L'incident response è l’insieme di procedure impiegate per rispondere un attacco informatico. La reazione a un attacco, infatti, non si limita al “semplice” contrasto dell’attività illecita. Per l’azienda, un episodio che comporta la violazione dei sistemi informativi rappresenta un momento estremamente delicato, in cui la gestione della fase di incident response richiede competenza ed efficacia. Al di là dell’aspetto tecnico e dei rischi legati ai potenziali danni che un attacco può provocare, infatti, oggi è necessario tenere presente l’aspetto legale.
Incident response e protezione dei dati: il GDPR
Le nuove normative in tema di sicurezza informatica, a partire dal Regolamento Generale sulla Protezione dei Dati (GDPR) hanno un’impostazione decisamente differente dai regolamenti a cui le aziende erano abituate in passato. Se le norme tradizionali, per esempio quelle relative alla sicurezza “fisica” degli ambienti di lavoro, prevedevano semplici adempimenti per avere la certezza di essersi adeguati alla legge, nel caso della protezione dei dati ci si trova di fronte a quella che possiamo definire come una “obbligazione di risultato”. Ciò che si chiede all’azienda, in pratica, è di aver messo in atto tutte le ragionevoli misure di sicurezza per prevenire e contrastare un data breach. Nella fase di incident response, di conseguenza, è indispensabile mettere in campo tutte le attività necessarie per poter dimostrare di aver ottemperato a questo obbligo.
La raccolta dati nell'incident response
Per poter adempiere al compito è indispensabile, prima di tutto, avere gli strumenti che consentano di analizzare l’attacco e poter ricostruire tutte le attività intraprese per contrastarlo. Il tema è quello dell’analisi forense, che viene eseguita utilizzando strumenti specifici che permettono di validare l’autenticità delle informazioni raccolte e adottando procedure rigorose per garantire la cosiddetta “chain of custody”. È indispensabile, quindi, avere a disposizione i log di sistema che rappresentano, sotto un profilo legale, le “prove” di quanto è accaduto. Sotto questo profilo, è evidente che una maggiore profondità nel rilevamento e nell’analisi dei dati, per esempio attraverso l’utilizzo di un SIEM, consente di avere maggiori informazioni e, di conseguenza, la possibilità di fare una ricostruzione puntuale dell’eventuale data breach.
Incident response, vietato improvvisare
Esattamente come accade per i piani di evacuazione in caso di incendio, di fronte a una violazione dei sistemi informatici è indispensabile avere un piano dettagliato che consenta di definire procedure, ruoli e obiettivi dell’incident response. Il quadro normativo (e il buon senso) suggeriscono un approccio improntato al principio di precauzione. In altre parole, è bene partire dal presupposto che, prima o poi, ci troveremo a fronteggiare una situazione del genere e che, in quel momento, dovremo essere in grado di reagire seguendo un “copione” ben definito. Uno degli aspetti da considerare, oltre alla messa in sicurezza dei dati, è quello di verificare la possibilità che l’incidente di sicurezza possa portare alla compromissione di servizi condivisi con altri soggetti, come fornitori, clienti e partner commerciali. Una verifica, ed eventualmente una comunicazione tempestiva ai soggetti interessati, può consentire di mitigare il rischio di un “effetto domino” che potrebbe avere conseguenze decisamente gravi.
Incident response management, come proteggere la reputazione aziendale
Se per l’Europa questa tematica è relativamente nuova, l’esempio degli Stati Uniti mostra che la predisposizione di procedure adeguate in tema di incident response stanno progressivamente guadagnando centralità anche a livello di reputazione dell’azienda. Molte organizzazioni con sede negli USA, infatti, prevedono periodici assessment a livello di cyber-security per i partner commerciali, subordinando la collaborazione al soddisfacimento degli standard a livello normativo e delle certificazioni del settore. Insomma: oltre a rappresentare un elemento indispensabile per l’adeguamento normativo, la definizione di un sistema efficace di response è ormai considerato un importante fattore abilitante per il business.