Crea e mantieni un piano di comunicazione per i gestori degli incidenti con informazioni di contatto, meccanismi di segnalazione degli incidenti, un sistema di monitoraggio dei problemi, una war room e un software di crittografia per le comunicazioni.

Comprendere i vettori di attacco come malware nelle email, siti web dannosi, furto d'identità, supporti rimovibili, forza bruta e attività insolite e utilizzare strumenti di avviso tra cui IDPS, SIEM, antivirus e antispam e log. Per l'analisi, è necessario includere la profilazione del sistema di rete, la comprensione dei comportamenti normali, la creazione delle norme di conservazione dei log e l'esecuzione della correlazione degli eventi.

Identificare i malintenzionati con la convalida degli indirizzi IP host, l'utilizzo di database di incidenti, il monitoraggio dei canali di comunicazione dei malintenzionati e la ricerca tramite motori di ricerca. Il team di risposta deve condurre l'eliminazione e il ripristino in modo graduale in base alla priorità.

Determina come l'organizzazione avrebbe potuto evitare un attacco ponendo domande come: Cosa è successo? Quando? e Quali misure ha adottato il team di risposta che potrebbero aver ostacolato il recupero?

Gli ambienti cloud presentano sfide uniche per la risposta agli incidenti a causa della loro natura distribuita e del modello di responsabilità condivisa. Un modello specifico per il cloud affronta problemi come la sicurezza multi-tenant, le minacce basate su API e le complessità dell'indagine sugli incidenti in un'infrastruttura effimera. Questi modelli incorporano strumenti cloud-native per il monitoraggio e la raccolta di prove con scienza digitale forense, definiscono procedure per il coordinamento con i fornitori di servizi cloud e stabiliscono protocolli per la conservazione delle prove in ambienti dinamici in cui le risorse possono essere scalate o terminate automaticamente.

I modelli tradizionali di risposta agli incidenti di sicurezza informatica si concentrano sulla protezione degli endpoint e sulla sicurezza della rete all'interno dell'infrastruttura on-premise. Questi modelli forniscono procedure complete per la gestione di infezioni da malware, tentativi di accesso non autorizzati e violazioni dei dati che interessano workstation e server. Questi includono passaggi dettagliati per isolare i sistemi interessati, raccogliere prove forensi da dischi rigidi e memoria e ripristinare le operazioni mantenendo la catena di custodia per potenziali procedimenti legali.

I modelli progettati per i responsabili della cybersicurezza enfatizzano il coordinamento strategico e la comunicazione tra più team e stakeholder. Questi framework includono matrici di escalation per coinvolgere la leadership esecutiva, modelli per le notifiche normative e procedure per la gestione delle pubbliche relazioni durante incidenti di alto profilo. Forniscono indicazioni sull'allocazione delle risorse, sulla gestione dei fornitori e sulla creazione di report post-incidente per i consigli di amministrazione e gli organismi di regolamentazione, garantendo che i manager possano orchestrare in modo efficace attività di risposta complesse.

I modelli di risposta agli incidenti sanitari affrontano le sfide uniche della protezione dei dati dei pazienti mantenendo al contempo i sistemi di assistenza critica. Questi modelli incorporano i requisiti di notifica della violazione HIPAA, le procedure per la gestione degli attacchi ransomware sui dispositivi medici e i protocolli per il mantenimento dell'assistenza ai pazienti durante le interruzioni del sistema. Queste includono indicazioni specifiche per la collaborazione con i fornitori di cartelle cliniche elettroniche, il coordinamento con gli scambi regionali di informazioni sanitarie e la gestione degli incidenti che potrebbero avere un impatto sulla sicurezza dei pazienti.

Il modello del California Department of Technology fornisce un framework completo progettato per le agenzie statali che gestiscono servizi pubblici critici. Questo modello enfatizza il coordinamento tra le agenzie, i requisiti di trasparenza pubblica e le procedure per la protezione dei dati dei cittadini. Include protocolli specifici per il coordinamento con gli uffici statali di gestione delle emergenze, la gestione di incidenti che interessano più dipartimenti e il mantenimento della continuità dei servizi governativi durante gli attacchi informatici.

Il modello dell'NIH affronta i requisiti unici di protezione dei dati di ricerca sensibili e di mantenimento dell'integrità delle risorse di computing scientifico. Il framework include procedure per la gestione degli incidenti che interessano le sperimentazioni cliniche, la protezione della proprietà intellettuale e il coordinamento delle risposte tra più istituti di ricerca. Fornisce indicazioni specifiche per gli incidenti che coinvolgono informazioni non classificate controllate, dati di soggetti umani e cluster di computing ad alte prestazioni utilizzati per la ricerca genomica.

Gli istituti accademici devono affrontare sfide specifiche per bilanciare gli ambienti di ricerca aperti con i requisiti di sicurezza. Il modello di UConn affronta gli incidenti che colpiscono diverse popolazioni di utenti, tra cui studenti, docenti e ricercatori. Include procedure per la gestione degli incidenti durante i periodi accademici critici, la protezione delle registrazioni degli studenti ai sensi della legge FERPA e il coordinamento delle risposte tra i reparti IT decentralizzati, mantenendo al contempo la libertà accademica e la collaborazione alla ricerca.