Come gestire una crisi informatica

Gabriele Zanoni, Systems Engineer di FireEye, fornisce i passi da seguire per affrontare, in maniera corretta, questa eventuale possibilità

Quanto è preparata la vostra azienda per gestire un attacco informatico?
Se lo è chiesto FireEye, intelligence led security company, attenta a fornire un’analisi in merito e a elencare i passi da seguire per affrontare, in maniera corretta, questa eventuale possibilità.

Le aziende che hanno subito una compromissione o sono state esposte a vulnerabilità informatiche, infatti, sono sempre più spesso accusate di non aver attuato le adeguate misure di sicurezza informatica per prevenire gli attacchi, di aver fatto intendere, al contrario, una certa estensione delle proprie misure di sicurezza a protezione dei dati e non aver notificato in modo adeguato le persone i cui dati personali sono stati messi a rischio.

Va da sé che attuare e mantenere misure di sicurezza ragionevoli e appropriate è il primo passo che un’azienda deve prendere in considerazione.

Per un’azienda, infatti, è sempre fondamentale verificare l’accuratezza delle dichiarazioni inerenti le pratiche di sicurezza dei dati aziendali e le modalità con cui reagisce a una compromissione.

Non a caso, molti degli attacchi subiti dalle organizzazioni avvengono a causa delle non conformità rispetto al livello di sicurezza che avevano promesso.

Da qui i suggerimenti di Gabriele Zanoni, Systems Engineer di FireEye, secondo cui:

  • è molto importante sviluppare e testare con regolarità un piano di incident response. La maggior parte delle problematiche in materia di sicurezza informatica, infatti, mette in discussione l’adeguatezza delle risposte delle aziende ai cyber-incidenti.
  • è indispensabile comprendere gli obblighi relativi alle notifiche. Nelle loro cause, le autorità di regolamentazione fanno sempre più spesso riferimento a presunte mancate notifiche ai consumatori.

Dati compromessi, rischio causa legale
Nel passato, le autorità di regolamentazione hanno intrapreso azioni contro le società che, presumibilmente, hanno utilizzato pratiche insufficienti per la sicurezza dei dati, affermando che pertanto sono state infrante le leggi che vietano comportamenti sleali o ingannevoli, nonché quelle inerenti a specifici requisiti legali di sicurezza dei dati e le leggi in materia di gestione delle notifiche per le violazioni.

Non essere efficacemente rispondenti in materia di sicurezza dei dati può comportare dei rischi non indifferenti a livello legale.

Le aziende che subiscono una compromissione o sono esposte a vulnerabilità, infatti, possono essere oggetto di cause che, nella maggior parte dei casi, sono intraprese da persone – consumatori o dipendenti – i cui dati potrebbero essere stati compromessi.

Le leggi e i regolamenti recentemente approvati aumentano ulteriormente la pressione legale sulle aziende che raccolgono e collezionano informazioni personali. Ad esempio, il GDPR, che fra qualche mese compirà un anno, impone obblighi in tema di misure di sicurezza e di notifica delle violazioni mentre il regolamento emanato dal Dipartimento dei servizi finanziari di New York, ha imposto stringenti requisiti di sicurezza informatica a società finanziarie e assicurative.

L’incident response non basta
Mentre molte organizzazioni si concentrano sull’incident response, la preparazione agli incidenti stessi è altrettanto importante. Spesso, tuttavia, le aziende non adottano le misure necessarie per permettere una considerevole riduzione dei rischi, associati a contenziosi, che spesso seguono gli annunci delle violazioni informatiche.

Alcune problematiche comuni osservate sono:

  • Mancanza di un piano di incident response o presenza di un piano troppo complicato da eseguire.
  • Mancata verifica del piano di risposta o la non inclusione del senior management nei processi di valutazione.
  • Trascurare il coinvolgimento di fornitori terzi in un piano di risposta.
  • Mancanza di un piano di comunicazione.
  • Documentazione IT limitata o imprecisa, che mostra quali misure di sicurezza informatica l’azienda ha adottato.
  • Mancanza di piena visibilità della rete.

Anche con il massimo impegno, le violazioni informatiche possono verificarsi e si verificano: le azioni che le organizzazioni compiono a seguito di una compromissione potranno avere conseguenze sia nell’immediato sia a lungo termine.

Gli accorgimenti da prendere
L’importante per un’organizzazione è quindi ridurre al mimino le eventuali conseguenze dannose tramite alcuni accorgimenti:

  • Consultare tempestivamente un consulente legale esperto per limitare i danni e garantire il rispetto degli obblighi normativi.
  • Garantire che le prove forensi dell’incidente siano correttamente preservate.
  • Investigare e contenere l’incidente con l’aiuto di un consulente legale e un team di incident response.
  • Determinare se informare gli assicuratori.
  • Informare dell’incidente il Senior Management e il CdA.
  • Determinare le tipologie delle notifiche, interne ed esterne, che sono necessarie.

Il presupposto che le aziende devono sempre tenere a mente è che una violazione della rete avverrà. L’importante sarà come un’organizzazione riuscirà a rispondere tempestivamente.