A parlare in astratto di gestione degli incidenti informatici “siamo bravi tutti”. Internet pullula di vademecum che descrivono in modo dettagliato cosa occorre fare quando si è alle prese con un attacco o con un disservizio grave. Però siamo onesti: un conto è ipotizzare un caso ideale, altro conto è dover affrontare, nel mondo reale, una situazione critica e mantenere la lucidità mentre il business rischia il blocco totale o è addirittura già fermo.
Ormai quello della cybersecurity non può più essere considerato un tema di nicchia, e gli incidenti informatici che balzano agli onori della cronaca sono letteralmente all’ordine del giorno. Eppure, in Cyberoo, ci imbattiamo settimanalmente in casi di totale impreparazione sul fronte della gestione degli incidenti informatici.
Non solo il top management, ma anche gli IT manager di molte delle imprese con cui veniamo in contatto per la prima volta spesso non hanno la minima idea di cosa si debba fare quando si scopre un evento.
Difficile dirlo, se non sono mai state fatte analisi preliminari di impatto e soprattutto se non si è mai creato un incident response plan: ho visto aziende che, a causa dei sistemi completamente bloccati, hanno mandato tutto il personale in cassa integrazione per due settimane.
Alle perdite che derivano dal mancato fatturato si aggiungono le spese per il ripristino dell’operatività: non capita di pensarci spesso, ma richiedere l’intervento di un incident response team costa parecchio. È un’attività professionale altamente qualificata, che richiede la presenza di risorse – quattro nel nostro caso – con competenze certificate che si alternano 24 ore su 24, sette giorni su sette, anche durante le festività. Il che fa incrementare sensibilmente i listini.
E bisogna tener presente che mi sto riferendo solo alle concitate fasi iniziali, e non al processo di eradicazione totale della minaccia: processo che può impiegare anche mesi, visto che bisogna identificare tutte le macchine potenzialmente infettate e ripulirle, riformattandole a partire da immagini (ammesso che siano presenti in azienda) in grado di ricreare i sistemi da zero.
Come se non bastasse, c’è un’altra spada di Damocle che grava sul business. Come ci ricordano anche la direttiva NIS2 e il Cyber Resilience Act, tutte le aziende che appartengono alla medesima filiera devono essere considerate interlacciate sotto il profilo della cybersecurity. Cosa succede all’intera catena del valore a cui fa capo un’azienda che non riesce a gestire un incidente informatico? Ma soprattutto: che impatto avrà l’evento sulla sua reputazione presso partner, fornitori e clienti?
Lo scenario è a dir poco spaventoso, lo so. Ma la gestione degli incidenti informatici può (e deve) essere migliorata, anche nel momento di maggior tensione. Prepararsi psicologicamente a una situazione del genere è praticamente impossibile: l’unica vera discriminante per evitare il caos è la creazione di un incident response plan.
Può sembrare banale, ma la redazione di un piano ti costringe a metterti a tavolino con tutti gli attori potenzialmente coinvolti, ti porta a capire quali sono i rischi che gravitano intorno alla tua azienda specifica, ti fa considerare come reale e probabile l’avverarsi di una minaccia, anche in presenza di soluzioni avanzate di cybersecurity.
In genere, è sufficiente rispondere a dieci domande per individuare un indirizzo preciso di processo che permetta di sapere esattamente cosa fare in caso di incidente, dall’analisi dell’evento dalla ricostruzione della cyber kill chain fino al corretto restore dei sistemi.
Fondamentale anche prepararsi adeguatamente sul piano tecnologico. Dotarsi per esempio di una suite di Managed Detection & Response (MDR) come quella che propone Cyberoo è essenziale nell’ottica di minimizzare le probabilità che un attacco vada a buon fine.
Ma pur conoscendo l’efficacia delle nostre soluzioni, siamo noi per primi consapevoli che non è possibile garantire al 100% che non si verifichino incidenti informatici. Un buon partner deve quindi anche saper costruire una exit strategy efficace che permetta al cliente di non sentirsi da solo in quei momenti drammatici.
Inutile rimarcare che a noi piace lavorare in modo preventivo, mettendo a disposizione dei clienti anche un team di virtual CISO, un gruppo di professionisti in grado di costruire incident response plan ad hoc in base ai risultati di analisi che esplorano l’ambiente IT e le soluzioni di sicurezza già adottate, con l’obiettivo di identificare eventuali gap da superare. La nostra proposition permette anche al cliente di accedere a un pacchetto di ore prepagate di assistenza in caso di incidente: è sufficiente chiamarci per ricevere servizi di supporto con SLA garantiti. Naturalmente, conoscendo già gli ambienti, i tempi di investigazione e di risoluzione dei problemi risultano parecchio abbreviati rispetto alle situazioni di cui ho parlato prima.
All’atto pratico, quindi, bastano due mosse per rendere la gestione degli incidenti informatici meno traumatica:
Per tutti gli altri casi c’è il Cyberoo Black Button. Si trova in evidenza in basso a destra, sul nostro sito Web. Anche da smartphone, basta pigiarlo per accedere a un form con un processo certificato ISO 27001: è sufficiente compilare tre campi per descrivere la situazione e ricevere assistenza qualificata nel più breve tempo possibile.