مديريت رخداد در شش مرحله- مرحله آمادگی: قسمت دوم

IRCAR201101087
در قسمت قبلي گام اول مرحله آمادگي براي مديريت رخداد را شرح داديم. در اين قسمت به گام­هاي بعدي اين مرحله مي­پردازيم.

گام 2: پشتيباني مديريت را براي مديريت رخداد جلب كنيد
توجه داشته باشيد كه تا زماني كه پشتيباني مديريت سازمان را به همراه نداشته باشيد، به دست آوردن زمان، پول و پشتيباني سياسي براي فعاليت­هاي مديريت رخداد بسيار سخت و حتي غير ممكن خواهد بود.
فعاليت 2-1: يك برنامه پاسخگويي به رخداد امنيتي به طور مدون و رسمي بنويسيد
ايجاد يك برنامه رسمي مديريت رخداد اين اطمينان را ايجاد مي­كند كه تمامي افراد درك مي­كنند كه رخدادهاي امنيتي چگونه مديريت خواهند شد. اين برنامه بايد به طور منظم به روز رساني شده و شامل سناريوهاي رخدادهاي معمول و راه حل­هاي آنها، به همراه يك ليست تماس باشد.
برنامه پاسخگويي به رخداد را با نيازهاي تجاري سازمان خود متناسب كنيد. مقاله هاي مرتبط را در يك پوشه قرار دهيد. كپي­هاي پرينت شده از نفوذ به وب سرورهاي معروف را به آن اضافه كنيد و درس­هايي را كه مي­شود از اين نفوذها گرفت، مشخص كنيد.
مقالات و كتابچه ها مي­توانند به شما براي جلب توجه مديريت سازمان كمك كنند. هر زمان كه جلسه اي مرتبط با گروه مديريت رخداد داريد، اين پوشه را با خود به همراه ببريد. بدترين سناريوهاي ممكن براي نفوذ به سيستم­هاي حياتي سازمان خود را شرح داده و نشان دهيد كه اين نفوذها چه تاثيري بر وضعيت مالي و نيز شهرت سازمان مي­گذارند.
فعاليت 2-2: يك رخداد را به صورت گرافيكي شرح دهيد
براي نمايش يك يا دو رخداد در پوشه خود زمان صرف كنيد. يك نمودار ايجاد كنيد كه نشان دهد مهاجمان از كجا آمده اند، آسيب پذيري­هاي مورد استفاده آنها چه بوده است و به چه چيزهايي دسترسي پيدا كرده اند. به عوامل تصميم گيرنده در سازمان خود كمك كنيد كه درك درستي از نتايج عدم كشف يك رخدا پيدا كنند. اين فعاليت به مديريت شما قدرت بيشتري مي­دهد. چرا كه زماني كه آنها يك رخداد را درك كنند و بتوانند آن را براي همتايان خود توضيح دهند، به يك فرد آگاه در اين زمينه تبديل مي­شوند.
فعاليت 2-3: تاريخچه اي از رخدادهاي پيشين ارائه دهيد
خلاصه هايي از رخدادهاي پيشين را در پوشه خود نگهداري كنيد. اطلاعات مربوط به هزينه رخدادهاي محتلف را نيز مشخص كنيد. اين هزينه شامل ضربه وارد شده به نام و شهرت شركت، ضرر مالي ايجاد شده در مدت زمان از كار افتادن سيستم و زمان صرف شده براي تحقيق بر روي رخداد است. شما همچنين بايد به هزينه هاي صرفه جويي شده در هنگام پاسخگويي سريع و حرفه اي نيز اشاره كنيد.
فعاليت 2-4: اختيارات لازم را براي گروه پاسخگويي به رخداد به دست آوريد
داشتن اختيارات لازم براي تصميم گيري­هاي سخت در ميانه يك بحران، مي­تواند شما را از شكست به پيروزي برساند. سطح اختيارات گروه مديريت رخداد براي اخذ تصميمات حياتي را مشخص كنيد. اين اختيارات شامل قطع كردن سرورها و شبكه نيز مي­شود. اطمينان حاصل كنيد كه مديريت سطح اختيارات گروه مديريت رخداد را درك كرده و در صورت وقوع يك رخداد از آن پشتيباني مي­كند. اين اختيارات را در برنامه مديريت رخداد رسمي سازمان خود مستند نماييد.

گام 3: اعضاي گروه مديريت رخداد را انتخاب و سازماندهي نماييد
مديريت رخداد يك كار تك نفره نيست. انتخاب افراد صحيح در مكان­هاي صحيح و با آمادگي كافي مي­تواند بسياري شرايط را به نفع گروه تغيير دهد.
فعاليت 3-1: افراد مجرب را براي پيوستن به گروه شناسايي كنيد
نام و اطلاعات تماس افرادي را كه به نظرتان مي­رسد يادداشت نماييد. با همكاران و مديريت سازمان خود در مورد شكل دادن يك گروه مديريت رخداد محلي صحبت كنيد. گروهي انتخاب كنيد كه صرفا شامل مديران سيستم­ها با مسئوليت­هاي امنيتي نباشد. اين گروه بايد شامل مديريت آموزش ديده و نمايندگاني از امنيت اطلاعات، مديريت بحران، منابع انساني و بخش حقوقي سازمان باشد تا بتوانند در مورد خاموش كردن يا نكردن سيستم­هاي تجاري مركزي براي نجات دادن سازمان از خطرهاي بزرگتر و ضررهاي بيشتر تصميم گيري نمايند. متخصصان اين زمينه ها را شناسايي كرده و اطلاعات تماس آنها را در يك فايل نگهداري كنيد.
فعاليت 3-2: گروه­هاي محلي، مركزي يا تركيبي ايجاد كنيد
گروه شما از دو بخش تشكيل خواهد شد: يك گروه تصميم دستور براي هماهنگي فعاليت­ها و يك گروه مديريت رخداد در محل. در برخي شرايط، افراد اين دو گروه ممكن است يكسان باشند، اما در ساير موارد اين افراد متفاوت هستند.
گروه مديريت رخداد در محل، به محل وقوع رخداد مي­رود. اعضاي گروه محل را امن كرده، وضعيت را بررسي كرده، خطر را محدود نموده، تخفيف داده و در نهايت وضعيت را به حالت عادي برمي­گردانند.
گروه تصميم دستور، ارزيابي­هاي فني گروه مديريت در محل را به گام­هاي بازيابي و بهبود كه مديريت به سازمان ارائه مي­كند، ترجمه مي­كنند. در صورتي كه نياز به ارائه اطلاعاتي به سازمان­هاي ديگر يا عموم مردم باشد، آنها با روابط عمومي سازمان و كارمندان بخش حقوقي ارتباط برقرار كرده و كار مي­كنند. اين افراد همچنين مسئول آگاه كردن مديريت ارشد نسبت به وضعيت فعلي رخداد هستند.
عكس العمل سريع نيازمند اين است كه شما تصميم گيري كنيد كه چه سازمان­ها و مقاماتي بايد در هر دوي اين گروه­ها نماينده داشته باشند. پروسه برنامه ريزي را با در نظر گرفتن اين نكته كه در صورتي كه سازمان شما نياز به مديريت چندين رخداد همزمان داشته باشد چه رخ خواهد داد، آغاز نماييد.
در وضعيت وقوع چندين رخداد، مديران با تجربه بايد وضعيت را بررسي كرده و افراد كم تجربه تر را به برخي رخدادها تخصيص دهند. در چنين وضعيتي، اعتماد به پشتيباني محلي بسيار مورد نياز است. براي سازمان­هايي با چندين بخش در محل­هاي فيزيكي مختلف، اين گروه مي­تواند از نمايندگان هر محل تشكيل شده باشد. در سازمان­هاي بسيار بزرگ كه سعي در مديريت تمامي رخدادها با تنها يك گروه مركزي دارند، گاهي كمبود زمان براي رفتن از يك محل به محل ديگر، باعث كاهش قابليت آنها در پاسخگويي سريع مي­شود.
فعاليت 3-3: افراد مناسب را در روابط عمومي سازمان خود شناسايي نماييد
گروه روابط عمومي مسئول پاسخگويي به سوالات عمومي در مورد فعاليت­هاي سازماني است. زماني كه يك رخداد امنيتي رخ مي­دهد، اين مسئوليت روابط عمومي نيز هست كه اطلاعات مناسب را براي همگان منتشر نمايد. گروه روابط عمومي شما همچنين مي­تواند يك پشتيبان ارزشمند براي مديريت رخداد باشد. آنها معمولا دسترسي بسيار خوبي به مديريت ارشد دارند و مي­توانند در هماهنگي ارتباطات بين گروه و مديران ارشد كمك كننده باشند.
توجه: برقراري ارتباط مستقيم با نشريات مي­تواند براي شما خطرناك باشد. تمامي ارتباطات با نشريات بايد از طريق روابط عمومي و با كمك مديريت سازمان و گروه پاسخگويي به رخداد باشد.
فعاليت 3-4: برنامه مقابله با بحران سازمان خود را طوري به روز رساني كنيد كه مديريت رخدادهاي كامپيوتري را نيز شامل شود
سيستم­هاي تجاري حياتي خاص ممكن است به سايت­هاي پشتيبان يا سيستم­هاي جايگزين نياز داشته باشند. اين سيستم­ها و شبكه هاي جايگزين به شما اجازه مي­دهند كه سيستمي را كه مورد سوء استفاده قرار گرفته است بدون تاثير بر پروسه تجاري سازمان از حالت فعال خارج نماييد. اطمينان حاصل كنيد كه برنامه خروج از بحران سازمان شما شامل اطلاعات تماس 24 ساعته با افراد كليدي است. روال­هاي خروج از بحران را هر از گاهي آزمايش كنيد.
فعاليت 3-5: يك برنامه پاداش دهي براي گروه در نظر بگيريد
مديران رخداد و مديران سيستم­ها به ازاي تلاش فوق العاده اي كه براي پاسخگويي به يك رخداد مي­كنند، بر روي پشتيباني­ها حساب مي­كنند. اين افراد را به مديريت شناسانده و در مورد پاداش آنها با مديريت مذاكره كنيد. اطمينان حاصل كنيد كه اضافه كاري­ها پرداخت خواهد شد و در ازاي زمان طولاني كه براي پاسخگويي به رخدادهاي امنيتي صرف مي­شود، مرخصي­هايي براي آنها در نظر گرفته خواهد شد.
فعاليت 3-6: چك ليست­ها و نمودارهاي شبكه را تهيه كنيد
چك ليست­هايي براي روال­هاي مديريت رخداد به تمامي اعضاي گروه كمك مي­كنند كه از خطاها دوري كرده و گام­هاي صحيح را براي حل رخداد بردارند. در محيط­هاي پيچيده، نمودارها و اسناد پيكربندي كه همبندي (توپولوژي) شبكه را مشخص مي­كنند، شامل ACL هاي مسيرياب و مجموعه قوانين فايروال بايد به اعضا ارائه گردند. اين اسناد را بخشي از برنامه مديريت رخداد امنيتي رسمي خود قرار دهيد.
در قسمت بعدي به ساير گام­هاي مرحله آمادگي خواهيم پرداخت.

مطالب مرتبط:
مديريت رخداد در شش مرحله- مقدمه
مديريت رخداد در شش مرحله- مرحله آمادگي: قسمت اول