Gestione della risposta ai cyber incidenti

I cyber attacchi continuano a fare notizia. Mentre gli hacker guadagnano terreno contro organizzazioni, istituzioni e persone, il pericolo di diventare vittima di una violazione dei dati è ormai una realtà imminente per tutte le aziende. Il danno, sia a breve che a lungo termine, può rivelarsi molto consistente e danneggiare in modo permanente le organizzazioni.


Il panorama mutevole delle minacce

Il panorama delle cyber minacce è in continuo cambiamento e ogni giorno ne emergono nuove. Al giorno d’oggi, le minacce non provengono solo dall’esterno dell’organizzazione ma anche dall’interno. Le minacce possono andare dalle APT (“advanced persistent threats”, ossia le minacce persistenti avanzate) agli hacker amatoriali che attaccano le organizzazioni solo per divertimento o gli impiegati insoddisfatti, fino ad intere schiere di hackers. Le organizzazioni devono difendersi da qualsiasi tipo di attacco, mentre un hacker deve solamente trovare un difetto per entrare nella rete di un’organizzazione e sfruttarne la vulnerabilità.


Preparati a rispondere con successo agli incidenti sin dal primo segnale

Identificando velocemente una violazione dei dati, è possibile combattere la diffusione del malware, prevenire l’accesso ai dati e trovare un rimedio: ciò comporterà una notevole differenza nel controllo del rischio, dei costi e dell’esposizione durante l’incidente. I processi di risposta efficaci all’incidente possono ridurre il rischio di incidenti futuri.

Con un efficace piano di risposta all’incidente, avrai la possibilità di individuarli nella loro fase iniziale e sviluppare un’efficace difesa contro l’attacco.


Soddisfa i nuovi requisiti di notifica delle violazioni previsti dal Regolamento generale sulla protezione dei dati (GDPR)

Conformemente al nuovo Regolamento generale sulla protezione dei dati (GDPR), entrato in vigore nel maggio 2018, i tuoi clienti hanno il diritto di sapere quando i loro dati personali sono stati violati. Il GDPR dichiara che le aziende e le organizzazioni sono tenute ad informare quanto prima l’autorità di controllo nazionale in caso di gravi violazioni dei dati, in modo che gli utenti possano adottare misure appropriate.

Con il Regolamento, le organizzazioni devono implementare un piano di risposta efficace all’incidente allo scopo di arginare eventuali danni causati dalle violazioni dei dati e prevenire eventi futuri simili. Le organizzazioni che conservano dati personali di soggetti europei, dovrebbero iniziare subito ad adottare le misure previste per soddisfare i severi requisiti del Regolamento.


La pianificazione della risposta all’incidente è obbligatoria in quanto parte di tutti i principali regimi di cyber sicurezza

Lo standard internazionale di sicurezza delle informazioni (ISO 27001) e lo standard di continuità aziendale (ISO 22301) richiedono alle organizzazioni di sviluppare piani di gestione della risposta ai cyber incidenti (CIR). Il CIR è anche un requisito previsto dallo standard PCI DSS, il quale richiede che il CIR venga testato almeno una volta all’anno.

La Direttiva NIS, da poco implementata anche nell’ordinamento italiano, prevede per tutte le aziende e le organizzazioni che forniscono servizi essenziali (energia, trasporti, banche, infrastrutture digitali, sanità, etc) l’obbligo di notifica degli incidenti informatici che hanno un impatto rilevante sui servizi forniti, ad un’apposita autorità nazionale competente (CIRST).


Fasi tipiche di un cyber attacco

Il CREST (Council for Registered Ethical Security Tester) descrive le seguenti tre fasi tipiche di un cyber attacco e le contromisure consigliate:

Fase

1. Reiconoscimento

  • Identificazione dell’obiettivo
  • Ricerca delle vulnerabilità

2. Attacco sull’obbiettivo

  • Identificazione delle vulnerabilità
  • Abbattimento dei controlli restanti

3. Raggiungimento degli obiettivi

  • Interruzione dei sistemi
  • Estrazione dei dati
  • Manipolazione delle informazioni

Contromisure

  • Monitoraggio e logging
  • Consapevolezza della situazione
  • Collaborazione

  • Progettazione di sistemi strutturali
  • Controlli standard (per esempio ISO 27001)
  • Penetration test 

  • Pianificazione della risposta agli incidenti di cyber sicurezza
  • Piani di continuità aziendale e ripristino
  • Assicurazione per la cyber sicurezza

Le dieci sfide principali poste dalla gestione della risposta agli incidenti

Le organizzazioni possono avere difficoltà significative nel gestire gli incidenti di cyber sicurezza, soprattutto in caso di attacchi sofisticati.

Le dieci principali sfide che le organizzazioni affrontano per rispondere in modo rapido a un episodio di cyber sicurezza, sono:

  1. identificare un episodio sospetto relativo alla cyber sicurezza;
  2. stabilire gli obiettivi della ricerca e un’operazione di pulizia;
  3. analizzare tutte le informazioni disponibili inerenti a un potenziale episodio alla cyberH3 sicurezza;
  4. determinare cos’è realmente accaduto;
  5. individuare quali sistemi, reti e informazioni (gli asset) sono stati compromessi;
  6. determinare quali informazioni sono state divulgate a soggetti non autorizzati, o sono state rubate, eliminate o danneggiate;
  7. stabilire chi l’ha fatto e perché;
  8. capire come è potuto succedere;
  9. determinare il potenziale impatto sull’azienda dell’episodio di cyber sicurezza;
  10. condurre sufficienti indagini per cercare i responsabili.

L’assenza di adeguate competenze e l’insufficiente preparazione agli incidenti informatici possono determinare un aumento significativo dell’entità e dei costi del cyber incidente.

Sono poche le aziende che comprendono veramente il loro “stato di prontezza” di risposta a un episodio relativo alla cyber sicurezza, soprattutto ad importanti attacchi cyber e solitamente non sono ben preparate in termini di personale, processi, tecnologia e informazione.

Aziende di vario tipo lottano per gestire efficacemente gli incidenti di cyber sicurezza, con un crescente numero di episodi che avvengono con cadenza regolare e che causano impatti aziendali significativi.

Il servizio di consulenza per la risposta agli incidenti di cyber sicurezza di IT Governance può aiutarti a sviluppare la resilienza giusta per proteggerti, rimediare e recuperare da una vasta gamma di cyber incidenti ed è basato su quadri di best practice sviluppati dal CREST, ISO 27001 e ISO/IEC 27035 (lo standard internazionale per la risposta ai cyber incidenti).


Prepararsi, rispondere agli incidenti ed effettuarne il follow-up

Utilizza l’approccio di risposta CREST ai cyber incidenti rifacendoti agli standard ISO 27001 e ISO 27035. IT Governance può aiutarti a determinare e implementare un approccio efficace di risposta agli incidenti come illustrato di seguito:

Preparazione:

  1. Effettuare una valutazione critica;
  2. Svolgere un’analisi della minaccia alla cyber sicurezza;
  3. Valutare il coinvolgimento del personale, dei processi, della tecnologia e delle informazioni;
  4. Creare una struttura di controllo adeguata;
  5. Controllare il tuo stato di prontezza di risposta agli incidenti di cyber sicurezza.

Risposta:

  1. Identificare l’/gli episodio/i relativo/i alla cyber sicurezza;
  2. Definire gli obiettivi e studiare la situazione;
  3. Prendere provvedimenti adeguati;
  4. Recuperare sistemi, dati e connettività.

Follow-up:

  1. Analizzare più accuratamente l’incidente;
  2. Segnalare l’episodio agli azionisti rilevanti;
  3. Eseguire un controllo post-episodio;
  4. Comunicare e imparare da quanto accaduto;
  5. Aggiornare le informazioni chiave, i controlli e i processi;
  6. Eseguire un’analisi di andamento.

In che modo IT Governance può fornire assistenza

Inizia subito con la pianificazione della strategia di risposta agli incidenti con il team CIR di IT Governance.

Un team di tecnici esperti e competenti, in grado di effettuare indagini precise sugli incidenti di cyber sicurezza sarà a tua disposizione, in modo rapido ed efficace. 


Parla con un esperto

Per maggiori informazioni sui nostri prodotti e servizi o per discutere le esigenze particolari della tua azienda, mettiti in contatto con i nostri esperti di cyber sicurezza.

 

su