OTRS Logo and Tagline
OTRS Logo and Tagline
Demo
Assistenza clienti
fill 7
Gestione del servizio
Gestione delle risorse
Gestione della sicurezza
Gestione della tecnologia
Gestione delle attività
Gestione della conoscenza
Piattaforma
Come Acquistare
FAQ
OTRS App
Servizi
Prodotto
OTRS
OTRS è una piattaforma di gestione dei servizi flessibile e personalizzabile
Soluzione
Soluzioni Service Desk
Soluzioni su misura per ogni scenario operativo
Help Desk
Mantieni il servizio al centro dell'attenzione.
Assistenza Clienti e Supporto Tecnico
Rafforza i tuoi legami con i clienti. 
Gestione dei servizi IT
Modella il tuo panorama IT. 
Gestione degli Uffici
Mantieni le tue operazioni in movimento.  
Software di Gestione delle Risorse Umane
Mantieni viva la tua organizzazione.
Cyber Defense – STORM
Proteggi il tuo mondo digitale.
Partner
Diventa partner
OTRS Partners
Corsi di formazione OTRS
Webinars about OTRS
Corsi di formazione pubblici
Eventi
  • 27/10/2026
it-sa

it-sa is one of the largest dialog platforms for industry-specific IT security solutions. It will take place from October 27 to 29, 2026 in Nuremberg.
  • Fiera
Eventi OTRS
Articoli recenti
Visibilità degli asset IT: importanza, vantaggi e best practice
Gli ambienti IT stanno diventando più complessi, le esigenze aumentano...
  • ITAM
In che modo la Gestione dei Servizi Aziendali migliora la qualità del servizio al di là dell’IT
I servizi interni dovrebbero essere facili da utilizzare. In pratica,...
  • ESM
Leggi il blog di OTRS
Casi di studio con OTRS

Le storie di successo di OTRS illustrano come i clienti reali utilizzino OTRS per migliorare il servizio e automatizzare i processi aziendali, ottenendo così risultati operativi positivi.

Storie di successo
Security Incident Management

Agisci rapidamente e limita i danni in caso di cyberattacchi

Security Incident Management:
rispondi in modo efficace agli incidenti di sicurezza

L’Incident Management comprende la prioritizzazione, la valutazione e la gestione degli incidenti informatici.

I processi automatizzati aiutano gli analisti di security incident management a rispondere in modo ottimale agli incidenti. In caso di attacco, le aziende devono agire rapidamente per ridurre i danni e contenere le minacce. La base per gestire gli incident legati alla sicurezza è la creazione di un piano in cui sono definiti task e responsabilità. Il piano guida inoltre l’isolamento di malware e sistemi colpiti e assicura un’analisi più approfondita per identificare da dove ha origine l’attacco e indagare più nel dettaglio le ragioni dello stesso.

Che cos’è un Security Incident?

Un security incident può verificarsi come evento isolato oppure consistere in più eventi che, nel loro insieme, indicano che i sistemi o i dati di un’organizzazione potrebbero essere stati compromessi o che le misure di protezione potrebbero aver fallito. Questo include qualsiasi incident intenzionale o non intenzionale che comporti un aumento della minaccia per l’IT security.

Che cos’è un Major Incident?

Un major incident descrive un incidente grave, che ha un livello di priorità più alto. Questo tipo di incidente può causare interruzioni significative o persino un arresto completo delle attività aziendali, quindi richiede misure speciali. I major incident rappresentano un rischio che non può essere trascurato.

Che cos’è un Incident Handler?

Il compito dell’incident handler è contenere e mitigare l’incidente di sicurezza. Per farlo, pianifica, gestisce e coordina le attività, oltre a comunicare con altri professionisti della cybersecurity.

In particolare, gli incident handler definiscono, documentano e comunicano i ruoli che diversi professionisti assumono durante un incident. Questi ruoli variano a seconda della gravità dell’incidente informatico.

Gli incident handler stabiliscono, testano e verificano i canali di comunicazione e li comunicano al personale appropriato. Questo è indispensabile per garantire il corretto flusso di task e comunicazioni.

Inoltre, assicurano che vengano seguite tutte le best practice, gli standard, i framework di cybersecurity, le leggi e le normative relativi alla gestione e alla risposta agli incidenti, e stimano i costi che un incidente stesso può comportare.

Perché oggi il Security Incident Management è così importante?

Le aziende vengono attaccate regolarmente da cybercriminali e spesso subiscono danni a lungo termine, con una frequenza sempre in aumento.Viviamo in tempi turbolenti e in costante cambiamento. Il mondo è connesso e la digitalizzazioen avanza. Lo si è visto in modo molto chiaro nel 2020, in particolare, quando sempre più persone sono passate a una modalità di lavoro da remoto. Si è passati da una rete gestita da professionisti IT a una postazione di lavoro senza firewall corporate e possibilmente senza programmi antivirus professionali a proteggerla.

Questa situazione rende le aziende un bersaglio facile per i cybercriminali e pone grandi sfide ai dipartimenti IT.

Tuttavia, l’IT security non è solo una questione per gli specialisti di sicurezza: è anche responsabilità di ogni singolo dipendente. Attività apparentemente semplici, come:

  • Cambiare regolarmente le password,
  • condividere informazioni confidenziali solo con fonti conosciute e verificate,
  • aggiornare il software,
  • eseguire regolarmente il backup dei dati, e
  • applicare con costanza una clean desk / desktop strategy

sono una base importante per un lavoro sicuro. Ogni occasione dovrebbe essere sfruttata per sensibilizzare ripetutamente i dipendenti sul tema.

Che cosa bisogna considerare quando ci si prepara agli incidenti?

Nel caso di un incidente di sicurezza, la cosa più importante da fare è assicurarsi che tutti i dipendenti conoscano ruoli e responsabilità.

A questo scopo, è possibile sviluppare scenari e svolgerli regolarmente, in modo da poterli poi valutare e ottimizzare, se necessario. Un response plan dovrebbe essere ben documentato e descrivere e spiegare in dettaglio i ruoli e le responsabilità di tutti gli stakeholder coinvolti.

Soprattutto, conta la competenza di ciascuno. Quanto meglio i dipendenti sono preparati, tanto minore è la probabilità che commettano errori critici.

Rispondi per te stesso alle seguenti domande:

  • I dipendenti sono stati formati sulla policy di sicurezza?
  • Le security policy e l’incident management plan sono stati approvati dalla leadership competente?
  • L’incident response team conosce le proprie responsabilità e chi deve notificare?
  • Tutti i membri del team hanno partecipato a practice drill?

L’Incident Management Plan

In cybersecurity, come per l’ITSM, esistono diversi framework, come l’ISO 27000 e le varie specifiche NIST. In generale, tutti raccomandano la creazione di un incident response plan.​

Un incident response plan è di solito un insieme documentato di istruzioni con più fasi. Questo definisce tutte le azioni necessarie e delinea chiaramente le responsabilità. Si compone di più fasi e necessita di revisioni regolari.

Fasi consigliate di un incident management plan:

1. Preparazione

Fornire strumenti e processi di incident management.

Come in ITIL®, il processo descritto nell’incident response plan si basa su delle best practice. Tutte le fasi importanti sono definite nello strumento. In questo modo, quando si verifica un incident, le informazioni necessarie per rispondere possono essere raccolte in poco tempo. La comunicazione tra tutte le parti coinvolte dovrebbe essere definita e le informazioni di contatto raccolte.

2. Analisi e identificazione

Decidere se si è verificato un security incident.

L’analisi dei dati provenienti da sistemi di log management, IDS/IPS, threat sharing system, nonché firewall log e network activity (ad es. tramite un SIEM) aiuta a classificare gli eventi corrispondenti. Una volta identificata una minaccia, questa dovrebbe essere documentata e comunicata secondo la policy stabilita.

3. Contenimento

Contenere la diffusione dell’incident e prevenire ulteriori danni.

Decidere quale strategia usare è l’aspetto più importante. La domanda principale è quale vulnerability abbia permesso al malware di infiltrarsi. Una mitigation rapida, come l’isolamento di un segmento di rete, è il primo passo in molti incidenti, dopo il quale spesso si procede con un’analisi forense per la valutazione.

4. Sdradicamento

Il malware viene eliminato.

Una volta contenuta la minaccia potenziale, è necessario indagare la root cause dell’incidente. Per farlo, tutto il malware dovrebbe essere rimosso in sicurezza, i sistemi aggiornati con aggiornamenti correttivi (patch), gli update applicati e il software aggiornato se necessario. I sistemi dovrebbero quindi essere portati all’ultimo patch level e dovrebbero essere assegnate password che rispettino tutti i requisiti di sicurezza.

5. Recovery

Sistemi e dispositivi vengono riattivati e riportati alla produttività.

Il ritorno al normale funzionamento è l’obiettivo di questa fase. Tutti i sistemi dovrebbero essere controllati costantemente per verificare che funzionino come previsto. Questo viene garantito tramite testing e monitoring per un periodo più lungo. In questa fase, l’incident response team determina quando le operation verranno ripristinate e se i sistemi infetti verranno completamente ripuliti.

6. Lessons Learned

Che cosa ha funzionato e che cosa no?

Una volta completata la fase cinque, dovrebbe essere organizzato un meeting di riepilogo con tutte le parti coinvolte. In questo meeting, le domande aperte vengono chiarite e l’incident viene finalmente chiuso. Non si tratta solo della gestione dell’incident, ma anche della sua rilevazione, ad esempio da parte del SIEM. Con la conoscenza acquisita da questo confronto, possono essere definite misure per gestire meglio gli incident in futuro.

–––

A seconda dell’impostazione di un security team, queste sei fasi possono anche essere in parte combinate o implementate con diversi livelli di dettaglio.

Come può STORM, come software SOAR, supportare l’incident management?

  • Identificazione
    Con così tanti alert in arrivo, gli analisti perderebbero troppo tempo ad aprire e registrare incident. Invece, una soluzione SOAR usa l'automazione per creare nuovi casi.​
  • Prioritizzazione
    Per stare al passo con l’afflusso di alert, il team di cybersecurity ha bisogno di una soluzione automatizzata. L'automazione di SOAR dà rapidamente priorità a ogni caso in arrivo, così gli incidenti critici vengono gestiti per primi.​
  • Diagnosi
    La piattaforma SOAR facilita la diagnostica per gli analisti di sicurezza organizzando centralmente gli alert del SIEM e altri dati. Questo include, ad esempio, informazioni WHOIS o MISP. In questo modo, tutti i dati relativi a un caso corrente sono disponibili rapidamente.​
  • Coinvolgimento
    Una soluzione come SOAR notifica tutti gli stakeholder quando si verifica un incidente: management, dev ops e IT. I passaggi di mitigation vengono documentati mentre avvengono. Quindi, il case management centralizzato in una soluzione SOAR semplifica il coinvolgimento di tutte le parti responsabili. Gli altri possono vedere immediatamente l’avanzamento e lo status corrente.​
  • Risoluzione e chiusura
    Le soluzioni SOAR documentano tutte le risposte a un incident per prevenire incident futuri. Questa documentazione non può essere modificata. Questo assicura che la risposta a un incident sia archiviata in modo audit-proof.​
Respond optimally to incidents with Security Incident Management

STORM: Incident Management Expert

Le cause degli incident legati alla sicurezza sono molteplici e spesso non sono immediatamente riconoscibili. Tuttavia, è necessario identificarle per eliminare davvero tutte le tracce dell’incident.

STORM offre molti vantaggi come software SOAR: è uno strumento che può essere adattato individualmente ai requisiti di sicurezza, ma include anche molto know-how dei nostri cybersecurity experts.

I nostri security experts lavorano con te per analizzare lo status quo dei tuoi processi di IT security, sviluppare soluzioni appropriate e poi implementarle.

Contatta i nostri esperti

Contenuti correlati che potrebbero interessarti

Vulnerability Management

Risolvi le vulnerabilità di sicurezza con il Vulnerability Management di OTRS. Identifica, classifica e assegna priorità alle vulnerabilità del tuo software.

OTRS

Dai una ventata di aria fresca ai tuoi team e concentrati su velocità, informazioni in tempo reale, massima flessibilità e sicurezza ottimale.

IT Service Management

Ottieni ancora più di successo e ottimizza i processi nella tua organizzazione. Lo strumento ITSM di OTRS è la soluzione per un lavoro orientato al cliente e al servizio, adattata individualmente alle tue strutture.