A destra del “boom”
di Giuliano Merlo (Ibm)
-
17 Maggio 2019
La fase di pianificazione e di preparazione a un possibile disastro (left boom) è fondamentale. Ma altrettanto importanti sono i piani di risposta agli incidenti (right boom) per contenere i danni e salvaguardare il business. Ecco le regole da seguire raccontate da Giuliano Merlo di Ibm
Nel linguaggio militare “boom” è il termine usato per indicare la detonazione di un ordigno esplosivo. Le persone preposte alla preparazione e alla risposta a disastri e calamità naturali utilizzano i termini "left of boom" e "right of boom" ad indicare fasi di pianificazione e di preparazione ad un possibile disastro (left) e fasi di risposta al disastro stesso (right).
Questi termini si usano anche nella cybersecurity dove, attraverso lo sviluppo e il mantenimento di un piano di risposta agli incidenti a livello aziendale, le organizzazioni possono ridurre in modo significativo l'impatto della prossima minaccia alla sicurezza informatica. Questa preparazione richiede una combinazione di formazione, sviluppo di processi e implementazione di tecnologie che è importante pianificare in anticipo.
Dal “left boom” …
Abitualmente le organizzazioni tendono ad affrontare quanto sta alla sinistra del boom e a sottovalutare la parte a destra. In realtà, considerando che i criminali informatici non stanno rallentando le proprie azioni, è di fondamentale importanza la pianificazione e l’aggiornamento dei piani di “incident response” per essere efficaci sia prima che dopo il boom.
Le dieci fasi preparatorie, che ben posizionano alla sinistra del boom consistono in:
1. effettuare una valutazione del rischio per la sicurezza informatica attraverso piani e programmi strutturati che coinvolgono l’intera organizzazione;
2. avere un robusto piano di patch management;
3. implementare le giuste tecnologie di prevenzione e rilevazione;
4. avere strumenti e processi di monitoraggio degli eventi;
5. implementare un buon piano di segmentazione della rete;
6. avere un piano strutturato di formazione dei dipendenti;
7. utilizzare approccio di privilegi minimi nelle fasi di accesso alla rete aziendale;
8. utilizzare crittografia per protezione di dati sensibili e critici;
9. avere piano di backup dei dati (magari anche come “as a service”)
10. testare i controlli attraverso esercizi di attacchi simulati (red team versus blue team).
… al “right boom”
Tuttavia, prima o poi, l’attacco può colpire anche i bersagli meglio protetti. E ci troviamo subito alla destra del boom: come possiamo essere preparati per affrontarlo?
Innanzitutto ciò che faremo una volta a destra del boom sarà di importanza vitale per il contenimento dei danni e la salvaguardia del business.
La fase “right of boom” viene solitamente sottovalutata per motivi culturali e di resistenza al cambiamento. Convinzioni quali “non può accadere qui”, “allenarsi al peggio non fa bene al morale dei dipendenti”, “i costi della preparazione del boom non sono così facilmente quantificabili come i costi per il rafforzamento del target”, hanno portato le aziende a concentrarsi maggiormente sulla sinistra dell’incidente.
I tre aspetti chiave che un piano di incident response deve avere sono:
1. chiarezza, in quanto il programma di risposta deve essere definito e condiviso a tutti i livelli della organizzazione;
2. ripetibilità delle attività di risposta agli incidenti, che devono inoltre essere accurate, coerenti e prevedibili;
3. sostenibilità, ovvero flessibilità dei processi e presenza di revisioni post-incidente e sessioni post-intervento, con un approccio scalabile e modulare alla tecnologia e alle pratiche commerciali.
Il piano di incident response
Di seguito alcune fasi importanti che non possono mancare in un piano di incident response:
- effettuare salvataggi e dump del traffico di rete: sono evidenze che consentiranno analisi sulle cause e su come migliorare le attuali misure di difesa;
- gestire l’incidente: la rapidità con cui vengono gestiti gli incidenti determina il successo della risposta. Il caos deve essere evitato;
- mantenere costanti e continui piani di comunicazione: chi parlerà per l'organizzazione? Come saranno diffuse le informazioni? Sarà importante parlare con una sola voce e non diffondere messaggi in conflitto e informazioni incomplete o errate;
- identificare la causa e l'impatto delle risorse compromesse: attraverso analisi di tipo “root cause” è possibile condividere esperienze ed evitare i medesimi incidenti in futuro;
- prevedere supporto di eventuali terze parti specializzate che possano aggiungere esperienza e competenze velocizzando i tempi di risposta e ripristino;
- tenere tracciate tutte le analisi e le diagnosi fatte sulla natura dei problemi – esse rappresentano un valore per il processo di evoluzione continua del piano di risposta agli incidenti.
Oggigiorno, quando si parla di boom, l’attenzione non è più su “se succederà” l’incidente, ma su “quando succederà”. Ecco perché
i programmi di preparazione e risposta stanno acquisendo decisamente più importanza rispetto al passato, portando sempre più le organizzazioni a dotarsi di un piano per gestire l’imponderabile.
La sicurezza prima di tutto
Come interpretare e gestire la sicurezza in maniera strategica nell’epoca dell’open banking, su piattaforme interconnesse e proponendo al cliente servizi sempre più multi-accesso?
Banche e Sicurezza (
qui il sito dedicato) è
l’evento promosso dall’ABI il 21 e 22 maggio, a Milano(Centro Bezzi, per conoscere ed esplorare le frontiere della sicurezza fisica e digitale nel settore finanziario, bancario e assicurativo.
L’innovazione digitale ha aperto al settore finanziario straordinarie opportunità di crescita, annullando le barriere tra mondo fisico e digitale. Ma ha anche moltiplicato le fonti di rischio. Banche e Sicurezza traccia la rotta di una nuova alleanza tra competenze umane e potenzialità tecnologiche, per ripensare la sicurezza come valore. Al servizio del business, della clientela, della società.
(la partecipazione è gratuita e rivolta a banche e altri intermediari finanziari, assicurazioni, pubblica amministrazione, università.
Clicca qui per iscriverti)