Data protection

La redazione del Piano di risposta agli incidenti di sicurezza informatica.

Premesso che:

un piano di cybersecurity descrive il modo in cui un’organizzazione protegge i propri sistemi IT e i propri dati dagli attacchi informatici.[1]

Contiene procedure e linee guida che aiutano ad analizzare i rischi e a prevenire, rilevare e rispondere agli incidenti informatici.

Un piano di cybersecurity dovrebbe includere:

  • Identificazione dei sistemi e dei dati critici e dei rischi a cui sono esposti.
  • Procedure per l’implementazione e il monitoraggio delle misure tecniche di sicurezza, come firewall, software antivirus e crittografia.
  • Linee guida per la gestione delle password e la limitazione dell’accesso ai sistemi e ai dati.
  • Procedure per l’individuazione delle violazioni e la risposta agli incidenti, come la convocazione di un team di risposta agli incidenti
  • Linee guida per la formazione del personale sulla sicurezza informatica e l’ingegneria sociale
  • Procedure per testare e valutare regolarmente l’efficacia del piano di cybersecurity.

È importante che il piano di cybersecurity sia adattato ai rischi e ai requisiti specifici del soggetto (ente o azienda) che è obbligato ad attuarlo e che venga regolarmente rivisto e aggiornato per stare al passo con l’evoluzione delle minacce e delle tecnologie.

In merito alla sua redazione si suggerisce di avvalersi del framework per lo sviluppo di un piano di cybersecurity fornito dal National Institute of Standards and Technology (NIST); il NIST CSF è un framework che aiuta le organizzazioni a identificare, gestire e mitigare i rischi di cybersecurity.

Il quadro NIST

Il framework del NIST(National Institute of Standards and Technology)[2] è un insieme di linee guida che i soggetti obbligati possono utilizzare per prepararsi agli attacchi informatici. Il framework si articola in cinque fasi: identità, protezione, rilevamento, risposta e recupero. Di seguito si riporta, in estrema sintesi, come ci si può preparare a un attacco informatico seguendo queste fasi.

  • Identificare: È la prima fase del framework NIST e prevede l’identificazione delle risorse chiave, come i processi aziendali critici, i dati personali e altre informazioni preziose. In questo modo è possibile determinare quali sono gli asset più vulnerabili a un attacco informatico e stabilire le priorità per le fasi successive.
  • Proteggere: Dopo aver identificato le risorse, vanno adottate misure per proteggerle. Ciò può essere fatto, ad esempio, utilizzando un software di cybersecurity, limitando l’accesso a determinati dati o sistemi e implementando una forte politica di password. Un buon metodo di protezione è anche un sistema di backup, in modo che se succede qualcosa non si perda nulla.
  • Rilevare: È importante rilevare se è in corso un attacco informatico. Ciò consente di reagire rapidamente e di limitare i danni. Questo può essere fatto, ad esempio, installando un software di rilevamento delle attività sospette.
  • Rispondere: Quando si verifica un attacco informatico, è importante rispondere rapidamente. Ad esempio, isolando i sistemi infetti, bloccando il traffico sospetto o contattando un team di risposta agli incidenti. È inoltre importante identificare e analizzare la causa dell’attacco, in modo da poterlo prevenire in futuro.
  • Recupero: Dopo un attacco informatico, è importante recuperare le risorse e riprendere le normali operazioni. Ciò può avvenire, ad esempio, ripristinando i dati dai backup, aggiornando il software o ripristinando il normale accesso ai sistemi.

Il framework NIST fornisce un piano passo dopo passo per preparare i soggetti obbligati a un attacco informatico. Identificando, proteggendo, rilevando, rispondendo rapidamente e recuperando gli asset più importanti, è possibile limitare l’impatto di un attacco informatico e riprendere rapidamente le normali attività. È importante verificare regolarmente se le misure sono ancora efficaci e modificarle se necessario. È inoltre consigliabile disporre di un piano di risposta agli incidenti, in modo da poter agire rapidamente in caso di incidente.

Un buon piano di sicurezza informatica[3] non è importante solo per limitare i danni all’ente/azienda. Un piano di cybersecurity conforme al framework NIST è un buon passo per soddisfare questi requisiti. 

[1] A tale riguardo il sito di IBM riporta la seguente descrizione. La risposta agli incidenti (a volte chiamata risposta agli incidenti di sicurezza informatica) si riferisce ai processi e alle tecnologie di un’organizzazione per rilevare e rispondere a minacce informatiche, violazioni della sicurezza o attacchi informatici. Un piano formale di risposta agli incidenti consente ai team di sicurezza informatica di limitare o prevenire i danni. L’obiettivo della risposta agli incidenti è prevenire gli attacchi informatici prima che si verifichino e ridurre al minimo i costi e le interruzioni dell’attività derivanti da eventuali attacchi informatici che si verificano. La risposta agli incidenti è la parte tecnica della gestione degli incidenti, che comprende anche la gestione esecutiva, delle risorse umane e legale di un incidente grave.  Idealmente, un’organizzazione definisce i processi e le tecnologie di risposta agli incidenti in un piano formale di risposta agli incidenti (IRP) che specifica come identificare, contenere e risolvere i diversi tipi di attacchi informatici. Un piano di risposta agli incidenti efficace può aiutare i team di risposta agli incidenti informatici a rilevare e contenere le minacce informatiche, ripristinare i sistemi interessati e ridurre le perdite di entrate, le sanzioni normative e altri costi. Il rapporto Costo di una violazione dei dati di IBM ha rilevato che la presenza di un team di risposta agli incidenti e di piani formali di risposta agli incidenti consente alle organizzazioni di ridurre il costo di una violazione in media di quasi mezzo milione di dollari (473.706 dollari). (cfr. https://www.ibm.com/think/topics/incident-response )

[2] Il Cybersecurity Framework (CSF) 2.0 è progettato per aiutare le organizzazioni di tutte le dimensioni e di tutti i settori, tra cui industria, governo, mondo accademico e organizzazioni non profit, a gestire e ridurre i rischi legati alla sicurezza informatica. È utile indipendentemente dal livello di maturità e dalla sofisticazione tecnica dei programmi di sicurezza informatica di un’organizzazione. Tuttavia, il QCS non adotta un approccio unico per tutti. Ogni organizzazione presenta rischi comuni e unici, nonché diverse propensioni e tolleranze al rischio, missioni specifiche e obiettivi per raggiungere tali missioni. Per necessità, il modo in cui le organizzazioni implementano il QSC varierà. Idealmente, il CSF sarà utilizzato per affrontare i rischi legati alla sicurezza informatica insieme ad altri rischi dell’impresa, compresi quelli di natura finanziaria, privacy, catena di fornitura, reputazionale, tecnologica o fisica. Il CSF descrive i risultati desiderati che devono essere compresi da un vasto pubblico, inclusi dirigenti, manager e professionisti, indipendentemente dalla loro esperienza in materia di sicurezza informatica. Poiché questi risultati sono neutrali rispetto al settore, al paese e alla tecnologia, forniscono a un’organizzazione la flessibilità necessaria per affrontare i rischi, le tecnologie e le considerazioni sulla missione specifiche. I risultati vengono mappati direttamente in un elenco di potenziali controlli di sicurezza da prendere in considerazione immediatamente per mitigare i rischi di sicurezza informatica. (Link: https://www.nist.gov/cyberframework )

[3] A tale proposito il sito di una importante compagnia di assicurazioni ha pubblicato quanto segue: Il piano specifico, seppure nella sua genericità, deve:

contenere un flusso di risposta attuabile: il lettore deve essere in grado di seguire l’ordine cronologico della risposta in passaggi concreti e attuabili. Includere un diagramma di flusso e liste di cose da fare fornisce chiarezza e impedisce di fare passi falsi nel bel mezzo dell’incidente.

Descrivere come devono essere classificati gli incidenti: devono essere previsti criteri chiari per la classificazione degli incidenti. La gravità degli incidenti viene comunemente classificata come critica, elevata, moderata o bassa. Non tutti gli incidenti richiedono la stessa attenzione, allocazione di risorse o team dedicati . Non di rado gli incidenti di bassa e moderata gravità possono essere gestiti dai team informatici ricorrendo a manuali operativi, mentre gli incidenti di gravità più elevata spesso richiedono competenze più ampie, allocazione di risorse aggiuntive, una gestione più incisiva e, in molti casi, un supporto esterno.

Stabilire canali di comunicazione chiari: i piani di risposta agli incidenti devono prevedere chiaramente quali informazioni inoltrare alle altre funzioni ed ai soggetti interessati e quando e come trasmettergliele. La comunicazione formale consente a tutti di essere allineati e riduce i malintesi durante il processo di risposta. Piccoli fraintendimenti possono esacerbare una situazione già difficile fino a farla degenerare in un completo disastro.

Assegnare e descrivere ruoli e responsabilità: durante un incidente, tutti i soggetti interessati devono essere consapevoli dei propri ruoli e delle proprie responsabilità. La formalizzazione di ruoli e responsabilità deve essere definita in modo chiaro in una sezione specifica del piano di risposta agli incidenti. Deve riguardare non solo il team tecnico di base, ma tutti i soggetti coinvolti nel processo di risposta. Questi soggetti possono comprendere persone delle aree legale, marketing, relazioni pubbliche, produzione e risorse umane.

Coinvolgere i soggetti esterni: possono essere forze dell’ordine o enti di regolamentazione, compagnie di assicurazione, consulenti legali esterni tra cui esperti in violazioni, consulenti in relazioni pubbliche e studi di informatica forense.

Sviluppare manuali più prescrittivi: individuare gli incidenti più comuni o quelli legati ai propri rischi critici e definire manuali attuabili che possano guidare nella risposta legata a tali rischi. Questi manuali devono contenere passaggi più prescrittivi rispetto a quelli previsti dal flusso di risposta principale. Per esempio, per un grosso rivenditore potrebbe essere utile un manuale per le fughe di informazioni di pagamento, mentre un produttore potrebbe avere necessità di manuali sugli scenari ransomware per limitare al minimo i tempi di fermo.

Prendere in considerazione altre forme di pianificazione: i piani di risposta agli incidenti attingono e si allargano ad altre forme di pianificazione aziendale. È necessario che qualsiasi piano di risposta agli incidenti faccia riferimento e sia collegato ai piani di sicurezza informatica per la continuità operativa e di disaster recovery, nonché ai piani di gestione delle crisi. Qualsiasi fattore di attivazione (trigger) di questi piani deve essere previsto e definito chiaramente per permettere una risposta alle crisi più integrata. (Link: https://axaxl.com/it/fast-fast-forward/articles/il-ciclo-di-vita-della-risposta-agli-incidenti-informatici )

About Author /

Dott. Prof.( a.c.) Davide De Luca - Compliance & Cybersecurity Advisor - LinkedIn

direttivacer

Lascia un commento

Your email address will not be published.

Potrebbe piacerti

attacco ransomware
Misure di sicurezza inadeguate: il Garante sanziona una Asl. La struttura sanitaria aveva subito un attacco ransomware.
13 Maggio 2024
Medico Competente
Il ruolo del Medico Competente in materia di igiene e sicurezza sul luogo di lavoro nel trattamento dei dati personali dei lavoratori.
19 Febbraio 2024
Elenco dipendenti
La trasmissione degli elenchi del personale ai sindacati in caso di elezioni delle RSU aziendali
22 Febbraio 2025

Start typing and press Enter to search