La gestione degli incidenti di sicurezza è divenuta un'esigenza fondamentale per qualsiasi organizzazione, pubblica o privata, per contrastare le minacce che cercano di compromettere le loro risorse critiche.

Il recepimento delle Direttive NIS "Network and Information Systems" ha posto l'accento sull'importanza di un sistema di gestione degli incidenti informatici. Questa necessità, unita all'urgenza di rispondere rapidamente agli attacchi, ha portato a soluzioni spesso inadeguate, causando difficoltà tecniche e organizzative.

In questo articolo, discuteremo alcune raccomandazioni per implementare un efficace sistema di gestione degli incidenti, basate sulle lezioni apprese durante la gestione di alcuni incidenti informatici.

Adeguamento Strutture e Modelli di Gestione degli Incidenti

Ogni organizzazione è diversa, con un insieme di variabili che rappresentano la struttura, i servizi, le tecnologie utilizzate e l'organizzazione del lavoro. Non esiste una soluzione universale per costituire un CSIRT (Computer Security Incident Response Team) o un SOC (Security Operation Center) aziendale.

Per effettuare la scelta migliore, è fondamentale conoscere la missione e i processi dell'organizzazione e poi applicare una certa flessibilità per configurare correttamente la struttura di gestione degli incidenti.

Non esiste un modello standard di gestione degli incidenti, ma deve essere configurato per adattarsi alla realtà organizzativa esistente. Le lezioni apprese sugli incidenti hanno sottolineato l'importanza di avere strutture snelle ed efficienti, in grado di reagire prontamente agli attacchi informatici.

Il Team di Risposta agli Incidenti Non Opera da Solo

Il team di risposta agli incidenti deve integrarsi con l'organizzazione e identificare gli altri componenti che svolgono un ruolo nella gestione degli incidenti, come l'IT, le strutture che si occupano della gestione delle vulnerabilità, della gestione delle patch, della gestione del rischio, della privacy, l'ufficio legale, le risorse umane e persino la formazione e la comunicazione con i media.

La documentazione e la descrizione dei processi e delle procedure devono essere formalizzate per garantire la resilienza operativa nel momento in cui il personale passa ad altri ruoli.

Il team di risposta agli incidenti deve sapere cosa sta proteggendo e cosa è critico. Se non venissero identificate le priorità, considererebbe tutto prioritario, causando un sovraccarico di lavoro e impendendo di portare a termine con successo la missione.

L'Efficacia Non Dipende Solo dalla Tecnologia e Dagli Strumenti ma dalle Funzione e i Servizi erogati

Non importa il nome dell'entità dedicata alla gestione degli incidenti. L'importante è che la struttura svolga le seguenti attività obbligatorie: monitoraggio, rilevamento, triage, analisi o risposta.

La struttura di gestione degli incidenti deve essere orientata al servizio al cliente e sviluppare relazioni di fiducia con tutti gli stakeholder e i collaboratori sfruttando la comunicazione.

Il livello di servizio fornito può avere ripercussioni sull'organizzazione e sul supporto organizzativo necessario per svolgere quel determinato servizio.

Il Team Deve Essere Proattivo

Con la maturazione, le strutture di gestione degli incidenti diventano più proattive, assumendo nuovi compiti come la scansione delle vulnerabilità, la valutazione della sicurezza e la ricerca attiva per scoprire attività malevole/anomale e nuove minacce.

Le strutture dedicate alla risposta agli incidenti dovrebbero far parte di qualsiasi consiglio di amministrazione, in modo che l'organizzazione, durante la pianificazione e l'implementazione di modifiche all'infrastruttura o ai processi, sia a conoscenza delle possibili minacce alla sicurezza.

Un limite riscontrato in molte organizzazioni consiste nella resistenza a condividere l'esperienza acquisita durante la gestione dei propri incidenti, i rischi calcolati, le minacce rilevate e le buone pratiche per la risoluzione.

La Tecnologia Deve Essere Appropriata

Quando si deve avviare una struttura per la gestione degli incidenti informatici, è necessario considerare attentamente quale sia la migliore tecnologia sul mercato per la detection e la response.

Conclusioni

Le criticità indicate hanno evidenziato che i principali problemi riscontrati non sono di natura tecnica, ma piuttosto organizzativi. La maggiore lacuna è rappresentata dalla mancanza di comunicazione tra la direzione e il personale, tra il team di gestione degli incidenti e il resto dell'organizzazione. La costituzione di un team di gestione degli incidenti efficiente ed efficace richiede un approccio olistico che tenga conto degli aspetti organizzativi, tecnici, giuridici, comunicativi e finanziari.

Integys, azienda specializzata nella gestione e nel contenimento degli incidenti informatici e delle minacce alla sicurezza informatica, si propone come un partner per aiutare le aziende a tutelarsi dai rischi e dai pericoli, indicando le operazioni da seguire per poter rendere la tecnologia più efficiente, sicura e sotto controllo.

Vuoi saperne di più?