Cześć druga artykułu – Bez Paniki
Podejście do zarzadzania incydentami wymaga wiedzy i doświadczenia wykwalifikowanych specjalistów, którzy wspierają funkcjonowanie tych działań. Każda dziedzina w zakresie bezpieczeństwa informacji, wymaga współdziałania całej organizacji i odpowiedzialności za poszczególne przypisane zakresy działań, które będą miały na celu realizowanie misji organizacji i jej celów biznesowych, prawnych i zobowiązań w stosunku do swoich klientów i współpracowników.
Najważniejszym elementem zarządzania incydentami jest odpowiednie podejście w sposób ustrukturyzowany, który pozwoli na odpowiednie działania na każdym etapie obsługi incydentu. Na takie działania składają się przede wszystkim:
– Poprawa ogólnego bezpieczeństwa informacji, które ma na celu zapewnienie identyfikacji i reagowania na zdarzenia i incydenty związane z bezpieczeństwem informacji. Niezbędny jest tutaj ustrukturyzowany proces planowania i przygotowania, wykrywania, zgłaszania i oceny oraz podejmowania odpowiednich decyzji. To od nich zależy jak szybko, w jaki sposób, kto i jak zostanie wykryty incydent i jak należy zapewnić jego szybkie niwelowanie. Ponadto pozwala na przeciwdziałanie na przyszłość oraz uruchomienie działań zastępczych, umożliwiających ciągłość działania organizacji.
– Minimalizacja niekorzystnych konsekwencji biznesowych, jest dla organizacji priorytetem pod względem jej dalszego funkcjonowania. Konsekwencje te mogą obejmować natychmiastowe straty finansowe oraz długoterminowe straty wynikające z utraty reputacji i wiarygodności. Dodatkowo w sferze działalności publicznej brak obsługi incydentu i działań w zakresie minimalizacji jego wystąpienia może powodować wysokie kary lub odpowiedzialność karną oraz możliwość wystąpienia na drogę sądową podmiotów, które doznały z tego tytułu niekorzystnych konsekwencji. Oceny skutków w tym zakresie należy dokonać w oparciu o standard ISO/IEC 27005 – Bezpieczeństwo informacji, cyberbezpieczeństwo i ochrona prywatności – Wytyczne dotyczące zarządzania ryzykiem w zakresie bezpieczeństwa informacji (ISO/IEC 27005:2022) oraz wytyczne dotyczące gotowości technologii informacyjnych i komunikacyjnych do zapewnienia ciągłości działania – ISO/IEC 27031.
– Wzmocnienie działań na zapobieganie incydentom związanym z bezpieczeństwem informacji, polega na ciągłej analizie danych dotyczących incydentów, która umożliwia identyfikację wzorców i trendów, ułatwiając tym samym dokładniejsze skupienie się na zapobieganiu incydentom oraz identyfikację odpowiednich działań i kontroli w celu zapobiegania ich dalszemu występowaniu. Ważną kwestią, aby te działania by zawsze wykonywanie. Dostęp do informacji specjalistycznych, informacja o nowych zagrożeniach, monitorowanie i nadzorowanie systemów przez systemy do badań podatności i zagrożeń z określeniem ich i przykładem ich rozwiązań, wykorzystującą sztuczną inteligencję (AI).
– Weryfikacja i poprawna priorytetów działania, wymaga w zarządzaniu incydentami zapewnienie solidnej podstawy do ustalania priorytetów podczas prowadzenia dochodzeń w sprawie incydentów bezpieczeństwa informacji, w tym stosowania odpowiednich (skutecznych) skal kategoryzacji i klasyfikacji. W przypadku braku jasnych procedur istnieje ryzyko, że działania dochodzeniowe mogą być prowadzone w trybie zbyt reaktywnym, reagując na incydenty w miarę ich pojawiania się i pomijając to, jakie działania powinny być traktowane z wyższym priorytetem. Nieodpowiednia kategoryzacja i klasyfikacja może wpłynąć na błędną ocenę incydentu i działań w tym zakresie, które mogą zwiększyć zagrożenie dla bezpieczeństwa informacji.
– Wspieranie gromadzenia dowodów i prowadzenia dochodzeń, wiąże się z jasnymi procedurami badania incydentów, które pomagają zapewnić, że gromadzenie danych i postępowanie z nimi jest uzasadnione dowodowo i prawnie dopuszczalne. Są to ważne kwestie w przypadku postępowania sądowego lub dyscyplinarnego.
– Udział w planowaniu budżetu i zasobów, wiąże się z działaniami uzasadniającymi i uproszczającymi alokację budżetów i zasobów. Korzyści odnosi sam plan zarządzania incydentami bezpieczeństwa informacji, dzięki możliwości lepszego planowania alokacji personelu i zasobów. Przykładem sposobu kontroli i optymalizacji budżetu oraz zasobów jest dodanie śledzenia czasu do zadań zarządzania incydentami bezpieczeństwa informacji w celu ułatwienia ilościowej oceny obsługi incydentów bezpieczeństwa informacji przez organizację. Może to dostarczyć informacji o tym, jak długo trwa rozwiązywanie incydentów bezpieczeństwa informacji o różnych priorytetach i na różnych platformach. Jeśli w procesie zarządzania incydentami bezpieczeństwa informacji występują wąskie gardła, powinny być one również możliwe do zidentyfikowania.
– Ulepszanie aktualizacji wyników oceny ryzyka w zakresie bezpieczeństwa informacji i leczenia, ma na celu:
- lepsze gromadzenie danych pomocnych w identyfikacji i określaniu cech różnych rodzajów zagrożeń i związanych z nimi słabych punktów, oraz
- dostarczanie danych o częstotliwości występowania zidentyfikowanych rodzajów zagrożeń, aby pomóc w analizie skuteczności kontroli (tj. zidentyfikować kontrole, które zawiodły i doprowadziły do naruszenia, wraz z podniesieniem poziomu tych kontroli w celu ograniczenia ponownego wystąpienia).
Dane zebrane na temat negatywnego wpływu incydentów bezpieczeństwa informacji na działalność biznesową są przydatne w analizie wpływu na biznes. Dane zebrane w celu określenia częstotliwości występowania różnych typów zagrożeń mogą poprawić jakość oceny zagrożeń. Podobnie, zebrane dane dotyczące podatności mogą poprawić jakość przyszłych ocen podatności.
– Zapewnienie zwiększonej świadomości bezpieczeństwa informacji i materiałów do programu szkoleniowego, wpływa na podwyższanie poziomu bezpieczeństwa informacji (cyberbezpieczeństwa). Działanie pozwala na gromadzenie doświadczeń i wiedzy o tym, jak organizacja i zaangażowane strony radzą sobie z incydentami, co stanowi cenny materiał dla programu świadomości bezpieczeństwa informacji. Program uświadamiający, który zawiera wnioski wyciągnięte z rzeczywistych doświadczeń, pomaga ograniczyć błędy lub pomyłki w obsłudze incydentów bezpieczeństwa informacji w przyszłości oraz poprawić potencjalne czasy reakcji i ogólną świadomość obowiązków sprawozdawczych.
– Zapewnienie udziału w przeglądzie polityki bezpieczeństwa informacji i związanej z nią dokumentacji. Dane zebrane podczas zarządzania incydentami bezpieczeństwa informacji stanowi ważny udział w przeglądzie skuteczności i dalszego doskonalenia polityk zarządzania incydentami (i innych powiązanych dokumentów dotyczących bezpieczeństwa informacji). Dotyczy to polityk tematycznych i innych dokumentów mających zastosowanie zarówno do całej organizacji, jak i do poszczególnych systemów, usług i sieci. Należy takie dane rejestrować i dokonywać odpowiednich zmian zapisów w politykach, procedurach oraz aktualizować procesy wpływające na bezpieczeństwo informacji.
Adaptowanie Zarządzania Incydentami
Wdrożenie zarządzania incydentami wymaga znacznych zasobów do obsługi i zarządzania, ponieważ są one obszerne. Organizacja stosując wytyczne normy z serii ISO/IEC 27035 musi zachować poczucie perspektywy i zapewnić, że zasoby do zarządzania incydentami bezpieczeństwa informacji oraz złożoność wdrażanych mechanizmów są odpowiednie do:
– wielkości, struktury i charakteru biznesowego organizacji, w tym kluczowych krytycznych aktywów, procesów i danych, które powinny być chronione;
– zakresu każdego systemu zarządzania bezpieczeństwem informacji w zakresie obsługi incydentów;
– potencjalnych ryzyk wynikających z incydentów;
– celów działalności.