Come realizzare un incident response plan e allestire un sistema di sicurezza che sia davvero efficace per il business? Partiamo innanzitutto dal presupposto che, oggi, pur disponendo di soluzioni di cybersecurity all'avanguardia, di personale formato e di processi conformi alla normativa, il rischio zero in azienda non esiste: gli incidenti informatici avvengono e avverranno sempre più spesso.
Anche restringendo il campo alle PMI o ad aziende che lavorano in settori molto verticali, non si può più escludere la possibilità di iniziative opportunistiche e attacchi mirati, progettati appositamente per “bucare” i network dell'organizzazione target e sottrarre dati di valore, o semplicemente porli sotto sequestro. Dunque, la domanda che qualsiasi CISO – ma in realtà è un tema ormai pregnante anche per CEO e capitani d'impresa – deve porsi non è se, ma quando ci sarà da fronteggiare gli effetti di un attacco andato a buon fine.
L'incident response plan serve, appunto, per mitigare le conseguenze negative di un incidente informatico sulla normale operatività dell'azienda e, soprattutto, per migliorare la risposta all'emergenza. Questo non solo rispetto al caso specifico, ma anche in prospettiva, maturando la consapevolezza che si verificheranno altri attacchi e altre intrusioni, da affrontare mettendo in campo prima di ogni altra cosa l'esperienza acquisita.
Cosa occorre per mettere insieme un incident response plan
Non esiste una ricetta univoca per elaborare un incident response plan. Ciascuna azienda deve, prima di ogni altra cosa, identificare le priorità, le finalità e le metodologie, in linea con la sua ragion d'essere.
Prima di ogni altra cosa è necessario capire cosa si vuole tutelare e quali componenti vanno messe in sicurezza, accettando con relativa serenità che proteggere tutta l'azienda è impossibile. Meglio, dunque, focalizzarsi su determinate aree - come infrastrutture, servizi e applicazioni - e compilare una lista che non solo enumeri ciascuna delle istanze prese in considerazione, ma che contempli ipotesi specifiche per la protezione di ogni singola entità, in base anche al ruolo che riveste rispetto all'operatività del business.
Una volta perfezionata la lista dei possibili incidenti - con in evidenza i potenziali effetti sulle attività core per il business - diventa a quel punto fondamentale calcolare la probabilità di accadimento. È senz'altro un passaggio complesso, ma facendo leva sullo storico degli eventi già registrati, su serie statistiche acquisite all'esterno e, soprattutto, su un'intensa attività di analisi, è possibile costruire modelli previsionali basati su un approccio qualitativo che trovi riscontro ragionevole nella realtà dei fatti.
L'apporto di un partner come Cyberoo nell'elaborazione di un incident response plan
Proprio perché si tratta di procedure estremamente delicate – da gestire orchestrando strumenti di analisi e contromisure basate su soluzioni in continua evoluzione – la scelta migliore per le aziende che vogliono costruire un incident response plan efficace è rivolgersi a degli specialisti. Partner qualificati, che non si limitano a intervenire a incidente informatico avvenuto, ma che guidano l'azienda nel percorso di crescita e nel costante aggiornamento delle tecnologie di cybersecurity, offrendo anche servizi di sicurezza gestita.
Per prevenire e contrastare attacchi informatici critici in modo rapido ed efficace, Cyberoo mette a disposizione dei propri clienti un team di risposta agli incidenti in outsourcing disponibile 24 ore su 24, sette giorni su sette, 365 giorni all’anno. La Cyber Security Suite di Cyberoo si fonda infatti su un'offerta MDR (Managed Detection & Response) totalmente gestita, per garantire alle imprese la massima protezione possibile.
Come si è detto, però, il rischio zero non esiste, ed è qui che l'expertise del gruppo fa davvero la differenza. Cyberoo, infatti:
- definisce il perimetro dell’incidente;
- raccoglie informazioni da sistemi, appliance e servizi coinvolti;
- studia il vettore d’attacco;
- analizza impatti, compromissioni e possibili persistenze;
- verifica le attività di mitigazione;
- propone un piano di Incident Response volto a contenere il danno ed eradicare la causa;
- monitora il perimetro difensivo ed evidenzia possibili cronicità dell’evento.
Solo con un approccio così strutturato è possibile dare vita a un sistema di sicurezza realmente efficace.
