I pain point più frequenti nell’Incident Response e come vengono risolti dalle aziende 

Cominciamo con una spiegazione:

• Un piano di emergenza o Disaster Recovery Plan è parte integrante del Business Continuity Management (BCM). Non deve limitarsi a trattare i danni causati da elementi naturali (incendio, acqua), ma deve includere nello specifico anche gli incidenti informatici. 
  
• Un Incident Response Plan (piano IR) descrive la procedura da seguire in caso di cyberincidente, ad esempio sulla base delle NIST Incident Response Recommendations. Fa parte del piano di emergenza. 
   

Alcune aziende non dispongono di un piano di emergenza aggiornato e comprovato. «Un cyberincidente, come un attacco ransomware, non riguarda solo il reparto IT. Le conseguenze si ripercuotono su tutta l’azienda. Occorre prepararsi a questa eventualità con piani ed esercizi adeguati, soprattutto a livello di management,» afferma Holzhauser.

Se le procedure e le responsabilità sono poco chiare, è difficile reagire correttamente quando si scopre un incidente, spiega Daniel Würsch, Product Portfolio Manager per Threat Detection and Response presso Swisscom: «La mancanza di preparazione fa sì che le aziende reagiscano in modo precipitoso e cerchino innanzitutto di arginare l’incidente. Così facendo perdono tempo prezioso.» 

Un piano di emergenza carente è anche la causa dei seguenti pain point. 

Un cyberincidente è un momento stressante. La frenesia e l’incertezza prendono il sopravvento, eppure è nelle prime ore che si decide quanto velocemente e come verrà arginato l’attacco. «In molte aziende non è chiaro in quale momento bisogna dichiarare una crisi. A causa di questa incertezza, spesso si ricorre a risorse importanti solo in ritardo,» afferma Holzhauser. 

In questa fase, infatti, i responsabili IR devono prendere decisioni che possono compromettere gravemente l’attività aziendale. «Competenze poco chiare, come il potere decisionale di isolare sistemi critici senza consultazione durante una crisi e quindi di influire in modo significativo sulla funzionalità operativa, ritardano la risposta e comportano rischi aggiuntivi,» spiega Holzhauser. «Se questi argomenti devono essere discussi solo quando ci si trova in questa situazione, si perde tempo prezioso.» 

Gli cyberincidenti non conoscono l’orario d’ufficio, a volte inconsapevolmente. La mancata disponibilità dei collaboratori e della Direzione generale rende più difficile la reazione. A volte, inoltre, mancano anche le conoscenze specialistiche o semplicemente le risorse per tenere sotto controllo la situazione. È quindi necessario il supporto di partner esterni. Ma anche questa soluzione deve essere pianificata, altrimenti, per usare le parole di Holzhauser: «Non è il momento ideale per chiedersi come contattare un partner dopo le 18:00.» 

Gli cyberincidenti fanno capire alle aziende, al più tardi in una situazione di crisi, quanto tutti i settori aziendali dipendano da un’infrastruttura IT funzionante e quali siano i gioielli della corona di un’azienda. «Spesso osserviamo che le aziende non sono consapevoli di quanto il guasto di un’applicazione incida sull’operatività e, in particolare, che l’isolamento spesso mette fuori uso i canali di comunicazione interni abituali,» afferma Holzhauser. «E serve una buona panoramica dell’ambiente IT per applicare le misure nel posto giusto,» aggiunge Würsch. 

In caso di cyberincidente sorgono domande come: 

• Ci sono obblighi di notifica, ad es. LPD/RGPD, FINMA, DORA, NIS2, autorità preposte alla protezione dei dati? 
• Quali rischi finanziari derivano dall’attacco informatico e dall’isolamento dei sistemi? 
• Chi amministra l’isolamento, lo spegnimento e il ripristino dei sistemi? 
• Chi comunica e informa chi, quando? 
• Chi coordina l’Incident Response?