La classificazione degli incidenti sulla sicurezza delle informazioni per intervenire in caso di data breach
Un’efficace strategia di gestione degli incidenti relativi alla sicurezza delle informazioni, e dei data breach in particolare, si gioca sull’equilibrio tra la riduzione dell’impatto degli incidenti e la loro elaborazione nel modo più efficiente possibile; un valido approccio si basa sullo sviluppo di un piano.
Ciò comporta, a livello macro:
– identificazione delle risorse necessarie per la pianificazione e gestione (anche post) degli incidenti;
– sviluppo e condivisione dei processi di rilevamento e segnalazione per rispondere agli eventi avversi della sicurezza;
– identificazione dei punti deboli associati ai sistemi, che possono portare ad eventi critici se non affrontati in modo appropriato.
A monte di tutto ciò è però necessario definire cosa si intenda per “incidenti”, i criteri per la loro classificazione ed il loro trattamento; bisogna approfondire le differenze rispetto agli eventi “comuni”, identificando come devono essere trattati gli “incidenti” rispetto a questi.
L’obiettivo di questo articolo è quello di comprendere le ragioni e modalità per la classificazione degli incidenti riguardanti la sicurezza delle informazioni.
La classificazione degli incidenti – La classificazione degli incidenti presuppone una loro standardizzazione in categorie stabilite, in un modo che potrebbe anche essere indipendente dalle singole business units. Il criterio di classificazione, che basato sulla gravità, prende corpo considerando le conseguenze dell’evento (per i terzi, compresi gli interessati e per l’organizzazione). Alla diversa gravità dovrebbe essere associata una procedura specifica, il che comporta risposte mirate ed il coinvolgimento di risorse dedicate in tempi predefiniti.
Comprendere la gravità di un incidente è quindi indispensabile per determinare i tempi di risposta e quindi la priorità da assegnare all’evento mettendo in campo le giuste risorse, indipendentemente dal modello utilizzato, che può essere più o meno conservativo.
Il parametro della gravità potrebbe non essere il solo da considerare e deve essere incastonato in un concetto più ampio: un incidente di bassa gravità che comporta limitate risorse per risolverlo potrebbe essere trattato anche come prioritario. Analogamente, un incidente che da un livello di bassa gravità, potrebbe rapidamente evolvere in uno ad alta gravità, se non rapidamente affrontato e risolto.
Un robusto sistema per la classificazione implica di:
– stabilire un sistema di triage che permetta di anticipare le risposte, per arginare le conseguenze degli incidenti più gravi;
– predefinire modelli di comportamento, per ridurre incertezza e confusione;
– individuare azioni preventive per ridurre la possibilità e/o la gravità degli incidenti.
Il processo di elaborazione delle categorie degli incidenti e della loro gravità – Per creare una categoria di incidenti, e, quindi, per sviluppare risposte mirate, possono essere applicate metodologie differenti. Tra le più efficaci:
– operare con un percorso a ritroso partendo dalle risposte possibili e individuare a quali casi applicarle. Ad esempio: per quali casi è necessario avvisare il Titolare del trattamento? Per quali casi è necessario interpellare il Responsabile o il Sub-responsabile?
– etichettare gli incidenti con parole chiave, come ad esempio “software gestionale”, “interessato”, “SLA”. In tal modo si individuano incidenti che condividono alcuni elementi, e così applicare ad essi le medesime politiche, rendendo più efficienti le misure.
Una volta individuate le categorie, è necessario considerare i livelli di gravità associati ai singoli incidenti. È opportuno a tal fine costruire delle tabelle dove definire:
– situazione;
– livello di gravità/severità associato;
– conseguenze per l’interessato (a valere sia come Titolare del trattamento che come Responsabile);
– conseguenze per il Titolare (a valere come Responsabile);
– misure da mettere in atto (azioni da effettuare ed il loro livello di priorità, soggetti da contattare, ecc.).
Un esempio:
Contesto: Responsabile del trattamento che sviluppa applicativi per la prenotazione on line delle prestazioni sanitarie e fornisce servizi di assistenza ai Titolari.
– situazione: impossibilità di caricare le pagine da parte degli interessati (gli utenti che devono effettuare/modificare la prenotazione), a causa di un problema imputabile ad un difetto del SW (ovvero ad una parte del sistema, il quale, in circostanze specifiche, produce un malfunzionamento dello stesso);
– livello di gravità/severità associato: altissimo;
– conseguenze per l’interessato: non può effettuare la prenotazione/modifica della prenotazione; viene quindi meno la disponibilità dei dati;
– conseguenze per il Titolare: non può soddisfare le esigenze dei propri utenti – danno di immagine, perdita di fatturato;
– misure da mettere in atto (azioni da effettuare e loro livello di priorità, soggetti da contattare, ecc.); attivare:
+ Responsabile della commessa per avvisare il Titolare
+ Team senior di sviluppatori per sospendere il servizio on line ed avviare la risoluzione del problema
+ Team di comunicazione per avvisare gli interessati, in accordo anche con il Titolare e mantenere l’aggiornamento delle stesse
+ Team data breach per il monitoraggio dell’evento e la misurazione degli SLA in base a quanto concordato contrattualmente con il Titolare.
L’integrazione con le procedure – Una volta che sono state individuate le risposte da fornire, in base alla gravità degli incidenti, e procedendo ovviamente in base alle priorità, è opportuno inserirle all’interno delle procedure sulla gestione degli incidenti/data breach.
Per le realtà più complesse possono essere messe a punto checklist e specifiche misure di risposta che potrebbero essere avviate in modo automatico.
Al termine di un incidente dovrebbe essere rivalutata la procedura, per individuare eventuali ambiti di miglioramento della stessa; deve essere anche considerato se il caso occorso rientra nella casistica considerata oppure se si tratta di un evento non precedentemente esaminato.
La stessa procedura dovrebbe anche definire una modalità di lavoro nel caso in cui si verificasse un “incidente sconosciuto”, in modo da avviare sin da subito una risposta rapida ed efficiente.
Conclusioni – In sintesi, individuare come azione proattiva misure mirate per intervenire sulla base della gravità associata ad un incidente, rende il processo più efficiente, riducendo i tempi di intervento grazie ad un’adeguata pianificazione. Ovviamente, non per tutti gli incidenti e non per tutti i contesti aziendali è utile/efficace effettuare tale valutazione, ma anche in questo caso è opportuno individuare le priorità su cui intervenire e cogliere dall’articolo gli spunti per affinare le procedure per la gestione degli eventi relativi alla sicurezza delle informazioni.
Articolo ripreso da FederPrivacy