Kioskea
Seguici Kioskea / Facebook
Cerca

Reazione agli incidenti di sicurezza

Marzo 2015

È essenziale identificare i bisogni di sicurezza di un'organizzazione per predisporre delle misure che permettano di evitare un sinistro come ad esempio un'intrusione, un guasto hardware o ancora un danno. Tuttavia, sarà impossibile eliminare completamente tutti i rischi e ogni azienda deve aspettarsi prima o poi un incidente.

In questi casi la velocità di reazione è primordiale dato che una compromissione implica una situazione di pericolo di tutto il sistema di informazione aziendale. Inoltre, quando la compromissione provoca una disfunzione di un servizio, un blocco delle attività di lunga durata può significare una perdita finanziaria. Infine, ad esempio in caso di attacco che modica le pagine del sito web, entra in gioco la reputazione stessa dell'azienda.

Fase di reazione


La fase di reazione è solitamente la fase meno curata nei progetti di sicurezza informatica. Consiste nell'anticipare gli eventi e nel prevedere le misure da prendere in caso di problemi.

In effetti, in caso di intrusione ad esempio, è possibile che l'amministratore di sistema debba reagire in uno degli scenari seguenti :
  • Ottenimento dell'indirizzo del pirata e risposta ;
  • Estinzione dell'alimentazione del terminale ;
  • Scollegamento del terminale dalla rete ;
  • Reinstallazione del sistema.


Ora, ciascuna di queste azioni può potenzialmente essere più nociva (soprattutto in termini di costi) che l'intrusione stessa. In effetti, se il funzionamento del terminale compromesso è vitale per il funzionamento del sistema di informazione o se si tratta del sito e-commercio, l'indisponibilità del servizio per un lungo periodo di tempo può essere catastrofica.

D'altra parte, in questi casi, è essenziale produrre delle prove, in caso di inchiesta giudiziaria. In caso contrario, se il terminale compromesso è servito come ponte per un altro attacco, la responsabilità dell'azienda rischia di essere coinvolta.

L'elaborazione di un piano di ripresa dopo un incidente permette così di evitarne un aggravamento e di assicurarsi che sono state applicate correttamente tutte le misure previste per la produzione delle prove.

Dall'altro lato, un piano di incidente correttamente studiato definisce le responsabilità di ognuno ed evita gli ordini e i contrordini che rappresentano una perdita di tempo.

Ripristino


La rimessa in funzione del sistema compromesso deve essere dettagliatamente descritta nel piano di ripresa dopo l'incidente e deve considerare i seguenti elementi :
  • Data dell'intrusione : la conoscenza della data approssimativa della compromissione permette di valutare i rischi dell'intrusione sul resto della rete e il livello di compromissione del terminale ;
  • Limitazione della compromissione : si tratta di prendere le misure necessarie affinché la compromissione non si propaghi ;
  • Strategia di backup : se l'azienda possiede una strategia di backup, si consiglia di verificare le modifiche apportate ai dati del sistema compromesso rispetto ai dati considerati affidabili. In effetti, si i dati sono stati infettati da un virus o da un cavallo di Troia, il loro recupero rischia di contribuire alla propagazione dell'incidente ;
  • Produzione delle prove : per ragioni legali è necessario salvare i file di log del sistema corrotto per poterli restituire in caso di inchiesta giudiziaria ;
  • Realizzazione di un sito di sostituzione : piuttosto che rimettere in funzione il sistema compromesso, è più saggio prevedere ed attivare quando necessario un sito di sostituzione che permetta di assicurare una continuità di servizio.

Simulazione del piano di incidente


La simulazione del piano di incidente permette di verificare il buon funzionamento del piano e permette ugualmente a tutti gli attori coinvolti di essere sensibilizzati, allo stesso livello dell'utilità delle esercitazioni di evacuazione in caso di incendio previste dal piano di soccorso.
Per poter consultare questo documento offline, ne potete scaricare gratuitamente una versione in formato PDF:
Reazione-agli-incidenti-di-sicurezza.pdf

Vedi anche


Reaction to Security Incidents
Reaction to Security Incidents
Reacción ante incidentes de seguridad
Reacción ante incidentes de seguridad
Reaktion auf Sicherheitszwischenfälle
Reaktion auf Sicherheitszwischenfälle
Réaction aux incidents de sécurité
Réaction aux incidents de sécurité
Reacção aos incidentes de segurança
Reacção aos incidentes de segurança
Il documento intitolato « Reazione agli incidenti di sicurezza » da Kioskea (it.kioskea.net) è reso disponibile sotto i termini della licenza Creative Commons. È possibile copiare, modificare delle copie di questa pagina, nelle condizioni previste dalla licenza, finché questa nota appaia chiaramente.