Critical Security Controls: Gestione degli Incidenti

Indice

Il controllo numero 17 dei CSC si occupa della “Gestione e Risposta agli Incidenti” ed è un argomento di assoluta attualità perché, partendo dall’assunto che nessuno è invulnerabile ad un incidente informatico, una delle principali capacità da sviluppare è quella di tornare operativi nel minor tempo possibile.

Considerazioni preliminari

I CSC dedicano 9 salvaguardie alla gestione e risposta agli incidenti ma, prima di mostrarle, è necessario fare una riflessione sul titolo scelto per questo controllo che, di fatto, sancisce due momenti importanti di un incidente.

Con il termine gestione s’intende un’attività di controllo che inizia anche prima che il problema si manifesti. La gestione richiede quindi competenze di varia natura che potremmo riassumere come tecniche, organizzative e gestionali.

Con il termine risposta s’intende un’attività successiva alla manifestazione dell’incidente, necessario al ripristino della situazione di normalità richiesta dall’organizzazione per operare. La risposta è possibile solo a patto che vi siano talune condizioni che, evidentemente, devono essere formate durante il periodo di gestione. Vi è quindi una relazione di dipendenza tra i due momenti.

L’obiettivo principale della risposta agli incidenti è identificare le minacce all’interno dell’azienda, rispondere prima che si diffondano e rimediare prima che possano causare danni. Non comprendendo completamente l’ambito di un incidente, come si è verificato e cosa si può fare per evitare che accada di nuovo, i difensori ripeteranno sempre e soltanto uno schema come nel gioco “colpisci la talpa”. Non possiamo attendere un’efficacia al 100% delle nostre protezioni. Quando si verifica un incidente, se un’impresa non dispone di un piano documentato, anche con personale preparato, è quasi impossibile conoscere le corrette procedure investigative, rapporti, raccolta dati, responsabilità di gestione, aspetti legali e strategia di comunicazione che consentiranno all’impresa di comprendere, gestire e recuperare con successo.

Controllo #17: Gestione e Risposta agli Incidenti

Le salvaguardie previste dai CSC sono nove e hanno due particolare funzioni: RISPONDERE e RECUPERARE e come è possibile notare molte di queste misure si basano su un’adeguata capacità di organizzazione delle risorse.

Uno degli aspetti di maggiore attenzione è proprio quanto previsto dalla salvaguardia 17.1 “Designare il Personale incaricato per la Gestione degli Incidenti“. Si è abituati a pensare che il personale tecnico, o magari proprio lo stesso Amministratore di Sistema, sia la figura più opportuna per gestire gli eventi straordinari di questo tipo. In realtà non è assolutamente detto; è possibile che per ragioni di esperienza, di conoscenza specifica o anche solo di temperamento, vi sia personale più adatto e preparato a gestire l’incidente informatico. Tra l’altro la misura si aggancia a quella successiva elencata al punto 17.5 “Assegnare Ruoli Chiave e Responsabilità” che per l’appunto ha lo scopo di distribuire ruoli e responsabilità a vari livelli (legale, tecnico, di comunicazione, manageriale, etc…).

Rapporto con la CISA

Forse non tutti sanno che nella lotta ai ransomware, la CISA (Cybersecurity Infrastructure Security Agency) degli Stati Uniti, ha definito una serie di regole da tenere presenti durante l’incidente. Tra queste misure compaiono anche le seguenti:

  • Agire tempestivamente e contemporaneamente: assegnare i compiti a più persone. Ad esempio, quando una risorsa si occupa di spegnere il sistema, l’altra disconnette gli apparati di rete. È fondamentale la nomina di delegati all’azione.
  • Individuare i fornitori con cui cooperare: a seguito di un’infezione i tecnici e gli operatori che interverranno saranno diversi e ciascuno con le sue competenze. I tecnici di rete sono differenti da quelli di sistema, che sono differenti da quelli che interverranno sui NAS e sui sistemi di disaster recovery.
  • Predisporre modelli informativi: comunicare quello che è successo richiede tempo e pertanto si suggerisce di predisporre modelli di e-mail e documenti ai quali aggiungere solo alcune informazioni essenziali.

Questi aspetti sono essenziali e si riagganciano a quanto previsto dalle salvaguardie di cui al controllo 17 dei CSC.

Conclusioni

La gestione degli incidenti è un momento essenziale del processo gestionale di un’organizzazione. Non è più inteso come un evento straordinario di rara eventualità, bensì come un fenomeno potenzialmente frequente con regole e modalità di gestione proprie. Trascurare questi aspetti produce conseguenze sgradevoli se non addirittura problematiche: ci possono essere ritardi nel ritorno all’operatività, danni reputazionali ma anche conseguenze di natura legale. È quindi importante predisporre adeguate contromisure a tali eventi e scongiurare le conseguenze con una buona e consapevole preparazione.