Response time in caso di violazione dei dati? Al di là delle misure di sicurezza adottate, le aziende impiegano in media 191 giorni per rilevare un data breach e almeno 66 giorni per arginare i danni. (Fonte: Ponemon Institute Cybersecurity Report - 2017).
Gli hacker sono sempre più preparati a livello tecnologico e strategico: nel corso del 2018 sono cresciuti sia gli attacchi che i data breach. Questo a dispetto dell’entrata in vigore del GDPR. Gli esperti raccontano come aziende americane ed europee, pur avendo recepito le indicazioni normative, continuano ad avere difficoltà a gestire correttamente i loro livelli di sicurezza e a garantire un response time allineato ai rischi.
Scopri cosa può fare il Continuous Vulnerability Assessment per la tua azienda
Al di là della dimensione o del settore di riferimento, infatti, qualunque organizzazione che si appoggia a una rete informatica (più o meno complessa) connessa ad Internet è esposta al rischio di una violazione dei dati. A fare la differenza è il tempo di risposta a queste violazioni. Il response time è la chiave di volta della sicurezza, consentendo alle aziende di rilevare in un arco temporale il più ridotto possibile ogni eventuale violazione.
Una fotografia dei data breach più significativi che hanno caratterizzato gli ultimi 12 mesi evidenziano aziende che operano nei settori più disparati. Ecco un elenco:
La capacità delle aziende di rispondere opportunamente in caso di incidenti con data breach, limitando i danni e l’impatto degli stessi sul business e sull’operatività, è oggi molto limitata.
Più un sistema ha un response time contenuto, più è rapido il rilevamento di una violazione, l’identificazione delle cause e la conseguente reazione, finalizzata a rimuovere falle e vulnerabilità a infrastrutture, sistemi e dispositivi, contenendo così gli effetti e ripristinando la governance allo stato originario. Nel mirino aziende, istituzioni ed enti pubblici: gli hacker sono diventati molto sofisticati e spesso impiegano diverse tecniche combinate per raggiungere il loro obiettivo. Oltre a sfruttare vulnerabilità zero-day (per le quali non esiste ancora una patch di sicurezza), gli attacchi combinano spear phishing, malware fileless (residente solo nella memoria RAM) e ransomware. Dietro le quinte operano squadre che agiscono con scopi ben precisi e in modo molto determinato e coordinato. La loro azione può protrarsi per un arco di tempo che può durare diversi mesi se non addirittura anni. Se i sistemi di response time non sono efficaci, prima di scoprire una violazione l’azienda può subire ingenti danni non solo in termini economici ma anche reputazionali.
Cosa devono fare le aziende, dunque?
Per limitare i danni e preservare il business e/o la mission dell’organizzazione diventa fondamentale la definizione di un Incident Response Plan, allineato alle disposizioni del GDPR in materia di sicurezza informatica e protezione dei dati. Il piano è parte integrante del response time perché implica un insieme di procedure e di risorse utilizzate per reagire ad incidenti informatici. Un’azienda, quando subisce l’attacco di un hacker (che si tratti di un malintenzionato operante all’esterno dell’organizzazione o di un insider), la prima cosa che deve verificare è se sono stati violati i dati personali (data breach). Attraverso sistemi di monitoraggio e di identificazione è possibile così verificare se ci siano stati casi di accesso, copia ed utilizzo non autorizzato dei dati sensibili da parte del cybercrime. Non a caso, questo tipo di dati viene chiamato anche l’oro digitale dell’economia online.
Gli strumenti per identificare un incidente informatico oggi sono soluzioni automatizzate che effettuano sia il monitoraggio delle reti che il rilevamento di intrusioni (intrusion detection). A seconda della disponibilità di budget si può scegliere tra IDS (Intrusion detection system), SIEM (Security Information Event Management) e NGAV (Next Generation Antivirus). Si tratta di software progettati per collezionare e analizzare tutti i flussi di dati provenienti dai sistemi e dalla rete come, ad esempio, log, connessioni di rete, processi in esecuzione, chiamate di sistema, modifiche al file system e via dicendo. Il problema di queste soluzioni è che i sistemi di alert sono impostati su base periodica: ogni tanto i responsabili dei sistemi analizzano le segnalazioni per decidere, a campione, se e quando intervenire. L’ideale, invece, è ricorrere a una soluzione di Continous Vulnerability Assesment (CVA) in quanto funzionanti a modalità continua, con criteri di identificazione e di segnalazione estremamente più mirati ed evoluti. Algoritmi specificatamente progettati, effettuano un controllo continuo di reti, sistemi, dispositivi, dati e applicazioni, rilevando ogni tipo di eventuale anomalia, scostamento dalla norma, rivelando in tempo reale un’intrusione nella rete o un’infezione da malware.
Una volta rilevato un incidente, l’organizzazione deve reagire nel più breve tempo possibile. Il response time all’incidente dipende dalla policy aziendale adottata. Può essere:
Per scoprire come mettere in sicurezza la tua infrastruttura scarica gratuitamente l’eBook “Cosa può fare il Continous Vulnerability Assessment per la tua azienda”