Piano di risposta ad un incidente di sicurezza (Security Incident Response Plan)

Opencontent, per garantire la massima affidabilità e sicurezza dei propri sistemi, si è dotata di un piano che definisce le fasi e le azioni da avviare in seguito al verificarsi di un incidente che riguardi l'integrità, la disponibilità e la sicurezza dei dati presenti nelle soluzioni Saas.

Il piano prevede le seguenti fasi:

  1. Identificazione dell’incidente (*), durante la quale si accerta l'effettiva presenza di un incidente. La segnalazione può avvenire da un cliente, dai sistemi di controllo automatici o dai controlli periodici effettuati sui sistemi. Dal momento in cui l'incidente è accertato, esso viene tracciato nel sistema di web ticketing, ed etichettato con il tag "security". Viene poi dirottato all'area sviluppo software e/o sistemistica (a seconda della tipologia di incidente). Da questo momento in poi, l'area di supporto mantiene in costante contatto con il cliente per tenerlo aggiornato sull'andamento della risoluzione.
  2. Valutazione della severità (*), i responsabili delle aree sviluppo software e sistemistica valutano la serverità dell'incidente, eventualmente coinvolgendo il cliente per definire la portata e l'impatto.
  3. Investigazione e diagnosi, il team di sviluppo (eventualmente supportato dal team dei sistemisti) si occupa di diagnosticare la causa dell'incidente
  4. Contenimento. Vengono valutate azioni che è possibile mettere in atto al fine di contenere e mitigare i danni. Tali azioni vengono poste in essere quanto prima. Questo può significare ad esempio un hot fix sull'ambiente di produzione, oppure la disabilitazione temporanea della funzionalità impattata dal problema. 
  5. Estirpazione. In seguito alla fase di investigazione e diagnosi vengono definite le contromisure da adottare. esse vengono sottoposte a test (negli ambienti di quality), allo scopo di avere la certezza di avere rimosso gli effetti e le cause dell'incidente dai sistemi. La contromisura viene quindi attuata sull'ambiente di produzione, a cura dei team di sviluppo o dei sistemisti
  6. Recupero. Il sistema in tutte le sue componenti (inclusi i dati) vengono riportato allo stato normale.
  7. Lezioni apprese (*) (Lessons Learned): con il coinvolgimento di tutte le aree di Opencontent, viene organizzata una retrospettiva sull'incidente per analizzare il problema insorto e le modalità di risoluzione. La knowledge base aziendale viene aggiornata per riportare informazioni sull'incidente. Nel caso in cui le cause possano essere ricondotte a comportamenti del cliente, esso viene contattato ed istruito su un corretto utilizzo delle funzionalità. Viene effettuata una analisi sugli altri sistemi per verificare la loro vulnerabilità a incidenti simili a quello avvenuto. Nel caso venisse riscontrata una vulnerabilità, il piano viene iterato su quei sistemi.

(*) Fasi che possono prevedere la collaborazione con il Cliente.