10.2. Creazione di un piano per l'Incident Response

È molto importante formulare un piano per l'incident response supportato dall'intera organizzazione, e regolarmente provato. Un buon piano di risposta ad un incidente è in grado di minimizzare non solo gli effetti di una violazione, ma può avere un forte impatto su pubblicità negative.

Da una prospettiva del team di sicurezza, non ha importanza se si verifica una violazione (poichè tali eventi si possono verificare quando si lavora usando una rete non fidata come può essere Internet) ma ha molta importanza considerare quando tale violazione può verificarsi. Non pensiate che un sistema possa essere debole e vulnerabile, infatti è importante considerare che se vi sono a disposizione tempo e risorse, un aggressore prima o poi sarà capace di violare anche il sistema o la rete più protetta. È sufficiente non andare oltre al Security Focus sul sito web http://www.securityfocus.com per informazioni aggiornate e dettagliate inerenti violazioni recenti e vulnerabilità, da attacchi alle pagine web delle compagnie, agli attacchi ai nameserver DNS di root nel 2002, [1].

L'aspetto positivo nel sapere che una violazione di un sistema è inevitabile, è rappresentatodal fatto che si permette al team di sicurezza, di sviluppare una procedura da intraprendere per poter minimizzare qualsiasi danno potenziale.

Il piano per l'incident response di per sè può essere suddiviso in quattro sezioni:

Un incident response deve essere deciso ed eseguita velocemente. A causa dei margini di errore molto ristretti, è importante organizzare delle prove pratiche diemergenza controllando i tempi di risposta. In questo modo è possibile sviluppare una metodologia che possa favorire velocità e accuratezza, minimizzando l'impatto della non disponibilità delle risorse e del potenziale danno causato dalla compromissione del sistema.

Un piano per l'incident response ha un certo numero di requisiti:

10.2.1. Il Computer Emergency Response Team (CERT)

Il Computer Emergency Response Team (CERT) è un gruppo di esperti interni preparati ad agire rapidamente nell'evento di evento inatteso. Trovare le competenze principali per un CERT può rappresentare una grossa sfida. Il concetto di personale idoneo, và oltre l'aspetto tecnico, esso include anche aspetti logistici, come ad esempio la posizione, la disponibilità e il desiderio di anteporre l'organizzazione rispetto alla propria vita personale, nel momento in cui si verifica una emergenza. Considerate che una emergenza, non è un evento pianificato e può verificarsi in ogni istante, per questo motivo quindi, tutti i membri CERT devono essere in grado di accettare tutte le responsabilità richieste per poter affrontare le emergenze in qualsiasi ora.

Generalmente il CERT è composto da amministratori di rete e di sistema e da esperti del reparto di sicurezza delle informazioni. Gli amministratori del sistema forniranno la conoscenza e l'esperienza delle risorse, incluso il supporto dei dati, il supporto hardware disponibile all'uso, e molto altro. Gli amministratori di rete forniscono la loro conoscenza sui protocolli di rete e l'abilità di ridirezionare il traffico in modo dinamico. Il personale della sicurezza delle informazioni invece, segue le problematiche inerenti la sicurezza e analizza i sistemi dopo la loro compromissione.

Anche se può non essere sempre fattibile, bisognerebbe avere un sovrannumero di personale all'interno del CERT. Se ciò non fosse possibile, è suggeribile, se possibile, effettuare dei corsi incrociati 'cross-training'. Notare che se solo una persona è ha conoscenza di come garantire la sicurezza e l'integrità dei dati, l'intera organizzazione diventa vulnerabile in caso di assenza della stessa persona.

10.2.2. Considerazioni legali

Alcuni aspetti importanti da considerare per un incident response, sono quelli legali. I programmi di sicurezza dovrebbero essere sviluppati con membri di personale legale o con consultazioni generali. Proprio come qualsiasi compagnia dovrebbe avere una propria policy sulla sicurezza, esse hanno, in prospettiva legale, un modo proprio per la gestione degli incidenti. Lo scopo di questo documento và oltre la problematica delle regole locali, statali o federali, ma viene comunque riportato, in quanto la metodologia nell'effettuare un'analisi 'post-mortem', almeno in parte, è dettata da (o insieme con) consultazioni generali. Una consultazione generale può allertare il personale tecnico sulle ramificazioni legali delle violazioni, sui rischi di perdita di informazioni finanziarie, mediche e personali di un cliente, e sull'importanza di restaurare il servizio in ambienti critici, come ad esempio ospedali e banche.

Note

[1]

http://www.gcn.com/21_32/web/20404-1.html