Questa fase comprende tutte le attività di ripristino e riattivazione dei processi e dei servizi coinvolti nell’incidente di sicurezza informatica: è il piano B che ogni azienda deve aver creato e studiato prima che il disastro succedesse.
Gli ambiti sui quali è necessario agire a seguito di un incidente di sicurezza informatica sono:
La definizione e implementazione di un Recovery Plan, ovvero un documento che descrive l’insieme di strategie, azioni, strumenti e tempi necessari per ripristinare l’operatività;
L’analisi post incidente per implementare i necessari processi di miglioramento.
Come implementare il Recovery Plan?
Per implementare un piano di Disaster Recovery valido, vanno innanzitutto definiti RPO (Recovery Point Objective) e RPO (Recovery Time Objective). Il primo è la metrica che indica il tempo massimo che deve intercorrere tra la produzione di un dato e la sua messa in sicurezza, mentre il secondo si riferisce al tempo medio che intercorre tra l’incidente informatico e il completo ripristino dei sistemi.
In parole semplici, le figure apicali dell’azienda devono concordare sulla frequenza di salvataggio dei dati (ogni quanto devo effettuare un backup completo dei dati che produco?) e sul tempo massimo di non-operatività che può passare (un’azienda non operativa è un’azienda che perde fatturato e opportunità di business!).
Nel piano di Disaster Recovery, inoltre, va definito – in caso esista (ed è vitale che ci sia!) - in quanto tempo attivare il sito di Recovery, ovvero quell’ambiente parallelo a quello di produzione che consente all’azienda di restare operativa anche in caso di attacco informatico.
E dopo il ripristino dei sistemi, cosa bisogna fare?
Una volta terminato il ripristino, occorre effettuare un’analisi dell’incidente con tutti gli attori coinvolti a livello strategico e operativo.
Se vuoi saperne di più sul Framework NIST e sullo step 5 “Ripristino”, compila il form qui sotto e scarica gratuitamente l’ebook "Guida al Cybersecurity Framework del Nist: tutto quello che un IT Manager deve sapere".