når man taler hændelsesrespons, er standardprocessen, der følges ved håndtering af en hændelse, skitseret af følgende faser:

• forberedelse
• identifikation
• indeslutning
• udryddelse
• genopretning

forberedelse er ikke kun det første trin i behandlingen af en hændelse første fase, men den mest afgørende fase. Forberedelse bestemmer effektiviteten af dine hændelsesresponsfunktioner. I praksis er essensen af forberedelsen vævet gennem hele processen. Forberedelse er også den fase, hvor implicitte kritiske funktioner til effektiv hændelseshåndtering udtrykkeligt er angivet. Korrekt forberedelse dikterer modenheden for dit hændelsesresponsteam, og forretningspåvirkningen kan måles kvantificerbart.

fokuspunkterne for forberedelsen er:

• politik
• kommunikation
• værktøjer
• træning
• ansvar

politik

for at en hændelsesresponsplan skal være effektiv, er det allerførste skridt at få opbakning fra toppen af organisationen. Denne opbakning vil sikre, at organisationen som helhed vil støtte incident response-planen og give den nødvendige tid og ressourcer til at maksimere dens evne til at få succes. Udøvende støtte manifesterer sig oprindeligt i form af politik, der er underskrevet af organisationens ledelse. En god politik beskytter missionen for incident response team ved at give det den nødvendige myndighed til at udføre det. Politikken indeholder et skriftligt sæt principper, regler eller praksis, der dikterer, hvordan organisationen vil reagere på en hændelse.

definition af politikken kan være en skræmmende proces, fordi der er mange områder af informationssikkerhed, der kan blive påvirket af en hændelse. Acceptabel brug, medarbejderafslutning, dataarkiv, adgangskontrol og adgangskodestyring er kun et lille eksempel på, hvordan tentaklerne for hændelsesrespons kan sprede sig. Politikken kan påvirke flere afdelinger, der kan have konkurrerende behov på grund af deres egne individuelle mandater. Oprettelse af en overordnet politik, der opfylder juridiske, lovgivningsmæssige og operationelle krav, kan tage en betydelig investering i tid og ressourcer. Men det er et nødvendigt skridt for at forstå, hvordan hele organisationen fungerer for at hjælpe med at lette implementeringen af et effektivt incident response team.

ansvar

processen med at oprette en politik begynder at fokusere på de forskellige roller, der er nødvendige for at understøtte hændelsesresponsprocessen. Traditionelle hændelsesroller som en sikkerhedschef eller analytiker har tendens til at være klare. Tværfunktionel support fra andre afdelinger er integreret i succesen med holdets evne til at afhjælpe hændelser. Disse afdelinger navigerer i konsekvenserne af hændelsen omkring juridiske, overholdelse, og PR-bekymringer.

de identificerede roller skal have deres ansvar eksplicit defineret for hændelsesresponsprocessen. Rollerne vil have forskellige ansvarsområder afhængigt af hvilken fase af hændelsesresponsprocessen organisationen i øjeblikket udfører.

kommunikation

analysen udført gennem politikudvikling hjælper med at lette definitionen af kommunikationskanaler og processer, der skal forekomme under en hændelse. Et af de almindelige fejltrin under udviklingen af en hændelsesresponsplan er at forsømme at identificere en vigtig interessent i håndteringen af en hændelse.

love og bestemmelser kan diktere de eksterne enheder, som din organisation skal kommunikere med i tilfælde af en hændelse. Kommunikationsplanen bør identificere disse enheder og fastlægge procedurerne for anmeldelse. Der skal lægges særlig vægt på leverandører, kunder og tjenesteudbydere, når de udvikler en plan.kommunikationsplanen bør også fastsætte klare retningslinjer for, hvornår retshåndhævelse skal inddrages, og hvem der skal koordinere mellem organisationen og agenturerne. Den primære årsag til, at en sikkerhedshændelse ikke fører til kriminelle anklager, er, at organisationen ikke håndterede hændelsen og kommunikationen med retshåndhævelse korrekt. Den eller de personer, der er udpeget som ledende kontaktperson, skal kommunikere med retshåndhævelse på en klar og konsekvent måde, der svarer til de procedurer, der er defineret af organisationen og retshåndhævelsen.

værktøjer

en nøglekomponent i processen til oprettelse af politikker er at definere evnerne i incident response-teamet. Klart at definere ansvaret for dit incident response team er integreret i at sætte organisationen op for succes. Nogle tjenester kan håndteres internt, mens andre kan blive outsourcet. De værktøjer, der implementeres, er designet til at være i overensstemmelse med definerede muligheder.

hver fase af hændelsesresponsplanen vil have værktøjer tilknyttet den. Detektions – og analysefasen vil have værktøjer til at strømline hændelsesrapportering, fange netværkstrafik og udføre adfærdsanalyse. Hændelsesindeslutnings-og gendannelsesfasen vil have værktøjer til at begrænse netværks – /systemadgang og lette gendannelse af tjenester inden for de definerede gendannelsestidsvinduer. Post-incident værktøjer kan bruges til at opdatere organisationens trussel intelligens og vidensbase.

træning

når værktøjerne og procedurerne er defineret, skal alt personale, der skal involveres i hændelsesresponsprocessen, trænes regelmæssigt. Træning kan tage form i mange forskellige former. Nøglen er at gøre træningen relevant og omfatte forskellige scenarier. Bordpladeøvelser, der involverer alle de relevante afdelinger, er en af de mest effektive måder at finjustere hændelsesresponsprocessen på. En bordøvelse er en simuleret øvelse, hvor deltagerne samles for at diskutere hændelsesprocesser. Det giver fleksibilitet, der er vanskelig at opnå med live øvelser og er inkluderende for alle roller i organisationen. Bordpladeøvelser giver organisationen mulighed for at identificere huller, der kan eksistere. De giver også en organisation mulighed for at anvende de erfaringer, der er lært i et kontrolleret miljø.

regelmæssig praksis giver din virksomhed mulighed for at udføre maksimal effektivitet under en live hændelse.

et populært Sun Tsu-citat er “kend dig selv, og du vil vinde alle kampe.”At kende dig selv kommer med ekstrem omhu under forberedelsesfasen og gennemføre bevidst praksis for at opdage svagheder. Et modent og effektivt hændelsesresponsteam oprettes ikke via en dåse teknologisk løsning eller nogen anden magisk kugle. De er bygget med omhyggelig opmærksomhed i forberedelsen til at udføre detektions -, indeslutnings-og posthændelsesaktiviteter.