Una volta analizzati i quattro pilastri che compongono una solida strategia di cyber security, occorre volgere l’attenzione sulla gestione e sul piano di risposta agli incidenti, illustrando come questi due elementi operino sinergicamente per garantire un intervento rapido e ben coordinato.

Obiettivi e ruoli nella gestione degli incidenti

La gestione degli incidenti (incident management) definisce il quadro generale, entro il quale l’organizzazione riconosce, classifica e risolve gli eventi che minacciano la sicurezza di sistemi, dati e servizi.

Obiettivi principali

Gli obiettivi principali consistono nel:

• rilevare velocemente gli incidenti e valutarne la gravità;
• limitare il loro impatto, contenendo la propagazione del danno;
• coordinare risorse umane e tecniche;
• ripristinare l’operatività in modo tempestivo;
• documentare l’accaduto per migliorare la prevenzione futura.

Ruoli cardine

I ruoli cardine:

• incident manager: la figura responsabile del coordinamento generale;
• technical specialist: il personale IT addetto a diagnosi e ripristino;
• legal, compliance officer e Dpo: i referenti per gli aspetti legali e di conformità (esempio, Gdpr, Nis 2, Dora);
• communication manager: incaricato di gestire la comunicazione interna ed esterna.

Standardi di gestione

Riferimenti agli standard:

• Iso/Iec 27035-1:2023 raccomanda di: predisporre un Incident Management Team con competenze multidisciplinari; definire chiaramente processi di notifica ed escalation;
• Nist SP 800-61r2 (Computer security incident handling guide) sottolinea l’importanza di una struttura gerarchica dei ruoli, per facilitare decisioni rapide e coordinate;
• Sans Institute consiglia di mappare i ruoli in un Incident response framework e di effettuare esercitazioni periodiche per consolidarne l’efficacia. Il Sans Institute (SysAdmin, audit, network and security institute) è uno dei principali enti di formazione e ricerca nel campo della cyber security. Fondato nel 1989, offre corsi avanzati di sicurezza informatica, certificazioni (come la Giac – Global information assurance certification) e pubblicazioni tecniche. Il Sans è noto per il suo approccio pratico e per il Sans Internet Storm Center [1] che monitora le minacce informatiche globali.

Il piano di risposta agli incidenti

All’interno dell’ecosistema di gestione, il piano di risposta (Incident response plan) rappresenta la guida operativa che illustra, passo dopo passo, come fronteggiare gli incidenti.

Preparazione

La fase di preparazione comprende tutte le attività proattive di pianificazione e formazione prima che si verifichi l’incidente. In particolare in questa fase occorre:

• individuare e formare i membri dell’Incident management team, coinvolgendo anche esperti esterni e i fornitori;
• definire procedure e checklist per diverse tipologie di incidente (per esempio, ransomware, data breach, Ddos);
• rendere sensibile quanti accedono ai sistemi nel riconoscere i “segnali deboli” che potrebbero essere prodomici a un incidente;
• conoscere gli strumenti di monitoraggio e rilevazione (SIEM, IDS/IPS, endpoint protection);
• eseguire test periodici (per esempio tabletop exercise) e revisionare procedure in base a feedback e nuove minacce.

Identificazione e analisi

Quando si sospetta un incidente, il personale responsabile deve indagare i sintomi per confermare la natura dell’evento e comprenderne la portata. Questo implica azioni diverse a seconda della tipologia dell’incidente come per esempio:

• la raccolta di log e di informazioni di rete;
• la verifica dell’integrità dei sistemi;
• l’impiego di tecniche di threat intelligence per correlare indicatori di compromissione (IoC).

Contenimento, eradicazione e ripristino

Una volta confermato l’incidente è necessario avviare azioni per:

• il contenimento che mira a limitare i danni, ad esempio isolando i sistemi compromessi;
• l’eradicazione consiste nel rimuovere la minaccia dalla rete (es. disinstallare software malevolo, “patchare” vulnerabilità);
• infine, si procede con il ripristino graduale dei servizi verificando che il problema sia definitivamente risolto.

Comunicazione

Un aspetto spesso trascurato è la comunicazione, che deve essere tenuta sotto controllo durante l’incidente e dopo che è stato risolto, verso:

• l’interno: a management, dipendenti, team di supporto;
• l’esterno: ad autorità di controllo (es. in caso di violazione dati personali), partner, clienti, destinatari dei servizi.

Post-Incident (Lesson Learned)

La fase finale prevede un’analisi approfondita dell’evento, individuando eventuali lacune nei processi e nelle difese. Vengono poi intraprese azioni correttive per rafforzare la postura di sicurezza che devono essere valutate, successivamente in termini di efficacia.
Best Practice per gestire la fase “post-incident”:

• ISO/IEC 27035 suggerisce una fase di miglioramento continuo, registrando tutti i dettagli dell’incidente e degli impatti correlati.
• Nist SP 800-61r2 prevede la creazione di un incident report completo, utilizzabile per workshop e awareness training successivi.
• ISO/IEC 27001:2022: anche la ISO/IEC 27001:2022 richiede che vengano soddisfatti i controlli che trattano del tema della gestione degli incidenti già indicati nell’articolo pubblicato la scorsa settimana.

Differenze concettuali e motivi di sovrapposizione della documentazione

È piuttosto frequente vedere i termini “Piano di gestione degli incidenti di sicurezza” (talvolta chiamato Incident management plan) e “Piano di risposta agli incidenti” (o Incident response plan) usati come sinonimi o in modo intercambiabile.

Questa sovrapposizione terminologica deriva principalmente da come i diversi standard e best practice descrivono il processo globale di incident management rispetto alle procedure operative di risposta.

Cerchiamo di chiarire le differenze concettuali e i motivi di sovrapposizione.

Livello strategico vs. livello operativo

Il piano di gestione degli incidenti può essere inteso come il quadro generale (strategico e organizzativo) che regola tutte le attività di identificazione, registrazione, classificazione, investigazione, risoluzione e revisione degli incidenti di sicurezza.

Il piano di risposta agli incidenti, invece, si focalizza sulle azioni pratiche e immediate da compiere nel momento in cui un incidente è rilevato, delineando step di contenimento, eradicazione, ripristino e comunicazione.

Quindi il piano di risposta agli incidenti è parte del più ampio piano di gestione degli incidenti.

Semantica e scopo

Nella pratica quotidiana, molte organizzazioni usano il termine Incident response plan per riferirsi a tutto ciò che concerne la risposta agli incidenti.

Di conseguenza, il confine tra la gestione strategica (Incident management) e la risposta operativa (Incident response) può risultare sfocato, portando alcune persone a trattare i due termini come sinonimi.

In assenza di un framework aziendale dettagliato, un singolo documento può effettivamente assolvere a due funzioni: definire l’intera strategia di gestione e descrivere le procedure di risposta nel dettaglio.

Conclusioni

La gestione efficace di un incidente informatico non può prescindere dall’avere processi ben strutturati, ruoli definiti e un piano di risposta chiaro e aggiornato.

L’Incident management plan e l’Incident response plan si integrano per garantire rapidità di rilevazione e contenimento e miglioramento continuo attraverso la documentazione delle esperienze.

Il piano di continuità operativa (Bcp) e le procedure di disaster recovery (Dr) fanno sì che l’efficacia di una reazione immediata agli incidenti si completi con la capacità di mantenere e ripristinare le funzioni essenziali del business in qualsiasi situazione.

Strategie di ridondanza, soluzioni di replica e procedure di ripristino permettono di minimizzare gli impatti di un evento critico, assicurando che i servizi core dell’azienda restino disponibili anche nelle circostanze più avverse.

L’insieme di queste metodologie, convalidato dai requisiti e dai controlli suggeriti dagli standard internazionali, contribuirà a costruire un sistema di cyber security robusto e resiliente.

Bibliografia

[1] Il Sans internet storm center (Isc) è un’organizzazione virtuale gestita dal Sans Institute, quindi non ha una sede fisica specifica. Si tratta di una piattaforma online che raccoglie, analizza e diffonde informazioni sulle minacce informatiche globali in tempo reale. L’Isc è alimentato da una rete di sensori distribuiti in tutto il mondo, che monitorano il traffico internet per individuare anomalie, attacchi e nuove vulnerabilità. Inoltre, il centro fornisce report giornalieri e analisi approfondite per aiutare professionisti della sicurezza a difendersi dalle minacce emergenti.