John Noble CBE è consulente di Glasswall e direttore non esecutivo di NHS Digital, dove è responsabile della supervisione della sicurezza informatica e dell’assicurazione delle informazioni. Qui condivide approfondimenti e consigli su come le organizzazioni dovrebbero reagire di fronte a una crisi di sicurezza informatica.
Come molte forme di gestione delle crisi, mitigare l’impatto di un attacco alla sicurezza informatica e ripristinare il normale funzionamento non significa solo reagire agli eventi, ma è un processo che beneficia sempre di strategie efficaci di pianificazione e prevenzione.
Si consideri il ransomware, ad esempio, una delle forme più comuni di criminalità informatica con il potenziale per essere estremamente dirompente. Troppo spesso le organizzazioni scoprono di non avere altra alternativa che pagare la richiesta di ransomware perché i loro dati sono stati crittografati, hanno anche perso il backup, i dati sono stati rubati e c’è un’enorme pressione commerciale per il recupero. Se l’unica altra opzione è un periodo di inattività prolungato durante la ricostruzione dei sistemi, i leader spesso prendono il percorso più brevde e cedono alle richieste.
Contrastare il rischio del ransomware, tuttavia, significa che le organizzazioni dovrebbero adottare alcune misure chiave in anticipo in modo da non trovarsi in una posizione di totale svantaggio. Questi includono attività come garantire l’aggiornamento delle patch del software, affrontare le gravi carenze di sicurezza dell’infrastruttura legacy inaffidabile e assicurarsi che il personale sia formato per identificare e segnalare potenziali e-mail di phishing.
Ridurre al minimo il rischio di diventare una vittima richiede anche l’adozione di misure aggiuntive come la protezione degli account privilegiati, l’implementazione dell’autenticazione a più fattori e la disabilitazione o la limitazione di ambienti di scripting come il protocollo desktop remoto. Questi rappresentano un elenco di requisiti minimi per qualsiasi organizzazione che prenda sul serio i rischi attuali.
Una preparazione efficace richiede anche una pianificazione dettagliata che si concentri sull’affrontare una crisi in modo rapido ed efficace. I passaggi chiave includono:
Implementazione di un backup offline veramente sicuro.
E quindi, idealmente, esercitati con il ripristino dal backup. Per alcune organizzazioni, ciò può potenzialmente essere pericoloso per le operazioni esistenti, quindi l’alternativa è rivolgersi a partner e fornitori IT per garantire che vi sia accesso a competenze e risorse per implementare un backup se necessario.
Dovrebbero inoltre essere predisposti piani di gestione degli incidenti e di continuità operativa ben collaudati per affrontare le conseguenze di un attacco alle funzioni operative chiave.
E, a seconda della natura di ogni azienda e delle sue risorse, i team dirigenziali stanno mettendo sempre più in standby l’assistenza di una società di risposta agli incidenti.
Le cattive pratiche
Passando ora alla gestione di un incidente, le organizzazioni che lottano per affrontare incidenti come un attacco ransomware tendono a condividere alcuni tratti comuni. Ad esempio, i team esecutivi non dovrebbero commettere l’errore di presumere che una violazione della sicurezza informatica sia un problema tecnologico che ricade esclusivamente sulle spalle del CISO.
Sì, il CISO ha un ruolo fondamentale nell’affrontare il problema tecnologico e nell’aiutare l’organizzazione a riprendersi, ma c’è di più. La responsabilità di affrontare e mitigare l’impatto di una grave violazione ricade sull’intero team di gestione, dai requisiti legali, di reporting e statutari alle operazioni aziendali, ai clienti e praticamente a tutte le funzioni in cui la tecnologia ha un ruolo.
Anche l’attuazione rapida e decisa dei piani di mitigazione e ripristino (se esistenti) è fondamentale. Ciò che può accadere, tuttavia, è che le squadre cadano nell’ottimismo, piuttosto che presumere lo scenario peggiore. L’impatto negativo di ciò diventa spesso evidente quando il personale interno viene presto sopraffatto dalla tremenda pressione di affrontare l’entità di un attacco. Questo può essere il punto in cui le aziende spesso si rivolgono al supporto esterno, specializzato nella risposta agli incidenti: sebbene questo sia importante, è sempre meglio coinvolgere esperti nella pianificazione anticipata piuttosto che in caso di emergenza.
Le buone pratiche
Al contrario, un efficace processo di mitigazione e ripristino inizia sempre assicurando che qualcuno sia chiaramente responsabile e armato dell’autorità del CEO per prendere decisioni all’interno dell’organizzazione.
Dovrebbe essere in vigore una struttura di risposta agli incidenti che abbia il consenso della dirigenza. Questi ultimi infatti potrebbero non essere esperti tecnici, quindi dovrebbero ricevere tutte le informazioni chiave di cui hanno bisogno in un formato comprensibile in un modo che possano utilizzarle per prendere decisioni efficaci e pienamente informate.
Le migliori pratiche devono essere supportate da una comunicazione interna ed esterna chiara ed efficace, basata su uno script di base che viene aggiornato man mano che le nuove informazioni diventano disponibili. Ogni comunicazione deve essere orientata al destinatario, ma il messaggio sottostante deve essere coerente, incluso un piano per la gestione degli stakeholder.
Le decisioni sull’opportunità di cercare un aiuto esterno specialistico dovrebbero essere prese all’inizio del processo, soprattutto prima che i team interni si esauriscano per lo sforzo richiesto per affrontare la crisi. Le organizzazioni spesso presumono che questi servizi siano proibitivi, ma in realtà i costi aziendali possono essere notevolmente superiori rispetto al conto di un consulente specializzato. La necessità di un supporto esterno prima di un attacco avrebbe dovuto essere identificata e avrebbero dovuto essere messi in atto accordi commerciali ben prima di qualsiasi incidente.
Prepararsi per qualcosa che potrebbe non accadere mai può sembrare un sovraccarico non necessario, rispetto alla gamma di priorità quotidiane che ogni organizzazione incontra. Tuttavia, di fronte a un attacco ransomware paralizzante, coloro che lo affrontano parleranno quasi sempre di quanta pressione subiuscono e i team che si sono preparati in anticipo sono, senza eccezioni, sempre molto contenti di averlo fatto.
Fonte: Glasswall
Lascia un commento