Come identificare e segnalare incidenti di sicurezza

Nella società odierna fortemente connessa e guidata da Internet, è sempre più comune per le aziende investire nella gestione degli incidenti di sicurezza. Quando prevenire un problema diventa impossibile, la cosa migliore da fare è intraprendere prontamente le azioni corrette.

Ecco come riconoscere gli incidenti di sicurezza per minimizzarne l’impatto.

Che cos’è un incidente di sicurezza?

Sebbene gli esperti di sicurezza informatica a volte abbiano definizioni leggermente diverse per gli incidenti di sicurezza informatica, generalmente li classificano in due tipi principali. Ma in generale, un incidente di sicurezza è qualsiasi violazione tentata o riuscita delle politiche di sicurezza informatica e dei meccanismi di protezione di un’azienda che porta conseguenze negative. Esempi inclusi:

  • Prova dell’utilizzo non autorizzato dell’app o dell’accesso ai dati.
  • Attacchi di phishing.
  • Rapporti di ingegneria sociale.
  • Account utente compromessi.
  • Avvisi sull’utilizzo non autorizzato della rete.

Quali sono i due tipi di incidenti di sicurezza?

I rischi per la sicurezza non sempre comportano problemi. Ad esempio, un dipendente può lasciare un laptop aziendale sul sedile posteriore di un taxi e ricevere una notifica sulla proprietà lasciata cinque minuti dopo. Un’analisi può anche confermare l’improbabilità che l’errore abbia portato a qualsiasi dato compromesso o manomissione del computer all’interno di quella breve finestra, soprattutto se è protetto da password.

In tali casi, un evento di sicurezza è un evento osservato che potrebbe compromettere i dati, una rete o un’azienda. La creazione di un solido piano di risposta agli incidenti di sicurezza riduce le possibilità che gli eventi di sicurezza diventino incidenti. Anche la formazione dei dipendenti può aiutare.

Un criminale informatico può inviare e-mail di phishing a ogni membro del team di un’azienda di 100 persone, provocando 100 eventi di sicurezza. Tuttavia, se nessun dipendente cade nel trucco, nessuno degli eventi diventa un incidente di sicurezza con conseguenze associate.

Gli incidenti sulla privacy sono diversi dagli incidenti sulla sicurezza?

Le persone dovrebbero anche conoscere gli incidenti sulla privacy. Spesso vengono discussi separatamente dagli incidenti di sicurezza, ma sono comunque correlati.

Un incidente sulla privacy si verifica a causa della divulgazione di dati regolamentati. Ad esempio, una violazione dei dati che comprometta le informazioni di identificazione personale (PII) dei clienti rientra in questa categoria.

Tutti gli incidenti sulla privacy sono anche incidenti sulla sicurezza. Tuttavia, gli incidenti di sicurezza potrebbero non influire sui dati regolamentati.

Le violazioni dei dati sono un’altra categoria rilevante. Sono casi confermati di accesso non autorizzato alle informazioni che spesso diventano incidenti sulla privacy.

Correlati: le peggiori violazioni dei dati di tutti i tempi

In che modo le persone possono individuare potenziali incidenti di sicurezza?

I segnali di avvertimento per gli incidenti di sicurezza sono disponibili in diverse varietà. Ad esempio, durante un attacco a un impianto idrico , un supervisore ha visto il cursore del mouse muoversi da solo e ha notato che qualcuno da remoto alzava i livelli di liscivia. Tuttavia, gli attacchi informatici in corso non sono sempre così immediatamente evidenti. Qualcuno potrebbe vedere livelli di traffico di rete leggermente più alti, ma non ritiene di dover ancora svolgere ulteriori indagini.

I dati mancanti sono un altro segnale di avvertimento di un possibile attacco informatico. Tuttavia, non è sempre un segno di difficoltà. Se qualcuno semplicemente non riesce a trovare un file, forse si è dimenticato di salvarlo o lo ha messo accidentalmente nella posizione sbagliata.

Il problema è più grave se le persone segnalano la perdita di tutti i loro file.

Allo stesso modo, gli attacchi ransomware si verificano quando gli hacker bloccano tutti i file su una rete e richiedono un pagamento per ripristinarli. In questi casi, le persone vedono messaggi che confermano esplicitamente l’attacco e indicano come inviare il denaro. Tuttavia, potrebbero vedere prima altre comunicazioni.

Quando un attacco ransomware ha paralizzato il servizio sanitario irlandese , è iniziato quando un dipendente ha fatto clic su un collegamento per ottenere aiuto dopo che un computer ha smesso di funzionare.

È anche problematico se numerose persone segnalano l’improvvisa impossibilità di accedere ai propri account. In alternativa, possono ricevere e-mail che informano sull’indirizzo e-mail o sulle modifiche alla password nonostante non abbiano modificato i dettagli dell’account.

Qual è la cosa più importante da fare se si sospetta un incidente di sicurezza?

Quando le persone sospettano un incidente di sicurezza, potrebbero sentirsi immediatamente sopraffatte e non sapere cosa fare prima.

La risposta iniziale più appropriata agli incidenti di sicurezza in tutti i casi consiste nel segnalare la situazione alla parte corretta. Quindi le persone responsabili possono agire rapidamente per limitare le perdite di dati e potenziali tempi di inattività. Riceveranno anche i dettagli per un rapporto sull’incidente di sicurezza da chiunque sappia cosa è successo.

I leader dell’azienda dovrebbero rendere il più semplice possibile per le persone condividere i dettagli di incidenti sospetti. Una possibilità è includere un collegamento a un modulo di incidente nel piè di pagina di ogni e-mail. Un’altra opzione è pubblicare i numeri di telefono di segnalazione degli incidenti di sicurezza in aree importanti, come sale pausa, servizi igienici e ascensori.

Una volta che un team di sicurezza conferma un incidente di sicurezza, potrebbe dover informare parti esterne come il personale delle forze dell’ordine o le autorità di regolamentazione nazionali. Ad esempio, le aziende che operano o servono i clienti nell’UE hanno 72 ore per informare i regolatori dei dati dopo aver appreso delle violazioni.

Perché la gestione degli incidenti di sicurezza è efficace

Non esiste un unico modo garantito per fermare tutti gli incidenti di sicurezza. Ecco perché la maggior parte degli approcci si concentra invece sulla risposta e sulla gestione degli incidenti di sicurezza.

La creazione di un piano di risposta agli incidenti è un ottimo primo passo per coprire tutte le basi.

Avere uno aumenta le possibilità che un’azienda si riprenda rapidamente dopo che si verifica un problema. Limita anche la probabilità che un incidente si ripeta. Esistono diversi framework affidabili che le aziende devono seguire.

Includono azioni per prepararsi a un incidente futuro, identificarlo e analizzarlo, contenere e rimuovere la minaccia e prevenire problemi futuri.

Questi incidenti formali si applicano principalmente alle persone che lavorano presso le organizzazioni con misure di prevenzione degli incidenti di sicurezza informatica esistenti. Questo perché la gestione degli incidenti di sicurezza funziona bene solo quando ogni persona ha un ruolo di mitigazione degli incidenti ben definito e sa come eseguirlo.

La gestione degli incidenti di sicurezza è responsabilità di tutti

Una persona può ancora svolgere un ruolo cruciale nella risposta a un incidente di sicurezza quando lavora in un ruolo non di sicurezza informatica. Le loro responsabilità possono semplicemente estendersi alla segnalazione di un problema a un supervisore e allo spegnimento del computer; tuttavia, quelle azioni apparentemente piccole potrebbero limitare la gravità di un incidente di sicurezza informatica.

Inoltre, tutti dovrebbero intraprendere azioni personali per limitare l’accesso di un hacker. L’impostazione di password univoche e complesse può essere d’aiuto, insieme all’utilizzo dell’autenticazione a più fattori quando possibile.

Gli incidenti di sicurezza diventeranno probabilmente ancora più importanti man mano che il mondo diventa sempre più dipendente dal digitale. Tuttavia, le informazioni qui trattate possono aiutare le persone a diventare più proattive nel fermarle.