Telsy e Fortinet collaborano per una VPN quantum-safe

I vantaggi della security awareness: difendersi da phishing, social engineering e minacce correlate

 Vedi tutte
Cybersecurity

Incident Management: nuovi approcci alla gestione degli incidenti cyber

Incident management orizz

Negli ultimi anni, la gestione degli incidenti cyber, più comunemente “Incident Management”, è diventata un tema centrale nella strategia di sicurezza delle organizzazioni.

La crescente complessità degli attacchi, l’aumento della superficie di esposizione e l’evoluzione delle tecniche di intrusione hanno reso necessario adottare approcci innovativi e strutturati. Non si tratta più solo di reagire a un evento, ma di costruire un ecosistema di prevenzione, rilevamento e risposta rapida ed efficace.

 

I nuovi approcci alla gestione degli incidenti

Gestire un incidente cyber non è un atto di improvvisazione; richiede preparazione e capacità di intervenire con prontezza per identificare, risolvere e mitigare le conseguenze che l’incidente ha prodotto.

In origine l’Incident Management era un processo reattivo: l’organizzazione identificava un problema e tentava di risolverlo il più rapidamente possibile. Oggi, invece, il paradigma si è spostato verso una logica proattiva e predittiva.

La nuova visione si fonda sull’integrazione della threat intelligence, che consente di analizzare le minacce emergenti prima che si concretizzino, e sull’uso di tecnologie di automazione e orchestrazione che riducono drasticamente i tempi di reazione.

Allo stesso tempo, si diffondono modelli come la Zero Trust Security, basati sull’idea che nessun utente o dispositivo possa essere considerato sicuro a priori, e l’analisi comportamentale (UEBA), capace di individuare attività anomale che potrebbero celare un attacco in corso.

Solitamente i piani di Incident Response prevedono un processo strutturato e ripetibile che aiuta le organizzazioni a gestire e mitigare gli incidenti di sicurezza informatica, attraverso 6 fasi: governance, identificazione e protezione, che aiutano le organizzazioni a prevenire alcuni incidenti, prepararsi a gestire gli incidenti che si verificano, ridurre l’impatto di tali incidenti e migliorare le pratiche di risposta agli incidenti e di gestione del rischio informatico basate sulle lezioni apprese, e rilevamento, risposta e recupero, che aiutano le organizzazioni a scoprire, gestire, prioritizzare, contenere, eliminare e recuperare da incidenti informatici, nonché a svolgere attività di reporting, notifica e altre comunicazioni relative agli incidenti.

In questo scenario, l’obiettivo quindi non è soltanto risolvere il problema, ma garantire resilienza e continuità operativa, minimizzando l’impatto sull’organizzazione.

 

Gli step fondamentali della sicurezza negli incidenti

Incident response lifecycle Telsy Incident ManagementUn processo di Incident Management efficace segue una serie di attività ben definite, più comunemente raccolte in un Incident Response lifecycle, il quale è composto da 3 macro-fasi che racchiudono al proprio interno tutti gli step necessari a rilevare, contenere e correggere eventuali rischi per le proprie difese cyber:

Fase predittiva/proattiva – Finalizzata all’analisi dei rischi che possono favorire gli incidenti informatici, le cause scatenanti e le soluzioni per mitigare gli effetti.

Fase reattiva – Vengono definite le modalità, i ruoli e le azioni che devono portare alla risoluzione degli incidenti informatici.

Fase correttiva/migliorativa – Si esaminano gli incidenti subiti in logica “lesson learnt” e si studiano le soluzioni idonee ad evitare che riaccadano.

Questo ciclo continuo, oltre a scandire gli step di sicurezza, assicura che ogni incidente diventi un’occasione di apprendimento.

 

Incident Management e compliance

I legislatori europei hanno introdotto l’obbligo di adottare piani per la gestione degli incidenti informatici, in continuità con quanto stabilito dalle best practice e dalle certificazioni di settore. Qui ricordiamo i più impattanti aggiornamenti normativi relativi al mondo cyber:

Direttiva NIS2 – per soggetti Importanti, Essenziali e fornitori di servizi digitali

La Direttiva impone l’adozione di misure tecniche e organizzative adeguate per prevenire e gestire gli incidenti, la notifica degli incidenti significativi entro 24 ore dal rilevamento (con report completo entro 72 ore), la tenuta di registri degli incidenti e delle azioni correttive, la designazione di un responsabile per la cybersecurity e il coordinamento con il CSIRT nazionale.

GDPR – in caso di data breach

Viene fatto obbligo di notifica all’Autorità Garante per la Privacy entro 72 ore. Se il rischio è elevato, occorre dare notifica anche agli interessati e, in fine, si necessita di documentare ogni incidente e le misure adottate

Altre normative di settore

Molti altri aggiornamenti normativi sono stati generati, tra cui ricordiamo il Regolamento DORA (Digital Operational Resilience Act), dedicato al settore banking, e la necessità di compliance a certificazioni e best practice internazionali come ISO/IEC 27001:2022, ISO /IEC 27035, NIST SP 800-61 v.2, Linee guida ACN, Linee guida AgID e molto altro.

 

Strumenti e tecnologie più utilizzate

incident management endpointLa gestione degli incidenti richiede il supporto di un insieme variegato di tecnologie. Tra le più diffuse vi sono i sistemi SIEM, utilizzati per raccogliere e correlare i log provenienti da fonti differenti, e le piattaforme SOAR, che permettono di orchestrare e automatizzare gran parte delle attività di risposta.

Accanto a queste soluzioni, gli strumenti EDR e XDR garantiscono un monitoraggio avanzato degli endpoint e degli ambienti cloud, mentre le piattaforme di Threat Intelligence aggregano informazioni preziose per riconoscere indicatori di compromissione e schemi di attacco.

Non mancano, infine, le tecnologie di digital forensics per analizzare in profondità le intrusioni e le soluzioni di sicurezza per ambienti multi-cloud, ormai imprescindibili per le infrastrutture ibride moderne.

L’integrazione di questi strumenti in un ecosistema coerente consente di avere una visione completa e reattiva dello scenario di rischio.

 

Le competenze richieste al personale di sicurezza

Nonostante l’automazione giochi un ruolo sempre più rilevante, il fattore umano resta decisivo, e la security awareness è in questo senso fondamentale.

I professionisti chiamati a gestire incidenti cyber devono possedere competenze tecniche avanzate, dalla conoscenza delle reti ai sistemi operativi, fino all’analisi del malware e alle indagini digitali.

Devono inoltre saper interpretare grandi volumi di dati generati da strumenti come SIEM ed EDR e trasformarli in decisioni operative.

Ma non bastano le capacità tecniche: è fondamentale anche sviluppare soft skills come la comunicazione efficace, il problem solving e la gestione dello stress, qualità che permettono di collaborare al meglio in contesti di crisi.

La formazione continua è imprescindibile, poiché le minacce evolvono rapidamente, così come la conoscenza delle normative e degli standard di sicurezza, che rappresentano un quadro di riferimento per garantire la conformità.

 

Le soluzioni di Telsy per l’Incident Management

In questo contesto, Telsy si propone come partner strategico per le organizzazioni che desiderano rafforzare la propria postura di sicurezza. I servizi di Incident Management di Telsy offrono una copertura completa dell’incident lice-cycle articolando le attività in 4 aree di intervento:

incident management AwarenessPolicy di Incident Management

Predisposizione delle procedure interne per la gestione degli incidenti, per dotarsi dei processi, misure e strumenti necessari a prevenire gli eventi, prepararsi a gestire gli incidenti prima che si verificano.

Supporto notifica incidenti

Un contatto diretto con l’Incident Response Team di Telsy per avere supporto operativo 24/7 nella risposta incidenti informatici e/o data breach, supportando il Cliente e attuare le contromisure necessarie per risolvere la crisi e ripristinare la continuità aziendale.

Incident Response

Supporto consulenziale pre- e post-incident alla corretta gestione delle comunicazioni verso le autorità previste dalla normativa nell’ambito delle notifiche degli incidenti: dalla condivisione delle guide operative e all’affiancamento nella compilazione e comprensione delle comunicazioni.

Reputational Management

Servizio consulenziale per la gestione delle comunicazioni di crisi strategiche (interne, esterne e di alto profilo) finalizzata a prevenire, mitigare e rimediare ai danni reputazionali e relazionali conseguenti a un incidente cyber.

Telsy mette inoltre a disposizione team di Incident Response pronti a intervenire in caso di compromissione, con attività di contenimento, forensics e remediation.

Scopri di più sulle soluzioni di Incident Management di Telsy, oppure contattaci all’indirizzo contact@telsy.it