Szukaj
Close this search box.

Zwiększ efektywność procesu reagowania na incydenty bezpieczeństwa informacji w pięciu krokach

Krzysztof Tyl
Krzysztof Tyl
Prezes Zarządu

Reagowanie na incydenty to jest ciągły wyścig z czasem. W tej walce chodzi o to aby czas między skutecznym przełamaniem ochrony a wykryciem i neutralizacją był jak najkrótszy. Ten okres nazywany Detection Deficit. O ile czas potrzebny na skuteczny atak jest liczony w minutach o tyle wykrywanie to są często dni a nawet miesiące. Coraz więcej organizacji ma dedykowane zespoły reagowania na incydenty. Zespoły zdobywają kompetencje i doświadczenie, co skraca czas potrzebny na wykrycie incydentu bezpieczeństwa, jednak hakerzy również rozwijają się w swoim fachu przez co Detection Deficit pozostaje duży.

Detection Deficit
Detection Deficit

Przyglądnijmy się co można zrobić aby zwiększyć efektywność procesu reagowania na incydenty bezpieczeństwa informacji i walczyć i minimalizacje Detection Deficit.

Detection Deficit

1. Regulacje wewnętrzne (Polityki i Standardy)

Polityka Bezpieczeństwa Informacji jest dla każdego cyberbezpiecznika podstawowym dokumentem w organizacji. Obejmuje swoim zakresem nie tylko sieć komputerową przedsiębiorstwa czy instytucji, ale także całość zagadnień związanych z ochroną danych będących w dyspozycji firmy. Powinna definiować poprawne i niepoprawne – w sensie bezpieczeństwa – sposoby zachowania użytkowników i operacje na danych przechowywanych w systemie.
Zapisy polityki bezpieczeństwa powinny z jednej strony wyznaczać kierunek rozwoju infrastruktury cyberbezpieczeństwa w organizacji, a swego rodzaju specyfikacją istotnych warunków zamówienia z drugiej.

Zadania do wykonania:

  • Przeprowadzić analizę postanowień Polityki Bezpieczeństwa Informacji i ich realizacji.
  • Zweryfikować szczegółowe zasady dotyczące postępowania z incydentami i ich implementacje w systemach
  • Zweryfikować szczegółowe zasady dotyczące zapobiegania i ich implementacje w systemach
  • Przeprowadzić analizę postanowień Polityki Bezpieczeństwa Informacji i ich realizacji.
  • Przeprowadzić analizę postanowień Polityki Bezpieczeństwa Informacji i ich realizacji.

  • Zweryfikować szczegółowe zasady dotyczące postępowania z incydentami i ich implementacje w systemach
  • Zweryfikować szczegółowe zasady dotyczące postępowania z incydentami i ich implementacje w systemach

  • Zweryfikować szczegółowe zasady dotyczące zapobiegania i ich implementacje w systemach
  • Zweryfikować szczegółowe zasady dotyczące zapobiegania i ich implementacje w systemach

    2. Sprawny model komunikacji

    Komunikacja to ważny element w każdej organizacji a komunikacja, gdy mamy do czynienia z incydentem bezpieczeństwa, staje się krytycznym czynnikiem, który będzie miał wpływ na prace zespołu reagowania podczas walki z zagorzeniem. W war room’ie, każdy z grupy pracującej nad incydentem musi otrzymywać właściwe i prawdziwe informacje pozwalające wykonywać zdefiniowane w procedurach obowiązki. Komunikacja wewnętrzna to także wymiana informacji z kierownictwem, decydentami, osobami mającymi umocowanie do podejmowania kluczowych decyzji. Ścieżka powinna być dostosowane do krytyczności incydentu z jakim mamy do czynienia.
    W wyniku incydentu bezpieczeństwa organizacji może grozić wyciek danych, utrata reputacji. W takim wypadku ważna jest dobrze zorganizowana i przygotowana na taką ewentualność komunikacja zewnętrzna, do partnerów, klientów lub mediów.

    Zadania do wykonania:

    • sprawdzenie procedur komunikacji wewnętrznej
    • opracowanie lub weryfikacja procedur komunikacji zewnętrznej
  • sprawdzenie procedur komunikacji wewnętrznej
  • sprawdzenie procedur komunikacji wewnętrznej

  • opracowanie lub weryfikacja procedur komunikacji zewnętrznej
  • opracowanie lub weryfikacja procedur komunikacji zewnętrznej

    3. Przeszkolony, doświadczony i kompetentny zespół

    Budowa dobrego zespołu cyberbezpieczeństwa to długi i trudny proces. Mimo, że ekspertów w zakresie bezpieczeństwa przybywa, to jednak dalej jest ich stanowczo za mało na naszym rynku. Z tego względu firmy często decydują się na outsourcing usługi, albo jej części np. 1, 2 lub 3 linii SOC. Jeżeli jednak budujemy własny zespół, warto zadbać o strategie budowy zespołu, koniecznych kompetencji i doświadczenia, a następnie regularnie, np. co pół roku weryfikować gdzie jesteśmy, jak ją realizujemy, jakie mamy mocne i słabe strony. A potem rekrutować najpotrzebniejsze kadry.

    Zadania do wykonania:

    • Aktualizacja strategii budowy zespołu
    • Analiza SWOT zespoł
  • Aktualizacja strategii budowy zespołu
  • Aktualizacja strategii budowy zespołu

  • Analiza SWOT zespoł
  • Analiza SWOT zespoł

    4. Program szkoleń

    Bardzo ważnym elementem podnoszącym efektywność pracy zespołu jest program szkoleń.
    Dla zespołu do reagowania na incydenty bezpieczeństwa program szkoleń powinien obejmować szkolenia z technik i zasad cyberbezpieczeństwa jak i z konkretnych narzędzi wykorzystywanych w organizacji. Warto go uzupełnić szkoleniami miękkimi z pracy zespołowej, zarządzania zespołem, zarządzania projektem.
    Dla wszystkich pracowników przedsiębiorstwa powinien zostać zbudowany plan szkoleń security awareness. Ważne aby to nie było jedno szklenia a program, najlepiej uzupełniony o jakąś formę weryfikacji postępów i zaangażowania.

    security awareness

    Zadania do wykonania:

    good

    • aktualizacja planu szkoleń dla zespołu
    • budowa lub aktualizacja programu security awareness.
  • aktualizacja planu szkoleń dla zespołu
  • aktualizacja planu szkoleń dla zespołu

  • budowa lub aktualizacja programu security awareness.
  • budowa lub aktualizacja programu security awareness.
    security awareness

    5. Specjalistyczne narzędzia

    Narzędzia cyberbezpieczeństwa można podzielić na trzy grupy:

    1. systemy zabezpieczeń (takie jak NGFW VPN, Sandbox, AV, WAF, DAM, NAC, MailGW, WebGW)
    2. systemy zarządzanie bezpieczeństwem (takie jak SIEM, IDM, VA, PAM, Log MGMT, SOAR, IRP)
    3. narzędzia do analizy powłamaniowej
  • systemy zabezpieczeń (takie jak NGFW VPN, Sandbox, AV, WAF, DAM, NAC, MailGW, WebGW)
  • systemy zabezpieczeń (takie jak NGFW VPN, Sandbox, AV, WAF, DAM, NAC, MailGW, WebGW)

  • systemy zarządzanie bezpieczeństwem (takie jak SIEM, IDM, VA, PAM, Log MGMT, SOAR, IRP)
  • systemy zarządzanie bezpieczeństwem (takie jak SIEM, IDM, VA, PAM, Log MGMT, SOAR, IRP)

  • narzędzia do analizy powłamaniowej
  • narzędzia do analizy powłamaniowej

    Które z powyższych narządzi wdrożymy w pierwszej kolejności a które w kolejnej powinno wynikać z polityki bezpieczeństwa oraz analizy ryzyka obszaru IT.

    Zadania do wykonania:

    • Weryfikacja i aktualizacja strategii rozwoju IT w zakresie cyberbezpieczeństwa
  • Weryfikacja i aktualizacja strategii rozwoju IT w zakresie cyberbezpieczeństwa
  • Weryfikacja i aktualizacja strategii rozwoju IT w zakresie cyberbezpieczeństwa

    Prawdziwa efektywność pojawi się, gdy ocena ryzyka zewnętrznego i wewnętrznego będzie połączona z dogłębną analizą kultury bezpieczeństwa i procesów w organizacji. Do jej wykonania potrzebne są narzędzia oraz kompetentni i zaangażowani ludzie, którzy pozwolą uzyskać kompleksowy obraz poziomu cyberbezpieczeństwa i ryzyka IT z nim związanego.

    Masz pytania?
    Skontaktuj się z autorem
    Krzysztof Tyl
    Krzysztof Tyl
    Prezes Zarządu

    Podobne artykuły

    BLOG
    Krzysztof Tyl

    Październik – miesiącem bezpieczeństwa

    Postanowienia noworoczne w październiku?!?  Więcej sportu. Rodzina jest najważniejsza. Zdrowe odżywianie. Dbanie o zdrowie. Praktykowanie wdzięczności. Lista książek do przeczytania. Nowe hobby lub przebranżowienie. Więcej

    Aktualności
    Anna Maciocha

    Pięć lat współpracy z Grupą Polenergia

    🔌 Pięć lat niezachwianej współpracy: utrzymanie przepływu ciepła i energii! 💡Dziś IT Challenge, jako część grupy Euvic, ma zaszczyt świętować pięć lat niezachwianej współpracy z Grupa Polenergia,

    Zgłoszenie serwisowe

    Dane firmy

    Masz pytanie? Napisz do nas