Incident Management in cybersecurity

Come possono le aziende far fronte agli imprevisti informatici e come può un piano per la loro risoluzione giocare un ruolo cruciale?

Nel mondo dell’informatica capita di imbattersi in disservizi o problemi legati alla sicurezza.
Si inizia con siti web che risultano irraggiungibili, passando poi per piattaforme che non funzionano come avrebbero dovuto, giungendo infine alla categoria peggiore: la perdita di credenziali di accesso e il conseguente rischio di essere un bersaglio sul web.

Tutti questi problemi imprevisti vengono solitamente riuniti sotto un unico termine: incident management, ovverosia una serie di pratiche e contromisure adottate dagli specialisti IT per il ripristino della normale operatività di un servizio.

Ma come funziona effettivamente e perché è così importante nell’ambito della sicurezza informatica?
Scopriamolo insieme.

Cosa si intende per Incident Management?
L’importanza dell’Incident Response
Come implementare un modello efficace?
Il team di incident response non può operare in solitaria

Cosa si intende per Incident Management?

La traduzione letterale di incident management è gestione dell’imprevisto, che nel gergo tecnico indica il processo che subentra tempestivamente nel momento in cui si verifica un disservizio. Questo si rende necessario proprio per mitigare i possibili danni derivanti dalla cessata operatività di un qualsiasi servizio: sia esso online, che offline.

Gli incidenti e gli imprevisti che si verificano in ambito informatico, generano effetti particolarmente dirompenti sulla tradizionale routine dei servizi IT, in quanto essi sono talmente radicati nella nostra quotidianità da risultare imprescindibili.
Basti pensare ai servizi bancari o a quelli postali: immediatamente raggiungibili, consultabili e fruibili attraverso un’applicazione web dedicata.
Questo è il principale motivo per cui si richiede una gestione degli imprevisti tempestiva.

Addentrandoci ulteriormente nella definizione del termine e del suo funzionamento, si deve dire che l’incident management permette ad una compagnia, un ente o un’organizzazione di essere sempre pronta a gestire le criticità impreviste che si verificano nei loro sistemi, in modo da ridurre al minimo sia la durata dei disservizi, che i danni derivanti, garantendo al tempo stesso la sicurezza dei dati presenti nei loro database.

Spostandoci nell’ambito della sicurezza informatica, l’incident management svolge un ruolo ancora più cruciale di quanto si possa immaginare.
Questo perché un incidente che coinvolge la sicurezza comporta:

distruzione accidentale
perdita
alterazione
divulgazione non autorizzata
accesso a terzi ai dati sensibili in possesso dell’organizzazione.

Da ciò si evince la gravità della situazione derivante, con danni di portata mastodontica.
Infatti, un’azienda sprovvista di un piano contro gli imprevisti o incapace di garantire la robustezza e la sicurezza delle sue misure cautelari, non viene vista di buon occhio dagli investitori.
Un giudizio del genere rappresenta un rischio per la sopravvivenza della stessa, poiché la espone non solo alla perdita di clienti, ma anche a ingenti risarcimenti monetari in presenza di violazioni contrattuali.

In virtù di ciò si può affermare che la corretta realizzazione di un processo di incident management porti ai seguenti risultati:

Essere dotati di uno strumento efficace in grado di garantire un impatto minimo da parte dell’incidente contro l’azienda
Fornire informazioni e indicazioni utili per l’attuazione efficace delle contromisure
Consentire il mantenimento, il ripristino e la continuità dei servizi
Dotarsi di una misura difensiva contro possibili attacchi

L’importanza dell’Incident Response

Affinché gli eventi imprevisti siano mitigati nel più breve tempo possibile, gli esperti IT e di cybersecurity fanno ricorso all’incident response.
Il processo rappresenta la capacità operativa dell’incident management che identifica, prepara e risponde agli incidenti, al fine di controllare e limitare i danni.
Se si è in possesso di un’unità ben organizzata e in possesso delle capacità di incident response, permette all’organizzazione di gestire gli imprevisti che sorgono in maniera sistematica, in modo da attuare tempestivamente le contromisure adeguate.

Ciò si rende necessario in quanto garantire la continuità di business e la fruizione dei propri servizi IT, non è più possibile con l’attuazione degli interventi mirati di natura episodica. La struttura organizzativa e l’unità predisposta all’incident management deve essere permanente e dotata di tutti gli strumenti necessari per garantire sia la piena operatività interna, che l’erogazione dei servizi all’esterno.
La capacità di intervento contro gli imprevisti non è una via a senso unico, ma permette all’organizzazione di migliorare nel tempo, giungendo a gestire nel migliore dei modi anche delle problematiche di natura legale che possono insorgere nelle fasi di mitigazione dei danni da incidente.

In definitiva, un processo di incident response ben strutturato comporta i seguenti benefici:

Creazione di policy e piani di emergenza
Creazione e definizione della struttura di un team addetto
Definizione di un modello operativo
Sviluppo di procedure rivolte al trattamento dell’incidente
Reporting dettagliato per ogni trattamento
Definizione delle linee guida per la corretta comunicazione con le unità esterne, come ad esempio Polizia Postale, Garante della privacy, o CSIRT
Definizione del piano per allocazione risorse mirate.

Come implementare un modello efficace?

Oggi più che mai i dati sensibili e le informazioni riservate sono divenuti i bersagli primari degli attori della scena cybercriminale. Per far fronte a questa minaccia, la corretta gestione degli incidenti legati alla sicurezza è divenuta un’esigenza a dir poco essenziale.
Di seguito sono riportati una serie di consigli e raccomandazioni un’implementazione efficace di un modello.
Adeguare le proprie strutture di incident management

Bisogna appurare prima di tutto che ogni organizzazione è diversa dalle altre. Pertanto, si rende necessario comprendere dapprima quale sia l’obiettivo di questa e sulla base di questa configurare la struttura di incident management. A tal proposito, si devono dapprima identificare le ubicazioni degli asset critici, quali dati sono effettivamente contenuti e a quali rischi sono esposti.

Il team di incident response non può operare in solitaria

Gli esperti che compongono il team di IR devono essere tutt’uno con l’organizzazione, in modo da identificare in anticipo gli altri attori che gestiscono gli incidenti. Questi possono essere l’IT, gli addetti al monitoraggio delle vulnerabilità, chi si occupa di privacy, le risorse umane e la comunicazione con l’esterno.
Tutti questi componenti devono essere dapprima identificati e in seguito definite le reciprocità con il team IR, affinché le procedure di intervento possano essere attuate nell’immediato e trasformate in uno standard da seguire.

Formalizzare le attività

Ogni attività, ogni processo e ogni procedura deve avere la propria documentazione. Questa gioca un ruolo fondamentale nella comunicazione tra più team, in quanto la resilienza operativa deve essere garantita nel momento in cui il personale subisce un cambio di ruolo, o di mansione. Tutto ciò ha anche una ricaduta positiva, poiché permette di testare i tempi di risposta da parte del personale e apportare dovute correzioni per eventi futuri.

Identificazione e prioritizzazione degli asset critici

Si deve conoscere sin dal principio quali asset sono critici e cosa effettivamente si sta proteggendo. Ciò comporta la definizione di determinate priorità da rispettare nel momento in cui si verifica un incidente, proprio per evitare un sovraccarico di lavoro e il fallimento della missione. La prioritizzazione degli asset gioca un ruolo fondamentale soprattutto nel caso in cui si sia vittime di un attacco multiplo, o si incorra in una minaccia persistente di tipo ATP.

Tecnologia appropriata

La prima cosa da valutare nel momento in cui si istituisce un team addetto alla gestione degli incidenti, è proprio la tecnologia. Sin troppo spesso si preferisce investire in hardware e sistemi vecchi a prescindere, per contenere il proprio budget. La soluzione ideale è invece quella di stabilire a priori gli obiettivi da raggiungere, per poi procedere a step per l’acquisizione della tecnologia più adatta di conseguenza. Ma attenzione: le scelte devono essere oculate e ponderate.

Condivisione di rischi e informazioni

La resistenza nella condivisione dell’esperienza maturata nel corso degli anni è un limite facilmente riscontrabile nella stragrande maggioranza delle aziende presenti sul mercato. In realtà un’apertura mentale e una condivisione delle misure cautelari attuate in fase di incidente comporta dei benefici, in quanto favorisce l’incremento della capacità di prevenzione e risoluzione degli imprevisti.

Conclusione

L’incident management è una disciplina cruciale che dovrebbe essere prioritaria per ogni azienda e organizzazione operante nel mondo moderno. Questo perché si vive in una realtà sempre più dinamica, interconnessa e in rapida evoluzione, a cui si deve prestare la massima attenzione.
Come abbiamo ampiamente discusso, la mancata erogazione di un servizio comporta gravi conseguenze monetarie e legislative, oltre che un danno di immagine non indifferente per i casi più gravi. Ecco perché predisporre di un piano contro gli incidenti e di una squadra qualificata per la risoluzione degli stessi non va considerata un lusso, ma una necessità obbligatoria.
Solo in questa maniera si potranno affrontare concretamente le sfide del XXI secolo e della nuova era informatica.

Autore articolo
Gli ultimi articoli

Aldo Vernaglione

Classe 1993, ingegnere gestionale e Adobe Certified Professional in Graphic Design & Visual Design. Ho mosso i primi passi nel campo informatico grazie alla passione per i videogiochi, che mi ha portato ad approfondire i motori grafici e la progettazione visiva. Scrivo da quando ero bambino e, con il tempo, la scrittura è diventata parte integrante del mio lavoro nel mondo della comunicazione e della sicurezza informatica.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.