Politica e procedura di gestione degli incidenti di sicurezza e delle violazioni di dati
Politica e procedura di gestione degli incidenti di sicurezza e delle violazioni di dati
14 aprile 2025
Piano di gestione degli incidenti
Introduzione
Questo piano delinea le procedure per l'identificazione, la risposta, l'attenuazione e il recupero degli incidenti di cybersecurity che interessano monecopote.com. L'obiettivo è quello di garantire il buon funzionamento della piattaforma in conformità alle leggi e ai regolamenti in vigore e di proteggerla dalle minacce informatiche.
L'Associazione Mon Eco Pote si impegna a esercitare la dovuta cura e attenzione per (i) adottare misure preventive contro gli incidenti informatici, (ii) gestirli in modo appropriato quando si verificano, (iii) fornire informazioni al personale e alle altre parti interessate (utenti, venditori, clienti, partner, appaltatori, fornitori, autorità), se necessario, e (iv) ripristinare l'accesso e le operazioni il prima possibile.
Categorie di incidenti
Le minacce potenziali includono :
Attacchi DDoS - Interruzione della disponibilità del sito web.
Infezioni da malware - Iniezione di codice dannoso nella piattaforma.
Accesso non autorizzato - Violazione dei dati o acquisizione di account.
Frodi di pagamento - Transazioni false che interessano gli utenti.
Phishing/Social Engineering - Attacchi ad amministratori o utenti.
Misure preventive da considerare in questo contesto includono :
Audit di sicurezza regolari - Eseguire test di penetrazione periodici.
Forti controlli di accesso - Utilizzate l'MFA e le autorizzazioni basate sui ruoli.
Crittografia dei dati - Protezione delle informazioni sensibili.
Web Application Firewall (WAF) - Protezione dagli attacchi.
Backup e disaster recovery - Assicuratevi che i backup giornalieri siano archiviati in modo sicuro.
Rilevamento e segnalazione degli incidenti deve essere fatto come segue :
Monitoraggio del traffico e dei log da parte di un fornitore di servizi esterno
Segnalazione da parte degli utenti tramite un modulo di contatto per la segnalazione di attività sospette
Avvisi automatici per traffico anomalo o tentativi di login
Fasi di risposta agli incidenti
Quando viene rilevato un incidente, è fondamentale seguire un approccio strutturato per contenere e mitigare efficacemente la minaccia. Verrà attuato il seguente processo di risposta in cinque fasi:
Rilevamento iniziale tramite il monitoraggio del sistema e l'esame delle segnalazioni degli utenti su attività sospette (ad esempio, accessi non autorizzati, transazioni fraudolente).
Registrare e analizzare i dati raccogliendo i log dei sistemi interessati, compresi i log degli accessi, i log degli errori e il traffico di rete, e identificando i vettori di attacco (ad esempio, phishing, malware, SQL injection).
Classificare l'incidente: Gravità bassa per problemi di sicurezza minori (ad esempio, tentativi di login falliti); gravità media per incidenti con impatto potenziale (ad esempio, infezione da malware su piccola scala); gravità alta per minacce attive che colpiscono gli utenti o le operazioni aziendali; gravità critica per gravi violazioni della sicurezza (ad esempio, fuga di dati, attacco ransomware).
Attivare il team di risposta notificando l'incident response lead e la sicurezza informatica.
2. Contenimento (a limitare la diffusione e i danni dell'incidente, preservando al contempo le prove forensi.
Azioni a breve termine:
Contenimento della rete (bloccare gli IP dannosi o geo-limitare l'accesso se necessario; segregare i sistemi interessati dalla rete principale)
Contenimento degli account (disabilitare gli account utente/admin compromessi; imporre la reimpostazione della password per gli utenti interessati)
Contenimento delle applicazioni (disabilitare temporaneamente le funzionalità del sito Web interessate (ad esempio, gateway di pagamento, elaborazione degli ordini); aggiornare le regole del firewall per bloccare il traffico dannoso.
Azioni a lungo termine :
Backup sicuri (verificare che i backup recenti non siano compromessi; se necessario, trasferire il traffico su un server di backup).
Conservare le prove (fare copie dei registri del sistema interessato per l'analisi forense; documentare tutte le azioni intraprese durante il contenimento).
3. Eradicazione e recupero (per eliminare la causa principale dell'incidente e ripristinare le normali operazioni.
Fasi di sradicamento:
Identificare il vettore dell'attacco (analizzare i log, le firme del malware e i modelli di attacco; determinare se la causa è un errore umano, una vulnerabilità del sistema o un attacco esterno).
Correggere le vulnerabilità (applicare aggiornamenti software, patch di sicurezza e correzioni di configurazione; rafforzare la sicurezza del firewall, dell'autenticazione e dell'API)
Rimozione del malware (eseguire scansioni antivirus/malware sui sistemi interessati; eliminare o mettere in quarantena i file infetti).
Fasi di recupero:
Servizi di ripristino (reinstallare le applicazioni interessate, se necessario; ripristinare i dati dai backup, assicurando che non si verifichi una reinfezione da malware)
Monitorare le minacce residue (condurre test di penetrazione successivi al ripristino. aumentare il monitoraggio dei log per rilevare comportamenti insoliti).
4. Comunicazione e notifica (per garantire una comunicazione tempestiva e trasparente con le parti interessate)
Comunicazione interna (informare la direzione, i team IT e legale; condurre una riunione di aggiornamento dello stato con il team di risposta)
Comunicazione esterna (avvisare gli utenti interessati; consigliare agli utenti di reimpostare le password e attivare la 2FA; se richiesto dalla legge, segnalare le violazioni alle autorità di protezione dei dati; informare i fornitori di terze parti se i loro servizi sono stati interessati)
5. Revisione post incidente e lezioni apprese (migliorare le difese di sicurezza per prevenire incidenti futuri)
Azioni:
Eseguire una revisione dell'incidente (analizzare i log, i vettori di attacco e l'efficacia della risposta; identificare le lacune nei processi di rilevamento, contenimento e ripristino).
Documentare i risultati (creare un rapporto dettagliato che includa l'analisi delle cause principali e le fasi di risposta; raccomandare miglioramenti per le politiche di sicurezza).
Migliorare i controlli di sicurezza (aggiornare le regole del firewall, le impostazioni IDS/IPS e i controlli di accesso; implementare una formazione aggiuntiva per il personale per riconoscere le minacce informatiche).
Team di contatto e di risposta
Responsabile della risposta agli incidenti: Gaëtan Bio
Contatto per la sicurezza informatica: Gaëtan Bio
Contatto legale e di conformità : Gaëtan Bio