Безопасность — вы должны быть подготовлены

Брэд Тис
По материалам readwrite.com

Инвесторы больше, чем когда-либо, обеспокоены цифровыми угрозами. В 2018 году киберугрозы назвали главной угрозой для бизнеса.

Эти опасения оправданы. Исследование, опубликованное в декабре прошлого года SafeBreach , в котором изучалось 3400 методов взлома системы безопасности, показало, что  вероятность  проникновения вредоносных программ превышает 60 процентов. 

Оказавшись внутри систем, хакерам было даже легче перемещаться, чем пытаться проникнуть внутрь.

На самом деле, 70 процентов из них могли перемещаться по системам в боковом направлении.

Бизнесмены имеют право быть обеспокоенными по поводу безопасности, но выявление проблем, легче сказать, чем сделать. 

Если, что-то действует ненормально, не означает, что система взломана, а иногда система взломана задолго до того, как что-то ненормальное произойдет. Когда приходит время действовать, многие команды не могут даже диагностировать проблему.

Истинное происшествие безопасности относится к чему — то, что может негативно повлиять на цели информационной безопасности, такие как — конфиденциальность, целостность и доступность. Когда что-то в системе вызывает предупреждение или выглядит необычно, командам безопасности необходимо иметь протокол для диагностики, устранения и нейтрализации проблемы. Эффективный план реагирования на инциденты может быть различием между легко исправляемой уязвимостью и катастрофическим нарушением безопасности.


Безопасность - вы должны быть подготовлены

Что делает план реагирования безопасности легитимным?

К сожалению, сложная природа инцидентов кибербезопасности затрудняет подготовку. Составление плана реагирования на инцидент похоже на подготовку к торнадо — вы не будете точно знать степень ущерба, пока не наступит шторм. Однако вы можете спланировать несколько эффективных действий и собрать все, что вам нужно для ответа

Разработка плана реагирования на инциденты занимает время, но гораздо менее напряженно планировать до события, чем момент инцидента или после него. 

У некоторых ограниченных во времени компаний может возникнуть соблазн загрузить общий план обеспечения безопасности из Интернета, но без временных затрат на интерфейсную часть никто в организации действительно не присоединяет к плану и не изучает его всесторонне. 

Поэтому, когда происходит инцидент, и некоторые из протоколов в общем плане — например, занимающие 72 часа между моментом инцидента и сообщением об инциденте — вступают в конфликт с потребностями организации, никто точно не знает, что делать.

Как внутренний контроль компании определяет инцидент в первую очередь? Обладает ли организация необходимыми инструментами и людьми, чтобы выполнить план? Есть много вопросов, и CISO должен найти ответы и включить эти ответы в индивидуальный план.

Фреймворки, такие как  NIST Cybersecurity Framework,  могут помочь организовать программу кибербезопасности с помощью четырех отдельных этапов: идентификация, обнаружение, реагирование и восстановление. Используя эту структуру в качестве отправной точки, CISO могут собрать и реализовать план реагирования на инциденты, который работает для их организации и оставляет как можно меньше шансов.

Столь же важным, как и существование плана, является его поддержание. Угрозы развиваются, и регулярное тестирование и пересмотр плана реагирования на инциденты будут поддерживать работу команды. Выявление новых угроз является самым большим препятствием, но эти новые угрозы также требуют новых видов реагирования.

Ни одна компания не должна дышать спокойно без надежного плана реагирования на инциденты. Следующая угроза кибербезопасности всегда не за горами, и плохо подготовленные компании несут огромный риск для себя и своих клиентов.


Брэд Тис — основатель и президент BARR Advisory, консультационной фирмы, специализирующейся на кибербезопасности, управлении рисками и соблюдении нормативных требований.