Zorluğun bir kısmı buradaki soruda gösterilmiştir. Eski düşünce tarzımız, olaya müdahale konusunda çevre odaklı bir şekilde düşünmemizi sağlayabilir; Bir saldırıya hazırlanırken, saldırılardan değil kendi içimizden gelen %80’den fazla güvenlik olayı dikkate alınmaz. Bu, bilgi varlıklarımıza yönelik mümkün olan en büyük tehdidi kaçırdığımız anlamına gelir; belgeler, dosyalar, veriler, sistemler ve platformlar.
Belki de bununla başlamanın en iyi yolu, bunu bir güvenlik olayı müdahale planı olarak düşünmeyi bırakmak ve bunu bir bilgi olayı müdahale planı olarak düşünmeye başlamaktır; bilgi varlığı. Güvenlik zihniyetiyle kayıplara odaklanma eğilimindeyiz çünkü her ICO raporunu gördüğümüzde manşetlere çıkan şey bu, ancak bilgiyi bir bütün olarak düşünürsek, kayıptan çok daha fazlası olduğunu görebiliriz. Kuzey İrlanda Polis Teşkilatını (PSNI) etkileyen son olayları düşünürseniz, bu bir siber saldırı değil, uygunsuz bir ifşaydı. Bunun ne kadar ciddi olduğuna ve bir bilgi olayı planının nasıl yardımcı olabileceğine dair mükemmel bir örnek olduğuna bakın.
Bu planların yazılmasına ilişkin girdiler işletmeden gelmelidir; veri koruma, fiziksel güvenlik, BT, bilgi güvenliği ve risk yönetimi. Bu süreci, bir felaket durumunda erişilemeyebilecek, aslında içinde bulunduğu binanın da erişilemeyeceği bir ağ üzerinde bırakılan bir felaket kurtarma planı yazmaya benzetebilirsiniz. Planlarımızın olumlu bir etkisi olacaksa daha geniş düşünmeye ihtiyacımız var.
Şimdi ‘kaçınılmaz saldırı’ iddiasına bakalım. Aslında saldırılar kaçınılmaz değil, insan hatasıdır dır-dir. Saldırının kaçınılmaz olmasının tek yolu hepimizin her zaman saldırı altında olmasıdır; saldırıların başarıya ulaşması veya başarıya ulaşmasının yolu genellikle insan hatasıdır. Bu, siber saldırılar ve fidye yazılımı saldırıları hakkında konuşma şeklimizin yanıltıcı olduğu ve insanların sorumluluğunu olması gereken yerden uzaklaştırdığı anlamına geliyor. Bu ‘saldırıların’ çoğu, insani yardım (normalde kötü niyetli olmayan) olmadan hiçbir yere varamaz, ancak biz neredeyse yalnızca ‘saldırıya’ odaklanıyoruz. Artık bir olay planı yazmaya hazırız…
- Risk yöneticilerini kullanmak: Bir olaya tepki verme şeklimiz, olayla ilişkili risk düzeyiyle orantılı olmalıdır. Yani tek bir olay planı hepsine hükmedemez… bazı durumlarda altın, gümüş ve bronz komutanlığı da içeren tam bir olay müdahale ekibine ihtiyacınız olduğunu kastediyorsunuz. Diğer durumlarda, her zamanki gibi işin bir parçası olarak ele alınabilir.
- Tespit ve raporlama mekanizmalarımız mevcut mu? Hakkında hiçbir şey bilmediğimiz bir olayla baş edemeyiz.
Daha sonra çevreleme geliyor.
- Bir olayı kontrol altına almak için planlı, koordineli ve iyi prova edilmiş bir dizi sürece ihtiyacımız var. Bunlar olayın neden meydana geldiğine bağlı olarak değişecektir. Mesela içeriden gelen bir hata mıydı? Ya da belki tedarik zincirimizde veya ekosistemimizde oldu ya da gerçekten kuruluşumuza odaklanmış ve hedeflenmiş bir saldırı mıydı?
- Kim olaya dahil oluyor ve olayın kontrol altına alınmasının hangi aşamasında? Üst düzey yönetim, teknik kişiler, fiziksel kişiler. İletişim ekiplerinin ne zaman uyarılması ve sürece dahil edilmesi gerekiyor ve dahili olarak mı, harici olarak mı yoksa her ikisiyle de iletişim kurmaları mı gerekiyor? Sadece plana dahil olan kişilere yazmayın, onlarla konuşun, onlara bundan bahsedin ve onların desteğini almayın. Bu grubun birlikte hızlı ve etkili bir şekilde etkileşime girebilmesi ve çalışabilmesi gerekecektir. Onları bir araya getirin ki, bir olayla ilk karşılaştıklarında bu ilk kez bir araya gelmeleri olmasın ve kendilerinden ne beklendiğini bilsinler.
- Bir olayın yönetimi sırasında toplanan bilgilerin uygun şekilde korunduğundan emin olun. Yanlışlıkla ikinci bir veri ihlaline neden olmak istemezsiniz.
- Olay müdahale planınızın diğer politikalarla birlikte çalıştığından emin olun. Bir planla desteklenen bir bilgi olayı politikasıyla başlayın ve bunu mevcut olay yönetimi süreçleri ve planlarıyla entegre edin. Bu, bir bilgi olayının diğer herhangi bir olayı yönettiğimiz şekilde yönetileceği ve tutarlı olacağı anlamına gelecektir. Kötü niyetli veya suç teşkil eden bir faaliyet söz konusuysa, örneğin adli hazırlık planınızın bu planla iyi çalışması gerekir. Bu, ortaya çıkardığınız şeyin bütünlüğünü ondan ödün vermeden koruyacaktır ve bilgi yanıt planınızın neden diğer planlarla etkili bir şekilde bağlantı kurması gerektiğine dair iyi bir örnektir.
- Devam eden raporlamanın yönetilmesi gerekir. Üst düzey paydaşların veya diğer kuruluşların ve düzenleyicilerin bilgilendirilmesi gerekiyor mu? Bu plana dahil edilmelidir.
- Bilgi olayları nadiren uygun çalışma saatlerinde gerçekleşir, dolayısıyla bu planın etrafında bir acil durum planının da olması gerekir.
Artık iyileşme aşamasına giriyoruz
- Dayanıklılık planlaması ve iş sürekliliği planlaması gibi olaylara yönelik planlamayı birbirine bağlamanın ne kadar önemli olduğunu burada görüyoruz.
- Temel faaliyetlerde yardımcı olabilecek NCSC, polis dijital hizmetleri vb. gibi dış kurumlarla iletişim kurma konusunda rehberlik içermelidir. Örneğin, bilgilerimizin oraya ulaşıp ulaşmadığını görmek için dark web’i kontrol edebilir miyiz? Bu bir defaya mahsus değil, düzenli bir faaliyet olacaktır.
Şimdi, neyin ne olduğunu bulmak için kök neden analizinizin zorlu çalışmasına başlıyoruz. Aslında yanlış gitti. Araştırmanız sizi ‘insan hatası’na kadar götürürse, araştırmaya devam etmeniz gerekir çünkü cevap bu değil, cevap insan hatasına neyin sebep olduğudur. Örneğin bunun eğitim veya öğretim eksikliği olduğunu tespit ederseniz, bu gerçek bir temel neden yanıtı olacaktır.
Olayın toplam sahip olma maliyeti ne kadar oldu? Bu sadece PR ekibinize ödemek zorunda olduğunuz parayla ilgili değildir; bu, bir bilgi olayını keşfetme, yönetme ve kurtarma sürecinden geçerken kuruluşunuzda yapılmayan işlerle ilgilidir.
Unutmamanız gereken en önemli şeylerden biri, iyi bir ramak kala raporlama mekanizmasına sahip olmaktır. Bir şeyler ters gidebilirdi ama gitmedi… bu sefer. İstismar edilebilecek veya kazara kullanılabilecek güvenlik açıkları ve fırsatlar hakkında size ne öğretebilir? Suçlamama kültürü bunun için hayati öneme sahiptir, böylece insanlar doğru gibi görünmeyen ya da korkunç derecede yanlış gidebilecek şeyleri bildirme konusunda kendilerini yetkili hissedebilirler. Bu güçlü bir savunmadır ve insanları doğru şekilde harekete geçirir.