Se l’incident response è il settore della cybersecurity dedicato al primo intervento dopo uno o più attacchi andati a buon fine in una rete informatica, l’incident response plan è il documento che stabilisce regole, protocolli e linee di condotta per svolgere al meglio l’attività, stabilendo le priorità da seguire prima, durante e dopo l’evento malevolo.

Incident response plan, i framework più efficaci

Il primo tema da affrontare, quando si parla di incident response plan, è proprio il concetto di incident che non si limita agli attacchi o alle compromissioni malevole, ma considera qualsiasi evento in grado di interrompere o rallentare il corretto funzionamento di una rete.

Nonostante i diversi modelli e framework adatti a sviluppare un incident response plan, i sistemi principali di riferimento restano tuttora il NIST e il SANS, la cui differenza principale risiede nelle azioni volte al ritorno dell’operatività dopo l’attacco cyber. Se il primo considera il processo di contenimento, eliminazione e ripristino come un’unica fase con più componenti, il secondo li ritiene fasi indipendenti tra loro.

Fonte: https://cybersecurity.att.com/

Simili, ma diversi quanto basta per dividere chi si occupa di cybesecurity. Ciò che più conta è che, qualunque sia il framework che si utilizza, sviluppare un incident response plan richiede risorse dedicate, conoscenza perfetta dei sistemi hardware e software presenti in azienda e valutazioni mirate su organizzazione e personale, in modo da garantire la sicurezza delle reti.

Alla base del piano è necessaria un’analisi della filiera produttiva dell’azienda, per individuare il suo funzionamento e stabilire le sue criticità, dopo cui si procede con l’elaborazione di scenari potenziali di “incident”, in modo da simularne l’impatto sul business. Un framework aiuta a seguire un ordine logico ed efficiente nella raccolta e analisi di tutte le informazioni chiave in modo da sviluppare, poi, un incident response plan aderente allo specifico contesto aziendale.

Non basta solo analizzare

Va da sé che un incident response plan non è un documento da lasciare fine a sé stesso. Nel momento in cui si decide di approntare i protocolli di incident response, serve predisporre tutto il necessario affinché il documento possa essere applicato in caso di necessità.

Questo richiede non solo molto tempo alla raccolta e aggiornamento regolare delle informazioni, ma anche la selezione e la formazione del personale, l’acquisto di hardware e software peculiari, e soprattutto il collaudo vero e proprio dell’incident response plan con simulazioni specifiche.

Per queste ragioni è ideale rivolgersi un partner qualificato: competenze tecniche e un’esperienza comprovata con casi d’uso concreti si rivelano cruciali per identificare preventivamente le minacce potenziali e delineare il giusto piano d’azione per fronteggiarle, specialmente con un security assessment iniziale. Qualunque sia la strategia, l’incident response plan è uno dei più versatili e potenti strumenti di protezione in mano a un’azienda, perché di fatto rappresenta l’ultima possibilità per recuperare da un incidente informatico la cui entità, in media, è notevole.