Gli incidenti di sicurezza possono avere un impatto drastico sulle aziende e causare gravi danni organizzativi e finanziari. È indispensabile disporre di processi e procedure efficaci per affrontarli in modo rapido ed efficiente, al fine di ridurre al minimo l'impatto.
Le cause degli incidenti di sicurezza sono, in larga misura, errori umani. L'implementazione di procedure e processi validi è possibile solo se un'azienda ha un'ottima cultura della sicurezza e degli errori. Fondamentalmente, la gestione corretta può essere suddivisa in 3 aree:
- Monitoraggio degli incidenti di sicurezza delle informazioni
- Raccolta delle prove
- Reazione agli incidenti di sicurezza informatica
Il BSI (Ufficio Federale Tedesco per la Sicurezza Informatica) e la serie ISO 27000 forniscono eccellenti linee guida per una corretta gestione degli incidenti di sicurezza informatica. Il quadro di riferimento dovrebbe essere utilizzato in base alle dimensioni dell'azienda.
Differenza tra evento e incidente
Un evento di sicurezza delle informazioni si verifica sempre quando viene identificato un evento in un sistema, un servizio o una rete che indica una possibile violazione delle linee guida di sicurezza o una circostanza precedentemente sconosciuta che potrebbe essere rilevante per la sicurezza. Pertanto, nel caso di un evento, non è ancora possibile riferire sugli effetti o sull'esatta situazione di pericolo. D'altro canto, un incidente è un evento che si è verificato e che molto probabilmente ha messo a repentaglio le operazioni aziendali e la sicurezza delle informazioni. Pertanto, una delle componenti principali di una corretta gestione è il corretto monitoraggio e l'analisi degli incidenti, come mostra il grafico seguente:
Riduzione degli incidenti di sicurezza delle informazioni
La cultura della sicurezza influenza in modo significativo il numero e l'impatto degli incidenti di sicurezza delle informazioni all'interno di un'azienda. All'interno dell'azienda deve esistere una struttura chiara su come procedere, che ogni persona coinvolta abbia interiorizzato. Questo crea sicurezza. Se la procedura è chiara, il tasso di errore diminuisce e i compiti e i canali di comunicazione possono essere gestiti in modo più efficiente. Inoltre, è necessaria una chiara separazione tra eventi e incidenti per consentire una significativa definizione delle priorità. Inoltre, gli errori dovrebbero poter essere comunicati apertamente, in modo da non nascondere gli eventi e da poter utilizzare il fattore tempo per le reazioni e le contromisure successive.
Minacce persistenti avanzate (APT) - Attacchi informatici mirati
Le minacce costanti evolutive sono attacchi mirati a individui, aziende o istituzioni selezionate. Nel processo, si ottiene un accesso permanente a una rete, con l'obiettivo di diffondersi ad altri sistemi informatici. Il profilo degli aggressori è caratterizzato da un alto livello di motivazione e da un elevato impiego di risorse. Di solito dietro questi attacchi, che hanno gravi conseguenze, ci sono organizzazioni criminali.
Per eliminare gli effetti di tali incidenti nel miglior modo possibile, sono necessari una struttura e dei diagrammi di flusso già preparati. In primo luogo, i sistemi colpiti devono essere spenti o isolati per ridurre la diffusione. In seguito, non bisogna avere fretta e l'ambiente IT colpito può essere ripulito secondo i piani. Una volta completate tutte le fasi, l'ambiente può essere riportato allo stato produttivo dopo la bonifica.
Importanza dell'IT forensics per gli incidenti di sicurezza
Supponiamo che la nostra workstation sia stata compromessa da un aggressore e che sia stato eseguito del codice maligno per infettare altri sistemi IT. Ora, prima che altri sistemi siano stati infettati, il sistema compromesso può essere identificato e spento. Tuttavia, è anche importante effettuare un'analisi forense del sistema per essere preparati a ulteriori incidenti simili e per contenere gli effetti dell'incidente. Si possono consultare esperti esterni o creare team interni.
Quando i team forensi si occupano di incidenti di sicurezza, la prima cosa da fare è bloccare l'attaccante dal sistema. Segue un'analisi e un chiarimento delle questioni più importanti:
- Quali circostanze hanno permesso di compromettere il sistema?
- Quali falle di sicurezza sono state sfruttate?
- Quando è avvenuto l'attacco e da quanto tempo è in corso?
Una volta chiarite tutte le questioni, è possibile attuare le misure e chiudere i varchi.
Gestione della risposta agli incidenti per il lavoro a distanza
A causa del crescente numero di lavoratori a distanza e del rapido cambiamento causato dalla pandemia di Corona, si è spesso creata incertezza tra molti dipendenti. Come spiegato nelle sezioni precedenti, l'insicurezza è uno dei maggiori fattori di incidenti di sicurezza informatica e favorisce gravi ripercussioni. Per questo motivo, le misure di monitoraggio devono essere ulteriormente ampliate, soprattutto negli spazi di lavoro remoti, e l'accesso alle reti aziendali deve essere chiaramente assegnabile. Questo è l'unico modo per compensare l'aumento esponenziale della superficie di attacco. Un punto importante è un processo di segnalazione ben strutturato e facilmente accessibile per gli incidenti di sicurezza informatica da parte dei dipendenti. Le catene di segnalazione e le persone di contatto devono essere comunicate regolarmente. Inoltre, sono necessarie misure di sensibilizzazione per rendere costantemente presenti le minacce e formare le procedure. Solo così è possibile ridurre il tasso di errore e creare fiducia in se stessi nel gestire gli incidenti e gli eventi di sicurezza informatica.
