Come creare un piano di risposta a un incidente di sicurezza informatica

Pubblicato il giorno 21/5/2021 da Chiara Casse e Maria Gitanjali

In questo articolo ti proponiamo cinque semplici passi da seguire per creare un piano di risposta a qualsiasi incidente di sicurezza informatica.

Come creare un piano di risposta a un incidente di sicurezza informatica

Oggigiorno le operazioni aziendali si svolgono sempre più online, e i rischi di sicurezza informatica stanno aumentando esponenzialmente. Secondo un sondaggio di Capterra sulla sicurezza informatica (2020), l’anno scorso il 37% delle imprese intervistate è stato vittima di un attacco di phishing.

Cosa faresti se ti trovassi di fronte a un attacco di questo tipo? La tua azienda dispone di un piano d’azione per rispondere a un incidente di violazione dei dati o di sicurezza informatica? La maggior parte delle piccole e medie aziende non ha un incident response plan per la sicurezza ben definito. Se la tua impresa rientra in questa percentuale, è arrivato il momento di correre ai ripari.

In questo articolo vediamo che cos’è un piano di risposta a un incidente di sicurezza informatica e in che modo ti può beneficiare. Illustriamo inoltre i cinque passi per creare il tuo piano e ti forniamo alcune risorse utili per iniziare.

Che cos’è un incidente di sicurezza informatica?

Un incidente di sicurezza informatica è un evento che viola le politiche di sicurezza informatica di un’organizzazione, mettendo a rischio dati sensibili come le informazioni di pagamento dei clienti. Malware, attacchi DDoS, ransomware, accessi non autorizzati alla rete, attacchi interni e phishing sono alcuni degli incidenti di sicurezza informatica più comuni.

Che cos’è un piano di risposta agli incidenti di sicurezza informatica?

Si tratta di un insieme di istruzioni per aiutare i tuoi dipendenti a individuare eventuali incidenti di sicurezza informatica, reagire ad essi e riprendersi in seguito all’attacco.

La maggior parte degli incident response plan includono le misure di sicurezza da seguire per evitare un cyberattacco, i provvedimenti da adottare nel caso lo si abbia subito e le varie azioni che il personale deve attuare immediatamente dopo un attacco, come informare le parti coinvolte o denunciare l’accaduto alle autorità.

Che cos’è un piano di risposta agli incidenti di sicurezza informatica?

Si tratta di un insieme di istruzioni per aiutare i tuoi dipendenti a individuare eventuali incidenti di sicurezza informatica, reagire ad essi e riprendersi in seguito all’attacco.

La maggior parte degli incident response plan includono le misure di sicurezza da seguire per evitare un cyberattacco, i provvedimenti da adottare nel caso lo si abbia subito e le varie azioni che il personale deve attuare immediatamente dopo un attacco, come informare le parti coinvolte o denunciare l’accaduto alle autorità.

Perché hai bisogno di un incident response plan?

Ecco i principali motivi per i quali hai bisogno di preparare, documentare e aggiornare regolarmente un piano di risposta agli incidenti di sicurezza informatica.

Sarai più preparato a gestire attacchi informatici

Grazie a un incident response plan, tu e i membri del tuo team saprete cosa fare quando viene segnalato un incidente di sicurezza. Ognuno di voi avrà un ruolo e responsabilità ben documentati e tu non avrai bisogno di dare istruzioni aggiuntive al tuo team, evitando così perdite di tempo o problemi di comunicazione.

Potrai rispettare le normative previste

Quando si verifica un incidente di sicurezza, bisogna attenersi a diverse disposizioni, come ad esempio informare le parti coinvolte e denunciare l’accaduto alle autorità. Un piano di risposta ti aiuterà a monitorarle efficacemente e a rispettarle. Per esempio, la legge sulla protezione dei dati dei consumatori (GDPR) esige che un episodio relativo alla sicurezza venga segnalato entro un massimo di 72 ore, mentre gli standard di sicurezza relativi ai dati di pagamento (PCI DSS, in inglese) obbligano le aziende a disporre di un piano di risposta agli incidenti e a testarlo almeno una volta all’anno.

Non dovrai dipendere da misure delineate appositamente per l’evento in questione

Un piano di risposta agli incidenti di sicurezza informatica è un documento scritto che illustra chiaramente i passi da seguire nel caso di una violazione della sicurezza. Essendo approvato dalla direzione aziendale, non dovrai dipendere da eventuali decisioni non pianificate. Un response plan pronto all’uso è più efficace di una risposta creata ad hoc al momento dell’emergenza, soprattutto se si tratta di situazioni di urgenza come il furto d’identità.

I 5 passi per creare un piano di risposta agli incidenti di sicurezza informatica

Prima di iniziare, ci teniamo a ricordarti che la comunicazione è fondamentale. Secondo Gartner, per gettare correttamente le basi per un piano di risposta agli incidenti, è necessario che tutti i soggetti interessati conoscano quali sono le loro responsabilità e concordino sulle aspettative del progetto (contenuto completo in inglese riservato ai clienti).

Di seguito ti illustriamo i cinque passi che Gartner consiglia di seguire per elaborare un piano di risposta agli incidenti di sicurezza informatica, per aiutarti a identificarli, contenerli, evitarli e superarli.

1. Definire i tipi più comuni di incidenti di sicurezza

Crea un elenco delle varie minacce di sicurezza informatica a cui la tua azienda può essere esposta. Questo documento ti servirà per preparare diverse strategie di risposta per i diversi tipi di incidenti informatici.

Di seguito trovi alcuni dei tipi più comuni di incidenti di sicurezza informatica:

  • Malware: un software malevolo (virus, worm, trojan, ecc.) che ottiene l’accesso non autorizzato ai sistemi e interferisce nelle operazioni.
  • Distributed Denial of Service (DDoS): rende inutilizzabile un servizio online (ad esempio un sito web) sovraccaricando il server con più traffico di quello che è in grado di gestire.
  • Phishing: un attacco di ingegneria sociale che inganna gli utenti con e-mail apparentemente legittime, ma in realtà di natura malevola.
  • Attacco di applicazioni web: attacca applicazioni web come i carrelli di e-commerce, moduli online ed editor di testi, per ottenere l’accesso ai database e rubare informazioni sensibili.
  • Minaccia interna: dipendenti o ex dipendenti che violano le politiche di sicurezza informatica per ottenere l’accesso non autorizzato, divulgare informazioni confidenziali o danneggiare i sistemi.
  • Perdita o furto di apparecchiatura: perdita o furto di apparecchiature aziendali come PC, computer portatili o dispositivi mobili, che possono essere usate impropriamente per rubare dati o lanciare un attacco di sicurezza informatica in piena regola.

2. Ordinare gli incidenti di sicurezza in base alla loro gravità

Gli incidenti di sicurezza differiscono per consistenza e per gravità. Un file danneggiato sul computer portatile di un tuo dipendente può essere considerato di bassa priorità rispetto a un attacco DDoS che può minare le prestazioni dell’intero sito. Definisci la gravità di ogni incidente di sicurezza per deciderne la priorità all’interno del piano d’azione.

Un buon modo per farlo è valutando se l’incidente coinvolge i dati (inaccessibilità, furto o perdita di dati) o la capacità dell’azienda di prestare servizio ai clienti o svolgere operazioni. Qualsiasi incidente che colpisca sia i dati che la sicurezza operativa dovrebbe avere la priorità su altri tipi di eventi.

Crea un documento in cui indichi in che misura le operazioni e i dati della tua azienda vengono coinvolti (livello pari a zero, basso, medio o alto) e capirai così quale priorità dovresti assegnare all’incidente in questione.

Imposta inoltre un intervallo di tempo per la risoluzione di tutti gli incidenti individuati. Idealmente, gli incidenti con priorità elevata dovrebbero essere risolti entro 2-6 ore dal momento in cui vengono rilevati, mentre gli incidenti con priorità bassa hanno un margine di 24 ore.

3. Creare un diagramma di flusso di risposta agli incidenti con i passi da seguire

Un incident response plan determina le misure da adottare per contenere un attacco. Sviluppando il tuo piano sotto forma di un diagramma di flusso, i membri del team di risposta agli incidenti potranno individuare rapidamente il percorso da seguire per attenuare le minacce.

Ecco un esempio di un diagramma di flusso di risposta agli incidenti.

Diagramma di flusso: come rispondere a un incidente di sicurezza informatica

Ricordati inoltre di indicare chi è il responsabile del completamento di ogni fase illustrata nel diagramma. Assegna ai membri del tuo team delle responsabilità chiare e che non entrino in conflitto con altri membri o responsabilità.

Usa una matrice RACI (Responsible, Accountable, Consulted, Informed) per indicare chi è l’incaricato dell’attività, chi è responsabile dell’esito del processo, chi deve essere consultato e chi deve essere solamente tenuto al corrente delle diverse fasi della risposta agli incidenti. Ad esempio, il security manager sarà l’incaricato di presentare le relazioni sugli incidenti, il responsabile delle operazioni tecniche, la persona da consultare in merito alla preparazione della relazione post-incidente e la persona da informare circa il coordinamento generale e la comunicazione con le autorità di regolamentazione.

4. Condurre simulazioni e formare il personale

Avere un programma di risposta agli incidenti non basta. Devi anche testare la sua efficacia svolgendo delle esercitazioni, che contribuiranno a formare e istruire i dipendenti circa il loro ruolo nella gestione degli incidenti di sicurezza. Ti proponiamo un’esercitazione da sottoporre ai tuoi dipendenti, che prevede la formazione di due squadre: la squadra rossa e la squadra blu.

Esercitazione a due squadre (squadra rossa e squadra blu) per testare l’incident response plan della propria azienda

Questo esercizio sulla sicurezza informatica è tratto dai corsi di addestramento militare. Dividi i dipendenti in due squadre: rossa e blu. La squadra rossa cerca di attaccare e violare la difesa informatica del team blu, mentre la squadra blu cerca di difendere le proprie reti interne e di proteggere i propri sistemi e dati.

L’esercizio si svolge durante un determinato periodo di tempo, ad esempio due ore, durante il quale la squadra rossa utilizza varie modalità di attacco come il phishing, la clonazione delle carte e lo scripting SQL per sfruttare le vulnerabilità della squadra blu e accedere ai suoi sistemi. Quando la squadra blu rileva un attacco, risponde seguendo le fasi indicate nel piano di risposta. In questo modo è possibile farsi un’idea di quanto tempo richiedono le varie fasi e della loro efficacia. L’esercizio permette anche di testare la sicurezza attuale della tua azienda.

5. Aggiornare regolarmente il piano di risposta agli incidenti

Utilizza le informazioni raccolte da precedenti incidenti di sicurezza e dalle esercitazioni per individuare gli aspetti che possono essere migliorati e implementare nuove modalità al tuo incident response plan (ad esempio l’automatizzazione di determinate fasi).

Ricorda inoltre di aggiornare il piano regolarmente per restare al passo con le nuove minacce o di includere i dettagli di eventuali nuove misure di sicurezza adottate di recente. Analizza le varie fasi del tuo piano di risposta almeno una volta all’anno e cerca di ridurre il tempo necessario per contenere e superare gli incidenti.

Conclusione: affidati a software per la sicurezza per migliorare la risposta agli incidenti della tua azienda

Per concludere, nel seguente elenco trovi alcuni software utili per migliorare la sicurezza informatica della tua azienda:

I software informatici possono aiutarti a rilevare e mitigare le minacce alla sicurezza in modo più efficace e ti permettono di portare avanti le operazioni commerciali anche durante l’attuazione di un piano di risposta agli incidenti.

Vuoi saperne di più? Scopri il nostro elenco completo di software per l’installazione di sistemi di sicurezza informatica.

 

Questo articolo potrebbe far riferimento a prodotti, programmi o servizi che potrebbero non essere disponibili nel tuo paese o potrebbero essere soggetti a restrizioni nel rispetto delle disposizioni legislative vigenti. Ti suggeriamo di contattare direttamente il provider per richiedere maggiori informazioni sulla disponibilità del prodotto e sulla sua compliance con le leggi locali.