La Gestione degli Incidenti
Le minacce informatiche sono ormai una costante per le organizzazioni, secondo l’ultimo rapporto CLUSIT 2023, nel 2022 in Italia sono stati messi a segno 188 attacchi conosciuti, con una crescita del 169% rispetto all’anno precedente.
I dati presentati dal CLUSIT espongono in maniera chiara il contesto, rispetto agli anni precedenti è aumentata la consapevolezza ma quest’ultima spesso non si traduce in investimenti concreti.
Adottare una strategia di difesa che comprende tecnologie, processi e persone risulta di vitale importanza per poter far fronte alle minacce, prevenirle e/o mitigarle.
Cosa significa incidente di sicurezza?
Viene definito incidente di sicurezza informatica qualsiasi evento o insieme di eventi che costituiscono una violazione delle politiche di sicurezza ICT fonte di danno per gli asset ICT per il quale si rende necessaria l’applicazione di misure di contrasto e/o contenimento da parte delle strutture preposte. Da questa definizione, compaiono due elementi fondamentali, violazione delle politiche di sicurezza e applicazione di misure di contrasto e contenimento.
Un incidente di sicurezza può avvenire in diversi modi: attacco Ransomware, attacco DDos, phishing, attacchi alla supply chain.
Non solo danni materiali
Subire un incidente informatico comporta nel breve periodo “danni materiali” ed “economici”, nella maggior parte dei casi si verifica un’interruzione o rallentamento momentaneo dei servizi e/o della produzione, spesso comporta la perdita di brevetti, progetti.
Ma un altro asset da tenere in considerazione è la reputazione aziendale, che nella maggior parte dei casi può subire dei contraccolpi. Quest’ultima è un asset strategico che impatta non solo la realtà aziendale ma viene valutata e percepita dagli stakeholders, possibili investitori e opinione pubblica.
Un buon piano di Gestione degli Incidenti
Una politica e un piano di gestione degli incidenti è di vitale importanza all’interno di un’organizzazione. I tradizionali strumenti di protezione firewall, antivirus non bastano, se non sono accompagnati da un piano operativo che prevede step da eseguire, best practies, ruoli e responsabilità, formazione del personale. Predisporre un piano operativo significa poter prevenire, limitare i danni e aiutare a rispondere prontamente ad un attacco.
Le fasi di risposta all’Incidente
In base allo standard NIST SP 800-61 [32], il ciclo di vita di un incidente di Sicurezza è composta da 5 fasi:
- Pianificazione e Preparazione: Rispondere e gestire tempestivamente a un evento e/o incidente di sicurezza significa avere un’adeguata pianificazione e preparazione, avere ben definito i ruoli, le responsabilità e le procedure.
- Rilevazione: questa fase prevede un’indagine iniziale attraverso sistemi di rilevazione in tempo reale, le segnalazioni possono provenire sia da canali interni che esterni.
- Valutazione: in questa fase si valuta l’incidente e viene assegnato il grado di severità.
- Risposta e Ripristino: vengono attuate tutte le contromisure per minimizzare i danni ed effettuate le operazioni necessarie per ripristinare l’operatività.
- Follow-up: viene effettuata una valutazione della risposta e verificata l’adeguatezza delle procedure messe in atto.
Il fattore tempo
Saper rispondere prontamente ad un evento di sicurezza risulta quindi di vitale importanza, rispondere prontamente comporta non solo compiere determinate azioni in breve tempo ma anche sapere chi deve e cosa bisogna attuare.
Un buon piano di gestione degli incidenti, una politica di formazione del personale è un buon punto di partenza per rendere un’organizzazione sicura e pronta ad affrontare un incidente di sicurezza.