del servizio, violazioni della sicurezza dell’azienda o attacchi informatici. Nessuna azienda è davvero completamente immune agli incidenti IT, in particolare quelli di sicurezza, vista l’attuale necessità per numerose imprese di adottare il lavoro a distanza. Gli incidenti di sicurezza colpiscono duramente le aziende, causando la distruzione dei dati, violando la riservatezza e provocando perdite significative in termini di produttività a finanze, da cui è molto difficile riprendersi. Tuttavia con un piano IR costruttivo è possibile gestire certe situazioni con maggior efficacia, ritornando alla normalità più velocemente. Il Ponemon’s Cost of a Data Breach Report (Report di Ponemon sui costi di una violazione dei dati) conferma che le organizzazioni con un solido piano di sicurezza IR hanno ridotto i costi relativi agli incidenti di sicurezza di una media di circa 2 milioni di dollari.
Le aziende dovrebbero quindi considerare un piano IR ben strutturato e il modo in cui agisce una priorità, e progettare un processo IR che definisca cosa sia un incidente per l’azienda stessa, creare un team di risposta agli incidenti con ruoli ben definiti e formarlo il prima possibile.
Comprendere le fasi di risposta agli incidenti
Il metodo con cui un’azienda risponde ad un incidente, noto come procedura di risposta, ha un peso significativo alla luce dell’incidente stesso. Solitamente il processo di risposta all’incidente inizia con la definizione del piano IR, progettato su misura per l’azienda e il proprio funzionamento, e prosegue con la delega dei ruoli e delle responsabilità al team di risposta agli incidenti. Secondo il National Institute of Standards and Technology (NIST), le varie fasi di risposta agli incidenti per un incidente di sicurezza sono le seguenti:
1. Preparazione
La preparazione è la fase più importante della risposta agli incidenti. Delineare una strategia, documentarla, mettere insieme il team di risposta agli incidenti, designare i ruoli e le responsabilità con una comunicazione e formazione appropriate, e procurarsi il software e hardware necessari sono tutte azioni che fanno parte del piano di risposta agli incidenti e della preparazione a una violazione della sicurezza.
2. Rilevamento e analisi
Questa fase è quella in cui avviene l’IR vero e proprio, a partire dall’identificazione e segnalazione degli incidenti di sicurezza. Ma chi è che segnala l’incidente, e in che modo?
Tutti i membri dell’azienda devono essere a conoscenza del piano IR in atto e devono segnalare le violazioni di sicurezza non appena hanno il minimo sospetto. Inoltre è importante informare i clienti sul piano IR, in modo che possano essere altrettanto vigili. Sia dipendenti che clienti devono segnalare i problemi di sicurezza che rilevano nell’ambiente di lavoro. Di seguito vengono riportati alcuni scenari in cui il problema non dovrebbe essere ignorato, ma deve essere segnalato al più presto per una risposta rapida.
- Clienti che segnalano problemi di sicurezza ai canali di supporto dell’azienda
- Minacce ai dati dei clienti a causa di problemi di sicurezza rilevati internamente
- Avvisi di sicurezza attivati da sistemi di rilevamento delle intrusioni e da strumenti di monitoraggio
- Comunicazioni e-mail che possono portare virus
- Rilevamento di malware su qualsiasi dispositivo dell’azienda
Quando un dipendente rileva un incidente di sicurezza deve segnalarlo al team IR. L’azienda dovrebbe prevedere diverse modalità di rilevamento degli incidenti di sicurezza, come i webform sul portale self-service, e-mail, chat, telefonate, spazi di lavoro digitali collaborativi tra cui Microsoft Teams e altro ancora. Tutto questo deve essere chiaramente definito come parte del piano IR e diffuso a clienti e dipendenti.
Il NIST elenca cinque step per la fase di rilevamento e analisi:
- Identificazione dei primi segnali di un incidente di sicurezza
- Analisi dei segnali per distinguere una minaccia reale da un falso allarme
- Documentare l’incidente con tutti i fatti e le procedure di risposta rilevanti da applicare per gestire il problema
- Assegnazione di priorità dell’incidente basata su un’analisi dell’impatto, considerando gli effetti sulla funzionalità aziendale e la riservatezza, e il tempo e lo sforzo di risposta richiesti per il ripristino
- Notifica ai team e agi soggetti coinvolti da parte del team IR, con step da seguire per un ripristino rapido
3. Contenimento, eliminazione e ripristino
L’idea alla base della fase di contenimento è di portare l’incidente sotto controllo il prima possibile e di bloccarne gli effetti senza causare ulteriori danni. Per raggiungere questo scopo è necessario identificare i sistemi esatti che sono sotto attacco e attenuare gli effetti con le strategie IR di contenimento, eliminazione e ripristino. L’eliminazione del problema può essere effettuata tramite uno strumento di gestione degli incidenti efficace e indirizzando le soluzioni attraverso gli articoli di conoscenza pubblicati nella knowledge base del service desk. Perché un incidente di sicurezza non possa più considerarsi una minaccia, dovrebbe essere in atto una strategia di ripristino. Questa fase include anche il controllo dei sistemi colpiti e il loro ritorno all’ambiente di lavoro.
Ciascuna di queste strategie deve basarsi su criteri quali la gravità dell’incidente di sicurezza, la condizione dei sistemi colpiti, l’impatto sull’azienda, la registrazione delle prove e di tutte le informazioni sull’incidente e infine gli strumenti e le risorse necessarie a pianificare la strategia.
4. Valutazione (analisi post-incidente)
È obbligatorio un incontro di feedback e valutazione che coinvolga il team IR, le autorità dell'azienda e ogni individuo coinvolto nell’incidente di sicurezza per annotare le lezioni apprese e analizzare l’efficacia e le strategie del piano IR in ogni sua fase. Ecco alcuni punti su cui riflettere durante la fase di valutazione:
- La causa principale dell’incidente e dove si è verificato
- Se l’incidente si sarebbe potuto evitare
- La performance del piano IR e del team IR
- L’efficacia delle strategie ad ogni fase
- Attività che possono essere passate inosservate
- Qualsiasi step che avrebbe funzionato meglio se fatto diversamente
- Rilevamento della minaccia per evitare simili incidenti in futuro
Dopo aver capito come dovrebbe essere gestita una risposta agli incidenti, è anche importante capire che raggiungere un processo di IR efficace può essere complesso senza gli strumenti giusti. Le aziende a volte non possiedono le risorse necessarie in-house e devono ricorrere a IR esterni. Comunque sia, per gestire gli IR in maniera efficace, uno strumento completo per gestire gli incidenti è un vantaggio che garantisce danni e tempi di inattività minimi da incidenti di sicurezza.
Kit di implementazione della gestione degli incidenti
Un pacchetto esclusivo di funzionalità di controllo e presentazioni sulla gestione degli incidenti.
-
Funzionalità di controllo
Una lista esauriente delle funzionalità indispensabili che puoi usare come punto di riferimento per il tuo service desk IT.
-
Le best practice
Presentazioni dettagliate con casi d’uso specifici per muovere i primi passi nella gestione degli incidenti.