Informatica forense aziendale: presentazione a ISSE 2017

La priorità per le organizzazioni – grandi o piccole che siano – nel caso di una violazione della sicurezza delle proprie informazioni è di riprendere la normale operatività il più presto possibile e senza conseguenza. Molto spesso la gestione delle evidenze digitali è completamente trascurata. Questa presentazione ha spiegato come integrare in modo organico le tecniche di digital forensics nei sistemi di gestione e soprattutto come riconciliarle con le esigenze di business e operative. Una attenzione speciale è dedicata al caso delle PMI, aziende che costituiscono la spina dorsale di molti sistemi economici. E’ stata introdotta la definizione di digital forensics, insieme a una veloce rassegna degli standard e delle linee guida internazionali in materia.

Nel flusso di lavoro usuale dell’informatica forense (soprattutto in ambito di investigazioni criminali) la fase di preparazione (pre-acquisizione) non sono di solito approfondite, per ovvie ragioni. Nella forense aziendale invece, una buona preparazione permette e facilita la raccolta, l’acquisizione e la gestione delle evidenze digitali, anche quelle più volatili, e allo stesso tempo di non danneggiare le attività operative. Al contrario, aiuta a generare valore e a mitigare i rischi cyber. Il processo di preparazione forense che è stato presentato fa leva su un comprensivo audit della sicurezza e include un’analisi dei rischi dedicata. L’obiettivo finale è quello di avere procedure preparate e formalizzate in anticipo per selezionare, acquisire ed analizzare solide evidenze digitali, evitando di violarne l’integrità e massimizzando la possibilità di utilizzarle in un eventuale procedimento.

Altri requisiti tenuti in considerazione sono la minimizzazione delle interferenze con le procedure di business continuity, l’aderenza a leggi e regolamenti applicabili e l’ottimizzazione dei costi. Successivamente alla valutazione preliminare il processo consigliato include un inventario delle fonti di prova a nostra disposizione e una ricognizione delle possibili fonti non ancora attivate, seguita dalla formulazione di procedure dettagliata per l’individuazione ed acquisizione delle evidenze, come parte della risposta ad un incidente. In supporto di quest’ultima parte, dovranno essere instaurate e mantenute adeguate misure tecniche e – soprattutto – tutto il personale dovrà essere reso consapevole dell’importanza dell’integrità delle evidenze, di cosa fare e non fare, e di avere predeterminati punti in cui chiedere l’aiuto di personale specializzato o di specialisti esterni.

Il team interno dovrò possedere una adeguata preparazione sul trattamento delle evidenze digitali e sull’analisi, assieme a solide competenze organizzative necessarie a mantenere per esempio la catena di custodia e a documentare in dettaglio le procedure seguite.

You can download the slide desk (pdf) here: ISSE2017-CorporateForensics

Aggiungi ai preferiti : Permalink.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *