Risposta agli Incidenti di Sicurezza

Cos’è Risposta agli Incidenti di Sicurezza?

La risposta agli incidenti di sicurezza ai sensi del GDPR richiede alle organizzazioni di determinare se un evento di sicurezza coinvolge dati personali e, in tal caso, di seguire specifiche procedure di valutazione e notifica entro scadenze normative stringenti. Non ogni incidente di sicurezza è una violazione dei dati, ma ogni violazione dei dati inizia come un incidente di sicurezza. Effettuare questa determinazione in modo rapido e accurato è la competenza fondamentale che questo esercizio sviluppa. Sei posto al comando di un incidente di sicurezza attivo in cui il monitoraggio di rete rileva pattern sospetti di esfiltrazione dati. Devi coordinare tra il team di sicurezza IT, che vuole contenere e indagare la minaccia, e il team privacy, che deve valutare le implicazioni sui dati personali e gestire gli obblighi normativi. Queste due priorità a volte confliggono: l'indagine forense potrebbe richiedere di mantenere online i sistemi compromessi per la raccolta delle evidenze, mentre la protezione dei dati richiede un contenimento immediato. L'esercizio ti guida nella costruzione di un flusso di lavoro di risposta agli incidenti interfunzionale che soddisfi entrambi gli obiettivi. Ti eserciterai nell'albero decisionale di triage: classificare la gravità dell'incidente, determinare se i dati personali sono stati acceduti o esfiltrati, valutare il numero di individui interessati e valutare il rischio per i loro diritti. Se l'incidente si qualifica come violazione dei dati personali, devi attivare il processo di notifica dell'Articolo 33 mentre l'indagine è ancora in corso, il che significa segnalare all'autorità di controllo con informazioni incomplete e impegnarsi ad aggiornamenti progressivi. Secondo il rapporto IBM Cost of a Data Breach 2024, le organizzazioni con piani di risposta agli incidenti testati riducono il costo medio della violazione di 2,66 milioni di USD rispetto a quelle senza.

Cosa imparerai in Risposta agli Incidenti di Sicurezza

• Effettuare il triage di un incidente di sicurezza per determinare se i dati personali sono stati acceduti, esfiltrati o compromessi
• Coordinare flussi di lavoro paralleli tra il contenimento della sicurezza IT e gli obblighi normativi del team privacy
• Applicare l'albero decisionale di classificazione della violazione per valutare gravità, portata e requisiti di notifica
• Segnalare alle autorità di controllo con informazioni incomplete impegnandosi ad aggiornamenti progressivi
• Costruire un flusso di lavoro di risposta agli incidenti interfunzionale che soddisfi le esigenze sia dell'indagine forense sia della protezione dei dati

Risposta agli Incidenti di Sicurezza — Fasi della formazione

1. Introduzione

   La formazione di oggi ti insegnerà la risposta agli incidenti conforme al GDPR: come valutare gli eventi di sicurezza, determinare i requisiti di notifica delle violazioni e attivare le giuste procedure quando i dati personali potrebbero essere compromessi.

2. Iniziare il tuo turno

   Alice inizia il suo turno mattutino al Security Operations Center (SOC). La dashboard mostra i normali livelli di attività: alcuni avvisi di routine che sono già stati valutati dal team notturno. SecureNet Financial gestisce l'elaborazione dei pagamenti per centinaia di clienti aziendali. Il SOC monitora 24 ore su 24 eventuali accessi non autorizzati, esfiltrazione di dati, violazioni delle policy e altri eventi di sicurezza.

3. Avviso di gravità elevata

   All'improvviso, sul dashboard viene visualizzato un avviso di gravità elevata. Il SIEM ha rilevato tentativi di accesso insoliti: più tentativi di autenticazione non riusciti seguiti da un accesso riuscito da un indirizzo IP esterno. L'avviso indica che l'account appartiene a un amministratore di sistema con privilegi elevati. Potrebbe trattarsi di un attacco di forza bruta riuscito a compromettere le credenziali.

4. Analisi dell'avviso di accesso

   I dettagli dell'avviso rivelano informazioni relative: Account : sysadmin_jsmith (amministratore di sistema) IP di origine : 185.220.101.45 (Europa dell'Est) Tentativi non riusciti : 47 in 3 ore Accesso riuscito : 06:47 locale tempo Durata della sessione : 2 ore e 13 minuti Il legittimo proprietario dell'account, John Smith, è attualmente in vacanza in Spagna, ma l'accesso ha avuto origine da un paese completamente diverso.

5. Viene visualizzato il secondo avviso

   Durante la revisione dell'avviso di accesso, viene visualizzato un secondo avviso: gravità media. Il sistema Data Loss Prevention (DLP) ha contrassegnato una richiesta di esportazione di dati di grandi dimensioni. Qualcuno ha utilizzato l'account amministratore di sistema compromesso per esportare i record dei clienti dal database di produzione. L'esportazione è stata completata prima che i sistemi automatizzati potessero bloccarla.

6. L'ambito della violazione

   L'avviso di esportazione dei dati rivela l'entità del potenziale danno: Record esportati : 50.000 record di clienti Tipi di dati : nomi completi, indirizzi e-mail, numeri di telefono, numeri di conti finanziari, cronologia delle transazioni Destinazione di esportazione : server FTP esterno (IP: 185.220.101.89) Ora di esportazione : 07:15 ora locale Questo non è più solo un evento di sicurezza: i dati personali sono stati esfiltrati su un server esterno controllato da soggetti sconosciuti.

7. Riconoscimento degli avvisi

   Alice deve riconoscere entrambi gli avvisi per indicare che sono oggetto di indagini attive. Ciò crea una traccia di controllo che mostra quando il SOC è venuto a conoscenza della potenziale violazione. Secondo il GDPR, l'organizzazione è considerata 'consapevole' di una violazione quando il SOC identifica un incidente che coinvolge dati personali, non quando l'indagine si conclude.

8. Riconoscimento dell'avviso di esportazione dei dati

   L'accesso non autorizzato è stato contrassegnato come riconosciuto. Ora Alice deve riconoscere anche l'avviso di esportazione dei dati. Con la ricezione di entrambi gli avvisi, è presente un chiaro timestamp che mostra quando SecureNet Financial è venuta a conoscenza della potenziale violazione che coinvolge i dati personali.

9. Verifica dello stato di conformità

   Prima di inoltrare l'incidente, Alice controlla il dashboard di conformità per comprendere l'attuale livello di sicurezza dell'organizzazione. Questo contesto aiuta a determinare quali controlli potrebbero non essere riusciti. Comprendere le lacune di conformità esistenti può aiutare a spiegare come si è verificata la violazione e a quali mitigazioni dovrebbe essere data la priorità.

10. Identificazione della vulnerabilità

    Il dashboard di conformità rivela un problema critico: Gestione del consenso : conforme Tempo di risposta DSAR : conforme Crittografia dei dati : conforme Applicazione MFA : avviso: il 23% degli account amministratore non dispone di MFA Conservazione dei dati : conforme Gli elementi compromessi L'account amministratore di sistema era uno del 23% senza l'autenticazione a più fattori abilitata. Questa lacuna di sicurezza ha consentito all'aggressore di accedere utilizzando solo credenziali rubate.