Neil Thacker, CISO EMEA di Netskope: le azioni intraprese nelle 24 ore successive a un attacco informatico potrebbero salvare o distruggere un’intera attività.
Quando si subisce una violazione di dati, le 24 ore successive sono fondamentali. Organizzazione e clienti sono a rischio. Quindi è fondamentale rispondere in modo appropriato e rapido a una minaccia emergente. Le risposte possono essere leggermente differenti in base all’organizzazione, al team di lavoro e al tipo di attacco che si sta affrontando. Ecco alcuni passaggi da intraprendere secondo Neil Thacker, CISO Emea di Netskope.
1 Entro la prima ora: conferma di aver subito l’attacco e comunicalo alle parti interessate
Innanzitutto, devi cercare di identificare se l’incidente è effettivamente una violazione o se è un falso positivo. Questo passaggio è assolutamente fondamentale. Esegui il triage e metti in atto un processo di revisione per identificare se i dati sono a rischio. Oppure sono stati compromessi o se degli intrusi si sono fatti strada all’interno della tua infrastruttura, delle tue applicazioni e dei tuoi servizi cloud.
Subire un attacco informatico, cosa fare
Se hai prove evidenti di una violazione, potrebbe essere necessario emettere subito un avviso interno.Rimuovere l’accesso ai sistemi compromessi per gli utenti non essenziali e/o isolare l’ambiente per limitare la propagazione dell’attacco. Quando la prima ora volge al termine, è tempo di riportare le informazioni in tuo possesso ai tuoi stakeholder interni e formulare la tua strategia di risposta.
2 Passo successivo: pianifica, testa e prepara la risposta
La struttura del tuo piano dipenderà da ciò che avrai identificato. Se si tratta di un attacco ransomware, l’attaccante si farà vivo e indicherà i termini per il riscatto dei dati. Altre tipologie di attacco saranno più difficili da rilevare, come la sottrazione di dati o persino la compromissione derivante da un attacco di tipo zero-day. Essa può indicare una minaccia più sofisticata potenzialmente da parte di attori malevoli sostenuti da nazioni ostili.
Qualsiasi sia la minaccia, dovresti avere un piano ben testato e la tua risposta dovrebbe essere preparata in anticipo. In ogni caso, l’attaccante potrebbe monitorare da vicino le tue azioni per evitare di essere catturato. E, una volta che i tuoi stakeholder sono a conoscenza della situazione, sarai sottoposto a forti pressioni per risolvere l’incidente mantenendo la normale attività operativa.
Subire un attacco informatico, azioni da intraprendere subito
Cercare di bilanciare la sicurezza con la continuità aziendale può essere molto stressante e metterti sotto pressione per evitare misure drastiche. Registrare note dettagliate man mano che la situazione avanza ha un valore inestimabile. Assicurati di registrare ogni decisione che prendi, così come il contesto disponibile in quel momento. Questo ti aiuterà a formulare piani futuri. Ti aiuterà anche a giustificare l’intero processo e le decisioni che hai preso una volta terminato l’incidente.
3 È il momento di annunciarlo pubblicamente (nel modo giusto)
Mentre la fase di remediation è in atto, è necessario comunicare alle persone colpite e alle autorità cosa è successo. Questa è una situazione delicata. Quindi è importante lavorare a stretto contatto con il tuo team di comunicazione per fornire messaggi puntuali. Sebbene il pubblico in generale possa essere stanco di notizie sugli attacchi informatici, non lasciarti prendere da un falso senso di sicurezza. Le autorità di regolamentazione, e il settore in generale, misureranno la tua risposta. Assicurati di comprendere i tuoi obblighi legali e normativi per quanto concerne una corretta segnalazione, e ascolta i consigli dei tuoi colleghi della comunicazione.
4 Vai a casa e riposati (persone stanche compiono decisioni sbagliate)
Una volta raggiunta la fase in cui l’incidente è sotto controllo e le comunicazioni sono state effettuate, concediti una pausa. La maggior parte degli attacchi informatici avviene fuori orario. Tu e il tuo team potreste aver lavorato un giorno intero prima che l’incidente sia stato identificato. Il compito più importante che puoi intraprendere ora è fare un passo indietro, tornare a casa e riposare. Le persone stanche hanno maggiori probabilità di prendere decisioni sbagliate.
5 Dopo il primo giorno
Cosa accadrà dopo le prime 24 ore è difficile da dire. Potresti dover mitigare le nuove vulnerabilità che sono state scoperte. Eseguire il ripristino dai sistemi di backup o prepararti per ulteriori potenziali attacchi. Una volta che un incidente diventa pubblico, la tua azienda potrebbe diventare un bersaglio ancora più grande.
Subire un attacco informatico, i cinque passi da effettuare con rapidità
Qualunque cosa accada, una volta che la minaccia è sotto controllo, hai l’opportunità di mettere a frutto questa tua esperienza. Potresti creare un case study per richiedere ulteriori budget o attingere all’esperienza per formulare nuovi piani di risposta agli incidenti. Persino sfruttare il tuo ruolo nella risposta per ottenere una promozione. In ogni caso, è spesso utile condividere le proprie esperienze con gli altri. La condivisione di informazioni e insight è l’arma migliore che abbiamo per combattere le minacce informatiche.