Bir şeyin gerçekleştiği, verilere erişildiği ve artık bunu müşterilerinize ve dünyaya anlatmanız gerektiği korkunç gerçeği. Güven ve itibar oluşturmak için yıllarca süren sıkı çalışma artık olayla nasıl başa çıkacağınız ve iletişim kuracağınız konusunda bir teraziye bağlı.
Bu gerçekleştiğinde ve gerçekleşirse, güveni korumak ve olası hasarı azaltmak için atılması gereken temel adımlar vardır. Kendi deneyimime göre, bir numaralı unsur şeffaflıktır. Tüm bilgilere sahip olmasanız bile, olayı kabul etmek, sorumluluğu kabul etmek – kritik bir şekilde empati göstermek – ve bildiklerinizi paylaşmak, müşterilerin ve yetkililerin kendi değerlendirmelerini yapmalarını ve riski azaltmada yardım sağlamalarını sağlar.
Ne olduğunu, hangi sistemlerin etkilendiğini, hangi verilere erişildiğini ve bunun müşteriler için ne anlama geldiğini net bir şekilde belirtmek önemlidir. İlk soruşturmalar, etkilenebilecek müşterilere ayrıntıları açıkça ifade edebilmek için anahtardır. Bir olay yaşandığının söylenmesinin yarattığı ilk şok, müşterinin beynini kısa sürede harekete geçme moduna sokar; ne, ne zaman, nasıl, kim müşterilerin bir olayla ilgili geçerli sorularıdır ve bu ayrıntıları açıklayabilmek, ne olduğunu ve bunun tekrar olmayacağından nasıl emin olacağınızı kavradığınız konusunda bir güvence sağlayabilir. Birçok müşteri, olayın tam olarak anlaşılıp yönetilmesini sağlamak için bağımsız bir üçüncü taraf siber güvenlik ekibinin dahil edilmesini bekleyecek ve isteyecektir, bu nedenle bu uzmanlıktan yararlanabilmek, güveni sürdürebilmek ve bu güvenceyi sağlayabilmek için yerinde bir anlaşmaya sahip olmak önemlidir.
Müşteriler ve toplulukla olan bu etkileşim, ilgili tarafların soru sormasına olanak tanır ve bu akışla başa çıkabilmek, her kuruluşun olay müdahale iletişim planının bir parçası olmalıdır. Çağrıları kim planlar, çağrılar nasıl planlanır, çağrıları kim alır, kim açıklama yapmaya yetkilidir, 7/24/365 nasıl uyum sağlarız, bunların hepsi yeni bilgiler mevcut oldukça veya kamuya açık açıklamalar yapıldıkça dikkate alınmalıdır. Olay ve soruşturma hakkında düzenli güncellemelerin paylaşılması, bir kuruluşun anlatıyı kontrol edebilmesini ve gerçekleştirilen eylemleri, sonraki adımları açıklayabilmesini ve olayın sonunu tanımlayabilmesini sağlar. Bu, genellikle IoC’leri, TTP’leri veya müşteri verilerini daha fazla korumak için izlenecek süreçleri paylaşmak gibi müşterilere yönelik önerileri içerebilir. Tersine, bilgi eksikliği, bilgisiz tarafların hipotezler ortaya atmasına ve yanlış bilgi yaymasına yol açacaktır.
Olay ve soruşturma sona erdiğinde, olay kapanışını, bekleyen eylemlerin ve sonraki adımların neler olduğunu ve ilerideki güncellemeleri nasıl ileteceğimizi düşünmek önemlidir. Olay sonrası inceleme, öğrenilen dersler ve olay yanıtını ve iletişim süreçlerini sürekli iyileştirmek için gereken değişiklikleri yerleştirme gibi araçlar, en iyi uygulamanın sürdürülmesini ve süreçlerin gelişmeye devam etmesini sağlamak için hayati adımlardır.
Kendi deneyimlerimize göre, Project Bedrock ve Okta Güvenli Kimlik Taahhüdü buradan doğdu. Bu eylemleri tanımlamamızı sağlayan mekanizmalar, ancak daha da önemlisi, bir işletme olarak odak noktamızın, yapmamız gereken tanımlanmış iyileştirmeler ve kültürel değişiklikler üzerinde kalmasını ve kalabilmesini nasıl sağlayacağımız.
Her güvenlik olayından ders çıkarmamız kritik öneme sahiptir ve olaylar yaşansa da, müşteriler ve bizim başarımız için belirleyici ölçüt, kuruluşun bu olaylara nasıl yanıt verdiği olacaktır.
Stephen McDermid, Okta’da EMEA CSO’sudur