У вашей организации адекватный уровень безопасности в категории анализа рисков и оценки угроз. Молодцы! Вам еще есть над чем работать, поэтому мы собрали несколько рекомендаций, чтобы вывести безопасность вашей организации на новый уровень.
Что мы рекомендуем
A. Разработайте план реагирования на инциденты.
Вместе с сотрудниками разработайте базовый план реагирования на инциденты. Для этого спросите себя, какие шаги вы бы предприняли, если бы возникла конкретная угроза. Специалисты по кибербезопасности часто используют рамочные модели риска, такие как SANS Incident Response, NIST Cybersecurity, ISO 27001 и MITER ATT&CK Matrix для выявления распространенных угроз и определения наилучшего способа реагирования. Эти модели, вероятно, более продвинуты, чем вам нужно на данный момент. Для получения ответов на поставленные вопросы, ваша организация может воспользоваться моделью, приведенной ниже.
Если бы...
| Ваша реакция...
|
Наш сотрудник перешел по подозрительной ссылке
|
|
Наши социальные сети были взломаны
|
|
Наша учетная запись электронной почты была взломана
|
|
Наши ноутбуки / телефоны были взломаны
|
|
Наш веб-сайт был взломан или поврежден
|
|
Нашу организацию ввели в заблуждение, выдавая себя за доноров / спонсоров
|
|
Один из наших сотрудников был арестован
|
|
Один из наших сотрудников подвергся преследованиям в Интернете
|
|
Наши внутренние коммуникации были нарушены
|
|
Наши ноутбуки или устройства могли быть украдены
|
|
Источник мог быть скомпрометирован
|
|
Кто-то получил доступ к платформе или сервису, которыми мы пользуемся
|
|
Не волнуйтесь, если у вас нет ответов на некоторые вопросы. Заполните как можно больше информации. Этот шаг будет очень полезен при работе с поставщиком услуг безопасности, который поможет разработать решения для этих угроз.
B. Разберитесь во взаимосвязи этапов реагирования на инциденты.
В области безопасности можно выделить четыре этапа реагирования на инцидент: подготовка, обнаружение, сдерживание / устранение / восстановление, а затем обработка / извлечение уроков.
Подготовка: существуют меры, которые ваши сотрудники могут предпринять до инцидента, чтобы повысить устойчивость вашей организации. Один из них — задать себе следующие вопросы:
- Сколько у нас устройств?
- Какие из них наиболее важны?
- Как обеспечить безопасность этих устройств?
- Разработаны ли в наших отделах политики, которым будет легко следовать в кризисной ситуации?
- Можем ли мы составить общий контрольный список, которому нужно следовать во время кризиса? Во время инцидента часто начинается паника, и нам будет сложно принимать разумные решения; именно поэтому контрольный список будет весьма полезен.
Обнаружение: на этом этапе организация определяет, что происходит, и планирует дальнейшие меры. Для этого предпримите следующие шаги:
Соберите всю возможную информацию об инциденте (физическом или цифровом) для дальнейшей обработки и расследования.
Для цифровых инцидентов: задокументируйте дату и время событий, сделайте снимки экрана, запишите подозрительные веб-сайты и ссылки, прекратите использование устройства и отключите его от Интернета (но не выключайте его).
Для физических инцидентов: задокументируйте дату и время событий, сделайте снимки или видеозаписи инцидента, опросите участников, запишите все детали и, если необходимо, формально сообщите властям.
Сдерживание / Устранение / Восстановление: этот этап фактически состоит из трех этапов.
На этапе «сдерживания» ваши сотрудники определяют причину и масштаб инцидента и предпринимают шаги по блокировке или прекращению непосредственного ущерба.
На втором этапе «устранения» ваши сотрудники полностью останавливают инцидент и удаляют все обнаруженные угрозы.
На третьем этапе «восстановления» ваши сотрудники восстанавливают рабочую деятельность до состояния, в котором она была до инцидента, и устраняют оставшийся ущерб.
Обработка / извлечение уроков. На этом этапе не обвиняют других, а скорее рассматривают, как разворачивалась каждая фаза, и оценивают, каким образом организация может улучшить процессы и меры реагирования в будущем.
C. Найдите поставщика услуг безопасности.
Теперь, когда вы разобрались в рисках и угрозах, с которыми сталкивается ваша организация, можно начинать думать о том, как реагировать на эти угрозы. На этом этапе многие люди — особенно неопытные в сфере безопасности — чувствуют неуверенность. К счастью, специалисты по безопасности готовы прийти на помощь. Для поверки поставщика услуг безопасности мы рекомендуем задать ряд вопросов, чтобы определить, подходит ли данный поставщик вашей организации. По нашему мнению, наиболее важны следующие вопросы:
Почему вы этим занимаетесь?
Вы знакомы с нашим регионом, культурой и языком?
Вы работаете с новостными организациями? Если да, то чем ваш подход в этом случае отличается от работы с другими клиентами?
Вы раньше работали с организациями такого размера, как наша? Вы могли бы подробнее рассказать об этом опыте?
Вы уже работали над инцидентами или проблемами, похожими на наши? Пожалуйста, приведите пример из практики.
Со сколькими клиентами вы сейчас работаете? Какой процент вашего времени будет уходить на нас?
Каково ваше видение рисков, с которыми мы сталкиваемся?
Поставщик услуг безопасности не сможет решить все проблемы вашей организации самостоятельно. Помните, что вам нужно назначить сотрудника, который будет управлять этой работой и действовать в качестве связующего звена между вашей организацией и поставщиком услуг безопасности.