Se c'è un attacco al paese, i militari si mobilitano. Quando si verifica un disastro naturale, entrano in vigore i piani di risanamento. Se una malattia infettiva inizia a diffondersi, i funzionari sanitari lanciano una strategia di contenimento.

I piani di risposta sono fondamentali per il recupero in situazioni di emergenza, ma quando si tratta di sicurezza informatica, la maggior parte delle industrie non presta attenzione.

"La realtà è che non importa quanto tu sia straordinario con le tue capacità di prevenzione, verrai hackerato, " disse Mohammad Jalali, un membro della facoltà di ricerca presso il MIT Sloan il cui lavoro è attualmente incentrato sulla salute pubblica e sulla sicurezza informatica organizzativa. "Allora cosa farai? Hai già in atto un buon piano di risposta che viene continuamente aggiornato? E i canali di comunicazione sono definiti, e le responsabilità degli stakeholder sono definite? In genere la risposta nella maggior parte delle organizzazioni è no".

Per aiutare ad affrontare i punti deboli della sicurezza informatica nelle organizzazioni, Jalali e i colleghi ricercatori Bethany Russell, Sabina Razak, e William Gordon, costruito un quadro di otto strategie di risposta aggregate. Lo chiamano ORECCHIE.

Jalali e il suo team hanno recensito 13 articoli di riviste riguardanti la sicurezza informatica e l'assistenza sanitaria per sviluppare EARS. Sebbene i casi siano relativi alle organizzazioni sanitarie, le strategie possono essere applicate a una varietà di settori.

Il framework EARS è diviso in due parti:pre-incidente e post-incidente.

Pre-incidente:

1—Costruzione di un piano di risposta agli incidenti:questo piano dovrebbe includere passaggi per il rilevamento, indagine, contenimento, sradicamento, e recupero.

"Uno dei punti deboli comuni delle organizzazioni è che mettono insieme un piano di risposta agli incidenti, ma il problema è che la documentazione di solito è molto generica, non è specifico dell'organizzazione, " Jalali ha detto. "Non c'è chiaro, specifica, elenco di elementi utilizzabili."

Assicurati che tutti nell'organizzazione conoscano il piano, non solo i dipendenti del reparto IT. Stabilire canali di comunicazione chiari, e nell'assegnazione delle responsabilità, assicurati che siano chiaramente definiti.

2—Costruzione di una politica di sicurezza delle informazioni che funga da deterrente:passaggi di sicurezza chiaramente definiti stabiliscono e incoraggiano la conformità.

"Molte aziende pensano che la compliance sia sicurezza, " ha detto Jalali. "[Che] se segui semplicemente le informazioni ti occuperai di".

Non impostare la barra così in basso che l'organizzazione non è sicura. I regolamenti dovrebbero garantire la comprensione delle minacce informatiche. Stabilire ragioni motivazionali affinché i team di risposta seguano le politiche di segnalazione. La conformità dovrebbe andare di pari passo con il miglioramento continuo.

3—Coinvolgimento del personale chiave all'interno dell'organizzazione:indipendentemente dalle dimensioni di un'organizzazione, i leader chiave devono essere istruiti sull'importanza della sicurezza informatica ed essere pronti ad agire secondo il piano di risposta.

I leader non devono essere esperti di sicurezza informatica, ma devono comprendere l'impatto che un incidente avrà sulla loro organizzazione. Più sono informati, più possono essere coinvolti in un piano di risposta.

4—Test fittizi regolari dei piani di ripristino:gli esercizi di ripristino aiutano le organizzazioni a sottoporre a stress i piani di test e a formare i dipendenti sui protocolli di risposta adeguati.

Se l'organizzazione verifica il proprio piano di risanamento solo durante un'emergenza reale, è probabile che si verifichino problemi seri, che potrebbe aumentare la quantità di danni causati dall'incidente informatico.

Il passaggio da un atteggiamento reattivo a uno proattivo può aiutare un'organizzazione a identificare punti deboli o lacune nel suo piano di risanamento, e affrontarli prima che si verifichi un incidente.

Post-incidente:

5—Contenimento dell'incidente:il contenimento implica misure sia proattive che reattive.

È più facile isolare i dispositivi infetti da una rete se sono già segmentati da altri dispositivi e connessioni, prima di un incidente.

I ricercatori ammettono che non è sempre possibile segmentare le reti, né di scollegarlo immediatamente dall'intero sistema. Proprio alla fine, segnalare immediatamente il dispositivo infetto al team IT dell'organizzazione per contenere l'incidente.

6—Etica incorporata e coinvolgimento di altri al di fuori dell'organizzazione:è importante ricordare che tutti gli stakeholder di un'organizzazione potrebbero essere colpiti da un incidente informatico.

Informare tempestivamente il consulente legale e le agenzie di regolamentazione e di polizia competenti. Prendi in considerazione l'aiuto di risorse esterne e condividi informazioni sulla minaccia informatica.

7—Indagine e documentazione dell'incidente:essere tempestivi e approfonditi; ogni fase della reazione pre e post incidente deve essere documentata.

L'indagine dovrebbe mirare a trovare la causa tecnica alla radice del problema, così come punti deboli che potrebbero prevenire attacchi futuri. Una documentazione adeguata è una necessità per questa analisi.

8—Costruzione di un algoritmo di valutazione e ripristino dei danni:le organizzazioni dovrebbero autovalutarsi dopo l'incidente.

Mentre i computer sono il luogo in cui avvengono gli attacchi informatici, possono anche essere usati per aiutare con il recupero. Le organizzazioni possono sfruttare la potenza dei computer, soprattutto l'intelligenza artificiale, per il rilevamento e il contenimento degli incidenti in tempo reale.

"I framework comunemente usati per le strategie di risposta agli incidenti spesso mancano questo passaggio essenziale, "Jalali ha detto, "anche se esistono già prodotti basati sull'intelligenza artificiale per questo scopo".