Definire un piano di risposta agli eventi imprevisti per la sicurezza
I cyberattacchi e le violazioni della sicurezza sono minacce gravi per l'azienda. Ogni organizzazione dovrebbe predisporre un piano di risposta agli eventi imprevisti per gestire le minacce alla sicurezza che influiscono sulla capacità di fornire servizi ai clienti o che compromettono la capacità di proteggere i dati privati/dei clienti.
Che cos'è un piano di risposta agli eventi imprevisti?
Un piano di risposta agli eventi imprevisti consente di identificare e ridurre al minimo i danni e i costi di un attacco alla sicurezza. Il piano mostra anche come correggere la causa di un attacco. Un piano di risposta agli eventi imprevisti ben progettato fornisce istruzioni dettagliate per la gestione di un evento imprevisto e garantisce che il team addetto alla sicurezza risponda usando un set di procedure stabilito, che vengano coinvolte le persone giuste e che siano informati i canali di comunicazione appropriati.
Creare un piano di risposta agli eventi imprevisti
Il National Institute of Standards and Technology (NIST) pubblica una guida standard su come gestire gli eventi imprevisti della sicurezza. Questo documento è un ottimo strumento per aiutare un'organizzazione a stabilire il piano di risposta prima che si verifichi un attacco significativo. Tenere presente che ogni organizzazione è diversa e che i tipi di dati e servizi da proteggere sono determinanti per la definizione del piano.
Sono previsti vari passaggi:
- Comporre un team di risposta agli eventi imprevisti
- Sperimentare il piano
- Rivedere il piano
Comporre un team di risposta agli eventi imprevisti
Uno dei passaggi essenziali per la creazione di un piano di risposta agli eventi imprevisti è la composizione di un team di risposta agli eventi imprevisti di sicurezza del computer. Questo team è costituito da membri di diverse aree dell'azienda, tra cui:
Dirigente: deve essere presente un rappresentante del team dirigente che può comunicare con e aggiornare il consiglio di amministrazione durante e dopo l'incidente di sicurezza.
IT: il reparto IT deve essere coinvolto nella creazione e nell'esecuzione di qualsiasi IRP.
Comunicazioni: persone diverse nell'organizzazione dovranno essere informate sull'evento imprevisto. Potrebbe anche essere necessario informare i clienti o persino la stampa riguardo a violazioni significative dei dati. I membri del personale responsabile delle comunicazioni e del team di PR devono far parte del team di risposta per elaborare le comunicazioni.
Legale: il reparto legale deve essere coinvolto nella pianificazione per garantire la conformità legale e i requisiti normativi per la gestione dei dati. Può inoltre offrire consulenza sia durante l'evento imprevisto che dopo la risoluzione.
Sperimentare il piano
Dopo aver definito un piano di risposta agli eventi imprevisti, il team responsabile deve eseguire esercitazioni per testare accuratamente il piano. Ciò consentirà di identificare eventuali mancanze e aree problematiche, in modo che possano essere risolte prima che emerga una minaccia alla sicurezza reale. Il team deve rispondere rapidamente sotto pressione, quindi è fondamentale che il piano sia chiaro e compreso appieno.
Rivedere il piano
Il piano di risposta agli eventi imprevisti deve essere valutato periodicamente per garantire che sia ancora valido, che identifichi le parti corrette da coinvolgere e che copra le aree di minaccia primarie definite per i server e i dati aziendali. Inoltre, ogni membro del team di risposta agli eventi imprevisti di sicurezza del computer deve esaminare periodicamente il piano per assicurarsi di comprendere le proprie responsabilità durante un evento imprevisto e di poter rispondere in modo efficiente sotto pressione.
Fasi di una risposta agli eventi imprevisti
Come indicato in precedenza, il NIST definisce una guida per gli eventi imprevisti di sicurezza dei computer che le aziende possono usare per elaborare un piano di risposta. Come parte di questa guida, vengono descritte quattro fasi principali di una risposta di sicurezza che è necessario pianificare.
La figura seguente mostra queste quattro fasi definite dal NIST. Le descrizioni fornite qui sono semplici riepiloghi; Il documento generale collegato nella sezione Riepilogo di questo modulo include descrizioni più dettagliate di ogni fase e come pianificare una strategia.
Preparazione: questa fase include la definizione del team di risposta agli eventi imprevisti, la documentazione del piano di risposta e la definizione dell'ambito di strumenti e processi per evitare che si verifichino eventi imprevisti.
Rilevamento e analisi: gli eventi imprevisti di sicurezza sono disponibili in molti moduli e non è possibile pianificare ogni possibile emergenza. Tuttavia, esistono vettori di attacco comuni che sono noti, ad esempio attacchi basati sul Web e sulla posta elettronica. È possibile pianificare facilmente questi vettori e, in molti casi, il piano di risposta incorpora comunicazioni e analisi standard. Strumenti come Microsoft Defender per cloud possono essere di enorme aiuto in quest'area fornendo una dashboard standard per rilevare e analizzare le minacce in ingresso.
Contenimento, eradicazione e recupero: il contenimento comporta la crescita o l'impatto di altri sistemi. Una volta contenuta, il team di risposta può avviare le procedure per rimuovere completamente la minaccia e quindi ripristinare i sistemi interessati. Questo passaggio richiede spesso di tornare alla fase di rilevamento precedente per assicurarsi che il vettore di attacco sia effettivamente bloccato e non spostato in un altro sistema.
Attività post-evento imprevisto: la fase finale prevede una valutazione post-valutazione dell'attacco eseguita, i passaggi eseguiti in risposta e l'efficacia della risposta del team. Ciò conduce spesso a modifiche del piano di risposta agli imprevisti e al rafforzamento dell'infrastruttura per evitare attacchi futuri della stessa natura.