Piano di risposta ad un incidente di sicurezza (Security Incident Response Plan)
Opencontent, per garantire la massima affidabilità e sicurezza dei propri sistemi, si è dotata di un piano che definisce le fasi e le azioni da avviare in seguito al verificarsi di un incidente che riguardi l'integrità, la disponibilità e la sicurezza dei dati presenti nelle soluzioni Saas.
Il piano prevede le seguenti fasi:
- Identificazione dell’incidente (*), durante la quale si accerta l'effettiva presenza di un incidente. La segnalazione può avvenire da un cliente, dai sistemi di controllo automatici o dai controlli periodici effettuati sui sistemi. Dal momento in cui l'incidente è accertato, esso viene tracciato nel sistema di web ticketing, ed etichettato con il tag "security". Viene poi dirottato all'area sviluppo software e/o sistemistica (a seconda della tipologia di incidente). Da questo momento in poi, l'area di supporto mantiene in costante contatto con il cliente per tenerlo aggiornato sull'andamento della risoluzione.
- Valutazione della severità (*), i responsabili delle aree sviluppo software e sistemistica valutano la serverità dell'incidente, eventualmente coinvolgendo il cliente per definire la portata e l'impatto.
- Investigazione e diagnosi, il team di sviluppo (eventualmente supportato dal team dei sistemisti) si occupa di diagnosticare la causa dell'incidente
- Contenimento. Vengono valutate azioni che è possibile mettere in atto al fine di contenere e mitigare i danni. Tali azioni vengono poste in essere quanto prima. Questo può significare ad esempio un hot fix sull'ambiente di produzione, oppure la disabilitazione temporanea della funzionalità impattata dal problema.
- Estirpazione. In seguito alla fase di investigazione e diagnosi vengono definite le contromisure da adottare. esse vengono sottoposte a test (negli ambienti di quality), allo scopo di avere la certezza di avere rimosso gli effetti e le cause dell'incidente dai sistemi. La contromisura viene quindi attuata sull'ambiente di produzione, a cura dei team di sviluppo o dei sistemisti
- Recupero. Il sistema in tutte le sue componenti (inclusi i dati) vengono riportato allo stato normale.
- Lezioni apprese (*) (Lessons Learned): con il coinvolgimento di tutte le aree di Opencontent, viene organizzata una retrospettiva sull'incidente per analizzare il problema insorto e le modalità di risoluzione. La knowledge base aziendale viene aggiornata per riportare informazioni sull'incidente. Nel caso in cui le cause possano essere ricondotte a comportamenti del cliente, esso viene contattato ed istruito su un corretto utilizzo delle funzionalità. Viene effettuata una analisi sugli altri sistemi per verificare la loro vulnerabilità a incidenti simili a quello avvenuto. Nel caso venisse riscontrata una vulnerabilità, il piano viene iterato su quei sistemi.
(*) Fasi che possono prevedere la collaborazione con il Cliente.