Risposta agli incidenti il nuovo approccio del NIST SP 800-61

Risposta agli incidenti: il nuovo approccio del NIST SP 800-61

La risposta agli incidenti è l’insieme delle attività con cui un’organizzazione si prepara a un attacco informatico, lo individua, lo contiene e ne esce ripristinando ciò che è stato colpito. Per quasi due decenni, dalla prima edizione del 2004, il riferimento di tutto il settore è stato un ciclo a quattro fasi codificato dal NIST, una sequenza ordinata che ha insegnato a generazioni di professionisti come muoversi durante un incidente. Nel 2025, però, il NIST ha cambiato impostazione in modo netto, e capire perché aiuta a vedere come è maturata l’intera disciplina.

Il punto non è che il vecchio schema fosse sbagliato, ma che il modo in cui veniva usato si era irrigidito. Trattato come una lista di controllo lineare, da percorrere dall’inizio alla fine quando l’allarme era già scattato, finiva per relegare la risposta agli incidenti a un’attività isolata, di competenza quasi esclusiva del reparto tecnico, scollegata dal resto della gestione del rischio. La revisione del 2025 nasce proprio per correggere questa deriva.

Dal ciclo a quattro fasi alla revisione 3

Il modello classico, contenuto nella seconda revisione della guida del NIST, descriveva la risposta agli incidenti in quattro fasi: preparazione; rilevamento e analisi; contenimento, eradicazione e ripristino; attività post-incidente. Era uno schema solido e didatticamente efficace, e in realtà già concepito come ciclo, con le attività post-incidente che rialimentavano la preparazione. Il limite non stava nella sua forma, ma nel modo in cui veniva spesso applicato: come una lista lineare da percorrere quando l’allarme era già scattato, dando l’impressione che la risposta cominciasse con il rilevamento e si esaurisse con il ripristino, quasi fosse un episodio a sé.

La terza revisione, il NIST SP 800-61 Rev. 3 pubblicata nell’aprile 2025, supera quel modello e ne propone uno sensibilmente diverso. Non descrive più un ciclo separato, ma inserisce la risposta agli incidenti dentro la più ampia gestione del rischio, mappandola sulle sei funzioni del CSF 2.0, il quadro di riferimento del NIST per la cybersicurezza. La risposta agli incidenti, in altre parole, smette di essere una procedura accanto alle altre e diventa una capacità che attraversa l’intero modo in cui un’organizzazione governa la propria sicurezza.

Le sei funzioni applicate alla risposta agli incidenti

Le sei funzioni del CSF 2.0 sono Govern (governare), Identify (identificare), Protect (proteggere), Detect (rilevare), Respond (rispondere) e Recover (ripristinare). La revisione 3 le usa come ossatura, distribuendo tra esse ciò che prima era confinato nelle quattro fasi. La novità più significativa è la presenza di Govern, la funzione introdotta dal CSF 2.0, che porta la responsabilità di definire strategia, ruoli e politiche della risposta al livello di governo dell’organizzazione, legando la gestione dell’incidente alle scelte di chi la guida.

Il documento raggruppa le funzioni in modo istruttivo. La preparazione non è più una singola fase iniziale, ma il prodotto continuo di Govern, Identify e Protect, cioè di tutto ciò che si fa prima e indipendentemente da un attacco: conoscere i propri rischi, proteggere gli asset, stabilire chi decide cosa. La gestione vera e propria dell’incidente vive invece nelle funzioni Detect, Respond e Recover. E il miglioramento continuo, le lezioni apprese da ogni evento, non è un’appendice finale ma un filo che rientra costantemente nella funzione Identify, alimentando la preparazione del giro successivo.

Un esempio concreto aiuta a vedere la differenza. Di fronte a un attacco ransomware, nel vecchio schema si sarebbe partiti dal rilevamento; nella nuova impostazione, gran parte del lavoro è già avvenuto prima. La funzione Govern ha stabilito chi ha l’autorità di dichiarare la crisi e quali sono le priorità dell’organizzazione; Identify ha mappato quali sistemi sono critici e quali dati sono in gioco; Protect ha predisposto i backup e le segmentazioni che limiteranno il danno. Solo a quel punto entrano in scena Detect, che riconosce la cifratura in corso, Respond, che isola i sistemi e attiva le comunicazioni previste, e Recover, che ripristina a partire dai backup. La qualità della risposta, in questo quadro, si decide molto prima dell’attacco.

Perché il cambiamento conta

Il valore di questa riorganizzazione sta nel messaggio di fondo: la risposta agli incidenti non è qualcosa che il SOC fa da solo quando suona l’allarme, ma una capacità che si costruisce ogni giorno e che parte dall’alto. Collocando Govern tra le funzioni, il NIST mette nero su bianco che la preparazione a un incidente è una responsabilità di governo, non una faccenda puramente operativa. È un’impostazione che si salda perfettamente con la direzione presa dalle normative recenti, che hanno reso i vertici aziendali responsabili in prima persona della gestione del rischio cyber.

Ne discende anche una conseguenza pratica sulla preparazione, che cessa di essere un adempimento da spuntare una volta per diventare una postura permanente. Mantenere viva quella postura significa esercitarsi con regolarità, ad esempio in ambienti come un cyber range, e curare con continuità le attività che riducono la superficie d’attacco, come una solida gestione delle vulnerabilità. Sono attività che nel vecchio schema rischiavano di apparire esterne alla risposta, e che nel nuovo ne sono invece parte integrante.

Cosa significa in pratica

Adottare l’impostazione della revisione 3 non vuol dire buttare via il lavoro fatto con il modello a quattro fasi. Le cose che accadono durante un incidente, rilevare, contenere, eradicare, ripristinare, restano quelle: cambia la cornice che le tiene insieme e il modo di pensarle. In concreto, significa allineare il proprio piano di risposta alle funzioni del CSF, coinvolgere il livello di governo nella definizione di ruoli e priorità, e trattare le lezioni apprese come un meccanismo di miglioramento continuo anziché come un verbale archiviato dopo l’emergenza.

Conviene anche evitare un equivoco: passare al nuovo modello non rende obsoleti i piani e le procedure costruiti negli anni. Un buon piano di risposta resta utile, va semplicemente riletto attraverso le funzioni del CSF, verificando che ciascuna sia presidiata e che le lezioni apprese da ogni esercitazione e da ogni incidente reale rientrino davvero nel ciclo, invece di fermarsi a un verbale. È proprio questo aggancio sistematico al miglioramento continuo, più che la riorganizzazione formale delle fasi, a fare la differenza tra un’organizzazione che impara dai propri incidenti e una che li ripete.

Per le organizzazioni italiane, questo approccio ha il vantaggio di parlare la stessa lingua degli obblighi che già le riguardano, dove la sicurezza è concepita come gestione del rischio governata dai vertici e non come un insieme di misure tecniche slegate. La risposta agli incidenti, vista così, non è il piano che si tira fuori dal cassetto quando ormai è troppo tardi, ma la misura di quanto un’organizzazione abbia saputo prepararsi, governare e migliorare prima che l’incidente arrivasse. È in questo spostamento, dal procedimento isolato alla capacità diffusa, che sta il senso della nuova impostazione del NIST.

Condividi sui Social Network:

Ultimi Articoli