Torna al blog
XDR & SOC

Incident Response: i primi 60 minuti

25 gennaio 2026 · 6 min di lettura

L'ora d'oro della cybersecurity

In medicina, la "golden hour" è la prima ora dopo un trauma: le azioni intraprese in quel lasso determinano la sopravvivenza del paziente. Nella cybersecurity è identico. I primi 60 minuti dopo la scoperta di un incidente determinano se il danno sarà contenuto o catastrofico. La differenza non è la tecnologia: è avere un piano.

Minuti 0-5: Conferma e attivazione

  • Confermare l'incidente: è un vero incidente o un falso positivo? Verificate con almeno una seconda fonte di dati (log, EDR, SIEM).
  • Classificare la severità: Critico (ransomware attivo, data breach in corso), Alto (compromissione confermata, nessun impatto attivo), Medio (attività sospetta, richiede indagine).
  • Attivare il team: contattate il responsabile incident response. Se non avete personale interno: chiamate il provider di IR (avete un contratto, vero?).
  • NON: spegnere i sistemi (distrugge le evidenze), comunicare all'esterno, provare a "risolvere" senza un piano.

Minuti 5-15: Contenimento iniziale

  • Isolare i sistemi compromessi: disconnetteteli dalla rete ma NON spegneteli. L'isolamento impedisce la propagazione; tenerli accesi preserva la RAM con le evidenze.
  • Bloccare gli account compromessi: disabilitare immediatamente ogni account che risulti compromesso.
  • Preservare le evidenze: screenshot degli alert, timestamp delle attività sospette, log degli accessi.
  • Documentare tutto: ogni azione, ogni decisione, ogni timestamp. Usate un canale dedicato (fuori dall'infrastruttura compromessa).

Minuti 15-30: Valutazione dell'impatto

  • Identificare il vettore: come è entrato l'attaccante? Email, VPN, exploit web, credenziali rubate?
  • Mappare l'estensione: quali sistemi sono compromessi? Quali dati sono stati acceduti o esfiltrati?
  • Valutare l'impatto business: quali servizi sono colpiti? Impatto su clienti, produzione, dati personali?
  • Verificare i backup: i backup sono integri? Sono stati compromessi anche quelli? (Il 94% dei gruppi ransomware tenta di cifrare anche i backup — Veeam 2025)

Minuti 30-45: Comunicazione

  • Management: informate il CEO/CdA con fatti, non speculazioni. Impatto stimato, azioni in corso, prossimi passi.
  • Legale: coinvolgete il DPO se dati personali sono coinvolti. Valutate l'obbligo di notifica GDPR (72 ore) e NIS2 (24 ore early warning).
  • Assicurazione: se avete una polizza cyber, notificate l'incidente. Molte polizze richiedono notifica entro 24-48 ore.
  • NON: comunicare ai media, ai clienti o sui social prima di avere un quadro chiaro e un messaggio approvato dal legale.

Minuti 45-60: Piano di azione

  • Eradicazione: definite il piano per rimuovere completamente la minaccia. Patching, pulizia, ricostruzione se necessario.
  • Recovery: prioritizzate il ripristino: quali sistemi prima? I sistemi critici per il business vengono ripristinati da backup puliti.
  • Monitoring rafforzato: aumentate il livello di monitoraggio. L'attaccante potrebbe avere altri punti d'accesso.

L'errore più grande

L'errore più grande non è essere attaccati — è non avere un piano. Il 77% delle organizzazioni non ha un piano di incident response testato (IBM 2025). Scrivete il piano ORA, testatelo con un tabletop exercise, e tenetelo stampato — perché durante un incidente i vostri sistemi digitali potrebbero non essere disponibili.

Vuoi approfondire questo tema per la tua azienda?

Parla con noiAltri articoli