Creare un piano di ripresa da attacchi informatici: i passaggi chiave

Il suo scopo deve essere quello di dare delle direttive chiare su come approcciarsi al problema e su come evitare che esso si propaghi: in particolare, deve essere chiaro il ruolo di ogni dipendente sulle operazioni da effettuare e quelle da non eseguire.

Di seguito, ti illustriamo una serie di passaggi da inserire nel tuo piano di ripresa per rispondere al meglio ad un attacco alla sicurezza informatica della tua azienda.

Sicurezza informatica: creare un piano di ripresa

Il seguente piano è ripreso dal documento “Guide for Cybersecurity Event Recovery” redatto dall’agenzia statunitense National Institute of Standards and Technology (NIST), la cui missione è di promuovere l’innovazione tecnologica per garantire la competitività industriale.

Il piano di ripresa si articola in questo modo:

Prerequisiti necessari

Prima ancora di giungere al momento critico di attacco informatico, devono essere assicurati degli elementi iniziali che permettano di agire anche in caso di condizioni operative limitate, in particolare è importante:

1. redigere una lista di processi per la ripresa formalmente approvata dai dirigenti e dal personale operativo;
2. stendere la lista delle risorse coinvolte nel piano di ripresa (personale esperto, strutture hardware e software, componenti tecnici, servizi esterni ecc);
3. stabilire una mappa per le dipendenze per indicare l’ordine di priorità per il ripristino delle funzioni;
4. stabilire il livello di criticità assegnato ad ogni risorsa per capire quanto è grave l’attacco subìto.

Piano di ripresa

Queste sono le azioni da intraprendere nel momento in cui l’azienda diventa vittima di un cyber attacco:

Fase iniziale:

• generare un rapporto con tutte le informazioni necessarie per comprendere la gravità del cyber attacco;
• determinare l’impatto e la criticità dell’evento in base alle risorse coinvolte;
• formulare un approccio di azione generale e poi suddividerlo in step specifici;
• intensificare il monitoraggio della rete aziendale e delle infrastrutture informatiche;
• comprendere il movente del cyber criminale;
• identificare le tracce lasciate dal criminale nell’infrastruttura, nei canali di comando e di controllo e negli strumenti informatici;
• comunicare ad ogni reparto dell’azienda che le procedure di ripresa sono state avviate;
• utilizzare tutte le informazioni utili per attivare il piano di risanamento.

Fase di esecuzione:

• iniziare l’esecuzione di ripristino implementando le contromisure adatte in base ai dati raccolti dal team di intervento e dal personale di sicurezza informatica;
• ripristinare i servizi commerciali e comunicare lo stato di ripristino con le parti interessate;
• tracciare il tempo in cui i servizi cruciali per l’azienda sono stati bloccati o non erano disponibili, comparando il periodo di inattività effettiva con quello preventivato nei piani di recupero;
• documentare ogni problema incombente e ogni indicatore di compromesso;
• cercare una coordinazione con i delegati dell’amministrazione, delle risorse umane e dell’ufficio legale per discutere le attività di comunicazione più appropriate;
• controllare che ogni risorsa per il ripristino sia totalmente funzionante e che corrisponda alle caratteristiche richieste dal team di sicurezza informatica.

Fase di recesso:

• determinare se i criteri di recesso sono stati rispettati e dichiarare la conclusione di ogni intervento di ripristino delle attività;
• concludere l’attività del team di ripristino e far tornare ogni membro alle normali attività quotidiane;
• continuare a monitorare l’infrastruttura informatica per trovare ogni possibile residuo di attività dolose.

Fase di ripristino strategico

Ogni piano di ripresa deve essere affiancato da un’ulteriore pianificazione di supporto per garantire una corretta comunicazione delle attività eseguite.
In particolare:

• supportare le interazioni tra gli utenti interni ma anche con i clienti;
• dopo che il ripristino è completato, esaminare le metriche raccolte;
• rivedere tutti gli step pianificati e riprendere in considerazione le ipotesi iniziali;
• utilizzare l’esperienza vissuta per migliorare il piano di ripresa.

Conclusioni

Per chi volesse leggere il piano completo, lo può trovare (in inglese) a questo link.
Ciò che è importante da considerare quando si subisce un attacco da parte di un criminale del web è che si può comunque imparare dall’esperienza e migliorare di continuo il proprio piano di sicurezza.

Inoltre, è importante non sottovalutare il problema: ogni azienda è una potenziale vittima di cyber attacchi, indifferentemente dalla dimensione e dal tipo di produzione, e le sue interazioni con le altre imprese lungo la filiera produttiva la possono rendere un pericoloso veicolo di diffusione della penetrazione da parte di cyber criminali.