“Le aziende pensano che avere un piano IR (Incident/Response) in archivio significhi essere preparati per un attacco informatico. Purtroppo questi piani non vengono aggiornati o utilizzati da anni e non sono più adeguati a rispondere agli incidenti informatici. Avere un piano obsoleto è inutile tanto quanto non averne uno” così Bryan Sartin, executive director di Verizon Gobal Security Services, commenta i risultati del report Incident Preparedness and Response (Vipr) nato con lo scopo di offrire un riferimento per la creazione di piani di risposta adeguati in caso di attacchi alla sicurezza informatica.
Verizon ha studiato e valutato i piani di risposta agli incidenti anche sulla base di simulazioni di data breach condotte sui propri clienti.
Una prima sintesi evidenzia come i piani IR possono essere mantenuti aggiornati includendo il feedback degli stakeholder, gli insegnamenti appresi dai test di simulazione delle violazioni e le informazioni di intelligence sulle ultime tattiche informatiche utilizzate.
In questo modo sarà possibile aggiornare il piano secondo il panorama in continua evoluzione della sicurezza informatica.
Il rapporto comprende anche cinque 5 kit di simulazione approntati sulla base degli scenari reali. Possono servire alle aziende per facilitare le esercitazioni sugli incidenti, testare e perfezionare i propri piani IR. Per esempio, gli scenari di simulazione includono una minaccia di cripto-jacking (interna), un attacco malware, lo spionaggio informatico e un’aggressione informatica dal/sul cloud.
Arriva però anche la proposta di una guida “tattica”, cioè l’identificazione di sei fasi che ogni piano IR dovrebbe contenere, con i relativi punti chiave perché siano efficaci. Li riportiamo seguendo la guida di Verizon.
1. Pianificazione e preparazione – è la fase iniziale che prevede lo sviluppo di un piano in grado di coinvolgere anche gli stakeholder interni e le terze parti interessate;
2. Rilevamento e classificazione. A seconda degli incidenti di sicurezza informatica riscontrati la seconda fase richiede il rilevamento puntuale degli stessi ma anche la loro classificazione in base al livello di gravità e – importante – all’elemento scatenante;
3. Contenimento ed eliminazione. Per ogni minaccia si dovrà registrare come è stata contenuta per minimizzarne gli effetti e poi come è stata eliminata, ma anche cosa si è pensato per questa fase si concentra, da un lato sul contenimento della minacce in materia di cybersecurity per minimizzarne gli effetti, dall’altro, sulla loro eliminazione per prevenire eventuali danni successivi;
4. Raccolta e analisi. Individuata la criticità è necessario procedere all’analisi di quanto accaduto. La fase di raccolta delle prove e lo studio degli analytics deve servire a portare chiarezza sugli incidenti di sicurezza informatica per contenere una violazione dei dati, e concentrarsi su attività di risanamento e ripristino.
5. Risanamento e ripristino. E’ necessario indicare sia le misure adeguate a garantire che le normali operazioni vengano ripristinate, sia le procedure volte a prevenire o mitigare incidenti futuri.
6. Valutazione e adeguamento. Siamo all’ultima fase tattica per tenere allineate le proprie strategie di IR alla realtà degli attacchi. Si deve quindi procedere inserendo nel piano IR i risultati di quanto appreso dall’incidente per migliorare le metriche, i controlli e le pratiche di sicurezza informatica.
© RIPRODUZIONE RISERVATA
