Incident Management

Sai cosa fare dopo un incidente di sicurezza informatica?

In caso di incidente si sicurezza informatica, è necessario ripristinare l’operatività e coordinare le attività di risposta all’incidente e le relative comunicazioni interne ed esterne verso tutti i soggetti coinvolti: questo fa parte di un processo di incident management. La noncuranza potrebbe causare una denuncia da parte del garante privacy.

Servizio di Incident Management: quando serve

Subire un attacco informatico significa dover agire prontamente per garantire la business continuity, capire lo stato di salute dei sistemi e per quali eventuali dati sensibili è venuto meno il principio di riservatezza. Un’azienda deve infatti essere sicura che non siano ancora in corso delle attività malevoli degli attaccanti. Terminata questa fase, sarà il momento di eliminare le vulnerabilità che hanno causato l’incidente di sicurezza informatica.

Il servizio

Continuità operativa: ripristiniamo nel minor tempo possibile le normali attività a livello core e di singoli utenti.
Valutazione attacco: identifichiamo la tipologia di attacco, per valutare se è terminato o ancora in corso. In caso di attacco in corso, viene scelta la strategia di contenimento per limitare ulteriori compromissioni di dati e servizi e procediamo con le azioni di recovery.
Valutazione impatto: eseguiamo la valutazione dell’impatto funzionale attuale e nel breve termine in relazione alle BIA (Business Impact Analysis), che analizzano le priorità di processi critici, policy e procedure di cyber security in uso.
Raccolta informazioni: raccogliamo le informazioni relative all’incidente informatico utili a comprendere il vettore di attacco e le modalità utilizzate (lateral movement, privilege escalation, ecc.).

Il risultato

Il servizio di Incident Management comprende la messa in sicurezza dell’infrastruttura nel minor tempo possibile per garantire un’operatività limitata ma funzionale alla fase vera e propria di ripristino. Inoltre per ciascun servizio o processo viene prodotta una checklist per la riattivazione in sicurezza dello stesso segnalando servizi e processi da ripristinare con relativa priorità.

Una volta ripristinate le attività principali si organizza un “lesson learned” meeting per valutare l’accaduto e implementare strategie, policy e procedure necessarie ad evitare il ripetersi di incidenti analoghi.

Vuoi metterci alla prova?

Risolveremo le criticità che si sono presentate e faremo in modo che non si ripetano.