All’indomani di un attacco informatico, una solida documentazione IT è un elemento chiave di un solido piano di risposta agli incidenti e può aiutare a garantire che gli MSP ei loro clienti siano preparati per il futuro.

“Gentile utente di rete”, inizia l’email. “Siamo spiacenti di informarti che il tuo account MyCompany è stato sospeso. Segui il link sottostante per aggiornare il tuo account. ” Sembra legittimo, pensa il tuo cliente. Dopo tutto, “MyCompany” è il nome della loro organizzazione. Fanno clic sul collegamento e, proprio così, hanno aperto la porta al malware, consentendogli di iniziare a infiltrarsi nell’intera rete .

In qualità di provider di servizi gestiti (MSP), è tua responsabilità entrare immediatamente in azione. Ciò significa rivolgersi al piano di risposta agli incidenti IT della sicurezza informatica per guidarti.

Cos’è un piano di risposta agli incidenti?

Un piano di risposta agli incidenti IT è un processo documentato per affrontare un attacco informatico. Con il piano giusto in atto, gli MSP possono identificare rapidamente dove si è verificata una violazione, quali sistemi sono stati interessati e come dovrebbero rispondere per sradicare il malware.

Allora perché hai bisogno di un piano di risposta agli incidenti? Sebbene un’azienda esperta di sicurezza si affidi a pratiche preventive (aggiornamento del software antivirus, applicazione di patch appropriate o esecuzione di backup giornalieri) per proteggersi da un attacco informatico, c’è sempre la possibilità che un attacco passi attraverso le crepe.

Secondo recenti rapporti , il numero di attacchi di phishing è aumentato nel terzo trimestre del 2019 a un livello che non si vedeva dalla fine del 2016. Inoltre, un rapporto del 2019 ha rilevato che il 43% di tutti gli attacchi informatici sono rivolti alle piccole imprese . Queste statistiche sorprendenti rappresentano un valido argomento a favore dell’adozione di un solido piano di risposta agli incidenti che aiuta a garantire che gli MSP sappiano esattamente come procedere se i loro clienti cadono vittime di un attacco informatico.

Come creare un piano di risposta agli incidenti

Il numero di passaggi di risposta agli incidenti inclusi in un piano di risposta agli incidenti può variare da azienda a azienda, ma in genere questi piani assomigliano a una delle seguenti forme:

  1. Preparazione: questa fase introduttiva prepara la scena per tutti i passaggi da seguire. Durante la fase di preparazione, gli MSP lavorano insieme a ciascuno dei loro clienti per mettere per iscritto un solido piano di risposta agli incidenti. Insieme, stabiliscono le aspettative, definiscono i ruoli e le responsabilità di risposta agli incidenti e identificano servizi, applicazioni e dati critici per l’azienda.
  2. Identificazione: una volta rilevato un incidente, gli MSP ne vengono solitamente informati tramite un allarme proveniente da una soluzione di monitoraggio delle minacce o dai dati di registro. Da lì, gli MSP devono collaborare con i propri clienti per comprenderlo e classificarlo. Ciò significa porre domande come: “È la prima volta che si verifica o questo incidente si è verificato prima?” e “Quando si è verificato l’evento, come è stato scoperto e da chi?”
  3. Contenimento: una volta che gli MSP hanno compreso il problema, è il momento di mettere in quarantena tutti i sistemi interessati. L’obiettivo è proteggere l’infrastruttura da ulteriori infezioni lavorando anche per mantenere attivi e funzionanti i sistemi critici (identificati nella fase di preparazione). Una volta contenuto, è importante che gli MSP dedichino del tempo all’analisi dell’incidente. Ciò significa identificare il punto di ingresso, chi era l’autore dell’attacco, quali account sono stati compromessi, a quali dati è stato eseguito l’accesso e così via.
  4. Eradicazione: dopo aver analizzato cosa è successo e perché, è ora che gli MSP inizino a lavorare per rimuovere la minaccia dal computer o dalla rete. Ciò potrebbe comportare l’esecuzione di un programma antivirus, l’eliminazione del software o l’ aggiunta di una patch critica .
  5. Ripristino: una volta rimosso il problema, è il momento di ripristinare i sistemi alla piena continuità aziendale . Ciò significa lavorare dai backup o ricostruire un sistema completo o una rete.
  6. Revisione: durante questa fase finale, gli MSP lavorano con i propri clienti per discutere e documentare le risposte alle domande su ciò che è accaduto, quali azioni sono state intraprese, cosa è andato bene e cosa potrebbe essere migliorato.

Documentazione IT: una componente cruciale della risposta agli incidenti

Disporre di un sistema standard e sicuro per documentare tutti i dati relativi alle violazioni (chi, cosa, quando, dove e come) durante un processo di risposta agli incidenti è fondamentale. Questi sistemi di documentazione consentono agli MSP e ai loro clienti di:

Prepararsi meglio per il futuro: esaminando le note relative a cosa è andato storto e cosa è andato bene, gli MSP sono armati delle informazioni di cui hanno bisogno per adattare di conseguenza il loro piano di risposta agli incidenti. Nella maggior parte dei casi, alcuni passaggi vengono aggiornati per prepararsi meglio ad attacchi futuri, mentre i passaggi che hanno dimostrato il loro valore rimangono.

Mantenere la conformità: molti MSP trattano con clienti che devono rispettare rigide normative di settore. Ad esempio, qualsiasi azienda che tratta i dati personali dei residenti nell’Unione Europea deve rispettare i requisiti del Regolamento generale sulla protezione dei dati (GDPR). Secondo il GDPR, alle aziende potrebbe essere richiesto di segnalare una violazione [se è probabile che metta a rischio i dati personali dei cittadini dell’UE. Come parte di questa segnalazione, le aziende devono dettagliare la natura della violazione, le probabili conseguenze della violazione e le misure prese o proposte da adottare per affrontare la violazione, tra gli altri fattori chiave. Avere questi dati già ben documentati aiuterà a facilitare l’intero processo di reporting.

Procedere se appropriato: alcune minacce possono richiedere il coinvolgimento delle forze dell’ordine per perseguire i malintenzionati coinvolti. In tal caso, i funzionari vorranno accedere a dettagli ben documentati sull’attacco, compreso il modo in cui è stato gestito. Questi documenti diventeranno ancora più critici se il caso verrà portato in tribunale e gli aggressori saranno processati.

Mettere in gioco un piano di risposta agli incidenti

La sicurezza e la privacy del cliente sono una priorità assoluta per qualsiasi MSP. Attraverso controlli di sicurezza amministrativi, operativi e tecnici, gli MSP si sforzano di proteggere i dati dei propri clienti e di tenere a bada i cyberattaccanti. Solidi piani di risposta agli incidenti giocano un ruolo fondamentale in questo processo, fornendo agli MSP una guida passo passo per identificare, contenere e risolvere le minacce per mantenere la stabilità della rete.

Un elemento critico in qualsiasi piano di risposta agli incidenti è la documentazione IT completa. Le intuizioni relative alle violazioni che vengono riportate in modo esauriente consentono agli MSP e ai loro clienti di imparare dagli errori del passato, rispettare gli standard imposti dal governo e, in alcuni casi, persino assicurare i loro aggressori alla giustizia. Qualsiasi forte piano di risposta agli incidenti richiederà una documentazione robusta e uno strumento come SolarWinds ® Passportal + Documentation Manager  integrata può aiutare i tuoi tecnici a lavorare in modo efficiente e sbloccare le conoscenze dei clienti precedentemente intrappolate.

Pronto a portare la tua documentazione IT al livello successivo? Continua a leggere il nostro blog per saperne di più sulle cose da fare e da non fare per la sicurezza.

CONTATTACI PER MAGGIORI INFORMAZIONI Compilando il FORM (Clicca Qui)

FONTE: Solarwinds Passportal BLOG

Traduzione: N4B SRL – Distributore Autorizzato Solarwinds MSP