Come scrivere un piano di risposta agli incidenti efficace
Pubblicato su: 18 Mag 2021
Ultima modifica il: 8 Set 2025
Sapere come scrivere un piano di risposta agli incidenti si basa sulle capacità delle persone. Se il personale è pienamente consapevole e formato per segnalare e gestire un incidente, l’evento sarà gestito in modo efficiente.
Subire un incidente di sicurezza informatica non è un’esperienza che tutti vorrebbero affrontare, ma purtroppo è una questione di quando e non di se. Le organizzazioni che subiscono un incidente di sicurezza informatica non sono certo sole. Secondo il World Economic Forum (WEF), la sicurezza informatica è uno dei rischi più urgenti per l’economia globale. Il rapporto, tuttavia, sottolinea che grazie agli sforzi multilaterali è possibile mitigare l’impatto di un attacco informatico.
“Leiniziative di collaborazione per la risposta agli incidenti e la condivisione delle informazioni cercano di centralizzare le capacità di sicurezza informatica per ridurre l’impatto dei cyberattacchi“.
Un piano di risposta agli incidenti è uno di questi. Ecco una panoramica sul perché ne hai bisogno e su cosa comporta la creazione di un piano di risposta agli incidenti.
Perché abbiamo bisogno di un piano di risposta agli incidenti?
L’indaginedel governo britannico “Cyber Security Breaches Survey 2021” ha rilevato che il 27% delle aziende del Regno Unito ha subito una violazione dei dati e viene attaccato almeno una volta alla settimana, mentre il 39% ha perso denaro e/o beni. La gestione di questa ondata di minacce informatiche richiede la messa a fuoco di un piano di risposta agli incidenti. Questo piano fornisce un modello di risposta efficace quando si verifica un incidente di sicurezza, come malware, ransomware e accessi non autorizzati.
Raramente le violazioni dei dati si realizzano all’improvviso: il rapporto IBM “Cost of a Data Breach 2020” sottolinea che nel 2019 ci sono voluti in media 207 giorni per identificare una violazione dei dati e poi 73 giorni per contenerla; si tratta di un “ciclo di vita” medio di 280 giorni per ridurre l’impatto sulle attività di un’azienda.
Un piano di risposta agli incidenti può aiutare a ridurre al minimo i tempi di contenimento di una violazione dei dati e a gestire le conseguenze in modo rapido ed efficiente. Il tempo è fondamentale in termini di regole di notifica delle violazioni, dato che una serie di normative, tra cui il DPA2018 e il GDPR, prevedono una notifica entro 72 ore dal verificarsi della violazione. Un piano di risposta agli incidenti informerà coloro che ricoprono ruoli di sicurezza e conformità su come rispondere all’incidente e offrirà i dettagli necessari per effettuare la notifica della violazione.
Cosa comprende un piano di risposta agli incidenti?
La creazione di un piano di risposta agli incidenti è un processo che prevede un approccio logico che include le modalità di preparazione, rilevamento, risposta e recupero da un incidente. Avere una visione chiara e inequivocabile di cosa fare quando si verifica lo scenario peggiore può fare la differenza tra le conseguenze disastrose e una strada senza intoppi.
Il manuale di un piano di risposta agli incidenti dovrebbe comprendere:
Preparare
Come tutti i bravi bricoleur sanno, la preparazione è la parte più importante di un lavoro. Lo stesso vale per la creazione di un piano di risposta agli incidenti. La preparazione del piano inizia con le persone.
Ruoli e responsabilità: Chi è responsabile di quali azioni quando si verifica un incidente? Identifica un team di risposta agli incidenti per la gestione degli incidenti. Questo dovrebbe anche essere in linea con le clausole della politica di sicurezza che la tua azienda ha in vigore. La formazione del personale è una parte fondamentale della preparazione e della realizzazione del piano di risposta agli incidenti.
Inventario delle risorse: Crea un elenco delle risorse di tutti i reparti.
Valutazione dei rischi: Identificare le aree a rischio insieme alla posizione e alla classificazione degli asset. Determinare i livelli di rischio di ciascuno di essi in base alla probabilità di un attacco e alla gravità dell’incidente. Tracciare una mappa della capacità di gestire un attacco contro questi asset.
Tipi di incidenti: Quali tipi di incidenti sono probabili e cosa costituisce un incidente? Se si verifica un incidente, chi è responsabile dell’avvio del processo di gestione degli incidenti? Le organizzazioni dovrebbero anche delineare i criteri di escalation per i diversi tipi di incidenti.
Mappatura delle normative: Documenta quali normative sono rilevanti e quali requisiti devono essere soddisfatti quando si verifica un incidente. Creare linee guida per l’interazione con le autorità esterne dopo un incidente.
Registro degli incidenti: Includere un registro per gestire il processo di risposta agli incidenti. Questo può essere utile anche per i requisiti di conformità alle normative.
Rilevare
Questa seconda fase del processo di pianificazione della risposta agli incidenti riguarda il monitoraggio, l’individuazione e l’avviso quando si verifica un incidente.
Strategia di rilevamento: Quali strumenti e misure vengono utilizzati per rilevare un incidente? Questo deve includere minacce note, sconosciute e sospette. Ad esempio, vengono utilizzati strumenti di scansione della rete, di rilevamento e risposta degli endpoint (EDR) e così via?
Avvisi: Quali sistemi vengono utilizzati per avvisare di una possibile violazione?
Valutazione delle violazioni: In che modo la tua organizzazione individuerà le vulnerabilità zero-day o le Advanced Persistent Threats (APT)? Un “Compromise Assessment” può essere utilizzato per individuare le violazioni della sicurezza sconosciute e gli accessi non autorizzati agli account.
Rispondere
Il modo in cui un’organizzazione risponde a una violazione è la chiave per assicurarsi che l’esposizione dei dati sia ridotta al minimo e i danni limitati. La risposta agli incidenti copre diverse aree come il triage degli avvisi, un aspetto importante per evitare tentativi errati di risposta agli incidenti. L’aspetto principale della parte di risposta di un processo di risposta agli incidenti è il contenimento e la rimozione della minaccia. Il piano di risposta agli incidenti deve coprire le seguenti aree:
Valutazione delle violazioni: Come quantificare l’entità della minaccia e se la minaccia è reale. Include anche il modo in cui gestire gli avvisi.
Esercizi di contenimento: Una volta identificata una minaccia, come verrà contenuta? Questo può includere l’isolamento dei sistemi per proteggere da ulteriori infezioni/ fughe di dati.
Valutazione delle metriche di violazione: Qual è la classificazione dei dati violati? I dati erano sensibili? La violazione ha avuto un impatto sui requisiti normativi?
Affrontare qualsiasi infezione/vulnerabilità: Qual è il processo generale per rimuovere i file infetti e gestire le conseguenze di un’infezione.
Conservare i manufatti della violazione: Come produrre un registro dell’incidente e delle eventuali prove forensi. Includi il chi, il cosa, il perché e il dove dell’evento.
Preparati alla notifica della violazione: Se necessario, come prepararsi alla notifica della violazione. Dovrebbero essere inclusi gli avvisi pubblici e potrebbero essere forniti dei modelli.
Collaborare con le autorità legali e di conformità (ed eventualmente con le forze dell’ordine): Informazioni su chi è responsabile dei rapporti con gli uffici legali e di conformità e su come vengono gestiti.
Recupera
Il recupero è l’ultima parte del processo di risposta agli incidenti. Il Piano di Risposta agli Incidenti deve indicare come l’azienda si evolve dopo un incidente, le lezioni apprese e il tipo di esercizi di recupero da svolgere:
Esercitazioni post-incidente: Come colmare le lacune scoperte durante la risposta all’incidente.
Rimuovere il rischio: Eliminare il rischio e ripristinare i sistemi allo stato precedente all’incidente.
Rapporto: Guida alla creazione di un rapporto di risposta agli incidenti per aiutare a prevenire incidenti futuri. Ma anche linee guida sulla raccolta e il monitoraggio continuo dei dati forensi per garantire una sicurezza costante.
Quadri e standard per la stesura di un piano di risposta agli incidenti
Quando si scrive un piano di risposta agli incidenti, può essere utile avere una guida dalle autorità riconosciute.
ISO 27001 – Allegato A.16: è un allegato allo standard internazionale ISO 27001 che fornisce consigli utili su come stabilire un protocollo per la gestione del ciclo di vita di un incidente di sicurezza.
Processo di risposta agli incidenti del NIST: Il NIST (National Institute of Standards and Technology) è un’agenzia governativa statunitense. Il processo di risposta agli incidenti del NIST descrive in dettaglio le quattro fasi menzionate in questo articolo.
Implementare un piano di risposta agli incidenti
Una gestione efficiente di eventi anche devastanti mitigherà l’impatto presente e futuro di un incidente. La formazione del personale, tuttavia, è una sfida perenne che dipende dal piano di risposta agli incidenti di una singola organizzazione. Ogni approccio agli incidenti sarà diverso; ogni organizzazione ha le proprie minacce e le proprie strutture organizzative interne.
I contenuti formativi personalizzati possono essere utilizzati per riflettere l’unicità di ogni organizzazione e il suo approccio alla gestione degli incidenti. Creando un piano di risposta agli incidenti personalizzato che rifletta la struttura della tua organizzazione, puoi assicurarti di mitigare le varie minacce che un’azienda moderna incontra.
