Garantire la sicurezza dei sistemi è fondamentale per gli MSP: i fornitori di servizi sono uno dei principali obiettivi degli attacchi informatici e al contempo devono proteggere anche i propri clienti.
In occasione del Cybersecurity Awareness Month 2023, Dave MacKinnon, Chief Security Officer di N-able, ha condiviso alcune indicazioni e consigli che gli MSP possono mettere in pratica prima, durante e dopo un attacco per gestirlo al meglio.
La prevenzione è la chiave
Gran parte delle indicazioni riguardano la fase di prevenzione degli attacchi informatici. MacKinnon ricorda che è importante costruire e mantenere una cultura aziendale orientata alla sicurezza e basata su un approccio Zero trust.
La cultura va estesa anche ai propri partner stabilendo precisi standard di sicurezza con essi e assicurandosi costantemente che vengano installate le patch e gli aggiornamenti più recenti. L'uso di strumenti di automazione può migliorare ulteriormente l'assetto di cybersecurity.
È fondamentale prevedere un piano di backup e riesaminarlo almeno una volta ogni tre mesi; oltre a ciò, occorre sviluppare un piano di risposta agli incidenti che descriva le misure da adottare in caso di attacco, per esempio individuando le modalità per isolare i sistemi infetti e per ripristinare le operazioni aziendali.
Il piano di risposta è strettamente legato a quello di disaster recovery, il quale identifica il piano di comunicazione di crisi e l'albero delle chiamate (legali, assicurazione, parti interessante e partner).
MacKannon consiglia di avere a disposizione almeno una copia cartacea dei piani nel caso non sia possibile accedere a quella digitale a causa degli attacchi.
Non possono poi mancare le esercitazioni di sicurezza che devono coinvolgere anche i clienti, in modo da testare le procedure e individuare eventuali problematiche. Infine, è opportuno promuovere la resilienza alle minacce per riuscire a portare avanti le attività nonostante l'attacco in corso.
Cosa fare durante e dopo l'attacco
Nel caso in cui si stia verificando un attacco ai sistemi, la prima cosa da fare è cercare di identificare il tipo di minaccia e determinarne la gravità per mettere in atto le misure più adeguate del piano di risposta.
Nel frattempo occorre cercare di contenere l'impatto dell'attacco, per esempio isolando l'endpoint colpito o l'intera parte interessata disconnettendoli dalla rete aziendale. I team di sicurezza devono inoltre valutare se si tratta di un attacco che mira a esporre i dati sensibili dell'azienda e agire di conseguenza.
In questa fase bisogna subito avviare il piano di comunicazione di crisi e valutare se sia necessario coinvolgere l'agente di assicurazione, un consulente legale o le autorità, in base all'impatto dell'attacco, alla sua natura e al ruolo dell'azienda nella società. Di vitale importanza è eseguire il prima possibile i piani di backup e disaster recovery.
Dopo l'attacco i responsabili e il team di risposta agli incidenti devono eseguire un debrief per valutare i danni e stabilire il da farsi. Vanno contattati i clienti, gli investitori, i partner e i dipendenti per comunicare l'evento e spiegare se e come l'incidente ha impatto su di loro.
Una volta identificata la causa scatenante, bisogna lavorare sull'ampliare le misure di protezione per ridurre la probabilità che si verifichi di nuovo l'attacco e istituire un nuovo piano di prevenzione.
Nel caso l'attacco abbia compromesso una parte delle risorse aziendali bisogna verificare quali aree non hanno funzionato bene, migliorarle e ampliare le misure di rilevamento delle minacce.
"Per preservare il successo e la reputazione della propria azienda e dei clienti, è indispensabile una pianificazione, prevenzione, monitoraggio, rilevamento e ripristino dei processi" ha affermato MacKannon. "Adottando le misure sopra elencate, gli MSP potranno meglio proteggere il loro team e i loro clienti dagli attacchi informatici e consentire loro una ripresa più rapida e in sicurezza".