Skip to main content

Purtroppo capita spesso di lavorare con aziende che hanno stipulato contratti di assistenza con fornitori di servizi ICT che, al momento del bisogno, si rivelano inefficienti.

Nel contesto aziendale odierno, la gestione della Cybersecurity si deve configurare come un processo multidimensionale che richiede l’interazione coordinata di diverse figure professionali, ciascuna con competenze specifiche, in tempi estremamente ridotti. Questa necessità emerge con particolare evidenza quando le aziende si trovano a fronteggiare incidenti informatici, situazioni in cui la rapidità e l’efficacia della risposta sono determinanti per limitare i danni.

Gestione Incident: il caso

Un recente episodio ha coinvolto il team di Incident Response di Cyberoo, chiamato ad intervenire presso un’importante società italiana colpita da un attacco ransomware.

La società in questione aveva affidato la gestione completa dei propri sistemi informatici a un fornitore esterno (system integrator), non disponendo di personale IT interno. E fino a qui (quasi) tutto bene. Il problema è arrivato quando, durante le attività di indagine, ogni comunicazione tecnica doveva passare attraverso il suddetto system integrator, detentore delle conoscenze tecniche essenziali, complicando tutte le fasi dell’intervento di risposta all’incidente vista la sua parziale reattività.

A complicare ulteriormente le cose, la sua mancanza di una governance integrata dell’infrastruttura IT. Server e firewall, infatti, erano gestiti da una business unit differente che garantiva assistenza solo tramite ticket intercompany e con tempi di risposta definiti nelle business hours anziché H24. L’incidente, verificatosi durante la notte, ha messo in luce le limitazioni di tale approccio, rallentando significativamente le operazioni di indagine e risposta.

 

La morale o, meglio, gli step da seguire

Questo episodio sottolinea l’importanza di considerare la cybersecurity non solo come un insieme di strumenti tecnologici avanzati, ma come un processo che coinvolge competenze umane, procedure operative e accordi contrattuali adeguati. In particolare, emerge la necessità di:

  1. Integrare competenze interne ed esterne: Avere competenze interne in materia di cybersecurity o, quando ciò non è possibile, stabilire relazioni strette e funzionali con fornitori esterni specializzati, in modo da garantire una comunicazione efficace e tempestiva in caso di incidenti.
  2. Definire chiaramente ruoli e responsabilità: Ogni figura coinvolta nel processo di cybersecurity, dal personale interno ai fornitori esterni, deve avere ben chiaro il proprio ruolo e le proprie responsabilità, soprattutto in situazioni critiche.
  3. Stipulare accordi contrattuali adeguati: I contratti con i fornitori di servizi e tecnologie ICT devono prevedere clausole specifiche per la gestione degli incidenti, inclusi tempi di risposta garantiti anche in orari e giorni non lavorativi, per assicurare un’azione rapida ed efficace.
  4. Implementare un Incident Response Plan (IRP): Avere un piano di risposta agli incidenti ben definito e testato regolarmente è fondamentale per organizzare una risposta coordinata e tempestiva, minimizzando l’impatto degli attacchi.
  5. Formazione continua: La formazione continua del personale e l’aggiornamento costante sulle ultime minacce e tecniche di difesa sono essenziali per mantenere alta la resilienza dell’organizzazione agli attacchi informatici.

In conclusione, la cybersecurity deve essere intesa come un processo olistico che integra tecnologia, persone e processi, con l’obiettivo di proteggere le risorse digitali aziendali in modo proattivo e reattivo. La collaborazione tra tutte le figure coinvolte, supportata da accordi contrattuali solidi e piani di risposta efficaci, è la chiave per una cybersecurity resiliente e dinamica.