Il focus della prima parte del nostro percorso sulla Sicurezza Informatica aziendale è stato la Cybersececurity Awareness dei propri collaboratori e abbiamo analizzato insieme quali sono i benefici derivanti dal c.d. “effetto indotto della prevenzione” (per approfondimenti vi ricondividiamo il primo articolo introduttivo).
Come abbiamo visto, la consapevolezza, l’attenzione e la formazione sono tra gli elementi fondamentali per garantire un buon livello di cybersecurity; tuttavia, le Cyber-minacce sono in costante evoluzione (si veda, ad esempio, il perfezionamento delle metodologie di mail phishing). Cosa significa quindi?
Significa che nessuna realtà può definirsi totalmente esente dal pericolo di cyber-attacchi.
In caso di attacco informatico, quali sono le azioni adottare con massima tempestività? E quali i comportamenti da evitare?
Le 3 fasi per la corretta gestione di un cyber-attack
Sono 3 gli step all’interno dei quali si snoda la gestione di un attacco informatico:
Fase 1 – Attività preventiva
Oltre a comprendere tutte le azioni volte a creare, a sostenere e a implementare la Cybersecurity Awareness dei propri dipendenti vi rientrano ad esempio:
- attività di Offensive Security per l’individuazione delle vulnerabilità, attraverso l’esecuzione di Vulnerability Assessment e Penetration Test;
- aggiornamento costante dei software e creazione di una struttura di sicurezza perimetrale informatica adeguata;
- predisposizione di policy precise, complete e aggiornate che forniscano informazioni precise al personale sui comportamenti da adottare.
Fase 2 – Attività contemporanea
Comprende tutte le azioni volte a conoscere le modalità di esecuzione dell’attacco subito (c.d. attività SOC – Security Operation Center), in modo tale da poter informare adeguatamente le Autorità competenti (Polizia Postale e Garante Privacy) e per progettare un nuovo sistema di sicurezza informatica idoneo a fronteggiare attacchi futuri.
Fase 3 – Attività successiva
Al termine dello stato emergenziale derivante da un attacco informatico, è buona prassi mantenere attive per un certo periodo di tempo le attività SOC (tra cui le azioni OSINT – Open Source INTelligence) al fine di monitorare continuativamente eventuali sviluppi critici.
“La mia azienda è stata attaccata. Cosa faccio?”: alcuni consigli utili
Per prima cosa, niente panico!
È molto importante mantenere la calma così da poter riflettere con attenzione su cosa fare, ma soprattutto sul come farlo.
Molto spesso si ritiene che azioni tempestive come lo spegnimento del device o il ripristino dei sistemi possano essere risolutive o, perlomeno, limitative dei danni.
In realtà, sono azioni che potrebbero compromettere le successive analisi.
È fondamentale, quindi, non spegnere il dispositivo e non utilizzarlo ulteriormente.
Diversamente si dovranno interrompere tutte le connessioni di rete e prendere nota di quanto accaduto, in modo tale da comunicare quante più informazioni utili a consulenti esperti e specializzati nella gestione di attacchi informatici, i quali potranno adottare le migliori strategie di monitoraggio e le soluzioni più opportune per il contesto aziendale di riferimento.
Anche le comunicazioni indirizzate al personale, ai clienti e ai fornitori assumono particolare rilevanza.
Prima di procedere a qualsiasi divulgazione, si consiglia di disegnare una strategia operativa adeguata e non approssimativa, che tenga conto del dovere di trasparenza e che dimostri le capacità di resilienza aziendale.
Perciò, si suggerisce –prima di tutto – di effettuare una valutazione del livello di gravità del data breach sugli interessati, così da fotografare l’impatto che l’attacco informativo ha avuto sugli stessi e sulla tutela dei loro dati personali.
Lo scopo del tool
Sottoponendo questo tool, composto da 10 domande a risposta multipla, al Responsabile IT (o ad un suo delegato), sarà possibile constatare il livello di capacità di risposta della propria azienda ad un incidente informatico.
"*" indica i campi obbligatori
