Politica di risposta agli incidenti (P30)

La Politica di risposta agli incidenti (Documento P30) formalizza un framework robusto che garantisce che l’organizzazione possa gestire e rispondere efficacemente a un ampio spettro di incidenti di sicurezza delle informazioni. Lo scopo principale della politica è stabilire processi ripetibili per identificare, segnalare, analizzare, contenere e ripristinare gli incidenti, promuovendo al contempo il miglioramento continuo tramite valutazioni post-incidente. Istituendo un Quadro di risposta agli incidenti centrale allineato a norme internazionali come ISO/IEC 27035, la politica assicura un approccio strutturato in tutte le fasi dell’incidente: preparazione, rilevazione e analisi, contenimento/eradicazione/ripristino e riesame post-incidente. Questa politica copre in modo esteso le funzioni dell’organizzazione, estendendo i requisiti a tutto il personale, inclusi contraenti e fornitori terzi di servizi, e includendo tutti i sistemi informativi dell’organizzazione, sia in locale, nel cloud o in ambienti ibridi. Si applica a un insieme completo di tipologie di incidente: accesso non autorizzato, malware e ransomware, attacchi di denial-of-service, perdita di dati o esfiltrazione di dati, minacce interne e anche violazioni fisiche che impattano le risorse digitali. La sezione di governance impone che ogni incidente sia registrato formalmente in un Sistema di gestione degli incidenti di sicurezza (SIMS), con metadati dettagliati inclusi tempo di rilevazione, classificazione, sistemi interessati, azioni intraprese, evidenze acquisite e analisi della causa radice. Tutti gli incidenti sono categorizzati tramite un modello di gravità a livelli, assicurando una risposta e un’escalation proporzionate. Ruoli e responsabilità chiave sono definiti con attenzione per garantire responsabilità e un workflow snello durante un incidente. Il Responsabile della sicurezza delle informazioni (CISO) mantiene la titolarità complessiva del framework di risposta e funge da collegamento con l’Alta Direzione e i regolatori durante gli incidenti maggiori. Il Coordinatore della risposta agli incidenti gestisce i team interfunzionali, tracciando ogni fase della risposta e assicurando che le azioni correttive siano eseguite. Il Centro operativo di sicurezza (SOC) e gli analisti di sicurezza IT sono incaricati del monitoraggio e del triage delle minacce, dell’escalation dei casi e dell’esecuzione delle azioni iniziali di contenimento. I ruoli della Funzione legale e compliance e del Responsabile della protezione dei dati sono incaricati di riesaminare l’impatto normativo e garantire le tempistiche di notifica, in particolare per le violazioni ai sensi di GDPR, NIS2 e DORA. La direzione esecutiva prende decisioni strategiche per gli incidenti ad alta gravità, incluse le comunicazioni pubbliche e l’approvazione di modifiche al Sistema di gestione della sicurezza delle informazioni (SGSI). La politica adotta meccanismi rigorosi per la notifica delle violazioni, la digital forensics e la gestione delle evidenze, richiedendo che la notifica alle autorità e alle parti interessate impattate sia eseguita secondo tempistiche legali e contrattuali definite. Le procedure di digital forensics includono imaging del disco con write-blocker, tracciamento della catena di custodia e conservazione cifrata delle evidenze, con coordinamento con le forze dell’ordine ove richiesto. Qualsiasi deviazione dalla politica, come tempi di risposta o raccolta delle evidenze, deve seguire un rigoroso processo di eccezione basato sul rischio, con documentazione, approvazione del Responsabile della sicurezza delle informazioni (CISO) e riesami trimestrali del rischio. Per garantire efficacia e conformità normativa, la politica impone riesami annuali, esercitazioni regolari di risposta agli incidenti e metriche chiare come Mean Time to Detect (MTTD), Mean Time to Contain (MTTC) e la percentuale di riesami post-incidente completati. Audit e conformità e il monitoraggio della conformità validano la preparazione e impongono l’aderenza, con conseguenze specificate per la non conformità incluse misure disciplinari fino alla cessazione del contratto o alla segnalazione normativa. La politica è profondamente integrata con politiche di supporto su classificazione dei dati, gestione delle modifiche, controlli crittografici, backup e ripristino e registrazione e monitoraggio, assicurando una postura di preparazione agli incidenti completa e difendibile.