CISOaaS
7. La gestione degli incidenti di sicurezza
Roberto Perelli
Settembre 12, 2022
4:06 pm
“non è questione di SE ma di QUANDO”.
Gestione degli incidenti di sicurezza

Primo, nella gestione degli incidenti di sicurezza “non è questione di SE ma di QUANDO”:

è una massima ormai inflazionata, ma dovrebbe servire a focalizzare attenzione e risorse per gestire eventi che hanno una probabilità di accadimento vicina alla certezza.


Secondo, “non fare del male”:

anche nella gestione degli incidenti di sicurezza è buona regola applicare questo principio fondamentale della medicina perché sono molte le possibilità di peggiorare le conseguenze negative di un incidente di sicurezza senza la sufficiente preparazione ad affrontarlo.



La preparazione paga:

- prepararsi per gli incidenti di sicurezza può ridurre danni all'Azienda, i costi degli incidenti e le difficoltà di gestione.

- i principali incidenti di sicurezza informatica devono far parte della gestione del rischio aziendale.


Il coordinamento è fondamentale:

la gestione richiede la collaborazione e il coordinamento dei tecnici, delle funzioni operative, di comunicazione, e legali.


Mantenere la calma ed il controllo:

durante la gestione di un incidente di sicurezza la reazione eccessiva può essere dannosa quanto una reazione insufficiente.


La gestione degli incidenti di sicurezza è un elemento importante del Programma di Sicurezza che il Fractional CISO organizza nell’Azienda;

in base alle dimensioni e complessità alcune funzioni specifiche potranno essere gestite internamente o delegate ad un partner professionale esterno (Managed Security Service Provider o MSSP)


Gli elementi fondamentali per la gestione degli Incidenti di Sicurezza sono:


- Inventari aggiornati delle informazioni, tecnologia, processi per identificare gli “asset” più importanti e critici che è prioritario proteggere

“If you protect your paper clips and diamonds with equal vigor, you will soon have more paper clips and fewer diamonds.”


- Politica di Gestione degli Incidenti Informatici di Sicurezza definisce quali eventi sono considerati incidenti, stabilisce la struttura organizzativa per la risposta agli incidenti, definisce ruoli e responsabilità ed elenca i requisiti per la segnalazione degli incidenti.


- Piano di Gestione degli incidenti di Sicurezza delle Informazioni è una tabella di marcia per l'implementazione del programma di risposta agli incidenti, indica gli obiettivi sia a breve che a lungo termine per il programma, comprese le metriche di misurazione, i requisiti e la frequenza con cui devono essere formati i gestori degli incidenti.


- Framework di riferimento per la gestione degli Incidenti di Sicurezza Standard come NIST SP.800-61 o SANS-GIAC o personalizzato in base alle caratteristiche dell’organizzazione.


- Team di gestione degli incidenti di sicurezza.

In mancanza di una struttura organizzativa permanente (come un CSIRT, un SOC interno o MSSP) deve essere definito un Team di gestione degli incidenti pronto ad essere attivato senza preavviso costituito da persone addestrate con ruolo e responsabilità definite in modo chiaro che rappresentino le funzioni aziendali: Management, Sicurezza IT, Operazioni IT, Comunicazioni interne ed esterne, Legale (DPO se presente), Risorse Umane.


- Procedure di risposta agli incidenti.

Le procedure basate sulla policy e sul piano di risposta agli incidenti, riportano i passaggi dettagliati per rispondere da un incidente e coprono tutte le fasi del processo per le più importanti tipologie di incidente di sicurezza come:

--> ripristino di un account compromesso;

--> ripristino di un host compromesso;

--> segregazione ed isolamento di parti di rete.

Incluso il ripristino in maniera sicura end-point, server e configurazioni di apparati.


- Processo di approvazione di emergenza per la gestione di modifiche rapide durante un'emergenza/incidente (ad esempio, autorità di giudicare/approvare proposte di cambiamento rapido e disposizioni ad acquisire servizi di supporto specialistico).


- Sistema di backup delle informazioni critiche collaudato e separato dagli ambienti operativi.


I diversi ambiti che il Fractional CISO coordina e sovraintende:


Integrazione:

- con le priorità di business e leadership

- con le operazioni IT o con la sicurezza IT (team interno e/o partner professionali)


Cultura e processi di apprendimento continuo:

- esercitazioni regolari del Team di gestione degli incidenti di sicurezza

- integrazione delle analisi successive all’incidente di sicurezza (post-mortem)


Documentazione:

- accessibilità e fruibilità per tutte le parti interessate

- istruzioni dettagliate di ripristino tecnico (o automazione) per IT

- Escalation per incidenti gravi:

- Accesso a competenza tecnica su sistemi di sicurezza e sistemi critici di business

- Accesso all'esperienza operativa, di comunicazione e legale tramite team di specialisti interni e/o partnership con enti esterni

Category : Fractional CISO – Istruzioni per l’uso