Piano di risposta agli incidenti: cos’è e come crearne uno

Scopriamo insieme cos’è un SIRP, Security Incident Response Plan, e perché è così importante per le aziende sia grandi che piccole.

La cybersecurity ha a disposizione armi molto potenti, ma nessuna strategia è infallibile al 100%. Per questo motivo qualsiasi organizzazione, privata o pubblica che sia, deve porsi la domanda “che cosa facciamo in caso di cyberattacco?”.

I piani anticrisi sono una dimensione importante della gestione d’impresa, perché consentono di ridurre i danni sia all’azienda che ai clienti e di mitigare l’impatto sulla reputazione. Inoltre, il nostro presente e futuro sono sempre più incentrati sulla privacy degli utenti (che finora non è stata rispettata come si deve), per cui le organizzazioni devono fare di tutto per proteggere i dati personali che raccolgono per fornire i propri servizi.

In questo post vediamo cos’è un piano di risposta agli incidenti di sicurezza informatica, che peso ha nella protezione degli utenti e perché è importante averne uno anche nelle aziende più piccole (e perfino a livello di singolo utente). Continua a leggere!

Cos’è un piano di risposta agli incidenti

In inglese prende il nome di incident response plan o anche di security incident response plan, abbreviato con la sigla SIRP. Si tratta di un documento in cui vengono descritte tutte le procedure e le linee guida per rilevare, contenere e risolvere gli incidenti di sicurezza (informatica) e iniziare il ripristino delle normali attività in modo rapido ed efficace.

A livello pratico, i piani di risposta agli incidenti riducono la frequenza e la gravità degli incidenti di sicurezza come:

• Data breach: accessi non autorizzati a informazioni riservate, che rimangono esposte a furti, manipolazione o uso indebito.
• Cyberattacchi: attività criminali che prendono di mira sistemi informatici, reti o altre infrastrutture digitali allo scopo di fare danni, rubare informazioni o denaro, accedere senza l’autorizzazione a dati o, nei casi di terrorismo e attivismo informatico, perseguire obiettivi politici e mediatici.
• Attacchi DDoS (distributed denial of service): operazioni criminali con cui un hacker utilizza una rete di dispositivi connessi chiamata botnet per inviare migliaia di richieste di connessione a un server o una rete. I dispositivi sono connessi inconsapevolmente, tramite il controllo di un virus che funziona in background, mentre l’obiettivo è quello di sovraccaricare il server e mandarlo offline, impedendo al sito di fornire i propri servizi. A volte questi attacchi servono per sviare l’attenzione e le risorse delle aziende mentre viene lanciato un altro attacco informatico, quello vero, con obiettivi ancora più pericolosi.
• Catastrofi naturali: in questa categoria rientrano tutti gli incidenti che causano danni fisici a un infrastruttura, come interruzioni dell’energia elettrica o della comunicazione digitale.
• Corporate account takeover (CATO): cyberattacchi con cui un hacker prende il controllo di un account aziendale, tipicamente con privilegi finanziari, per realizzare bonifici o altre operazioni. I metodi impiegati comprendono il phishing, l’uso di malware e tecniche di social engineering.
• Errori umani: molto spesso, la vulnerabilità numero 1 di un’organizzazione è il comportamento delle persone che vi lavorano, che potrebbero scaricare un allegato di un’email di phishing, usare password troppo semplici o trattare i dati personali in modo poco sicuro.

Queste sono le principali minacce di sicurezza a cui sono esposte le organizzazioni di oggi e che, senza un buon piano di risposta agli incidenti, possono causare molti danni a tutto l’ecosistema dell’azienda, dai proprietari fino agli utenti finali.

Rispondere efficacemente a un incidente di sicurezza non significa solo risolvere il problema, ma anche e soprattutto garantire la continuità dei servizi e la sicurezza delle persone.

Perché la tua azienda ha bisogno di un piano di risposta agli incidenti

Da uno studio recente è emerso che il 77% delle aziende non ha un piano di risposta agli incidenti ufficiale, nonostante un aumento del 7% dei cyberattacchi solo nei primi mesi del 2023. Quando un’organizzazione non ha un SIRP, in caso di incidente le risposte saranno disorganizzate e poco efficaci, con le seguenti conseguenze:

• Interruzione dei servizi prolungata
• Perdite finanziarie più ingenti
• Compromissione della sicurezza dei dati

Il primo grande vantaggio di un SIRP è la capacità di rilevare gli incidenti di sicurezza in breve tempo, il che consente di rispondere rapidamente riducendo i danni e agire prima che i cybercriminali riescano a muoversi liberamente nella rete e raggiungere le risorse che cercano.

Come creare un piano di risposta agli incidenti di cybersicurezza

Generalmente, i SIRP hanno una struttura che si articola in 5 fasi:

1. Preparazione
2. Rilevamento e analisi
3. Contenimento ed eliminazione
4. Recupero
5. Miglioramento continuo

1. Preparazione

La prima fase consiste nel valutare attentamente le vulnerabilità di sistemi, reti e processi. Questo significa innanzitutto analizzare le aree più suscettibili ai cyberattacchi, tra cui:

• Infrastruttura IT 
• Archiviazione dei dati 
• Controllo degli accessi
• Misure di sicurezza esistenti 

Identificare i rischi e le vulnerabilità in anticipo consente di sviluppare strategie e contromisure efficaci, che migliorano la resilienza e i risultati del piano anticrisi.

2. Rilevamento e analisi

Una volta scoperte le vulnerabilità, bisogna implementare metodi e strumenti per rilevare gli incidenti sul nascere e avvisare il personale di cybersecurity. Questi comprendono innanzitutto i sistemi di monitoraggio continuo delle reti e delle attività degli utenti. Ecco i più importanti di questi strumenti:

• Intrusion detection system (IDS): sono una delle basi portanti della cybersecurity; servono per monitorare il traffico di rete e rilevare potenziali attività criminali o non autorizzate, da un tentativo di accesso senza credenziali fino a richieste di connessione da parte di virus informatici e altri comportamenti insoliti.
• Intrusion prevention system (IPS): questi strumenti accompagnano sempre gli IDS e servono per bloccare e prevenire le attività non autorizzate in base alle informazioni fornite dai sistemi di rilevamento delle intrusioni. La combinazione di queste due tecnologie fornisce una protezione in tempo reale contro le principali minacce esterne alla rete.
• Strumenti di monitoraggio dei registri: servono per analizzare continuamente i registri creati da sistemi e applicazioni, alla ricerca di attività insolite e potenzialmente dannose.
• Security information and event management (SIEM): un altro grande pilastro della cybersecurity aziendale: il programma di gestione degli eventi e delle informazioni di sicurezza (SIEM) aggrega i dati provenienti da vari programmi, come quelli che abbiamo visto prima, per centralizzare il monitoraggio e creare una piattaforma per gli avvisi e l’analisi in tempo reale.
• Endpoint detection and response (EDR): questi programmi controllano e proteggono i singoli punti di accesso degli utenti, come i server o i computer aziendali.
• Analisi del comportamento: le nuove tecnologie sfruttano il machine learning e altri modelli di intelligenza artificiale per imparare come funziona un sistema. In questo modo, il programma è in grado di notare immediatamente attività diverse da quelle previste e trovare minacce interne e account compromessi.

La sinergia di questi strumenti consente alle aziende più grandi di rispondere velocemente agli incidenti e mitigare i potenziali danni. Nel caso delle organizzazioni più piccole o di singoli utenti (ad esempio i liberi professionisti), esistono soluzioni adattabili alle piccole dimensioni di queste attività e altre pensate specificamente per offrire servizi con costi accessibili.

LEGGI ANCHE: 10 consigli di cybersecurity per le piccole imprese 

3. Contenimento ed eliminazione

Questa parte del piano di risposta agli incidenti descrive le azioni da realizzare immediatamente per tappare le falle di sicurezza e prevenire che eventuali infezioni o accessi non autorizzati si diffondano ancora di più all’interno della rete aziendale. Queste azioni includono:

• Capire quali sono i sistemi interessati dall’incidente
• Mettere in quarantena i dispositivi compromessi
• Disconnettere le porzioni di rete infettate
• Utilizzare la segmentazione della rete per proteggere i dati personali e i settori più importanti
• Revocare o limitare temporaneamente l’accesso di alcuni utenti
• Contattare esperti di cybersecurity esterni per contenere l’attacco e risolvere i problemi specifici

Una volta arginato l’attacco, gli sforzi dell’organizzazione devono concentrarsi sull’eliminazione delle cause, ad esempio rimuovere il malware o installare patch e aggiornamenti di sicurezza.

4. Recupero

Questa parte del piano di risposta descrive cosa fare una volta passata l’emergenza, ovvero come ripristinare i sistemi interessati, la fornitura di servizi e le operazioni normali. Le procedure di recupero e ripristino devono essere descritte altrettanto bene quanto le altre parti del SIRP, perché non sono meno importanti.

Un’organizzazione è un’entità che vive in simbiosi con migliaia o milioni di persone: utenti, dipendenti, clienti, fornitori… Rispondere efficacemente a un incidente di sicurezza non significa solo risolvere il problema, ma anche e soprattutto garantire la continuità dei servizi e la sicurezza delle persone.

Per capire quanto sia importante, pensate a un’azienda ospedaliera da cui dipendono le vite di migliaia di persone e che gestisce quotidianamente enormi volumi di dati personali. Ecco allora le attività che formano parte di questa fase del SIRP:

• Ripristinare i backup di dati per recuperare le informazioni perse o rovinate.
• Riconfigurare i sistemi e le reti per verificarne la sicurezza.
• Eseguire test per valutare lo stato dei componenti e la gravità dei danni.
• Verificare che le azioni di recupero rispettino tutti i requisiti legali e normativi, in particolare quelli sulla notifica dei data breach e la segnalazione degli incidenti.
• Installare patch di sicurezza e aggiornamenti critici per eliminare eventuali vulnerabilità all’origine dell’incidente e ridurre così il rischio di attacchi futuri.

La fase di recupero e ripristino ha insomma lo scopo di minimizzare il più possibile l’impatto dell’incidente sulle normali attività e sugli utenti finali.

Analizzare, misurare, ottimizzare: queste sono le chiavi di un piano di risposta efficace, che consente a chi lo usa di rilevare, contenere e mitigare gli incidenti.

5. Miglioramento continuo

I SIRP sono documenti aperti e dinamici. Le minacce si evolvono nel tempo e il perimetro di sicurezza dell’azienda cambia continuamente, con nuovi dispositivi, funzioni, operazioni e così via. Per questo, anche le azioni che abbiamo descritto finora e le configurazioni dei programmi di IPS e IDS devono adattarsi continuamente alle nuove necessità.

Inoltre, dopo ogni attacco ricevuto, anche se non è andato a segno, bisogna analizzare a fondo cos’è successo e migliorare il piano di risposta agli incidenti in base agli insegnamenti appena imparati. L’analisi degli incidenti per il miglioramento continuo comprende:

• Sequenza temporale dettagliata dell’incidente
• Descrizione dell’attacco, che comprende informazioni sui vettori, i sistemi interessati e i dati esposti o compromessi
• Elenco delle azioni di risposta e degli effetti
• Analisi delle cause

L’ideale, come sempre, è pianificare: programmare revisioni, aggiornamenti e test periodici per verificare la validità del piano di risposta agli incidenti e assicurarsi che sia sempre efficace e al passo con i tempi.

Analizzare, misurare, ottimizzare: queste sono le chiavi di un piano di risposta efficace, che consente a chi lo usa di rilevare, contenere e mitigare gli incidenti, creando un ambiente informatico sicuro.

Vantaggi di un piano di risposta agli incidenti

Come abbiamo accennato, i vantaggi sono molti:

• Informazioni strategiche sui problemi di sicurezza: un buon SIRP consente di capire quali sono i punti deboli dell’infrastruttura digitale e come possono essere sfruttati dai cybercriminali.
• Tempo di inattività ridotto: importantissimo per qualsiasi organizzazione, soprattutto nell’epoca dell’esperienza utente e della reputazione online.
• Protezione dei dati personali: la vera grande sfida di tutte le aziende di oggi, pubbliche o private. Un buon piano di risposta agli incidenti è anche una sicurezza in più offerta agli utenti o clienti e consente di proteggere dati che, una volta persi o rubati, non possono più essere recuperati e possono esporre le persone a rischi molto gravi.
• Compliance normativa: per molte attività la sicurezza informatica e fisica delle persone non è una scelta, ma un requisito per continuare a operare e non dover pagare multe salatissime (come quelle previste per le Big Tech che non rispettano le leggi). In caso di incidente informatico, un buon piano di risposta consente di minimizzare i danni e, di conseguenza, di ridurre anche eventuali conseguenze legali.

In questo post abbiamo visto cos’è e com’è fatto un piano di risposta agli incidenti, e perché è così importante averne uno per le aziende grandi e piccole, private o pubbliche. Per quanto riguarda i singoli utenti o i liberi professionisti con strutture di piccolissime dimensioni, un buon inizio è installare una suite di cybersicurezza come Panda Dome e creare un piano di risposta semplice, seguendo le 5 fasi che abbiamo descritto sopra.

CONTINUA A LEGGERE: Sondaggio sulla cybersicurezza europea di Panda Security

Buona navigazione e buona creazione del piano di risposta agli incidenti!