Gli attacchi cyber stanno crescendo in efficacia e il loro impatto diventa sempre più rilevante per il business aziendale. Sicuramente non si può limitare la crescita tecnologica degli avversari, ma molto possiamo fare nel limitare l'impatto ed essere maggiormente resilienti.

E questo non viene fatto!

Il miglior modo per affrontare un attacco cyber non consiste solo nel difendersi adeguatamente, ma soprattutto nel farsi trovare preparati nella gestione e nella mitigazione. Questo si traduce nel definire e testare un valido processo di Incident Handling all'interno del quale operino come attori principali il SOC (Security Operation Center) e lo CSIRT (Computer Security Incident Response Team).

Lo CSIRT è un team di risposta multi disciplinare, composto da specialisti in grado di affrontare ogni aspetto di un incidente di sicurezza, includendo gli aspetti tecnici, l'assistenza legale, la gestione delle comunicazioni interne/esterne, il riferimento del business e gli aspetti forensi. Alcune di queste figure sono attive quotidianamente mentre altre sono chiamate solo in caso di necessità. Ma quando vengono chiamate devono sapere quale sia il loro ruolo e cosa fare... e il tutto sotto il forte stress di "sentirsi" sotto attacco.

E' complicato mettere insieme una squadra così diversificata in competenze e profili, ma è ancora più difficile farli lavorare insieme in maniera efficiente nella gestione di un incidente informatico. Non occorre solo formare la squadra e definire il processo: è fondamentale testare il sistema e le procedure che lo compongono affinché diventino quasi un automatismo. Sotto stress le cose cambiano e la percentuale di errori sale esponenzialmente.

E' sufficiente? Non ancora: all'interno del processo di Incident Handling manca ancora  l'Incident Response Plan (IRP). Questo documento non deve solo essere facile da reperire, ma dovrebbe soprattutto essere il più chiaro e semplice possibile affinché tutti i membri lo capiscano e riescano a seguirlo nelle fasi concitate di un attacco in corso. Un IRP efficace deve essere chiaro, conciso e riflettere accuratamente il comportamento della squadra. Aggiungo inoltre che deve essere anche ripetutamente testato e costantemente aggiornato sulla base dell'esperienza sul campo.

Nel business moderno, in qualsiasi settore merceologico, gli incidenti di sicurezza sono inevitabili: impariamo a gestirli per evitare il peggio.