Stando alla definizione dell’autorevole IT Infrastructure Library (ITIL) contenente le best practice per l’IT service management, l’incident management è la capacità di ripristinare le capacità normali di un servizio più velocemente possibile, assicurando livelli di servizio e di disponibilità che minimizzino le interruzioni al business. Con la sempre maggiore dipendenza delle attività aziendali dal corretto funzionamento dei servizi IT e la complessità dei problemi a cui si può andare incontro, anche per via del cybercrime (attacchi Ddos in rete, sottrazione di dati, malware, ramsonware e altro) l’incident management e la capacità di rimediare velocemente sono oggi cruciali per garantire la continuità del business e la riduzione del rischio.


Gli scopi dell’incident management

L’incident management non si identifica con un prodotto, ma con il processo che serve a gestire in modo efficace gli eventi avversi e inaspettati che riguardano dati, reti e sistemi IT. Tra gli eventi in questione ci sono i fermi delle infrastrutture, la perdita di credenziali, gli accessi non autorizzati a sistemi, la divulgazione di dati sensibili e molti altri relativi alla sicurezza. L’incident management prende quindi in carico le azioni da realizzare prima, durante e dopo gli incidenti, per minimizzare gli impatti e consentire di ripristinare la normale operatività in tempi ben definiti. Tra le azioni, sono comprese le segnalazioni agli amministratori per attivare misure eccezionali di difesa interna che, in qualche caso, possono contemplare anche l’obbligo di disclosure secondo le prescrizioni dei regolamenti attuativi del GDPR, pena pesanti multe per l’azienda.

Oltre a ridurre al minimo gli impatti degli incidenti e consentire mantenimento e ripristino dei servizi, l’incident management ha il compito di fornire dati e informazioni utili al management per intraprendere azioni non solo tecniche ma anche organizzative per rafforzare le difese contro i nuovi attacchi. Tra queste citiamo l’implementazione di metodologie come DevSecOps, che, integrando la security nel processo DevOps (di sviluppo e operation), rendono più veloce l’identificazione delle vulnerabilità nel software aziendale e l’applicazione di rimedi efficaci.


Come si realizza l’incident management

L’incident management si realizza predisponendo le necessarie risorse tecnologiche e organizzative sulla base della strategia di gestione del rischio che l’impresa ha scelto di adottare. Le necessità di adeguamento alle normative GDPR e la frequenza con cui vengono portati attacchi ai sistemi e dati sensibili rendono critico garantire la velocità delle risposte. Questo rende necessario l’utilizzo di tool specifici e delle competenze per gestire in modo sistematico gli incidenti e ottenere un più elevato livello d’automazione nella scelta delle azioni di contenimento e di difesa.

La capacità di reazione, nota come incident response, si avvale di strumenti che aiutano i team a prendere tempestivamente le decisioni più appropriate, affinarle nel tempo e gestire le problematiche, anche di tipo legale, connesse con gli incidenti. Perché il lavoro sia efficace, è necessario aver definito preventivamente le policy e il piano d’incident response, quest’ultimo corredato con il set delle procedure da effettuare. Vanno inoltre definite linee guida per le comunicazioni tra l’incident response team (IRT) e gli altri team aziendali, sia interni (dipartimento legale, DPO, amministratori di sistema) sia esterni (forze dell’ordine, responsabili del trattamento, Autorità Garante, fornitori e clienti).

Per gli incidenti che comportano violazioni relative alla privacy dei dati valgono le modalità e le tempistiche di comunicazione all’autorità e agli altri soggetti che sono fissate agli art.33 e art.34 del GDPR.


Gli strumenti per la difesa in tempo reale

Per reagire prontamente agli incidenti è necessario disporre degli strumenti per tenere sotto controllo tutti i possibili fronti d’attacco all’IT, sia interni sia esterni. Nell’incident management ha quindi particolare significato la capacità di monitoraggio su sistemi e processi per riuscire a cogliere tempestivamente le anomalie e i tentativi di effrazione. Per svolgere queste attività sono normalmente impiegati gli intrusion detection system (IDS) assieme ad agenti software sugli endpoint in grado di rilevare modifiche, software non autorizzati e generare allarmi.

Un ruolo rilevante nell’incident management è giocato dai sistemi di security information ed event management (SIEM) che assieme a software antivirus e antimalware sono in grado di rilevare le compromissioni, oltre al traffico generato dai software pericolosi. L’impiego dell’intelligenza artificiale (AI) nell’analisi dei log permette di correlare le informazioni provenienti da sensori diversi per identificare pattern anomali nel traffico di rete o nell’uso delle applicazioni: situazioni meritevoli di segnalazioni agli amministratori o, nel caso, di blocchi automatici in real time.