Siber güvenlik olayları potansiyel risklerden operasyonel kesinliklere dönüştü. Siber saldırı girişimlerinin, güvenlik açıklarının ve BT hizmet olaylarının sürekli gürültüsü, tüm kuruluşların bir tür BT hizmet yönetimine sahip olmasını gerektirir. Ancak tüm bu günlük olayların ve küçük olayların arasında en büyüğü beklemek; Düzgün yönetilmediği takdirde organizasyonu çökertebilecek veya en azından ciddi veri kayıplarına, operasyonel aksaklıklara ve itibar kaybına yol açabilecek büyük balık güvenlik olayı.
Günümüzde her güvenlik saldırısını durdurmak mümkün değildir, ancak iyi bir güvenlik olayı müdahale planı, verilen hasarı sınırlandıracak, siber sigorta primlerini düşürecek ve her zamanki gibi işe dönüşü daha iyi koruyacaktır.
Bu planların nadiren kullanılması umulur, ancak kullanıldıkları zaman hızlı ve iyi bir şekilde çalışmaları gerekir. Peki en çok ihtiyaç duyulduğunda çalıştıklarından emin olmak için ne yapmamız gerekiyor?
Planın ne zaman ve nasıl kullanılması gerektiğini anlayın
Planın neyi başarması gerektiği konusunda net olun; Genellikle bilinçli kararlar almak için insanları ve mevcut bilgileri bir araya getirmek. Bu, çeşitli potansiyel güvenlik olayı senaryolarının analizini ve olay yaşam döngüsünün tespit etme, erişim, yanıt verme ve kurtarma aşamalarında nelerin gerekli olacağının analizini gerektirir. Olay geliştikçe kıdemi artan daha geniş bir iç ve dış paydaş yelpazesinin olaya dahil olması gerekecektir. Bunları fonksiyonel katmanlara (Altın, Gümüş ve Bronz takımlar) ve her biri arasında önem eşiğine sahip olacak şekilde ayırmak, orantılılığı sağlayacaktır. Paydaşların ayrıca rollerinin ne olduğu, ne olmadığı konusunda net olmaları ve bunun provasını yapmış olmaları gerekir.
Mevcut yapıların üzerine inşa edin
Bir güvenlik olayına müdahale planı tasarlamaya başlarken, büyük siber saldırılar için özel bir ‘büyük kırmızı düğme’ süreci tasarlamak cazip gelebilir. Ancak çoğu kuruluş, ihtiyaç anında bir araya getirilebilecek birçok değerli yapıya zaten sahip olacaktır. Örneğin, BT hizmet yönetimi ve herhangi bir tür güvenlik olayı yönetimi (veya daha iyisi bir Güvenlik Operasyon Merkezi veya SOC), daha düşük önem derecesine sahip olaylar için olay ve olay önceliklendirmesini zaten gerçekleştiriyor olmalıdır. Terazinin diğer ucunda yönetici veya üst düzey liderlik ekibi, acil stratejik konularda karar almaya alışkın olacaktır. Yeni bir yaklaşım oluşturmak yerine, ortaya çıkan bir güvenlik olayını (tespit edilen ağ saldırısı gibi) üst düzey yönetim katmanları aracılığıyla teknik ekiplerden almak için bu mevcut yapıları ölçeklenebilir bir sürece bağlamak daha mantıklıdır.
Güvenlik profesyonelleri için öncelik bir siber güvenlik olayı veya veri ihlali olsa da, kuruluştaki diğer kişilerin de radarlarında tehdit edici olaylar olacak. Aynı güvenlik olayı yönetim planının veya en azından bunun yukarıya doğru tırmanma kısımlarının birden fazla disiplinde ortak olup olamayacağı dikkate alınmaya değer. Örneğin, bir güvenlik olayı, BT olayı veya iş sürekliliği kesintisi belirli bir şiddet eşiğine ulaştığında, bunların hepsi aynı büyük olay yönetimi yapısına akabilir ve üst yönetimin çağrısı için aynı mekanizmayı kullanabilir. Bu, daha tanıdık olacağı ve daha iyi anlaşılacağı anlamına gelir.
Sahiplik, uzmanlık ve bakım sağlayın
Her şey yolundaysa, güvenlik olay planı düzenli olarak kullanılmayacak, bu nedenle belgelere yalnızca nadiren başvurulabilecek ve çoğu katılımcı doğal olarak ihtiyaç duyulana kadar bunu düşünmeyecektir. Teknik sahiplik olmadan yeni bir süreç oluşturmak kolaydır, ancak organizasyon değiştikçe bu süreç geçerliliğini kaybeder.
Bununla başa çıkabilmek için üst düzey bir yönetici kuruluşun genel büyük olay düzenlemelerinden sorumlu olmalıdır. Bu seviyedeki desteğin onayını almak için büyük bir güvenlik olayının olası sonuçlarına ilişkin bazı örnekleri göstermek gerekebilir; maalesef bunlardan eksiğimiz yok. Üst düzey yöneticilere ayrıca almaları gerekebilecek zorlu kararların bazıları da gösterilmelidir. Fidye yazılımına ödeme yapıp yapmamaya, BT operasyonlarını internetten ayırmaya veya kişisel kayıtların kaybından dolayı özür dilemek için bir basın toplantısı düzenlemeye karar vermeleri gerekebileceğini anladıklarında devreye girecekler.
Test ve egzersizleri iş takviminizin bir parçası haline getirin
Tüm planların amaca uygun olduğu bir dizi test veya alıştırma yoluyla onaylanmalıdır. Bir oyun gibi, o gün sahneye çıktığınızdan emin olmak için prova gereklidir. Bu, daha titiz simülasyon alıştırmalarına geçmeden önce masa üstü izlenecek yollarla başlamalıdır. Ayrı ekipler (SOC veya Büyük Olay Yönetimi grubu gibi) tek tek çalıştırılabilir ancak tam güvence için olay müdahale sisteminin tamamının prova edilmesi gerekir. Bu, ilk olayın tanımlanmasından, önceliklendirilmesinden ve değerlendirilmesinden ve ardından yönetim kararlarına kadar uzanan bir tatbikat senaryosunu gerektirecektir. Bu tür bir uygulamanın tasarlanması ve uygulanması önemli ölçüde çaba ve uzmanlık gerektirse de, bunlar planın etkili bir şekilde çalışacağına dair gerçek güveni sağlamanın tek yoludur. Ayrıca, alıştırmada yer almanın nasıl bir his olduğuna ve bundan ne öğrendiklerine dair kendi hikayeleri olduğundan, liderlikteki farkındalık ve savunuculuk düzeylerini de artırır.
Son olarak, her alıştırma veya çağrıdan sonra, öğrenilen derslerin kaydedilmesi, iyileştirmeler yapılması ve bir dahaki sefere tepkinin güçlendirilmesi konusunda bir taahhüt olmalıdır.
Günümüzde tüm kuruluşların bir güvenlik olayı yönetim planına ihtiyacı var. Yukarıda tartışılan noktalara odaklanan pratik bir yaklaşım, bir planın oluşturulmasına ve zaman içinde yinelenmesine olanak sağlamalıdır.
Sam Lascelles, PA Consulting’de esneklik ve güvenlik uzmanıdır