SEC10-BP01 Identificazione del personale chiave e delle risorse esterne - Framework AWS Well-Architected
Guida all'implementazionePassaggi dell'implementazioneRisorse

SEC10-BP01 Identificazione del personale chiave e delle risorse esterne

Identifica personale, risorse e requisiti legali interni ed esterni per aiutare l'organizzazione a rispondere a un incidente.

Risultato desiderato: disporre di un elenco di persone chiave, delle loro informazioni di contatto e dei ruoli che ricoprono in caso di risposta a un evento di sicurezza. Rivedere queste informazioni regolarmente e aggiornarle per riflettere i cambiamenti del personale dal punto di vista degli strumenti interni ed esterni. Nel documentare queste informazioni si considerano tutti i fornitori di servizi e i venditori di terze parti, compresi i partner di sicurezza, i fornitori di cloud e le applicazioni software-as-a-service (SaaS). Durante un evento di sicurezza, il personale è disponibile con il livello di responsabilità, il contesto e l'accesso appropriati per essere in grado di rispondere e recuperare. 

Anti-pattern comuni:

  • Non mantenere un elenco aggiornato del personale chiave con le informazioni di contatto, i ruoli e le responsabilità in caso di risposta a eventi di sicurezza.

  • Dare per scontato che tutti comprendano le persone, le dipendenze, l'infrastruttura e le soluzioni per rispondere a un evento e da recuperare da un evento. 

  • Non disporre di un archivio di documenti o conoscenze che rappresenti l'infrastruttura o la progettazione di applicazioni chiave.

  • Non disporre di processi di onboarding adeguati per i nuovi dipendenti, in modo che possano contribuire efficacemente alla risposta a un evento di sicurezza, come ad esempio la realizzazione di simulazioni di eventi.

  • Non disporre di un percorso di escalation quando il personale chiave è temporaneamente non disponibile o non risponde durante gli eventi di sicurezza.

Vantaggi della definizione di questa best practice: questa pratica riduce i tempi di triage e risposta impiegati per identificare il personale giusto e i relativi ruoli durante un evento. Riduci al minimo le perdite di tempo durante un evento mantenendo un elenco aggiornato del personale chiave e dei suoi ruoli, in modo da poter portare le persone giuste al triage e al recupero da un evento.

Livello di rischio associato se questa best practice non fosse adottata: elevato

Guida all'implementazione

Identifica il personale chiave all'interno della tua organizzazione: mantieni un elenco di contatti del personale all'interno dell'organizzazione che devi coinvolgere. Rivedi e aggiorna regolarmente queste informazioni in caso di spostamento del personale, come modifiche organizzative, promozioni e cambi di team. Questo è particolarmente importante per i ruoli chiave come gli incident manager, i team di risposta e i responsabili delle comunicazioni. 

  • Incident manager: hanno l'autorità generale durante la risposta all'evento.

  • Team di risposta agli incidenti: sono responsabili delle attività di indagine e riparazione. Queste persone possono differire in base al tipo di evento, ma in genere sono sviluppatori e team operativi responsabili dell'applicazione interessata.

  • Responsabile delle comunicazioni: è responsabile delle comunicazioni interne ed esterne, in particolare con gli enti pubblici, le autorità di regolamentazione e i clienti.

  • Esperti in materia (SME): nel caso di team distribuiti e autonomi, ti consigliamo di identificare la figura di SME per carichi di lavoro mission critical. Queste persone offrono approfondimenti sul funzionamento e sulla classificazione dei dati dei carichi di lavoro critici coinvolti nell'evento.

Prendi in considerazione l'utilizzo della funzionalità AWS Systems Manager Incident Manager per acquisire i contatti chiave, definire un piano di risposta, automatizzare gli orari delle chiamate e creare piani di escalation. Automatizza e organizza i turni per tutto il personale attraverso un programma di chiamata, in modo che la responsabilità del carico di lavoro sia condivisa tra i proprietari. Ciò promuove buone pratiche, come l'emissione di metriche e registri pertinenti e la definizione di soglie di allarme importanti per il carico di lavoro.

Identifica i partner esterni: le aziende utilizzano strumenti realizzati da fornitori di software indipendenti (ISV), partner e subappaltatori per creare soluzioni distintive per i propri clienti. Coinvolgi il personale chiave di queste parti che può aiutarti a rispondere e a riprendersi da un incidente. Ti consigliamo di iscriverti al livello appropriato di AWS Support per ottenere un rapido accesso agli SME AWS attraverso un caso di supporto. Prendi in considerazione accordi simili con tutti i fornitori di soluzioni critiche per i carichi di lavoro. Alcuni eventi di sicurezza richiedono alle aziende quotate in borsa di notificare l'evento e gli impatti agli enti pubblici e alle autorità di regolamentazione pertinenti. Mantieni e aggiorna le informazioni di contatto per i dipartimenti pertinenti e le persone responsabili.

Passaggi dell'implementazione

  1. Configura una soluzione per la gestione degli incidenti.

    1. Prendi in considerazione l'implementazione di Incident Manager nel tuo account Security Tooling.

  2. Definisci i contatti nella tua soluzione di gestione degli incidenti.

    1. Definisci almeno due tipi di canali per ogni contatto (come SMS, telefono o e-mail), per garantire la raggiungibilità durante un incidente.

  3. Definisci un piano di risposta.

    1. Identifica i contatti più appropriati da coinvolgere durante un incidente. Definisci piani di escalation allineati ai ruoli del personale da coinvolgere, piuttosto che ai singoli contatti. Valuta la possibilità di includere i contatti che potrebbero essere responsabili dell'informazione di entità esterne, anche se non sono direttamente coinvolti nella risoluzione dell'incidente.  

Risorse

Best practice correlate:

Documenti correlati:

Esempi correlati:

Strumenti correlati:

Video correlati: