Creare un incident response plan è cruciale per proteggere la tua organizzazione dalle minacce di cybersecurity. Un piano ben strutturato assicura una risposta pronta ed efficace agli incidenti, riducendo al minimo danni e interruzioni. Questa guida ti condurrà attraverso i passaggi essenziali per sviluppare un robusto incident response plan su misura per le esigenze specifiche della tua organizzazione.
Subire un incidente di sicurezza informatica non è una cosa che tutti vorrebbero affrontare, ma purtroppo la gestione di un incidente di sicurezza è una questione di quando e non di se. Le organizzazioni che subiscono un incidente di sicurezza informatica non sono certo sole. Secondo il World Economic Forum (WEF), la sicurezza informatica è uno dei rischi più urgenti per l'economia globale. Il rapporto, tuttavia, sottolinea che attraverso sforzi multilaterali è possibile mitigare l'impatto di un attacco informatico.
"Larisposta collaborativa agli incidenti e gli sforzi di condivisione delle informazioni tentano di centralizzare le capacità di sicurezza informatica per ridurre l'impatto degli attacchi informatici".
Un piano di risposta agli incidenti è uno di questi sforzi. Ecco una panoramica del perché ne avete bisogno e cosa comporta la creazione di un piano di risposta agli incidenti.
Perché abbiamo bisogno di un piano di risposta agli incidenti?
L'indagine del governo britannico "Cyber Security Breaches Survey 2021" ha rilevato che il 27% delle aziende britanniche ha subito una violazione dei dati e viene attaccato almeno una volta alla settimana, mentre il 39% ha perso denaro e/o beni. La gestione di questa ondata di minacce informatiche richiede la messa a fuoco di un piano di risposta agli incidenti. Questo piano fornisce un modello di risposta efficace quando si verifica un incidente di sicurezza, come malware, ransomware e accesso non autorizzato.
Raramente le violazioni dei dati si verificano all'improvviso: il rapporto IBM "Cost of a Data Breach 2020" sottolinea che nel 2019 ci sono voluti in media 207 giorni per identificare una violazione dei dati e poi 73 giorni per contenerla; si tratta di un "ciclo di vita" medio di 280 giorni per ridurre l'impatto sulle operazioni di un'azienda.
Avere un Incident Response Plan può aiutare a ridurre al minimo il tempo per il contenimento di una violazione dei dati e affrontare le conseguenze in modo rapido ed efficiente. Il tempo è fondamentale in termini di regole di notifica delle violazioni, in quanto una serie di regolamenti, tra cui il DPA2018 e il GDPR, richiedono una notifica entro 72 ore dal verificarsi di una violazione. Un Incident Response Plan informerà coloro che ricoprono ruoli di sicurezza e conformità su come rispondere all'incidente e offrirà i dettagli necessari per effettuare una notifica di violazione.
Cosa è incluso in un piano di risposta agli incidenti?
Creare un piano di risposta agli incidenti è un processo che comporta un approccio logico che include come prepararsi, rilevare, rispondere e recuperare da un incidente. Avere una visione chiara e inequivocabile di cosa fare quando si verifica lo scenario peggiore, può fare la differenza tra conseguenze disastrose e una strada senza intoppi.
Il libro dei giochi di un piano di risposta agli incidenti dovrebbe comprendere:
Preparare
Come tutti i bravi fai da te sanno, la preparazione è la parte più importante di un lavoro. Lo stesso vale quando si crea un piano di risposta agli incidenti. La preparazione del piano inizia con le persone.
Ruoli e responsabilità: Chi è responsabile di quali azioni quando si verifica un incidente? Identificare un team di risposta agli incidenti per la gestione degli incidenti. Questo dovrebbe anche essere riconducibile alle clausole della politica di sicurezza dell'azienda. La formazione del personale è una parte fondamentale della preparazione e della realizzazione del Piano di risposta agli incidenti.
Inventario delle risorse: Creare una lista di risorse in tutti i dipartimenti.
Valutazione del rischio: Identificare le aree di rischio insieme all'ubicazione e alla classificazione degli asset. Determinare i livelli di rischio di ciascuno a seconda della probabilità di un attacco e della gravità di un incidente. Mappare la capacità di gestire un attacco contro questi asset.
Tipi di incidenti: Quali tipi di incidenti sono probabili e cosa costituisce un incidente? Se si verifica un incidente, chi è responsabile dell'avvio del processo di gestione degli incidenti? Le organizzazioni dovrebbero anche delineare i criteri di escalation per i diversi tipi di incidenti.
Mappatura dei regolamenti: Documentare quali regolamenti sono rilevanti e quali requisiti devono essere soddisfatti quando si verifica un incidente. Creare linee guida per l'interazione con le autorità esterne", post-incidente.
Registro degli incidenti: Includere un registro per gestire il processo di risposta agli incidenti. Questo può anche essere utile per i requisiti di conformità normativa.
Rilevare
Questa seconda fase del processo di pianificazione della risposta agli incidenti riguarda il monitoraggio, il rilevamento e l'allerta quando si verifica un incidente.
Strategia di rilevamento: Quali strumenti e misure vengono utilizzati per rilevare un incidente? Questo deve includere le minacce conosciute, sconosciute e sospette. Per esempio, si utilizzano strumenti di scansione della rete, Endpoint Detection and Response (EDR), ecc.
Avvisi: Quali sistemi sono utilizzati per avvisare di una possibile violazione?
Valutazione delle violazioni: Come farà la vostra organizzazione a individuare le vulnerabilità zero-day o le Advanced Persistent Threats (APT)? Un "Compromise Assessment" può essere utilizzato per individuare violazioni di sicurezza sconosciute e accessi non autorizzati agli account.
Rispondere
Il modo in cui un'organizzazione risponde a una violazione è la chiave per assicurarsi che l'esposizione dei dati sia ridotta al minimo e i danni limitati. La risposta agli incidenti copre diverse aree come il triage degli avvisi, un aspetto importante per prevenire tentativi errati di risposta agli incidenti. L'aspetto principale coperto nella parte di risposta di un processo di risposta agli incidenti è quello di contenere e rimuovere la minaccia. Il piano di risposta agli incidenti deve coprire le seguenti aree:
Valutazione della violazione: Come quantificare l'entità della minaccia e se la minaccia è reale. Questo include come fare il triage degli allarmi.
Esercizi di contenimento: Una volta identificata una minaccia, come verrà contenuta? Questo può includere l'isolamento dei sistemi per proteggere da ulteriori infezioni/perdite di dati.
Valutazione delle metriche di violazione: Qual è la classificazione dei dati violati? I dati erano sensibili? La violazione ha avuto un impatto sui requisiti normativi?
Affrontare qualsiasi infezione/vulnerabilità: Qual è il processo generale per rimuovere i file infetti e affrontare le conseguenze di un'infezione.
Conservare i manufatti della violazione: Come produrre un registro dell'incidente e qualsiasi prova forense. Includere il chi, cosa, perché e dove dell'evento.
Prepararsi alla notifica della violazione: Se necessario, come prepararsi alla notifica di eventuali violazioni. Questo dovrebbe includere gli avvisi pubblici e potrebbe fornire dei modelli.
Fare da collegamento con l'ufficio legale e la conformità (ed eventualmente con le forze dell'ordine): Dettagli su chi è responsabile di trattare con l'ufficio legale e la conformità e come questo viene gestito.
Recuperare
Il recupero è l'ultima parte del processo di risposta agli incidenti. Il piano di risposta agli incidenti deve indicare come l'azienda si evolve dopo un incidente, le lezioni apprese e il tipo di esercizi di recupero da svolgere:
Esercizi post-incidente: Come chiudere le lacune scoperte durante la risposta all'incidente.
Rimuovere il rischio: Rimuovere il rischio e ripristinare i sistemi a uno stato precedente all'incidente.
Rapporto: Guida alla creazione di un rapporto di risposta agli incidenti per aiutare a prevenire incidenti futuri. Ma anche linee guida sulla continua raccolta di dati forensi e il monitoraggio per garantire la sicurezza continua
Quadri e standard quando si scrive un piano di risposta agli incidenti
Quando si scrive un piano di risposta agli incidenti, può essere utile avere una guida dalle autorità riconosciute.
ISO 27001 - Annex A.16: è un allegato allo standard internazionale ISO 27001 che fornisce consigli utili su come stabilire un protocollo per la gestione del ciclo di vita di un incidente di sicurezza.
Processo di risposta agli incidenti del NIST: NIST (National Institute of Standards and Technology) è un'agenzia governativa degli Stati Uniti. Il NIST's Incident Response Process dettaglia i quattro passi menzionati in questo articolo.
Come scrivere un Incident Response Plan? La nostra conclusione
Una gestione efficiente anche di eventi devastanti mitigherà qualsiasi impatto presente e futuro di un incidente. La formazione del personale, tuttavia, è una sfida perenne che è unica per il piano di risposta agli incidenti di una singola organizzazione. Ogni approccio agli incidenti sarà diverso; ogni organizzazione ha il proprio insieme di minacce e strutture organizzative interne.
Il contenuto della formazione personalizzata può essere utilizzato per riflettere l'unicità di ogni organizzazione e il suo approccio alla gestione degli incidenti. Creando un piano di risposta agli incidenti personalizzato che rifletta la vostra struttura organizzativa unica, potete assicurarvi di mitigare le varie minacce che un'azienda moderna incontra.