Capitolo 10. Incident Response

Nel caso in cui la sicurezza di un sistema è stata compromessa, sarà necessaria una risposta all'incidente, in questocaso il team di sicurezza è responsabile per una risposta veloce ed efficace al problema.

10.1. Definizione di Incident Response

L'Incident Response rappresenta una reazione rapida verso un problema o un evento. Un esempio potrebbe essere l'azione condotta da un team di sicurezza contro un hacker, il quale è riuscito a penetrare un firewall effettuando un'azione di 'sniffing' del traffico di rete interno. Questo incidente, rappresenta una violazione della sicurezza. La risposta dipende da come il team reagisce, dal comportamento dello stesso team in modo da minimizzare i danni, e dal ripristino delle risorse, tutto questo per garantire l'integrità dai dati.

Pensate alla vostra organizzazione e come essa affidi ogni suo aspetto, quasi esclusivamente alla tecnologia e ai sistemi di eleborazione. Se vi è un compromesso nel campo della sicurezza, immaginate i potenziali risultati devastanti che ne possono conseguire. Oltre alle interruzioni del sistema e al furto dei dati, si possono avere anche corruzione dei dati, furto dell'identità (dal registro online del personale), pubblicità negativa, o addirittura risultati devastanti in termini economici, in quanto clienti e partner di lavoro, potrabbero reagire negativamente a qualunque notizia di compromissione.

Una ricerca sulle violazioni interne ed esterne della sicurezza avvenute in passato, mostra come le compagnie possano fallire a causa di violazioni della sicurezza. Una violazione può risultare in una corruzione, furto, e in una non disponibilità dei dati. Da non trascurare anche i problemi finanziari derivati da una pubblicità negativa. Per avere una idea di come sia importante un incident response, una organizzazione deve essere in grado di calcolare il costo di una violazione, e di come questa possa incidere nell'organizzazione stessa, sia a breve che a lungo termine.