Incident response

Con un numero di incidenti di sicurezza in crescita esponenziale aziende ed organizzazioni si pongono nuovi interrogativi. In particolare non si chiedono più “toccherà anche a me?” ma “Quando toccherà a me?”.

All’aumento degli attacchi corrisponde altresì un aumento di avvisi di sicurezza e falsi positivi che hanno un impatto organizzativo. Il risultato è che i team che si occupano di Incident Management sono sempre più sovraccarichi di lavoro, condizione che determina spesso una mancata tempestività nel fornire risposte valide.

Pertanto avere un piano di Incident Response diventa quindi fondamentale in quanto consente alle organizzazioni di prepararsi all’eventualità che accadano degli incidenti.

Giova domandarsi quali sono gli step e le azioni che un’organizzazione deve implementare per gestire al meglio un incidente di sicurezza informatica. Possiamo raggrupparle nel seguente modo: creazione di una policy e di un Incident Plan; implementazione di procedure organizzative per la gestione degli incidenti e per la relativa segnalazione; definizione di linee guida per la comunicazione con stakeholder e terze parti e selezione della struttura di un team adeguato.

E’ quindi una buona prassi stilare un classificazione degli incidenti tenendo conto dei fattori: gravità, rischio interno, rischio esterno, rischio per gli individui. Risulta evidente che la prevenzione di un incidente si rivela meno costosa e più efficace rispetto alla gestione di un incidente dopo che si è verificato. Quando gli investimenti e i controlli di sicurezza sono adeguati ed efficaci, il risultato non può che tradursi in un minor numero di incidenti, diversamente, si verrebbe a creare una situazione che lede la capacità di risposta con tutti ciò che ne consegue relativamente alla perdita di dati. Le risorse a disposizione per far fronte alla capacità di risposta agli incidenti devono essere adeguate sia in termini numerici sia in termini di competenze all’asset aziendale.

Ne deriva un piano che preveda anche la formazione del personale IT in tema di conformità agli standard di sicurezza dell’organizzazione. Il piano deve avere anche il sostegno della direzione, l’approvazione del management in ogni sua fase. Le posizioni apicali devono non solo sostenere il piano dal punto di vista economico ma anche fare attività di sensibilizzazione e, ove serve, di controllo con il fine di monitorare lo stato di attuazione del piano stesso.

Un piano di risposta e un team formato e preparato può aiutare a prevenire ulteriori perdite di dati in caso di violazione ed evitare sanzioni e danni alla reputazione. Potrebbe rivelarsi un errore non trascurabile aspettare fino all’effettiva scoperta di una violazione per decidere chi sarà responsabile della conduzione e della gestione dell’incidente.

Un team dedicato dovrebbe essere previsto con largo anticipo e coinvolgere il coordinamento di più settori. L’Incident Response Plan deve includere il coordinamento e la comunicazione tempestivi tra l’Incident Response Team e gli altri settori e gruppi sia interni che esterni all’azienda.

Tra le competenze dell’IRT si può annoverare l’analisi forense, che ha come obiettivo quello di identificare, preservare, recuperare, analizzare e presentare prove digitali. Essi potranno altresì fornire una consulenza all’organizzazione su come bloccare la perdita di dati, proteggere prove e prevenire ulteriori danni come pure sulla modalità di conservare le prove e gestire la fase di custodia, riducendo al minimo la possibilità di alterare, distruggere o rendere le prove inammissibili in tribunale.

La c.d. lesson learned è una fase molto spesso sottovalutata o non considerata dalla stragrande maggioranza delle organizzazioni, eppure –  a parere di chi scrive –  è una fase che riveste una considerevole importanza.

Aziende e organizzazioni dovrebbero imparare dagli errori passati per ottenere valore dagli incidenti. Ad ogni incidente che si verifica, sia esso di minore o di maggiore gravità, ogni organizzazione dovrebbe fare un esame su quanto accaduto, esaminando il perché, le dinamiche, gli errori, le lacune organizzative e metodologiche che hanno favorito l’incidente. Questo permette di identificare i miglioramenti necessari a quelli esistenti, di accentuare controlli e pratiche di sicurezza.

Pertanto, alla luce delle considerazioni sarebbe bene prevedere, dei meeting periodici per discutere su quanto accaduto. Le informazioni accumulate da tutte le lezioni apprese dovrebbero costituire un piccolo patrimonio utile per identificare e correggere i punti deboli e le carenze sistemiche e organizzative nelle politiche e nelle procedure. Inoltre, i rapporti generati da ogni incidente possono essere importanti non solo a fini probatori ma anche come riferimento nella gestione di incidenti futuri e nella formazione di nuovi membri del team.