Computer Emergency Response Team
Gruppo di professionisti dedicato alla gestione degli incidenti di sicurezza informatica
Insieme cooperano e coordinano gli interventi necessari per contenere l’impatto degli incidenti informatici e ripristinano le normali o accettabili condizioni operative nell’erogazione dei servizi.
Al fine di attenuare gli impatti e ridurre al minimo il numero di interventi richiesti, il CERT raggiunge la sua maturità implementando attività di prevenzione, di formazione e di sensibilizzazione, nonché di monitoraggio SOC.
Il funzionamento del CERT si basa sulla gestione integrata dei flussi informativi che giungono dal perimetro IT esaminato e dal mondo esterno.
Nel contesto attuale lo scopo e la missione del CERT non è quello di limitarsi alla response ma arrivare all’obiettivo di readiness.
In particolare, a fronte della continua evoluzione dei servizi informatici e dell’aumento di minacce sempre più sofisticate, l’obiettivo del servizio è quello di condurre l’organizzazione verso uno stato di “readiness” in tema di cybersecurity.
Significa sviluppare quella capacità di adattare i sistemi di difesa del cliente, non solo a livello tecnologico ma anche a livello di processo e procedurale, sulla base dell’evoluzione delle minacce, della scoperta di nuove vulnerabilità e degli incidenti avvenuti sia internamente sia subiti da altre organizzazioni.
incident response
Il CERT coadiuva l’organizzazione anche nell’attività di incident response, seguendo i principi dettati dalla normativa ISO 27035. Tale standard internazionale consente all’organizzazione di arginare l’incidente, mitigandone gli effetti, contenendo e risolvendo i problemi creatisi, evitando il dilagare dell’incidente all’interno dell’organizzazione stessa o la propagazione a soggetti terzi.
Il CERT si pone l’obiettivo di supportare il cliente nel mantenimento della continuità operativa e, di pari passo, la raccolta di evidenze. Gli elementi che CERT e SOC raccolgono sono oggetto di analisi e di reporting e, seguendo standard internazionali come ISO 27035, 27037, 27042, potranno essere di ausilio all’organizzazione al fine di individuare eventuali responsabilità interne/esterne, o falle organizzative/procedurali, nonché alle autorità competenti in caso di illecito.
Nel dettaglio, il Team di Incident Response (IRT), organismo interno al CERT, si occuperà in maniera diretta di tutte le operazioni necessarie per rilevare, contenere e risolvere gli incidenti di sicurezza che possono colpire i sistemi informatici sotto monitoraggio e agirà seguendo una scala di priorità.