Conoscere il panorama delle minacce informatiche per comprenderne l’essenza è importante ma essere preparati ad affrontare un incidente di cybersecurity richiede un approccio molto più completo.
Continua a sostenerlo Verizon che nei suoi studi annuali, come il Data Breach Investigations Report e l’Insider Threat Report, continua a segnalare le minacce informatiche e le tendenze che dovrebbero essere presenti nel radar di ogni organizzazione.
In tal senso, l’Incident Preparedness and Response (VIPR) report di Verizon fornisce alle organizzazioni una vera e propria guida strategica per la creazione di piani IR efficaci ed efficienti. Lo studio è stato realizzato sulla base di valutazioni di piani di risposta agli incidenti (IR) e simulazioni di data breach condotte da Verizon per i suoi clienti fra il 2016 e il 2018.
Le sei fasi tipiche di risposta agli incidenti
Gli esperti di Verizon hanno identificato le sei fasi tipiche che ogni piano IR dovrebbe contenere, fornendo per ognuna di esse i punti chiave per aiutare le organizzazioni a massimizzare le diverse aree.
Ecco una panoramica:
- Pianificazione e preparazione – questa fase comprende la costruzione del Piano IR per coinvolgere i principali stakeholder interni e le terze parti interessate – un passaggio cruciale per una risposta efficace.
- Rilevamento e classificazione – la seconda fase include il rilevamento e la classificazione degli incidenti di sicurezza informatica in base al livello di gravità e all’elemento scatenante.
- Contenimento ed eliminazione – questa fase si concentra, da un lato sul contenimento della minacce in materia di cybersecurity per minimizzarne gli effetti, dall’altro, sulla loro eliminazione per prevenire ulteriori danni.
- Raccolta e analisi – la fase di raccolta e analisi delle prove può aiutare a fare maggior chiarezza sugli incidenti di sicurezza informatica in modo da riuscire a contenere efficacemente una violazione dei dati, e a concentrarsi su attività di risanamento e ripristino.
- Risanamento e ripristino – in questa fase è necessario indicare sia le misure atte a garantire che le normali operazioni vengano ripristinate, sia le procedure volte a prevenire o mitigare incidenti futuri.
- Valutazione e adeguamento – quest’ultima fase consiste nell’inserire nel piano IR i risultati di quanto appreso dall’incidente per migliorare le metriche, i controlli e le pratiche di sicurezza informatica.
Il rapporto VIPR include anche cinque Breach Simulation Kits costituiti da scenari reali, che forniscono alle organizzazioni i contenuti utili per facilitare le loro esercitazioni sugli incidenti, per testare e perfezionare i loro piani IR con le parti interessate. Gli scenari dei Breach Simulation Kit includono una minaccia interna di cripto-jacking, un attacco malware, lo spionaggio informatico e un’aggressione informatica in ambito cloud.
Come riferito infatti in una nota ufficiale da Bryan Sartin, Executive Director di Verizon Global Security Services: «Le aziende pensano che avere un piano IR in archivio significhi essere preparati per un attacco informatico. Tuttavia spesso questi piani non vengono aggiornati o utilizzati da anni e non sono più adeguati a rispondere agli incidenti informatici. Avere un piano obsoleto è tanto negativo quanto non averne alcuno. I piani di IR devono essere trattati come “documenti viv”, regolarmente aggiornati e bisogna esercitarsi su scenari di violazione per renderli realmente efficaci».
Per John Grim del Verizon Threat Research Advisory Center (VTRAC) e dell’Investigative Response Team: «I piani IR possono essere mantenuti aggiornati includendo il feedback degli stakeholder, gli insegnamenti appresi dai test di simulazione delle violazioni e le informazioni di intelligence sulle ultime tattiche informatiche utilizzate. Ciò consente al piano di aggiornarsi costantemente riflettendo il panorama in continua evoluzione della sicurezza informatica».