Skip to main content

Articolo

Gestione degli incidenti cyber: una check list per la resilienza aziendale

Il panorama attuale dei rischi digitali richiede più di semplici risposte tecniche. Serve una preparazione strategica a livello aziendale. La resilienza e il recupero possono dipendere dalla preparazione, dal coordinamento e dall’esecuzione. Un piano di risposta ben collaudato può fare tutta la differenza.

Oggi gli incidenti cyber sono sempre più frequenti, perciò è pressoché indispensabile disporre di una strategia proattiva di preparazione. L’impronta del top management è essenziale in questo ambito. Per quanto nessuna azienda abbia voglia di sperimentare un incidente cyber, un piano di preparazione dovrebbe essere visto come un'opportunità per rafforzare le difese organizzative e promuovere una cultura di cyber-resilienza. Le aziende che adottano un approccio incentrato sulla preparazione possono trasformare una potenziale crisi in un evento più gestibile, con l'obiettivo di ridurre al minimo le conseguenze operative, finanziarie e reputazionali.

Dare la priorità alla pianificazione e alla formazione permette alle aziende non solo di essere più efficaci e sicure dei propri mezzi, ma anche di limitare i costi di un evento cyber poiché una pianificazione e formazione adeguate possono ridurre i tempi di ritorno alla normalità e agevolare l’iter di possibile rimborso assicurativo dei danni subiti. Attacchi ransomware, fughe accidentali di dati, disservizi dovuti ai fornitori, minacce tramite l’IA: l'attuale panorama dei rischi digitali richiede risposte tecniche, ma soprattutto un piano strategico di preparazione agli eventi cyber a livello aziendale. Preparazione, coordinamento ed esecuzione possono incidere sulla resilienza e la capacità di recovery. In una situazione di forte pressione, disporre di un piano di incident response ben collaudato può fare la differenza.

"La principale differenza tra le organizzazioni che gestiscono bene gli incidenti e quelle che non lo fanno è che le prime seguono effettivamente il piano che hanno predisposto." Martin Leicht, US Cyber Claims Advocacy and Incident Management Leader, Marsh

"Molte persone pensano ancora che un incidente cyber sia un’irruzione hacker dall’esterno, ma un evento cyber può trovare origine anche dall’interno dell’azienda. Un altro malinteso è che si tratti di problemi che riguardano l’infrastruttura IT, ma una violazione cyber in un'azienda manifatturiera, per esempio, può causare danni fisici.”  Edson Villar, LAC Cyber Risk Consulting Leader, Marsh

1. Comprendere gli incidenti di cyber security

Gli aggressori oggi sono spesso molto esperti e lavorano in organizzazioni sofisticate. Anziché lanciare attacchi di forza bruta per raggiungere i loro target, utilizzano sempre più spesso il social engineering, l'accesso interno o altri mezzi per sottrarre le credenziali. Non irrompono nell'azienda: semplicemente si connettono ad essa. Una volta all’interno, potrebbero aspettare mesi prima di agire.

Tuttavia, non tutti gli incidenti cyber sono orchestrati da criminali informatici e non tutte le cause sono ovvie. Molti eventi derivano da un semplice errore umano o dall’esistenza di sistemi obsoleti e processi lacunosi, come la mancata disattivazione delle credenziali di un dipendente che non è più in azienda. Riportiamo di seguito alcuni tipi di minacce da integrare nel piano aziendale di preparazione ai cyber incident.

  • Ransomware: gli attori delle minacce crittografano i dati di un sistema e richiedono un riscatto per restituirli. In alcuni casi potrebbero anche esfiltrare i dati e minacciare di diffonderli pubblicamente. Subire un incidente di questo tipo può comportare l’interruzione dell’operatività aziendale per settimane e rischia di provocare costi potenzialmente molto elevati.
  • Compromissione degli indirizzi email aziendali: si tratta di un attacco di social engineering tramite email che sembrano provenire da una fonte legittima, con l'obiettivo di indurre i dipendenti o i fornitori a condividere informazioni sensibili o trasferire fondi. Rigorose procedure di verifica e un’adeguata formazione possono contribuire a mitigare questo rischio.
  • Interruzione dei servizi: oltre agli attacchi malware, anche i guasti alle piattaforme in outsourcing o errori accidentali di configurazione del sistema possono causare tempi di inattività imprevisti.
  • Violazioni dei dati: informazioni di identificazione personale, dati finanziari, proprietà intellettuale o altre informazioni sensibili vengono esposti accidentalmente o a causa di un'infiltrazione hacker.
  • Minacce basate sull'IA: per quanto non sia stata utilizzata per creare nuovi tipi di attacchi informatici, l'intelligenza artificiale generativa può accelerare le minacce esistenti aiutando gli aggressori a espandere o accelerare i loro sforzi, attraverso tecniche come il phishing basato su deepfake e la compilazione automatizzata delle credenziali.
"Oggi perlopiù non avvengono intrusioni con la forza bruta. I malintenzionati accedono connettendosi come utenti legittimi, per esempio tramite credenziali rubate.” Jeff Bird, Cybersecurity Advisory Lead, Marsh

 "Vogliamo reagire tempestivamente, ma dobbiamo anche capire quali tattiche usa l'aggressore. Se agiamo senza sapere come funzionano, rischiamo di peggiorare le cose.” Edson Villar, LAC Cyber Risk Consulting Leader, Marsh

2. Preparazione all'incidente

Le risposte più efficaci vengono messe in campo molto prima che si verifichi l’incidente. La preparazione non riguarda solo i controlli IT, tutta l’azienda deve essere pronta. Avere un piano è essenziale, ma affinché sia efficace, occorre comprenderlo, praticarlo regolarmente e tenerlo aggiornato in base ai cambiamenti che intervengono internamente ed esternamente.

Un punto critico molto diffuso in chiave di pianificazione è la mancanza di coordinamento tra le strutture aziendali. Il Chief Information Security Officer (CISO) si concentra sui processi che ritiene essenziali per l'azienda dal suo punto di vista e darà priorità al loro ripristino in caso di interruzione, mentre il team operativo potrebbe aspettarsi che vengano ripristinati per primi altri processi. Per esempio, l'IT potrebbe dare la priorità al ripristino online del sistema di posta elettronica mentre il reparto finanziario avrà più urgenza che venga ripristinato il sistema ERP (Enterprise Resource Planning) in modo da poter elaborare le buste paga. È anche importante notare che, in molti casi, il responsabile della recovery dei sistemi è il CIO e non il CISO. Pur avendo responsabilità diverse, le loro priorità dovrebbero essere allineate sull'obiettivo di attivare una risposta efficace. Inoltre, il coordinamento tra i team interni e gli stakeholder esterni può essere fondamentale qualora sia necessario aprire un sinistro con l’assicurazione.

I disallineamenti possono causare costosi ritardi se non vengono identificati e affrontati durante la fase di pianificazione.

Check list della fase di preparazione agli incidenti

  • Elaborare e adottare un piano scritto di incident response (IRP), rivederlo a cadenze regolari, idealmente ogni trimestre.
  • Definire ruoli e responsabilità nei reparti cruciali: tecnico, legal, PR, operations. Assicurarsi che il top management conosca le proprie responsabilità.
  • Molti attacchi paralizzano i sistemi di comunicazione, come la posta elettronica e la rete telefonica aziendale. Selezionare e testare una piattaforma di comunicazione fuori banda (OoB) sicura, come Marsh Central, per comunicare in una rete IT dedicata.
  • Coordinare la strategia di backup con le priorità operative e testare regolarmente le procedure di backup e ripristino.
  • Allineare gli stakeholder con i fornitori individuati per le comunicazioni legal, digital forensics, PR e crisi. Verificare che il proprio assicuratore abbia pre-approvato le aziende fornitrici per facilitare il processo di richiesta di risarcimento. Costruire una relazione con tali fornitori a monte, in modo che si familiarizzino con il piano di incident response dell’azienda.
  • Condurre regolarmente simulazioni tabletop a livello tecnico, della direzione e del consiglio di amministrazione. In passato erano raccomandate una volta l'anno, ma ora si consiglia di eseguirle più frequentemente.
  • Confermare l’esistenza della copertura assicurativa cyber, i criteri di segnalazione e la pre-approvazione del fornitore.

La sensibilizzazione dei dipendenti alla sicurezza informatica, combinata con una gestione continua delle vulnerabilità, è essenziale per costruire la cyber-resilienza dell’azienda. Le aziende che privilegiano la formazione proattiva e implementano procedure rigorose di valutazione delle vulnerabilità e di patching sono meglio attrezzate per ridurre i rischi rappresentati da minacce informatiche sempre nuove.

Check list per la formazione dei dipendenti

  • Valutare l'implementazione di una formazione dei dipendenti incentrata sui rischi associati agli attacchi di social engineering.
  • Aggiornare i contenuti della formazione di sensibilizzazione e della comunicazione almeno una volta l'anno.
  • Verificare con il responsabile della sicurezza che le procedure dell'help desk siano state riviste recentemente e, se necessario, potenziate poiché spesso sono facili bersagli.
  • Stabilire una piattaforma sicura di comunicazione fuori banda (OoB) per le attività post- incidente.
  • Coordinarsi con il broker di fiducia e formare i leader sull’utilizzo della piattaforma, potenzialmente con esercitazioni tabletop.
"È facile investire in strumenti e piani, ma quando l'edificio è in fiamme, molti non li usano. Vediamo che i clienti non utilizzano nemmeno gli strumenti che hanno a disposizione.” Martin Leicht, US Cyber Claims Advocacy and Incident Management Leader, Marsh

 "Le simulazioni tabletop dovrebbero avvenire a tre livelli: tecnico, operativo ed esecutivo. Ogni categoria affronta problemi diversi e deve effettuare simulazioni specifiche.” Jeff Bird, Cybersecurity Advisory Lead, Marsh

3. Piano di incident response

Quando si verifica un incidente cyber, la prima reazione è spesso la confusione: può essere difficile sapere cosa sta succedendo esattamente, come sta accadendo e quali dovrebbero essere le misure più immediate per porvi rimedio. La tempestività è essenziale, ma anche la disciplina. Disporre di un buon piano è uno dei modi migliori per assicurarsi di avere affrontato gli aspetti più importanti ed effettuato gli interventi giusti. Passare troppo rapidamente alla fase di recovery o non coordinare le strategie legali, tecniche e reputazionali può aggravare i danni.

Un potenziale errore consiste nel cancellare i dati e riconfigurare i dispositivi troppo presto, perché in tal modo si distruggono prove preziose e utili agli investigatori o si cancellano dati di cui non è stato eseguito il backup. Un altro problema diffuso è il ripristino dei dati dal backup senza sapere da quanto tempo gli hacker sono presenti nel sistema, perché è possibile che anche il backup sia compromesso.

Checklist di active response

  • Attivare il piano di incident response e informare immediatamente gli assicuratori.
  • Usare la piattaforma OoB per mantenere una comunicazione sicura.
  • Contenere la minaccia: isolare i sistemi colpiti e limitare l’estensione del problema.
  • Coinvolgere tempestivamente consulenti legali, analisti di digital forensics e specialisti di breach response.
  • Valutare eventualmente la situazione del ransomware con i servizi di assistenza (e il consenso dell'assicuratore in caso di apertura di sinistro).
  • Coordinare la comunicazione interna ed esterna.
"Un errore comune consiste nel precipitarsi subito a ripristinare tutti i sistemi. Senza un'analisi completa e l'eradicazione definitiva del problema, l'aggressore ha la meglio.” Edson Villar, LAC Cyber Risk Consulting Leader, Marsh

"È incredibilmente difficile coordinare i consulenti esperti di breach response o i team di digital forensics, soprattutto se non sono pre-approvati dall'assicuratore.” Martin Leicht, US Cyber Claims Advocacy and Incident Management Leader, Marsh

4. Post-incidente

Il vero lavoro inizia una volta neutralizzata la minaccia immediata. Oltre agli aspetti tecnici, la fase di recovery racchiude sfide finanziarie e operative che possono protrarsi nel tempo.

Capita spesso di dover ricostruire da zero la documentazione per la fatturazione perché i backup sono stati crittografati o risultano incompleti, oppure gestire tempi di inattività prolungati perché non è stato eseguito il backup delle configurazioni dell'infrastruttura virtuale. In questa fase, la documentazione è fondamentale, sia in un’ottica di compliance normativa che per supportare le richieste di risarcimento.

Check list della fase di recovery

  • Ripristinare i sistemi in modo sicuro, confermando che i backup siano puliti e completamente privi di minacce.
  • Affidarsi alla contabilità forensic per quantificare l'interruzione dell'attività e suffragare le richieste di risarcimento.
  • Conservare prove e documentazione per scopi legali e di indagine.
  • Condurre workshop strutturati sulle lezioni apprese dall’incidente con tutte le categorie di stakeholder.
  • Aggiornare il piano di incident response, le procedure di formazione e i protocolli di escalation dei fornitori.
  • Comunicare in modo trasparente con i clienti, i partner e le autorità di regolamentazione interessati.
  • Riesaminare la polizza cyber, le obbligazioni contrattuali e i quadri giuridici per il piano di preparazione futuro.
"La fase di recovery spesso dura più a lungo dell’attacco stesso. I costi nascosti sono i più impattanti, come la mancata fatturazione, il mancato guadagno e i ritardi nelle operazioni.” Jeff Bird, Cybersecurity Advisory Lead, Marsh

"Se gli aggressori sono rimasti nella rete aziendale per mesi, potrebbero essersi infiltrati anche nei backup. Una recovery senza verifiche potrebbe semplicemente riavviare la violazione.” Edson Villar, LAC Cyber Risk Consulting Leader, Marsh

5. Check list riassuntiva

Le aziende più resilienti tendono a considerare la strategia di preparazione informatica come una disciplina continuativa, non un progetto una tantum. Sanno che il piano di incident response riguarda sia le persone che i processi, i firewall e i backup.

Perciò occorre considerare questa check list:

  • Elaborare e testare regolarmente il piano di risposta.
  • Esercitarsi con tool reali e persone reali.
  • Conoscere la propria strategia di comunicazione, soprattutto quando i sistemi sono compromessi.
  • Coordinare in anticipo i team interni e i fornitori esterni.
  • Utilizzare piattaforme fuori banda sicure come Marsh Central.
  • Tenere costantemente informata la compagnia di assicurazione.
  • Imparare da ogni incidente, anche dai falsi allarmi.
"Le aziende di successo non si limitano all’implementazione dei tool. Coordinano i team interni ed esterni molto in anticipo rispetto al primo segnale di allarme.” Martin Leicht, US Cyber Claims Advocacy and Incident Management Leader, Marsh

"Siamo tutti sulla stessa barca in termini di sicurezza informatica. Perché non valutare la possibilità di condividere le lezioni apprese anche al di fuori della propria azienda? Aiuterebbe tutti a stare al passo con le minacce cyber.” Jeff Bird, Cybersecurity Advisory Lead, Marsh

Si prega di notare che l'utilizzo di un piano di gestione degli incidenti cyber, comprese le checklist illustrate sopra, non garantisce alcun risultato, incluso l'esito di qualsiasi potenziale sinistro.

Contattate un rappresentante Marsh

Contattateci per saperne di più sulle strategie di preparazione agli incidenti e gli step necessari per costruire la cyber-resilienza.

Approfondimenti correlati