L’incident response plan è un elemento fondamentale per le aziende: risulta ormai vitale per ogni organizzazione munirsi di un piano di risposta agli incidenti informatici.
Qualunque azienda che disponga di una rete informatica connessa ad Internet non può sentirsi al sicuro da attacchi informatici e deve organizzarsi per essere pronta ad individuare e rimuovere la minaccia, ma anche delimitare le conseguenze.
Attualmente sono sempre più frequenti gli attacchi informatici che colpiscono aziende e/o enti pubblici: stanno diventando sempre più sofisticati ed elaborati (usano l’azione combinata di più tecniche). Sono attacchi guidati da gruppi organizzati con scopi precisi, che possono durare per periodi molto lunghi prima di venire scoperti. A tal proposito è stato coniato un termine particolare: APT (Advanced Persistent Threat).
Diventa di primaria importanza mettere a punto un incident response plan per limitare i danni all’interno dell’azienda, per rispettare le regole imposte dal GDPR (General Data Protection Regulation) ed essere a norma con gli standard specifici del settore in cui opera l’azienda stessa.
Che cos’è l’incident response?
L’incident response è un insieme di procedure e di risorse usate per fronteggiare un incidente informatico causato intenzionalmente da una figura esterna o interna alla stessa organizzazione (insider threat). Nella maggior parte dei casi, lo scopo ultimo è il data breach (furto di informazioni).
Quali strumenti possono usare le aziende?
Le medie e grandi aziende utilizzano strumenti automatizzati per monitorare e rilevare le possibili intrusioni, per esempio IDS (Intrusion Detection System); questi software cercano di individuare probabili anomalie di sistema Che rivelino un’intrusione nella rete.
Individuare il problema non è abbastanza: l’azienda deve essere in grado di reagire tempestivamente; inoltre può gestire internamente la risposta all’attacco, oppure affidarsi ad un’impresa esterna specializzata in MSSP (Managed Security Service Provider).
Per creare un efficace piano di risposta risulta indicato un framework che specifichi le linee guida per formare una squadra in grado gestire situazioni critiche: il CSIRT, ossia Computer Security Incident Response Team. Questo team deve essere in grado di svolgere determinate attività che si possono suddividere in tre categorie:
-risposta iniziale all’incident response
-osservazione e analisi del problema: è importante capire la dinamica dell’incidente per gestirlo al meglio
-ripristino dei sistemi compromessi
Incident response e GDPR
Il GDPR aumenta i diritti dei cittadini in merito ai loro dati personali, inoltre incrementa gli obblighi e le norme che le aziende devono rispettare. Uno dei punti salienti è l’obbligo di definire il DPO (Data Protector Officer), ossia il responsabile della protezione dei dati e della conformità di requisiti e degli step da seguire in caso di incident response.
Vuoi saperne di più?
Fonte dei contenuti: cybersecurity360.it