Articles

Fasi di Incident Response

Quando si parla di risposta agli incidenti, il processo standard, che è seguita nella gestione di un incidente è descritto dalle seguenti fasi:

  • Incident Response PassiPreparazione
  • Identificazione
  • il Contenimento
  • Eradicazione
  • Recupero

Preparazione non è solo la prima fase, ma la maggior parte cruciale fase. La preparazione determina l’efficacia delle capacità di risposta agli incidenti. In pratica, l’essenza della preparazione è tessuta durante l’intero processo. La preparazione è anche la fase in cui le funzioni critiche implicite di una gestione efficace degli incidenti sono esplicitamente dichiarate. Una preparazione adeguata determinerà la maturità del tuo team di risposta agli incidenti e l’impatto sul business può essere misurato in modo quantificabile.

I punti focali della preparazione sono:

  • Politica
  • Comunicazione
  • Strumenti
  • Formazione
  • Responsabilità

Politica

Affinché un piano di risposta agli incidenti sia efficace, il primo passo è ottenere il sostegno dei vertici dell’organizzazione. Questo supporto garantirà che l’organizzazione nel suo complesso supporterà il piano di risposta agli incidenti e fornirà il tempo e le risorse necessari per massimizzare la sua capacità di avere successo. Il supporto esecutivo inizialmente si manifesta sotto forma di politica che viene firmata dalla leadership dell’organizzazione. Una buona politica protegge la missione del team di risposta agli incidenti dandogli l’autorità necessaria per realizzarla. La politica fornisce una serie scritta di principi, regole o pratiche che dettano come l’organizzazione risponderà a un incidente.

Definire la politica può essere un processo scoraggiante a causa dell’esistenza di molti regni di sicurezza delle informazioni che potrebbero essere influenzati da un incidente. L’uso accettabile, la cessazione dei dipendenti, l’archiviazione dei dati, il controllo degli accessi e la gestione delle password sono solo un piccolo esempio di come i tentacoli della risposta agli incidenti possono diffondersi. La politica può avere un impatto su più dipartimenti che potrebbero avere esigenze concorrenti a causa dei propri mandati individuali. La creazione di una politica generale che soddisfi i requisiti legali, normativi e operativi può richiedere un investimento significativo in tempo e risorse. Ma è un passo necessario per capire come funziona l’intera organizzazione per facilitare l’implementazione di un efficace team di risposta agli incidenti.

Responsabilità

Il processo di creazione di una politica inizia a mettere a fuoco i diversi ruoli che saranno necessari per supportare il processo di risposta agli incidenti. I ruoli di incidente tradizionali come un responsabile della sicurezza o un analista tendono ad essere chiari. Il supporto interfunzionale di altri reparti è parte integrante del successo della capacità del team di rimediare agli incidenti. Questi dipartimenti navigare le ramificazioni dell’incidente intorno legale, conformità, e le relazioni pubbliche preoccupazioni.

I ruoli identificati dovrebbero avere la loro responsabilità esplicitamente definita per il processo di risposta agli incidenti. I ruoli avranno responsabilità diverse a seconda della fase del processo di risposta agli incidenti che l’organizzazione sta attualmente eseguendo.

Immagine del team di risposta agli incidenti

Comunicazione

L’analisi condotta durante lo sviluppo delle politiche aiuta a facilitare la definizione dei canali di comunicazione e dei processi che dovrebbero verificarsi durante un incidente. Uno dei passi falsi comuni durante lo sviluppo di un piano di risposta agli incidenti è trascurare di identificare uno stakeholder chiave nella gestione di un incidente.

Leggi e regolamenti possono dettare le entità esterne con cui l’organizzazione deve comunicare in caso di incidente. Il piano di comunicazione dovrebbe identificare tali entità e definire le procedure di notifica. Particolare attenzione dovrebbe essere prestata a fornitori, clienti e fornitori di servizi durante lo sviluppo di un piano.

Il piano di comunicazione dovrebbe anche stabilire linee guida chiare per quando coinvolgere le forze dell’ordine e chi coordinerà tra l’organizzazione e le agenzie. Il motivo principale per cui un incidente di sicurezza non porta a accuse penali è che l’organizzazione non ha gestito correttamente l’incidente e la comunicazione con le forze dell’ordine. La persona o le persone designate come contatto principale devono comunicare con le forze dell’ordine in modo chiaro e coerente che corrisponda alle procedure definite dall’organizzazione e dalle forze dell’ordine.

Strumenti

Un componente chiave del processo di creazione dei criteri è la definizione delle capacità del team di risposta agli incidenti. Definire chiaramente le responsabilità del team di risposta agli incidenti è parte integrante della creazione dell’organizzazione per il successo. Alcuni servizi possono essere gestiti internamente mentre altri possono essere esternalizzati. Gli strumenti implementati sono progettati per essere in linea con le funzionalità definite.

Ogni fase del piano di risposta agli incidenti avrà strumenti associati ad esso. La fase di rilevamento e analisi avrà strumenti per semplificare la segnalazione degli incidenti, acquisire il traffico di rete e condurre analisi comportamentali. La fase di contenimento e ripristino degli incidenti avrà strumenti per limitare l’accesso alla rete / sistema e facilitare il ripristino dei servizi all’interno delle finestre di tempo di ripristino definite. Gli strumenti post-incidente possono essere utilizzati per aggiornare l’intelligence sulle minacce e la knowledge base dell’organizzazione.

Formazione

Una volta definiti gli strumenti e le procedure, tutto il personale che deve essere coinvolto nel processo di risposta agli incidenti dovrà essere addestrato regolarmente. La formazione può prendere forma in molte forme diverse. La chiave è rendere la formazione pertinente e che comprende diversi scenari. Esercizi da tavolo che coinvolgono tutti i reparti competenti è uno dei modi più efficaci per ottimizzare il processo di risposta agli incidenti. Un esercizio da tavolo è un esercizio simulato in cui i partecipanti si riuniscono per discutere i processi di incidente. Fornisce una flessibilità che è difficile da ottenere con esercizi dal vivo ed è inclusiva a tutti i ruoli all’interno dell’organizzazione. Esercizi da tavolo consentono all’organizzazione di identificare le lacune che possono esistere. Consentono inoltre a un’organizzazione di applicare le lezioni apprese in un ambiente controllato.

La pratica regolare consente alla tua azienda di esibirsi alla massima efficienza durante un incidente dal vivo.

Una citazione popolare di Sun Tzu è “conosci te stesso e vincerai tutte le battaglie.”Conoscere te stesso viene con estrema cura durante la fase di preparazione e condurre una pratica deliberata per scoprire le debolezze. Un team di risposta agli incidenti maturo ed efficace non viene creato tramite una soluzione tecnologica in scatola o qualsiasi altro magic bullet. Sono costruiti con meticolosa attenzione nella preparazione per eseguire le attività di rilevamento, contenimento e post-incidente.