Gestione delle emergenze informatiche per le PMI.

Cos'è un piano per reagire alle emergenze informatiche?

Grazie a un piano per reagire alle emergenze informatiche, noto anche come Cyber Incident Response Plan (CIRP), le aziende possono prepararsi ad affrontare tali evenienze.

Un piano di questo tipo mira a limitare i tempi di inattività e le conseguenze finanziarie causati da un evento di questo tipo. Inoltre, in caso di attacco informatico, permette di comunicare in modo rapido e professionale al fine di contrastare tempestivamente un possibile danno d'immagine. Aiuta le collaboratrici e i collaboratori a comportarsi correttamente in caso di sinistro/emergenza, in modo che non si lascino prendere dal panico. Seguendo il piano predefinito, il personale saprà sempre cosa fare e verranno commessi molti meno errori.

Come ci si può preparare al meglio per affrontare le emergenze informatiche?

• Nominare il personale responsabile della sicurezza IT/OT e della gestione delle emergenze in azienda (evitando, se possibile, di accentrare in un'unica persona le varie funzioni).
• Identificare i processi aziendali che richiedono maggiore urgenza, gli asset (i cosiddetti «gioielli aziendali») e i sistemi più critici in caso di emergenza (ad es. banca dati degli indirizzi, sistema di posta elettronica, agenda degli appuntamenti). Implementare misure di protezione sulla base di queste priorità.
  
• Assicurarsi che in caso di incidenti informatici sia possibile attuare misure di primo intervento individuali (ad es. sistemi di allarme e segnalazione all'interno dell'azienda). Stampare tassativamente il piano per reagire alle emergenze e comunicare agli organi competenti il luogo in cui è conservato il documento. In caso di attacco informatico è possibile che non si abbia più accesso al sistema IT.
  
• Definire soluzioni alternative (ad es. mettere a disposizione PC di riserva, dotare tutte le postazioni di lavoro di almeno due browser web ecc.).
  
• Definire misure per ripristinare rapidamente i sistemi aziendali e individuare soluzioni per continuare a lavorare (ad es. stampare i dati di contatto più importanti, utilizzare infrastrutture/software/piattaforme alternative, mettere a disposizione strumenti per la migrazione) anche in caso di indisponibilità dei sistemi critici (incl. sistemi e soluzioni cloud).
  
• Definire con i fornitori dei servizi IT le situazioni in cui possono intervenire e fornire assistenza in caso di attacco informatico (ad es. ransomware, Denial of Service (DoS), frode informatica, hackeraggio del sito web).
  
• Se necessario, identificare e contattare altri fornitori di servizi IT che possono fornire assistenza in relazione alla gestione di queste situazioni. A tal scopo, sfruttare la nostra rete di esperte ed esperti.
  
• Stabilire regole per la comunicazione verso l'interno e l'esterno. La nostra azienda partner Farner Consulting SA saprà assistervi a livello di comunicati stampa e pubbliche relazioni.
  
• Creare un elenco con le persone di riferimento, indicando i compiti/ruoli e la relativa disponibilità (ad es.: fornitori di servizi IT, partner per pubbliche relazioni, consulenti legali, polizia o assicuratori).
  
• Pensare alle misure di protezione tecniche e organizzative fondamentali. A tal scopo, potete servirvi della nostra checklist per la sicurezza informatica.
• Implementare misure di sorveglianza attive per il panorama IT aziendale.Il nostro partner Coinnect offre un servizio adeguato in questo campo.
• Rispettare le disposizioni in materia di protezione dei dati (tra cui la legge federale sulla protezione dei dati LPD e il regolamento generale sulla protezione dei dati dell'Unione europea RGPD).
• Far controllare l'infrastruttura informatica in relazione alla sua vulnerabilità (ad es. tramite penetration test o programmi di bug bounty).Il nostro partner GObugfree offre un servizio adeguato in questo campo.
• Stilare l'inventario dell'infrastruttura informatica (tra le altre cose, del piano di rete). Definire, inoltre, chi lavora con quale sistema (nominativi e numeri di telefono) per poter fornire informazioni mirate in caso di emergenza.
• Collegare tra loro i sistemi in rete in modo restrittivo (segmentazione della rete).
• Preparare i canali di comunicazione per gli obblighi di notifica verso l'esterno (protezione dei dati, infrastrutture critiche, Cyber assicurazione ecc.).
  

Come può la mia azienda essere sempre pronta ad affrontare un'emergenza informatica?

• Verificare continuamente lo stato di sicurezza dei sistemi informatici (ad es. mediante una certificazione della sicurezza IT/OT rinnovata con regolarità).Il nostro partner cyber-safe offre un servizio adeguato in questo campo.
• Fare pratica con possibili scenari di emergenze informatiche (ad es. guasti del server IT o attacchi informatici). In questo modo è possibile acquisire professionalità e competenze che consentono di identificare eventuali falle o la mancata adozione di provvedimenti necessari.
• Definire un primo contatto idoneo per le emergenze informatiche e garantirne la reperibilità. Tenere presente che non tutti i guasti o i malfunzionamenti di hardware o software sono dovuti ad attacchi informatici. Allo stesso modo, però, il guasto di un sistema IT può essere riconducibile a un attacco informatico.
• Assicurarsi che il personale conosca la persona di riferimento adeguata per le emergenze informatiche (ad es. utilizzando una tessera per le emergenze informatiche).
  

Come può la mia azienda gestire al meglio un'emergenza informatica?

• Contattare tutte le persone di riferimento presenti nell'organizzazione che possono aiutare a gestire la situazione.
• Interrogare le utenti e gli utenti coinvolti, chiedendo loro informazioni sulle attività svolte o se hanno notato qualcosa.
  
• In caso di attacco informatico, scollegare la connessione di rete (cavo e WLAN) dei sistemi interessati.
  
• Contattare i fornitori di servizi IT che potrebbero aiutare a gestire la situazione.
  
• Informare la compagnia assicurativa con cui avete stipulato la Cyber assicurazione (se l'avete stipulata). Se si desidera, anche la Cyber assicurazione mette a disposizione una rete di esperte ed esperti di diversi settori, in grado di fornire assistenza (parole chiave: gestione delle crisi).
  
• Raccogliere e salvare i registri di sistema, i file log ecc.
  
• Documentare i fatti che potrebbero essere in relazione con l'emergenza.
  
• Verificare i contatti con la polizia (la polizia del relativo Cantone) e con l'Ufficio federale della cibersicurezza (UFCS).
  
• Rispettare gli obblighi di notifica (tra le altre cose, ai sensi della LPD svizzera e dell'RGPD).

Modello di lettera per la clientela in seguito a un attacco informatico

Di cosa bisogna tener conto dopo un incidente informatico?

• Ovviare alle vulnerabilità e alle falle di sicurezza messe in evidenza dall'emergenza informatica.
• Terminata l'emergenza, sorvegliare e monitorare molto accuratamente la rete e i sistemi informatici, per assicurarsi che siano tornati a funzionare correttamente e per rilevare tempestivamente un eventuale ulteriore tentativo di accesso.
• Che cosa è stato appreso: verificare le regole, i processi e le misure esistenti e, se necessario, ottimizzarli.
• Tenere aggiornata la documentazione sulla gestione delle emergenze.
• Continuare a sviluppare l'architettura di sicurezza informatica.