Quando si tratta di affrontare una crisi cibernetica che può causare danni considerevoli a un’azienda o a un’organizzazione, due sono i fattori cruciali da considerare: assumere un sguardo ampio, non focalizzato sul singolo problema, e disporre di un nucleo operativo adeguato, ben supportato del management. La gestione di una crisi di questo tipo è caratterizzata da diversi elementi, che la rendono complessa. Innanzitutto, la sua natura sistemica coinvolge diverse parti dell’entità colpita, non limitandosi ai reparti IT: anche settori come quello finanziario, operativo e legale ne subiscono le conseguenze. Inoltre, una crisi cibernetica supera il confine della semplice business continuity poiché richiede di prendere decisioni complesse, dalle quali possono sorgere incertezza e potenziali conflitti tra coloro che devono far fronte a un evento potenzialmente disastroso per la reputazione e l’esistenza stessa dell’organizzazione coinvolta. Tra i momenti centrali nella gestione di una crisi cibernetica, uno dei più rilevanti è l’Incident Response Plan. La sua importanza risulta ancora più evidente considerando l’aumento continuo degli incidenti informatici e dei danni che ne derivano, soprattutto sul piano economico.
L’Incident Response Plan, strumento indispensabile
Il NIST (National Institute of Standards and Technology) considera l’Incident Response Plan uno degli strumenti più efficaci per la gestione e la mitigazione degli incidenti di sicurezza informatica. La capacità di risposta agli incidenti misura l’abilità nel ridurre al minimo l’impatto delle violazioni e nel ripristinare le normali operazioni nel minor tempo possibile.
L’obiettivo è triplice:
- garantire la continuità operativa delle organizzazioni colpite;
- fornire una difesa efficace;
- servire come strumento utile nelle indagini finalizzate a identificare la causa dell’incidente.
L’Incident Response Plan è un processo strutturato e ripetibile che aiuta le organizzazioni a prevedere, assegnare priorità e rispondere in modo tempestivo ed efficace agli incidenti informatici. La sua base consiste nella definizione di standard, politiche e procedure appropriate, implementate da team dedicati e si suddivide in diverse fasi che consentono di prevenire o ridurre i danni grazie a una valutazione anticipata della capacità dell’organizzazione di gestire problemi di sicurezza. Ciò richiede l’implementazione di strumenti e conoscenze necessarie per prevenire le violazioni.
Nella fisiologia dell’Incident Response, l’aspetto preventivo basato sulla valutazione del rischio informatico riveste un ruolo davvero cruciale, anche in considerazione del costante aumento degli attacchi e delle attività cibernetiche criminali. Pertanto, è fondamentale identificare e analizzare costantemente le minacce, che sono elementi in continua evoluzione. La condivisione delle informazioni, sia all’interno della stessa organizzazione che tra diverse entità, rappresenta una delle pratiche più efficaci per difendersi.
È essenziale che ogni azienda o organizzazione designi un responsabile della sicurezza informatica, che sia investito del compito di supervisionare i processi di gestione della sicurezza e che funga da punto di contatto con il Computer Emergency Response Team (CERT), responsabile del monitoraggio degli incidenti a livello nazionale.
I modelli di team per l’Incident Response
Esistono diversi modelli sui quali costituire i gruppi dedicati all’attuazione dell’Incident Response Plan, a seconda della struttura interna di ciascuna organizzazione. Secondo il NIST (National Institute of Standards and Technology), la maggiore efficacia è garantita tra tre modelli:
1) Central Incident Response Team: un unico team gestisce tutti gli incidenti. Questo modello è adatto alle piccole imprese con risorse IT limitate o assenti.
2) Distributed Incident Response Teams: in questo modello, la gestione degli incidenti è affidata a più squadre, ognuna responsabile di un segmento fisico o logico specifico. Questo modello è efficace per le grandi organizzazioni e per quelle che gestiscono risorse distribuite sul territorio. Le squadre dovrebbero far parte di un’unica entità coordinata, in modo da garantire una risposta coesa agli incidenti e la condivisione delle informazioni all’interno dell’organizzazione.
3) Coordinating Team: questo modello prevede l’esistenza di un gruppo per l’Incident Response che fornisce consulenza alle altre squadre senza esercitare su di esse un’autorità diretta, limitandosi a un ruolo di assistenza. È un modello pensato per lavorare in collaborazione con strutture come i CSIRT.
Le fasi dell’Incident Response Plan e le migliori pratiche di adozione
La gestione degli incidenti informatici richiede l’adozione di diverse fasi e l’applicazione di best practice per garantire una risposta efficace agli attacchi.
1 – La preparazione
In questa fase è fondamentale muoversi in anticipo individuando e catalogando tutti gli asset sensibili e le possibili minacce. È importante anche stabilire una strategia che definisca le priorità in base all’impatto potenziale sugli obiettivi dell’organizzazione. La protezione dell’infrastruttura IT avviene attraverso valutazioni periodiche del rischio, l’adozione di politiche adeguate, l’applicazione di patch di sicurezza e la protezione della rete in conformità agli standard di sicurezza.
Best practice: durante questa fase si raccomanda di mettere a disposizione tutte le risorse necessarie per la gestione dell’eventuale incidente. Queste risorse possono includere software di crittografia e analisi, hardware per la mitigazione degli incidenti e il ripristino, documentazione sugli incidenti, piani di comunicazione interna ed esterna, elenchi di contatti utili, software forensi e dispositivi di archiviazione sicura.
2 – Rilevamento e Analisi
La fase di rilevamento e analisi si concentra sull’individuazione degli incidenti informatici. Quest’attività può essere facilitata dall’identificazione di due elementi: i precursori, cioè quei segnali che indicano la possibile presenza di un incidente, e gli indicatori, segnali di un incidente in corso o già accaduto. È sempre importante condurre un’analisi accurata per determinare se effettivamente si è verificato un incidente, dato che molti segnali possono essere falsi positivi.
Best practice: durante l’analisi degli incidenti è essenziale dedicare all’attività il tempo e le energie necessarie poiché le informazioni potrebbero essere ambigue o incomplete. È consigliabile avere un team di esperti che segua le procedure operative standard e utilizzi strumenti tecnici come sistemi di rilevamento delle intrusioni (IDS/IPS), sniffer di pacchetti, analizzatori di log, software di verifica degli hash crittografici e sistemi di gestione delle informazioni di sicurezza (SIEM). Questi strumenti aiutano a ottenere informazioni più accurate sull’incidente e a prendere decisioni appropriate.
Un punto cruciale: la comunicazione
Un incidente informatico ha profonde ripercussioni sulla brand reputation dell’organizzazione che lo subisce. All’interno dell’Incident Response Plan è cruciale individuare anche il miglior modo di comunicare l’accaduto. Ciò va fatto con un’informazione precisa e accurata ai dipendenti, per chiarire loro quel che devono fare; all’ufficio legale per ogni questione che sia di loro pertinenza; ai media, per evitare speculazioni. Dichiarare di essere stati colpiti e di essere al lavoro per gestire l’attacco è una scelta opportuna: rivela quanto l’organizzazione fosse preparata all’evento e avesse predisposto un team e delle azioni per una risposta efficace. Nascondere l’accaduto può sortire effetti ancor più dannosi dell’incidente stesso.
A cura di Stefano Brusaferro, Sales & Marketing Director di HWG
