NIS2: gestione degli incidenti e piano di risposta

Quali devono essere i contenuti di un piano di gestione degli incidenti secondo la NIS2?

Il piano di gestione degli incidenti è mirato ad assicurare la tempestiva individuazione e gestione di qualsiasi incidente di sicurezza e di conseguenza a  limitare i danni e garantire la continuità operativa dell'azienda. Di seguito sono riportate le procedure operative, le responsabilità specifiche per affrontare efficacemente un incidente informatico e le best practice riconosciute a livello internazionale.

Obiettivi della gestione degli incidenti

Gli obiettivi principali consistono nel:

  • rilevare velocemente gli incidenti e valutarne la gravità;
  • limitare il loro impatto, contenendo la propagazione del danno;
  • coordinare risorse umane e tecniche;
  • ripristinare l’operatività in modo tempestivo;
  • documentare l’accaduto per migliorare la prevenzione futura.

Quali sono i ruoli operativi

ruoli cardine:

  • incident manager: soggetto che si occupa del coordinamento generale dell’attività;
  • technical specialist: personale tecnico che si occupa della analisi e ripristino del sistema;
  • consulenti legali e DPO: soggetti che valutano l’impatto dell’incidente dal punto di vista della conformità normativa
  • Addetto alla comunicazione: persona che si occupa di trasferire le giuste informazioni internamente ed esternamente

Quali fasi devono essere contemplate nel piano di risposta agli incidenti

1.      Preparazione

La fase di preparazione include le attività di pianificazione e formazione svolte prima del verificarsi di un incidente. In particolare in questa fase occorre:

  • individuare e formare i membri dell’Incident management team, coinvolgendo anche esperti esterni e i fornitori;
  • definire degli strumenti operativi quali procedure o checklist in funzione delle diverse tipologie di incidente (ransomware, malware, Ddos, ecc)
  • sensibilizzare il personale che accede ai sistemi a riconoscere anomalie o segnali che potrebbero anticipare il verificarsi di un incidente;
  • identificare quali strumenti di monitoraggio e rilevazione son a disposizione del team (SIEM, IDS/IPS, endpoint protection);
  • eseguire test periodici per accertare il corretto funzionamento della procedura prevista

Identificazione e analisi della problematica

Quando si sospetta un incidente, il team si deve attivare per verificare la natura dell’evento, la sua portata  ed indagarne le cause. Per questo è necessario:

  • procedere con la raccolta di log e di informazioni di rete;
  • valutare l’integrità dei sistemi;
  • attuare tecniche di threat inteligence per cercare prove digitali, come hash di file, indirizzi IP o traffico di rete anomalo, che rivelano un'intrusione o attività malevola in un sistema informatico (indicatori di compromissione-IoC).

Contenimento, eradicazione e ripristino

Una volta confermato l’incidente è necessario avviare azioni per:

  • il contenimento che mira a limitare i danni, ad esempio isolando i sistemi compromessi;
  • l’eradicazione consiste nel rimuovere la minaccia dalla rete (es. disinstallare software malevolo, “patchare” vulnerabilità);
  • il ripristino graduale dei servizi verificando che il problema sia definitivamente risolto.

Queste informazioni rientrano nella sezione che si definisce piano di risposta agli incidenti, focalizzato sulle azioni pratiche e immediate da compiere nel momento in cui un incidente si verifica

Comunicazione

Nel piano di gestione degli incidenti deve essere anche considerato il tipo di informazioni che è necessario condividere in merito all’incidente:

  • internamente: a management, dipendenti, team di supporto;
  • esternamente: ad autorità di controllo (es. in caso di violazione dati personali), partner, clienti, destinatari dei servizi.

Interventi Post-Incident (Lesson Learned)

Nella fase finale, quando il sistema è stato ripristinato, è necessario prendersi il tempo necessario per condurre una analisi approfondita dell’evento, individuando eventuali lacune nei processi e nelle difese, in un ‘ottica di miglioramento continuo. A questa può seguire l’adozione di misure di intervento mirate a  rafforzare la postura di sicurezza in modo che l’evento non possa ripetersi. Per questo può essere utile creare un incident report completo che possa servire da promemoria in occasioni future.

Conclusioni

La gestione efficace di un incidente informatico non può prescindere dall’avere processi ben strutturati, ruoli definiti e un piano di risposta chiaro e aggiornato. Il piano di gestione degli incidenti insieme al piano di continuità operativa (BCP) e alle procedure di disaster recovery (DR) costituisce un pacchetto operativo essenziale per garantire una reazione immediata agli incidenti e la capacità di mantenere e ripristinare le funzioni essenziali del business in qualsiasi situazione.

Torna al blog