Passaggi che i CISO dovrebbero intraprendere prima, durante e dopo un attacco informatico

Nel complesso panorama delle minacce odierne, attacchi informatici sono inevitabili. Gli autori malintenzionati stanno diventando sempre più sofisticati, gli attacchi motivati ​​dal punto di vista finanziario si stanno diffondendo sempre più e nuove famiglie di malware vengono scoperte ogni giorno, rendendo ancora più importante per le organizzazioni, di tutte le dimensioni e di tutti i settori, disporre di un piano di attacco.

I cyber playbook dettagliati sono essenziali e dovrebbero delineare esattamente cosa dovrebbero fare i team quando si verifica un attacco, spaziando dagli scenari migliori a quelli peggiori, in modo che i leader della sicurezza possano mitigare il problema, rassicurare i leader aziendali e andare avanti il ​​più rapidamente possibile.

Sebbene ogni attacco informatico sia unico e richieda una propria procedura e un piano di ripristino, ci sono tre considerazioni che i Chief Information Security Officer (CISO) dovrebbero sollevare oggi con i propri team di sicurezza e leader aziendali per assicurarsi che siano preparati di conseguenza.

Prima di un attacco informatico: educare le parti interessate

I CISO e i leader della sicurezza dovrebbero interagire regolarmente con i leader aziendali sulla sicurezza informatica e con largo anticipo rispetto al momento in cui si verifica un attacco. Educazione e generazione di consapevolezza per coloro che potrebbero non essere coinvolti nelle operazioni di sicurezza quotidiane (ad esempio, il consiglio di amministrazione) è fondamentale per evitare alcune sorprese che spesso accompagnano un incidente di sicurezza. I CISO dovrebbero dare priorità a questa formazione attraverso:

• Promuovere forti relazioni con la leadership aziendale. I CISO non possono implementare un piano d'azione finché i leader non comprendono il panorama della sicurezza e i principali punti di rischio in modo più ampio. Ecco perché è importante che i CISO costruiscano continuamente solide relazioni con i leader giusti e li istruiscano sulla sicurezza informatica in modo che abbiano una comprensione generale del panorama, nel caso in cui si verifichi un attacco.
• Costruire un quadro completo che delinei ruoli e responsabilità e gestirlo in anticipo da parte delle persone giuste. Quando si verifica un attacco informatico, le cose possono diventare difficili, soprattutto quando la leadership non ha esaminato e approvato in anticipo il piano di attacco. Per garantire che tutti abbiano i propri ordini di marcia durante un incidente informatico, i CISO e i team di sicurezza dovrebbero sviluppare un quadro completo che delinei le esatte responsabilità del team di sicurezza e dell’organizzazione più ampia.
• Testare continuamente i piani per rilevare in modo proattivo i difetti e adattare le pratiche di risposta. Anche con un piano in atto, potrebbero esserci ancora difetti nella struttura o problemi che devono essere riaggiustati, rendendo fondamentale per i team testare frequentemente il proprio piano di gioco. Sottoponendo a stress test il loro piano, i leader possono evidenziare i difetti all’interno dei protocolli, lasciando il tempo per apportare gli aggiornamenti di conseguenza. Le organizzazioni dovrebbero testare e mettere alla prova il proprio piano eseguendo esercizi pratici più volte all’anno e riportando i risultati alla leadership.

Implementando le iniziative sopra menzionate, quando si verifica un evento, i CISO possono facilmente rassicurare le parti interessate che il piano di attacco concordato e testato di comune accordo è in atto.

Durante un attacco informatico: dare priorità alla comunicazione efficace ed empatica

Quando si verifica un attacco informatico, è fondamentale che le organizzazioni siano in grado di mobilitare rapidamente i propri team per rispondere e attivarsi secondo ruoli e responsabilità prestabiliti. I soccorritori più fluidi ed efficaci sono solitamente quelli che sono ben addestrati, ben attrezzati e hanno predisposto in anticipo gli strumenti necessari.

Il modo e il tono con cui i leader comunicano durante una crisi sono essenziali per un recupero efficace dagli attacchi informatici. I leader dovrebbero integrare l’empatia nella loro strategia, fornendo rassicurazioni efficaci e di grande impatto a coloro che sono colpiti, sia internamente che esternamente, concentrandosi sul ripristino della fiducia degli stakeholder.

Dopo un attacco informatico: riflettere senza colpe

In un ambiente ad alta posta in gioco e ad alta pressione come la sicurezza informatica, è imperativo che le organizzazioni creino uno spazio aperto che accolga autopsie oneste e approfondite.

Dopo aver risolto i problemi derivanti da un attacco, i team di sicurezza dovrebbero raggrupparsi e riflettere sull'incidente per comprendere meglio i modi in cui sono riusciti a raggiungere il successo e come possono migliorare in futuro. È importante che durante queste discussioni nessun individuo in particolare venga incolpato e che l'attenzione sia focalizzata sulla comprensione di come l'organizzazione può migliorare. Il playbook dovrebbe essere esaminato in dettaglio con le parti interessate per determinare se c’è qualcosa che deve essere modificato per garantire una risposta più efficace.

Noi di Google aderiamo al concetto di autopsia irreprensibile, creando uno spazio aperto che incoraggia discussioni franche su cosa è andato storto, cosa è andato bene e sulle lezioni apprese dall'incidente.

In definitiva, l’obiettivo è evitare sorprese prima, durante e dopo un incidente informatico. Per raggiungere questo obiettivo, le organizzazioni dovrebbero comunicare ed educare costantemente le parti interessate durante l’intero ciclo di attacco informatico per aumentare la comprensione dell’evento ed evitare nuovamente gli stessi errori. Creando un piano d'azione che viene testato frequentemente, stabilendo ruoli e responsabilità, aggiornando continuamente i playbook, comunicando frequentemente, conducendo autopsie e chiedendo aiuto esterno quando necessario, le organizzazioni possono prepararsi per un maggiore successo quando si tratta di rispondere agli attacchi informatici. Non saremo mai in grado di evitare del tutto gli attacchi informatici, ma possiamo sempre imparare e diventare più efficaci nell’affrontarli.

• Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
• PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
• PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
• PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
• Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
• Fonte: https://www.darkreading.com/attacks-breaches/steps-cisos-should-take-before-during-after-cyberattack