LA GUIDA PRATICA

La gestione degli incidenti informatici: un corretto piano operativo

La corretta gestione degli incidenti informatici può ottenersi seguendo le linee guida indicate negli schemi ISO/IEC 27035 e NIST 800-61. Ecco i passaggi per mettere a punto un efficace piano operativo

22 Lug 2020
G
Paolo Gasperi

Information Security Manager

La gestione e, di conseguenza, la risposta agli incidenti informatici si compongono di tre fasi che, nella loro rappresentazione grafica classica, sono di grandezza equivalente e che sono sostanzialmente legate ai differenti tempi di azione:

  1. prima dell’incidente: in questa fase ci si occupa di definire le azioni e le procedure, formare le persone e compiere i test tecnici necessari;
  2. durante l’incidente: in questa fase ci si deve preoccupare di identificare l’incidente, contenerne i danni, procedere all’eliminazione delle cause e contestualmente provvedere alla comunicazioni ai soggetti terzi interessati;
  3. dopo l’incidente: dove l’analisi forense e la disamina di quanto successo forniscono gli elementi per quelle che comunemente vengono chiamati “gli insegnamenti dall’accaduto”, che devono fornire la base per evitare che l’incidente si ripeta.

Come detto, nelle rappresentazioni grafiche le tre fasi hanno generalmente uguale grandezza, facendo implicitamente presupporre che abbiano uguale importanza. Nella realtà, invece, accade spesso che la gestione degli incidenti venga associata unicamente alla seconda fase.

Questa consuetudine però aumenta considerevolmente il rischio che un’incidente informatico con bassa incidenza sotto il profilo tecnico abbia ripercussioni ben maggiori, proprio a causa di una mancata definizione a priori di azioni e procedure di emergenza (fase 1).

Basti pensare, per esempio, alle ripercussioni in termini di “danno reputazionale” che possono derivare da una non corretta comunicazione agli interessati di un momentaneo shutdown di alcuni servizi. Senza considerare, naturalmente, gli obblighi di legge, sempre in tema di comunicazione, se l’incidente dovesse interessare la privacy di uno o più soggetti.

Questo modello che si concentra solo sulla fase di gestione dell’incidente viene definito “reattivo” ed è, nella nostra esperienza, tanto più radicato come cultura aziendale tanto più l’azienda si muove nel campo della tecnologia hardware o software.

In questi casi la tendenza a sovrastimare le proprie abilità di risposta ad eventi tecnici avversi sfocia spesso nella sottovalutazione della fase di predisposizione delle procedure.

Di seguito proveremo ad evidenziare le impostazioni di due standard riconosciuti in tema di gestione degli incidenti, con particolare riferimento alle regole per la redazione del documento cardine della gestione degli incidenti: l’Information Security Incident Management Plan.

Le norme che analizzeremo nel dettaglio sono:

  1. ISO/IEC 27035-1:2016 “Principles of incident management”;
  2. ISO/IEC 27035-2:2016 “Guidelines to plan and prepare for incident response”;
  3. NIST Special Publication 800-61 revision 2. Computer Security Incident Handling.

Gestione degli incidenti informatici: lo schema ISO/IEC 27035

Appartenente alla famiglia della norma ISO/IEC 27001:2013, da cui dipendono anche in fase di certificazione, la norma ISO/IEC 27035:2016 è suddivisa in due parti pubblicate distintamente anche se interdipendenti.

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati

Il punto di partenza della norma è la considerazione che l’applicazione delle policy unite ai controlli di sicurezza non sono sufficienti per garantire una protezione totale sia delle informazioni che dei sistemi che le ospitano. Per questo motivo viene proposto un approccio strutturato alla gestione degli incidenti informatici.

Nella prima parte della norma vengono presentati i concetti base e le diverse fasi della gestione degli incidenti, compresa una parte di schemi ed esempi pubblicati come allegati. Nell’allegato C, per esempio, viene inoltre riportata una tabella delle corrispondenze con la norma ISO/IEC 27001:2013.

Nella seconda parte, invece, vengono analizzate nello specifico le due fasi denominate “Plan and prepare” e “Lesson learnt”.

Le fasi principali come previste dalla norma sono cinque:

  1. Plan and prepare
  2. Detectione and reporting
  3. Assessmente and detection
  4. Respose (inclusa la fase di Post Incidente activity)
  5. Lesson learnt

Come si vede, sono una variante delle tre fasi comunemente considerate viste sopra. La cosa che invece connota questo tipo di approccio è il fatto che nello schema dettagliato delle operazioni da compiere fase per fase, la stesura dell’Information Security Management Plan viene prevista come terza attività della fase Plane and Prepare, dopo la definizione delle policy di sicurezza incluse quelle relative alla gestione del rischio e l’approvazione del management (in tipico stile ISO).

Anche l’ultima azione di questa prima fase riguarda l’Information Security Management Plan, in quanto è prevista una sua verifica.

La definizione dell’Information Security Management Plan precede anche la fase di costituzione del IRT (Incident Response Team), ossia il nucleo di persone deputate a gestire gli incidenti.

Queste informazioni sono contenute nella ISO/IEC 27035-1:2016, punto 5.2 c) e sono riprese ampliate nella ISO/IEC 27035-2:2016, punto 6. dove si definisce in modo puntuale il contenuto dell’Information Security Management Plan.

Ed è in questi paragrafi che prende corpo la natura dell’Information Security Management Plan come concepito dalla norma: il piano nasce ed è basato sulle policy di gestione degli incidenti e quindi comprende anche i riferimenti a documenti specifici.

La finalità del piano resta comunque quella di fornire una vista d’insieme delle procedure da attuare in caso di incidenti pur mantenendo un livello di dettaglio per quanto riguarda i riferimenti alle policy; che come detto ne rappresentano la base strutturale.

Gestione degli incidenti informatici: lo schema NIST

Il documento NIST 800-61 riflette nella sua struttura di circa 80 pagine l’approccio generale del National Institute of Standards and Technology americano, definendo in maniera pragmatica contesto ed azioni tecniche in tema di gestione degli incidenti ed in una certa misura anche la definizione dell’Information Security Management Plan risente di questa impostazione.

La prima cosa che si nota è che uno degli elementi del Piano dovrebbe essere l’evidenza del supporto del management, inteso anche in termini di risorse organizzative. Questo mette in correlazione diretta la struttura del Piano con la struttura scelta per l’IRT (Incident Response Team).

L’approvazione formale del piano da parte del management costituisce un elemento centrale.

Gli elementi costitutivi del piano sono quindi (cfr. 2.3.2 Plan elements):

  1. missione;
  2. strategie e obiettivi;
  3. approvazione dei dirigenti;
  4. approccio organizzativo alla risposta agli incidenti;
  5. come il team di risposta agli incidenti comunicherà con il resto dell’organizzazione e con altre organizzazioni;
  6. metriche per misurare la capacità di risposta agli incidenti e la sua efficacia;
  7. tabella di marcia per l’aumento della capacità di risposta agli incidenti;
  8. come il programma si inserisce nell’organizzazione generale.

In questa impostazione, sono le Policy di gestione degli incidenti (cfr. 2.3.1) insieme all’Information Security Management Plan a fornire la base per la definizione delle SOP (Standard Operating Procedure), che sono una declinazione di processi tecnici specifici, checklist o moduli usati dall’IRT (Incident Response Team, cfr. 2.3.3).

Sembrerebbe quindi che non vi sia la forte correlazione prevista tra policy e piano dalla norma ISO/IEC 27035:2016, ma questa interpretazione viene chiarita nelle raccomandazioni (cfr. 2.6) dove testualmente si indica come sia necessario “Develop an incident response plan based on the incident response policy”.

Diversa, invece, la struttura delle fasi che nel documento NIST sono quattro.

Ciclo di vita dell’Incident Response Plan.

Nonostante il nome della prima fase sia di fatto simile alla struttura ISO (“Preparation” vs. “Plan and prepare”) queste prevedono due fasi sono di fatto diverse nei due standard.

Nel primo caso (NIST) sono definite già le prime fasi di preparazione all’intervento, nel secondo (ISO/IEC 27035) vengono comprese anche le attività di creazione IRT, delle policy e la definizione dell’Information Security Management Plan.

Nell’approccio NIST, in sostanza, si enfatizza la gestione dell’incidente dal punto di vista tecnico con riferimenti ad alcune moduli di crittografia ed altri dettagli tecnici.

Conclusioni

Come visto, entrambi i modelli per la gestione degli incidenti informatici offrono tutti dei riferimenti completi e costituiscono un ottimo punto di riferimento nell’implementare e gestire a tutto tondo la tematica degli incidenti informatici.

Alcune considerazioni, però, ci fanno preferire l’approccio ISO 27035:2016 a quello NIST:

  1. in primo luogo, proprio la definizione puntuale della fase “Plan and prepare” è di aiuto nella individuazione di tutti i fattori critici;
  2. le aziende che richiedono la certificazione AgID per fornire servizi alla PA sono invitate ad integrare la certificazione ISO/IEC 27001 con le certificazioni ISO/IEC 27035:2016;
  3. la gestione degli incidenti (data breach) nel GDPR potrebbe avere nella applicazione della struttura proposta dalla norma ISO/IEC 27035:2016 una solida base di partenza. Questo naturalmente se non ci si focalizza unicamente su termini e modi della comunicazione obbligatoria al Garante.

In generale al netto di coloro che in tema di incidenti informatici si affidano, più o meno consapevolmente, all’approccio “prega & spera”, farei mia la frase attribuita a Abramo Lincoln “se avessi otto ore per tagliare un albero, ne passerei sei ad affilare la mia scure”.

In altre parole, mi dedicherei a stendere un dettagliato Information Security Incident Managment Plan, quale che sia lo schema applicato.

WHITEPAPER
Previeni i difetti di sicurezza nelle applicazioni: la soluzione in 5 punti
Sicurezza
Software
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr