1 00:00:03,000 --> 00:00:04,800 Bentornati. 2 00:00:04,800 --> 00:00:07,880 Una risposta di successo a un incidente di cybersecurity dipende 3 00:00:07,880 --> 00:00:11,040 da una comunicazione chiara e una documentation dettagliata. 4 00:00:11,800 --> 00:00:15,160 In questa lezione, imparerai perché l'incident reporting è critico 5 00:00:15,760 --> 00:00:18,760 non solo durante una crisi, ma anche dopo. 6 00:00:19,280 --> 00:00:22,280 Esplorerai cosa viene segnalato, come viene tracciato, 7 00:00:22,440 --> 00:00:26,480 e come la documentation supporta sia la legal compliance che la prevenzione futura. 8 00:00:27,720 --> 00:00:29,840 L'incident reporting permette ai team di sicurezza 9 00:00:29,840 --> 00:00:34,320 di condividere dettagli chiave con i decisori, coordinare azioni 10 00:00:34,320 --> 00:00:38,760 tra IT, legale e leadership, rispettare le normative, 11 00:00:39,120 --> 00:00:42,440 identificare le cause alla radice, e migliorare la risposta futura. 12 00:00:42,920 --> 00:00:45,680 Che si tratti di un phishing attempt o di un breach completo. 13 00:00:45,680 --> 00:00:48,680 Un reporting veloce e accurato fa funzionare tutto meglio. 14 00:00:49,800 --> 00:00:52,600 I dipendenti dovrebbero segnalare qualsiasi attività insolita, 15 00:00:52,600 --> 00:00:55,200 anche se non sono sicuri che sia un incidente. 16 00:00:55,200 --> 00:00:57,640 Esempi includono inaspettati 17 00:00:57,640 --> 00:01:02,040 messaggi di reset password, strano comportamento del sistema o messaggi di errore, 18 00:01:02,440 --> 00:01:06,720 email sospette o allegati, dispositivi persi o rubati. 19 00:01:07,320 --> 00:01:10,560 È meglio segnalare qualcosa che si rivela innocuo piuttosto che perdere 20 00:01:10,560 --> 00:01:11,520 qualcosa di serio. 21 00:01:12,800 --> 00:01:15,880 Un incident report solido include data 22 00:01:15,880 --> 00:01:19,960 e ora dell'incidente, sistemi o account coinvolti, 23 00:01:20,480 --> 00:01:22,920 nome e contatto del segnalante, 24 00:01:22,920 --> 00:01:25,440 comportamento o sintomi osservati, 25 00:01:25,440 --> 00:01:27,920 risposta iniziale o contenimento, 26 00:01:27,920 --> 00:01:29,280 stato attuale: 27 00:01:29,280 --> 00:01:31,280 Open, Under Investigation, 28 00:01:31,280 --> 00:01:34,280 Resolved. I report dovrebbero essere chiari, 29 00:01:34,400 --> 00:01:37,400 concisi, e inviati al team appropriato. 30 00:01:37,760 --> 00:01:41,520 Solitamente, il Security Operations Center (SOC) o l'Incident Response Team. 31 00:01:42,800 --> 00:01:45,800 La documentation non si ferma dopo il report. 32 00:01:46,080 --> 00:01:49,240 Durante tutto il processo di risposta, i team dovrebbero documentare: 33 00:01:50,040 --> 00:01:52,480 quali azioni sono state intraprese, 34 00:01:52,480 --> 00:01:54,680 chi ha eseguito ogni azione, 35 00:01:54,680 --> 00:01:58,160 quali prove sono state raccolte, qual è stato il risultato. 36 00:01:59,040 --> 00:02:01,280 Questo audit trail supporta la compliance, 37 00:02:01,280 --> 00:02:04,280 le investigazioni, e l'apprendimento del team. 38 00:02:04,680 --> 00:02:06,480 Dopo che l'incidente è risolto, 39 00:02:06,480 --> 00:02:09,480 i team dovrebbero tenere una post-incident review per rispondere: 40 00:02:09,680 --> 00:02:11,160 Cosa è andato bene? 41 00:02:11,160 --> 00:02:13,360 Cosa è fallito o è stato perso? 42 00:02:13,360 --> 00:02:15,120 Come possiamo migliorare? 43 00:02:15,120 --> 00:02:18,400 Queste lezioni vengono registrate e condivise con gli stakeholders rilevanti. 44 00:02:19,120 --> 00:02:22,360 Questo passaggio trasforma gli incidenti in opportunità di crescita, 45 00:02:22,360 --> 00:02:24,760 formazione, e system hardening. 46 00:02:24,760 --> 00:02:26,920 Pronto per un piccolo quiz di riepilogo? 47 00:02:26,920 --> 00:02:30,000 Domanda uno perché gli utenti dovrebbero segnalare 48 00:02:30,000 --> 00:02:33,360 attività sospette anche se non sono sicuri che sia un incidente? 49 00:02:34,320 --> 00:02:37,320 A per compilare scartoffie. 50 00:02:37,400 --> 00:02:40,120 B per ritardare il rilevamento. 51 00:02:40,120 --> 00:02:44,040 C perché permette investigazione e risposta più veloci. 52 00:02:44,760 --> 00:02:48,040 D perché è richiesto per gli aggiornamenti di sistema. 53 00:02:48,800 --> 00:02:51,800 Pausa. 54 00:02:54,720 --> 00:02:56,560 La risposta corretta è C. 55 00:02:56,560 --> 00:03:00,720 La segnalazione rapida aiuta gli analisti a investigare e rispondere prima che il danno aumenti. 56 00:03:02,080 --> 00:03:05,920 Domanda due quale dei seguenti dovrebbe essere incluso in un incident report? 57 00:03:06,680 --> 00:03:09,680 A orario dell'incidente e sintomi osservati. 58 00:03:10,000 --> 00:03:11,840 B il meteo. 59 00:03:11,840 --> 00:03:14,440 C l'app preferita dell'utente. 60 00:03:14,440 --> 00:03:17,520 D Una lista dei compleanni del team IT. 61 00:03:18,000 --> 00:03:21,000 Pensaci attentamente. 62 00:03:24,080 --> 00:03:27,000 La risposta corretta è A. Un buon report 63 00:03:27,000 --> 00:03:30,000 include quando l'incidente è avvenuto e cosa è stato osservato. 64 00:03:30,600 --> 00:03:32,640 Domanda finale 65 00:03:32,640 --> 00:03:35,640 Perché è importante una post-incident review? 66 00:03:36,080 --> 00:03:39,080 A per assegnare la colpa. 67 00:03:39,240 --> 00:03:42,240 B per prepararsi a una festa aziendale. 68 00:03:42,800 --> 00:03:46,880 C per imparare dall'incidente e migliorare la risposta futura. 69 00:03:47,760 --> 00:03:51,240 D per chiudere account utente inutilizzati. 70 00:03:51,840 --> 00:03:52,960 Pausa e pensa. 71 00:03:58,200 --> 00:04:00,360 La scelta corretta è C 72 00:04:00,360 --> 00:04:03,560 le post-incident reviews trasformano l'esperienza in miglioramenti. 73 00:04:04,800 --> 00:04:06,120 Ottimo lavoro. 74 00:04:06,120 --> 00:04:09,400 Ora sai come il reporting e la documentation corretti aiutano i team di incident 75 00:04:09,400 --> 00:04:11,200 response a muoversi velocemente. 76 00:04:11,200 --> 00:04:14,240 Rimanere compliant e migliorare dopo ogni attacco. 77 00:04:14,760 --> 00:04:18,760 Nella prossima lezione, esploreremo il mondo della cybersecurity forensics, 78 00:04:19,200 --> 00:04:22,040 come gli analisti investigano gli attacchi, preservano 79 00:04:22,040 --> 00:04:25,040 la digital evidence, e supportano l'azione legale. 80 00:04:25,520 --> 00:04:26,480 Continuiamo.