INCIDENTE DI SICUREZZA : 10 passaggi chiave per sapere cosa fare e cosa evitare a seguito di una violazione

APP 1 : Allerta Pericoli Informatici
	Google Play Apple Store

APP 2 : AiutamiSi ( tanti servizi gratuiti )
	Google Play Apple Store

A livello globale, si stima che le violazioni dei dati siano in continuo aumento. Le organizzazioni ingrandiscono ogni giorno la loro infrastruttura digitale ed in questo modo espandono inconsapevolmente la superficie di attacco aziendale. Ma una volta che gli allarmi scattano, cosa succede dopo? La presenza di attori ransomware, un precursore sempre più comune delle moderne violazioni dei dati, complicherà ulteriormente le cose. Ecco cosa fare e cosa evitare di fare a seguito di una violazione :

• Stai calmo

È probabile che una violazione dei dati sia una delle situazioni più stressanti in cui si trova la tua organizzazione, soprattutto se l’incidente è stato causato da agenti di ransomware che hanno sistemi di chiavi crittografate e richiedono un pagamento. Tuttavia, le risposte istintive possono fare più male che bene. Sebbene sia ovviamente importante rimettere in funzione l’azienda, lavorare con metodo è fondamentale. Dovrai esaminare il piano di risposta agli incidenti e comprendere la portata del compromesso prima di intraprendere qualsiasi azione importante.

• Segui il tuo piano di risposta agli incidenti

Dato che non si tratta di “quando” ma “se” la tua organizzazione viene violata oggi, un piano di risposta agli incidenti è una best practice essenziale per la sicurezza informatica. Ciò richiederà una pianificazione avanzata, magari seguendo la guida di fonti del calibro del National Institute of Standards and Technology (NIST) degli Stati Uniti o del National Cyber ​​Security Centre (NCSC) del Regno Unito . Quando viene rilevata una violazione grave, un team di risposta agli incidenti pre-assegnato con le parti interessate di tutta l’azienda dovrebbe lavorare attraverso i processi passo dopo passo. È una buona idea testare periodicamente tali piani in modo che tutti siano preparati e il documento stesso sia aggiornato.

• Valuta la portata della violazione

Uno dei primi passaggi critici dopo un grave incidente di sicurezza è capire quanto gravemente sia stata colpita l’azienda. Queste informazioni informeranno le azioni successive come la notifica ed e la ripresa delle attività. Avrai bisogno di sapere idealmente come sono entrati i malintenzionati e qual è il “raggio di esplosione” dell’attacco: quali sistemi hanno toccato, quali dati sono stati compromessi e se sono ancora all’interno della rete. È qui che vengono spesso arruolati esperti forensi di terze parti.

• Fatti coinvolgere legalmente

Dopo una violazione, devi sapere dove si trova l’organizzazione. Che responsabilità hai? Quali autorità di regolamentazione devono essere informate? Dovresti negoziare con i tuoi aggressori per guadagnare più tempo? Quando devono essere informati clienti e/o partner? La consulenza legale interna è il primo punto di riferimento in questo passaggio. Ma potrebbe anche voler coinvolgere esperti nello spazio di risposta agli incidenti informatici. È qui che i dettagli forensi su ciò che è realmente accaduto sono vitali, in modo che quegli esperti possano prendere le decisioni più informate.

• Sapere quando, come e chi notificare

Secondo i termini del GDPR , la notifica all’autorità di regolamentazione locale deve avvenire entro 72 ore dalla scoperta di una violazione. Tuttavia, è importante capire quali sono i requisiti minimi per la notifica, poiché alcuni incidenti potrebbero non richiederlo. È qui che è essenziale una buona comprensione del “raggio dell’esplosione”. Se non sai quanti dati sono stati prelevati o come sono entrati gli autori delle minacce, dovrai presumere il peggio nella notifica al regolatore.

• Dillo alle forze dell’ordine

Qualunque cosa accada con il regolatore, probabilmente avrai bisogno di avere le forze dell’ordine dalla tua parte, specialmente se gli attori delle minacce sono ancora all’interno della tua rete. Ha senso farli salire a bordo il più rapidamente possibile. Nel caso del ransomware, ad esempio, potrebbero essere in grado di metterti in contatto con fornitori di sicurezza e altre terze parti che offrono chiavi di decrittazione e strumenti di mitigazione.

• Dillo ai tuoi clienti, partner e dipendenti

Questo è un altro impegno sulla lista post-violazione. Tuttavia, ancora una volta, il numero di clienti/dipendenti/partner che devi informare, cosa dire loro e quando dipenderà dai dettagli dell’incidente e da cosa è stato rubato. Considera prima di rilasciare una dichiarazione in cui dichiari che l’organizzazione è a conoscenza di un incidente e sta attualmente indagando. Ma le voci prosperano nel vuoto, quindi dovrai seguire questo con maggiori dettagli poco dopo. I team IT, PR e legali dovrebbero lavorare a stretto contatto su questo.

• Inizia il ripristino

Una volta che l’ambito dell’attacco è chiaro e i soccorritori/team forensi sono sicuri che gli autori delle minacce non hanno più accesso, è il momento di rimettere in funzione le cose. Ciò potrebbe significare il ripristino dei sistemi dal backup, il reimaging delle macchine compromesse, l’applicazione di patch agli endpoint interessati e la reimpostazione delle password.

Intermezzo promozionale ... continua la lettura dopo il box:

DIFESA TOTALE DELLA REPUTAZIONE :

Difesa Totale della Reputazione è un servizio completo per la tutela della reputazione che si compone di 5 livelli di protezione [ click qui ]

• Inizia a creare resilienza per attacchi futuri

Gli attori delle minacce spesso condividono le conoscenze sulla criminalità informatica sotterranea. Stanno anche tornando sempre più a compromettere più volte le organizzazioni vittime, specialmente con il ransomware. Ciò rende più importante che mai l’utilizzo delle informazioni raccolte dal rilevamento e dalla risposta alle minacce e dagli strumenti forensi per assicurarsi che i percorsi utilizzati per la prima volta dai propri aggressori non possano essere sfruttati di nuovo in raid futuri. Potrebbe significare miglioramenti alla gestione di patch e password, una migliore formazione sulla consapevolezza della sicurezza, l’implementazione dell’autenticazione a più fattori (MFA) o modifiche più complesse a persone, processi e tecnologia.

• Studia la peggiore risposta agli incidenti

Il pezzo finale del puzzle di risposta agli incidenti è imparare dall’esperienza. Parte di ciò è costruire la resilienza per il futuro, come sopra indicato. Ma puoi anche studiare dall’esempio degli altri. La storia delle violazioni dei dati è disseminata di casi di alto profilo di scarsa risposta agli incidenti. In un caso ben pubblicizzato, l’account Twitter aziendale di un’azienda violata ha twittato quattro volte un link di phishing, scambiandolo per il sito di risposta alla violazione dell’azienda. In un altro, una delle principali società di telecomunicazioni del Regno Unito è stata pesantemente criticata per aver rilasciato informazioni contrastanti .

Un ultima parola

Qualunque cosa accada, i clienti si aspettano sempre più che le organizzazioni con cui fanno affari subiranno incidenti di sicurezza. È il modo in cui reagisci che determinerà se rimarranno o se ne andranno e quale sarà il danno finanziario e di reputazione.

Fonte : https://www.welivesecurity.com/

0

0

Rss Feeds:

• Allerta Pericoli Informatici - all feed rss
• Allerta Pericoli Informatici - articoli per Podcast
• Inserisci i feed nel tuo sito

Pubblica anteprima dei nostri articoli sul tuo sito :

  Inserisci questo codice per mostrare anteprima dei nostri articoli nel tuo sito e proteggi i tuoi navigatori dai rischi informatici