ALLERTA PERICOLI INFORMATICI

INCIDENTE DI SICUREZZA : 10 passaggi chiave per sapere cosa fare e cosa evitare a seguito di una violazione

INCIDENTE DI SICUREZZA : 10 passaggi chiave per sapere cosa fare e cosa evitare a seguito di una violazione
Scritto da gestore

A livello globale,ย si stima che le violazioni dei dati siano in continuo aumento. Le organizzazioni ingrandiscono ogni giorno la loro infrastruttura digitale ed in questo modo espandono inconsapevolmente la superficie di attacco aziendale. Ma una volta che gli allarmi scattano, cosa succede dopo? La presenza di attori ransomware, un precursore sempre piรน comune delle moderne violazioni dei dati, complicherร  ulteriormente le cose.ย Ecco cosa fare e cosa evitare di fare a seguito di una violazione :

  • Stai calmo

รˆ probabile che una violazione dei dati sia una delle situazioni piรน stressanti in cui si trova la tua organizzazione, soprattutto se l’incidente รจ statoย causato da agenti di ransomwareย che hanno sistemi di chiavi crittografate e richiedono un pagamento.ย Tuttavia, le risposte istintive possono fare piรน male che bene.ย Sebbene sia ovviamente importante rimettere in funzione l’azienda, lavorare con metodo รจ fondamentale.ย Dovrai esaminare il piano di risposta agli incidenti e comprendere la portata del compromesso prima di intraprendere qualsiasi azione importante.

Intermezzo promozionale ... continua la lettura dopo il box:

  • Segui il tuo piano di risposta agli incidenti

Dato che non si tratta di “quando” ma “se” la tua organizzazione viene violata oggi, unย piano di risposta agli incidenti รจ una best practice essenziale per la sicurezza informatica. Ciรฒ richiederร  una pianificazione avanzata, magari seguendo la guida di fonti del calibro del National Institute of Standards and Technologyย (NIST) degli Stati Uniti o delย National Cyber โ€‹โ€‹Security Centreย (NCSC)ย del Regno Unitoย .ย Quando viene rilevata una violazione grave, un team di risposta agli incidenti pre-assegnato con le parti interessate di tutta l’azienda dovrebbe lavorare attraverso i processi passo dopo passo.ย รˆ una buona idea testare periodicamente tali piani in modo che tutti siano preparati e il documento stesso sia aggiornato.

  • Valuta la portata della violazione

Uno dei primi passaggi critici dopo un grave incidente di sicurezza รจ capire quanto gravemente sia stata colpita l’azienda. Queste informazioni informeranno le azioni successive come la notifica ed e la ripresa delle attivitร . Avrai bisogno di sapere idealmente come sono entrati i malintenzionati e qual รจ il “raggio di esplosione” dell’attacco: quali sistemi hanno toccato, quali dati sono stati compromessi e se sono ancora all’interno della rete. รˆ qui che vengono spesso arruolati esperti forensi di terze parti.

  • Fatti coinvolgere legalmente

Dopo una violazione, devi sapere dove si trova l’organizzazione. Che responsabilitร  hai? Quali autoritร  di regolamentazione devono essere informate? Dovresti negoziare con i tuoi aggressori per guadagnare piรน tempo? Quando devono essere informati clienti e/o partner? La consulenza legale interna รจ il primo punto di riferimento in questo passaggio. Ma potrebbe anche voler coinvolgere esperti nello spazio di risposta agli incidenti informatici. รˆ qui che i dettagli forensi su ciรฒ che รจ realmente accaduto sono vitali, in modo che quegli esperti possano prendere le decisioni piรน informate.

  • Sapere quando, come e chi notificare

Secondo i termini delย GDPRย , la notificaย all’autoritร  di regolamentazione locale deve avvenire entro 72 ore dalla scoperta di una violazione. Tuttavia, รจ importante capire quali sono i requisiti minimi per la notifica, poichรฉ alcuni incidenti potrebbero non richiederlo. รˆ qui che รจ essenziale una buona comprensione del “raggio dell’esplosione”. Se non sai quanti dati sono stati prelevati o come sono entrati gli autori delle minacce, dovrai presumere il peggio nella notifica al regolatore.

  • Dillo alle forze dell’ordine

Qualunque cosa accada con il regolatore, probabilmente avrai bisogno di avere le forze dell’ordine dalla tua parte, specialmente se gli attori delle minacce sono ancora all’interno della tua rete.ย Ha senso farli salire a bordo il piรน rapidamente possibile.ย Nel caso del ransomware, ad esempio, potrebbero essere in grado di metterti in contatto con fornitori di sicurezza e altre terze parti che offrono chiavi di decrittazione e strumenti di mitigazione.

  • Dillo ai tuoi clienti, partner e dipendenti

Questo รจ un altro impegno sulla lista post-violazione. Tuttavia, ancora una volta, il numero di clienti/dipendenti/partner che devi informare, cosa dire loro e quando dipenderร  dai dettagli dell’incidente e da cosa รจ stato rubato. Considera prima di rilasciare una dichiarazione in cui dichiari che l’organizzazione รจ a conoscenza di un incidente e sta attualmente indagando. Ma le voci prosperano nel vuoto, quindi dovrai seguire questo con maggiori dettagli poco dopo. I team IT, PR e legali dovrebbero lavorare a stretto contatto su questo.

  • Inizia il ripristino

Una volta che l’ambito dell’attacco รจ chiaro e i soccorritori/team forensi sono sicuri che gli autori delle minacce non hanno piรน accesso, รจ il momento di rimettere in funzione le cose.ย Ciรฒ potrebbe significare il ripristino dei sistemi dal backup, il reimaging delle macchine compromesse, l’applicazione di patch agli endpoint interessati e la reimpostazione delle password.

  • Inizia a creare resilienza per attacchi futuri

Gli attori delle minacce spesso condividono le conoscenze sulla criminalitร  informatica sotterranea.ย Stanno anche tornando sempre piรน a compromettere piรน volte le organizzazioni vittime,ย specialmente con il ransomware.ย Ciรฒ rende piรน importante che mai l’utilizzo delle informazioni raccolte dal rilevamento e dalla risposta alle minacce e dagli strumenti forensi per assicurarsi che i percorsi utilizzati per la prima volta dai propri aggressori non possano essere sfruttati di nuovo in raid futuri.ย Potrebbe significare miglioramenti alla gestione di patch e password, una migliore formazione sulla consapevolezza della sicurezza, l’implementazione dell’autenticazione a piรน fattori (MFA) o modifiche piรน complesse a persone, processi e tecnologia.

  • Studia la peggiore risposta agli incidenti

Il pezzo finale del puzzle di risposta agli incidenti รจ imparare dall’esperienza. Parte di ciรฒ รจ costruire la resilienza per il futuro, come sopra indicato. Ma puoi anche studiare dall’esempio degli altri. La storia delle violazioni dei dati รจ disseminata di casi di alto profilo di scarsa risposta agli incidenti. In un caso ben pubblicizzato,ย l’account Twitter aziendale di un’azienda violata ha twittato quattro volte un link di phishing, scambiandolo per il sito di risposta alla violazione dell’azienda.ย In un altro, una delle principali societร  di telecomunicazioni del Regno Unito รจ stata pesantemente criticata perย aver rilasciato informazioni contrastantiย .

Un ultima parola

Qualunque cosa accada, i clienti si aspettano sempre piรน che le organizzazioni con cui fanno affari subiranno incidenti di sicurezza.ย รˆ il modo in cui reagisci che determinerร  se rimarranno o se ne andranno e quale sarร  il danno finanziario e di reputazione.

Fonte : https://www.welivesecurity.com/