Incident Response Plan: le fasi

L’Incident Response Plan: cos’è

Incident Response Plan: un piano di risposta agli incidenti è un piano documentato e scritto con 6 distinte fasi che aiuta i professionisti IT e il personale a riconoscere e gestire un incidente di sicurezza informatica come una violazione dei dati (data breach) o un attacco informatico. La creazione e la gestione di un piano di risposta agli incidenti comporta aggiornamenti e formazione regolari.

Il requisito numero 12 del “PCI DSS” specifica le misure che le aziende devono adottare in relazione al loro piano di risposta agli incidenti, tra cui:

  • 12.10.2 – Piano di risposta agli incidenti di prova almeno una volta all’anno;
  • 12.10.3 – Assegnare determinati dipendenti per essere disponibili 24 ore su 24, 7 giorni su 7, per affrontare gli incidenti;
  • 12.10.4 – Formare adeguatamente e regolarmente il personale con responsabilità di risposta agli incidenti;
  • 12.10.5 – Impostare avvisi da sistemi di rilevamento, prevenzione delle intrusioni e monitoraggio dell’integrità dei file;
  • 12.10.6 – Implementare un processo per aggiornare e gestire il piano di risposta agli incidenti per settore e cambiamenti organizzativi;

Come creare un Incident Response Plan

Le fasi di risposta agli incidenti sono:

  1. Preparazione;
  2. Identificazione;
  3. Contenimento;
  4. Eradicazione;
  5. Ripristino;
  6. Follow-up;

Incident Response Plan: la fase della “preparazione”

In questa prima fase è necessario assicurarsi che i dipendenti siano adeguatamente formati in merito ai loro ruoli e responsabilità di risposta agli incidenti in caso di violazione dei dati.
E’ fondamentale in questa fase sviluppare scenari di esercitazione di risposta agli incidenti e condurre regolarmente finte violazioni dei dati per valutare il piano di risposta agli incidenti.
E’ necessario assicurarsi che tutti gli aspetti del piano di risposta agli incidenti (formazione, esecuzione, risorse hardware e software, ecc.) siano approvati e finanziati in anticipo.
Il piano di risposta dovrebbe essere ben documentato, spiegando a fondo i ruoli e le responsabilità di tutti. Quindi il piano deve essere testato per garantire che i dipendenti si comportino come sono stati addestrati. Più i dipendenti sono preparati, meno è probabile che commettano errori critici.

Domande da affrontare

  • Tutti sono stati formati sulle politiche di sicurezza?
  • Le policy di sicurezza e il piano di risposta agli incidenti sono stati approvati dalla direzione?
  • Il team di risposta agli incidenti conosce i propri ruoli e le notifiche richieste da effettuare?
  • Tutti i membri del team di risposta agli incidenti hanno partecipato a simulazioni di esercitazioni?

Incident Response Plan: la fase della “identificazione”

Questo è lo step in cui si determina se si è subita una violazione dei dati o un incidente.

Domande da affrontare

  • Quando è accaduto l’evento?
  • Come è stato scoperto?
  • Chi l’ha scoperto?
  • Ci sono state altre aree interessate?
  • Qual è la portata dell’incidente o della violazione dei dati?
  • Influisce sulle operazioni?
  • Il punto di ingresso dell’evento è stata scoperto?

Incident Response Plan: la fase del “Contenimento”

Quando una violazione o un incidente vengono scoperti, l’istinto iniziale potrebbe essere quello di eliminare in modo sicuro tutto in modo da potersi sbarazzare del problema. Tuttavia, questo approccio danneggerà a lungo termine l’organizzazione poiché si distruggeranno prove preziose che sarebbe opportuno avere a disposizione per riuscire a determinare dove è iniziata la violazione ed escogitare conseguentemente un piano per evitare che accada di nuovo.

Invece, contenere la violazione in modo che non si diffonda e causi ulteriori danni alla tua attività è l’approccio corretto. Se possibile, disconnettere i dispositivi interessati da Internet. Avere strategie di contenimento a breve e lungo termine pronte. È anche utile avere un backup del sistema ridondante per aiutare a ripristinare le operazioni aziendali. In questo modo, tutti i dati compromessi non vengono persi per sempre.

Questo può essere il momento opportuno per aggiornare e applicare patch ai sistemi, rivedere i protocolli di accesso remoto che richiedono l’autenticazione a più fattori obbligatoria, modificare tutte le credenziali di accesso utente e amministrativo e rafforzare tutte le password.

Domande da affrontare

  • Cosa è stato fatto per contenere la violazione a breve termine?
  • Cosa è stato fatto per contenere la violazione a lungo termine?
  • Qualche malware scoperto è stato messo in quarantena dal resto dell’ambiente?
  • Che tipo di backup sono in atto?
  • L’accesso remoto richiede una vera autenticazione a più fattori?
  • Tutte le credenziali di accesso sono state esaminate per verificarne la legittimità, rafforzate e modificate?
  • Sono state applicate tutte le patch e gli aggiornamenti di sicurezza recenti?

Incident Response Plan: la fase del “Eradicazione”

Una volta contenuto il problema, è necessario trovare ed eliminare la causa principale della violazione. Ciò significa che tutto il malware deve essere rimosso in modo sicuro, i sistemi devono essere nuovamente rafforzati e patchati e gli aggiornamenti devono essere applicati.

Qualora nei tuoi sistemi rimanessero tracce di malware o problemi di sicurezza, si potrebbe comunque perdere dati preziosi.

Domande da affrontare

  • Il malware dell’utente malintenzionato è stato rimosso in modo sicuro?
  • Il sistema è stato rafforzato, patchato e sono stati applicati aggiornamenti?
  • Il sistema può essere ricreato?

Incident Response Plan: la fase del “Ripristino”

Questo è il processo di ripristino e restituzione dei sistemi e dei dispositivi interessati nell’ambiente aziendale. Durante questa fase, è importante rimettere in funzione i sistemi e le operazioni aziendali.

Domande da affrontare

  • Quando i sistemi possono essere rimessi in produzione?
  • I sistemi sono stati patchati, temprati e testati?
  • È possibile ripristinare il sistema da un backup attendibile?
  • Per quanto tempo verranno monitorati i sistemi interessati e cosa cercherete durante il monitoraggio?
  • Quali strumenti garantiranno che attacchi simili non si ripetano? (Monitoraggio dell’integrità dei file, rilevamento/protezione dalle intrusioni, ecc.)

Incident Response Plan: la fase del “follow up”

Una volta completata l’indagine, è necessario organizzare una riunione post-azione con tutti i membri del team di risposta agli incidenti e discutere di ciò che si è imparato dalla violazione dei dati. Questa è la fase dove si analizza e si documenta tutto ciò che riguarda la violazione. Bisogna individuare cosa ha funzionato bene nel piano di risposta e cosa invece deve essere migliorato. Le lezioni apprese da eventi simulati e reali contribuiranno a rafforzare i sistemi contro gli attacchi futuri.

Domande da affrontare

    Quali modifiche devono essere apportate alla sicurezza?

  • In che modo il dipendente dovrebbe essere formato in modo diverso?
  • Quale debolezza ha sfruttato la violazione?
  • Come ti assicurerai che una violazione simile non si ripeta?

Nessuno desidera passare attraverso una violazione dei dati, ma è essenziale pianificarne una. Bisogna prepararsi al meglio per questo, bisogna sapere cosa fare quando succede e imparare tutto ciò che si può in seguito.

Contattaci per richiedere un appuntamento o per approfondire maggiormente i nostri servizi di consulenza

  • Sistema di Gestione per la Qualità ISO 9001
  • Sistema di Gestione Ambientale ISO 14001
  • Sistema di Gestione per la Sicurezza delle Informazioni ISO 27001
  • Sistema di Gestione per la Salute e Sicurezza nei luoghi di Lavoro ISO 45001
  • Sistema di Gestione per la Continuità Operativa ISO 22301
  • Sistema di Gestione per la Sicurezza dei Dati Personali ISO 27701
  • Sistema di Gestione Anticorruzione ISO 37001
  • Sistema di Gestione dei Servizi IT ISO 20000
  • Sistema di Gestione per la Parità di Genere UNi PdR/125
  • Consulenza Modello Organizzativo 231
  • Consulenza per la Responsabilità Sociale SA8000
  • Consulenza per la Sicurezza Alimentare ISO 22000
 

Consulenza per la Certificazione ISO dei Sistemi di Gestione Aziendali – Studio Rabaioli