Создание эффективного плана реагирования на инциденты

Хорошо известно и общепризнано, что дело не в том, взломана ли компания, а в том, когда (если это еще не произошло). Ошеломляющее количество компаний столкнулись с нарушением безопасности, и в большинстве случаев многие даже не подозревают об этом. Другая вероятность заключается в том, что многие не знают, как справиться с инцидентом. Во избежание паники рекомендуется разработать план реагирования на инциденты. Быть готовым к инциденту — лучший подход, чем пытаться отреагировать, когда ваша система взломана. Знание того, как реагировать в то время, когда организация уязвима, не только разумно, но и служит спасательным кругом для многих.

Если у организации есть план, она может быстро и скоординировано отреагировать во время инцидента. Каждый знает свое место и то, как расставить приоритеты в своих действиях. Команда знает, что делать, каковы приоритеты, и паники меньше. Там, где нет плана реагирования, часто возникает совсем другая ситуация — хаотичный подход. Пытаясь решить неразрешимые вопросы, на проблему бросают все (без нужды) — деньги и людей. Инциденты можно справляться более эффективно, если имеется план, а организованная и профессиональная команда готова оказать помощь.

Помните… когда вы не можете спланировать, вы планируете потерпеть неудачу, поэтому лучше как можно скорее разработать план реагирования на инциденты.

Шаги по созданию плана реагирования на инциденты

Создайте документ плана реагирования на инциденты

Создайте документ с планом реагирования на инциденты и сделайте его доступным для всех, кому он понадобится. Убедитесь, что он доступен как в печатном виде, так и в виде автономной версии, чтобы в случае инцидента люди, которым нужны подробности, могли легко и быстро получить их. Поскольку этот документ может содержать конфиденциальную информацию, храните его в надежном месте.

Сформировать группу реагирования на инциденты

В документе должны быть определены члены команды с их ролями и обязанностями — кто за что отвечает во время ответа, включая имена людей и контактные данные. Этот список также должен включать внешние стороны, которые должны быть вовлечены в реагирование, такие как органы власти, компания по киберстрахованию и группа судебной экспертизы (внутренняя и внешняя). Кроме того, в документе должны быть указаны контактные данные других соответствующих сторон, включая любого партнера компании по кибербезопасности, антивирусную компанию и компанию по защите от вредоносных программ. Когда возникает срочная ситуация, возможно быстрое реагирование, и вся информация, которая вам понадобится, чтобы отреагировать и действовать, будет у команды под рукой.

Провести анализ угроз инцидента

Важно провести анализ угроз, чтобы определить риск возникновения инцидента. После этого определенные потенциальные инциденты могут быть расставлены по приоритетам, чтобы соответствующие люди и ресурсы для серьезности инцидента были доступны по мере необходимости. Ниже приведен пример элементарного иллюстративного списка для демонстрации типа информации, которую следует включать.

• Приоритет 1: (требуются немедленные действия)

Крупный инцидент затрагивает всю компанию. Компания не работает и имеет инцидент, связанный с контролем доступа, конфиденциальностью, целостностью и доступностью. Например, это может быть программа-вымогатель, полный сбой, утечка данных, DDoS-атака.

• Приоритет 2: (немедленные действия, но требуется ограниченная команда)

Значительный инцидент затрагивает некоторые организации, но не всю компанию. Компания частично не работает, и произошел инцидент, связанный с контролем доступа, конфиденциальностью, целостностью и доступностью.

• Приоритет 3: (требуется действие)

Инцидент затрагивает компанию. В компании произошел кибер-инцидент, связанный с контролем доступа, конфиденциальностью, целостностью и доступностью.

Создание руководств по быстрому реагированию для различных сценариев

Эти рекомендации и ответные действия используются для тестирования сценариев. Сценарии должны включать общие проблемы, но, что более важно, они должны обновляться с учетом текущих сценариев ландшафта угроз в форме кабинетных учений, в которых участвует вся компания в реагировании на инциденты. Этот тип тестирования обеспечит множество преимуществ. Он проверит план (от начала до конца) и поможет улучшить реагирование на инцидент. Он определит людей, необходимых для устранения инцидента, и обеспечит наличие надежных процедур, которые постоянно развиваются, оптимизируются и обновляются для обработки инцидентов.

Необходимо краткое изложение плана, которое должно быть легко усваиваемым и по возможности представлено в виде изображения, чтобы люди могли понять и выполнить шаги для доступа, изоляции и разрешения инцидента. Список потенциальных инцидентов, которые могут произойти, и разработанные шаги для разрешения каждого инцидента также помогают сэкономить время при реагировании на инцидент.

Наметить план внешнего уведомления

Одним из часто забываемых пунктов, который должен стать частью плана, является то, как вести себя с внешними сторонами.

Такие сущности, как:

• Ключевые поставщики
• Клиенты
• СМИ
• Власти
• Сотрудники (особенно удаленные)
• Филиалы
• Комплаенс и регулирующие органы

Эта часть плана реагирования должна стать частью плана коммуникации при работе с инцидентом и при реагировании. Если инцидент значителен и повлияет на что-либо из перечисленного, предварительно подготовленные сообщения, которые уже были тщательно написаны с изложением того, как справиться с инцидентом, должны быть готовы к отправке с небольшими корректировками. Это поможет снять давление со стороны команды, информировать людей и обеспечить предварительное одобрение от внутренних уполномоченных сторон для быстрой отправки сообщений. Если этот план коммуникации отсутствует, во многих случаях при возникновении инцидента реакция будет плохой. Кроме того, способ разрешения инцидента плохо отразится на команде и компании из-за отсутствия подготовки.

Сообщите о своем плане сотрудникам

Прежде чем произойдет инцидент, полезно сообщить план внутренней команде. Сотрудники это оценят, а знание процесса заранее поможет быстро исправить ситуацию и снизит нагрузку. Это также снизит вероятность рефлекторных реакций и обеспечит правильное расходование денег на устранение последствий, а не на случайные решения во время и после инцидента.

Тренируйтесь, практикуйтесь и повторяйте

Практика помогает понять, где организация слаба в реагировании. После того, как внутренняя практика была проведена, хорошей идеей будет пригласить внешнюю сторону, которая возглавит практику, чтобы убедиться, что ничего не упущено, а план подкрепляется и рассматривается с другой точки зрения. Это упражнение должно выявить любые недостатки и укрепить план быстрого исправления. Кроме того, ваша организация может использовать это упражнение для обучения персонала и проведения учений, если вам нужно исправить инцидент.

Учитесь на прошлых ошибках

Шаг, который часто упускают из виду, но который является важным и добавляет ценности, — это извлеченные уроки и то, как это может улучшить план. Это постоянное действие по совершенствованию должно отражать то, что было изучено во время учений и, возможно, во время восстановления. Это стимулирует сотрудничество и обсуждение, чтобы улучшить процесс и уменьшить стресс от инцидента, чтобы в следующий раз с ним можно было справиться более оптимально.

Получить планирование…

План реагирования на инциденты, который отработан, доведен до сведения и протестирован, уменьшит внутреннее воздействие и позволит организации эффективно реагировать и улучшать процессы восстановления во всех отношениях. План реагирования на инциденты — это не только лучшая практика, но и административный контроль, который гарантирует, что вы и ваша команда сможете более эффективно защищать свою компанию.