مديريت رخداد در شش مرحله- مرحله پيگيری

تاریخ ایجاد

1393-05-18

IRCAR201106105
تاريخ: 7/4/90

در قسمتهاي پيشين مجموعه مقالات «مديريت رخداد در شش مرحله»، به مراحل «آمادگي»، «شناسايي»، «كنترل و محدود سازي»، «پاكسازي» و «بازيابي»، كه پنج مرحله نخست از مراحل شش گانه مديريت رخدادهاي امنيتي است پرداختيم. در اين قسمت به مرحله آخر، يعني «مرحله پيگيري» خواهيم پرداخت.
در مرحله پيگيري، هدف اين است كه از رخدادي كه به وقوع پيوسته است درس بگيريم. در اين مرحله شما به دنبال نكته هايي ميگرديد كه كمك كنند تا در آينده كار خود را بهتر انجام دهيد. برخي از رخدادها زمان و تلاش قابل توجهي را براي پاسخگويي صرف ميكنند. در اين موارد سطح استرس افزايش يافته و ممكن است ارتباطات افراد نيز تحت تاثير آن قرار بگيرد. پس از آن، افرادي كه در مركز مشكل قرار گرفته اند ميخواهند هرچه سريعتر مشكل ايجاد شده را فراموش كرده و به زندگي عادي خود بازگردند. فعاليت پيگيري، يكي از ارزشمندترين فعاليتها در پاسخگويي به رخدادهاي امنيتي است. اين روال، تحت عنوان «جستجو براي يافتن درسهاي آموخته شده» شناخته ميشود. سازمانهايي كه بلافاصله پس از حل يك مشكل به دنبال مرحله پيگيري آن ميروند، قابليت مديريت رخداد خود را به سرعت بهبود ميبخشند. پيگيري سريع همچنين، به پيگرد قانوني افراد قانون شكن نيز كمك ميكند.

گام 1: يك گزارش پيگيري ايجاد نماييد
تجارب كسب شده بايد به سرعت جمع آوري و ثبت گردند. يك گزارش پيگيري كه شامل درسهايي است كه از آن رخداد آموخته ايد، روشي مقبول براي محافظت از آموزه هايي است كه در آينده ميتوانند مورد استفاده قرار گيرند.
فعاليت 1-1: هرچه سريعتر آغاز كنيد
افرادي كه تا چند هفته پس از رخداد صبر ميكنند تا گرد و خاكها فرو بنشيند و سپس به ثبت درسهاي آموخته شده ميپردازند، به زودي ياد خواهند گرفت كه حافظه بشر در طول زمان ضعيف شده و بسياري از مسائل فراموش خواهند شد.
فعاليت 1-2: اين كار را به گروه «مديريت رخداد در محل» بسپاريد
اغلب سايتها، به اين منظور كه بخش «درسهاي آموخته شده» را تا حد ممكن مفيد و موثر بسازند، از گروه مديريت رخداد ميخواهند كه گزارش درسهاي آموخته شده را به صورت پيشنويس و به عنوان يك بخش كامل از گزارش كار مديريت رخداد خود تهيه نمايد. كارها تا زماني كه نوشتن گزارش بر روي كاغذ كامل نشده باشد، به اتمام نميرسد.
فعاليت 1-3: از فرمهاي آماده كه در قسمتهاي مختلف اين مجموعه مقالات ارائه شده اند استفاده كنيد
معمولا گزارش رخداد، يك نسخه الكترونيكي از فرمهاي شناسايي، بررسي، كنترل و محدود سازي و پاكسازي است كه در اين مجموعه مقالات ارائه شده اند. به طور خاص بر روي پاسخ دادن به سوالات مربوط به درسهايي كه آموخته ايد تمركز نماييد.
فعاليت 1-4: از تمامي بخشهاي درگير بخواهيد كه پيشنويس را بازبيني نمايند
گزارش درسهايي را كه آموخته ايد به همراه پيشنويس گزارش رخداد براي بازبيني توسط تمامي بخشهايي كه درگير رخداد بوده اند ثبت كرده و در اختيار آنها قرار دهيد.
فعاليت 1-5: براي رسيدن به وفاق عمومي تلاش كنيد
پاسخها، مخالفتها، انتقادات و پيشنهادات ارائه شده در مورد رخداد را از تمامي بخشهايي كه درگير رخداد بوده اند جمع آوري نماييد. آنها را تشويق كنيد تا پيشنهادات خود را به صورت الكترونيكي ثبت نمايند تا به اين ترتيب به كار خود سرعت ببخشند. توصيه هاي آنها را به عنوان بخشي از ركورد خود نگهداري نماييد.
فعاليت 1-6: يك جلسه براي يادگيري دروس رخداد ترتيب دهيد
پيشنهادات ارائه شده را منتشر كرده و براي يك جلسه يك ساعته در مورد درسهايي كه از رخداد آموخته ايد برنامه ريزي نماييد. اگر شما افراد را با توصيه ها و پيشنهادات و نكاتي كه پيش از اين بازبيني نكرده اند غافلگير كنيد، اين جلسات ممكن است مدت زمان بيشتري طول بكشند. جلسه را بر روي بازبيني مجدد رخداد و تصويب كردن تغييرات لازم در پروسه كار متمركز نماييد.
فعاليت 1-7: يك خلاصه اجرايي ايجاد كنيد
خلاصه اي از رخداد براي مديريت تهيه نماييد. اين خلاصه شامل هزينه ها و ضربه هاي ايجاد شده توسط رخداد براي سازمان است. اين خلاصه را به مديريت عرضه كرده و قول بدهيد كه تغييرات پيشنهادي پيگيري خواهند شد.
فعاليت 1-8: تغييرات پيشنهادي را براي مديريت ارسال كنيد
يك مجموعه تغييرات پيشنهادي اولويت بندي شده را به مديريت ارائه نماييد. اين تغييرات شامل پروسه درسهايي كه آموخته ايد، تخمين هزينه، برنامه ريزي سطح بالا و تاثير پياده سازي يا عدم پياده سازي فعاليتهاي پيشنهادي در رخدادهاي آتي است.
فعاليت 1-9: پيشنهادات پذيرفته شده را پياده سازي كنيد
زماني كه موافقت مديريت را در مورد تغييرات پيشنهادي جلب نموديد، اطمينان حاصل كنيد كه اين تغييرات با استفاده از سيستم وظايف سازماني شما اعمال ميگردند.

سوالات مرحله پيگيري
در ادامه، فهرستي از سوالات پيشنهادي براي جلسه يادگيري دروس رخداد را مشاهده ميكنيد. هدف اوليه اين جلسه اين است كه روال مديريت رخداد خود را بهبود ببخشيد. تقريبا در تمامي رخدادها كارهايي بسيار خوب انجام شده و كارهاي ديگري خوب انجام نميشوند. مردم علاقه دارند چيزهاي بد را به خاطر بسپارند. شما به موارد مثبت اهميت بدهيد.
سوالات زير بايد توسط گروه مديريت رخداد پاسخ داده شوند. پيشنهادات تمامي بخشهاي درگير نيز بايد با روي باز پذيرفته شود.
به طور مختصر شرح دهيد كه چه چيز رخ داده و چه كاري براي مقابله با آن انجام شده است. آيا آمادگي كافي براي مقابله با اين رخداد وجود داشته است؟ چه آماده سازيهايي بايد انجام ميگرفته كه انجام نشده است؟

آيا تشخيص رخداد بلافاصله اتفاق افتاده است؟ اگر جواب منفي است، توضيح دهيد چرا؟
چه ابزارهاي ديگري ميتوانستند به پروسه تشخيص و پاكسازي كمك كنند؟
آيا اين رخداد به اندازه كافي كنترل و محدود سازي شده است؟
آيا ارتباطات افراد كافي بوده يا ميتوانسته بهتر از اين نيز باشد؟

ما هرگز يك رخداد جدي را كه در آن هر كسي با جديت ادعا كند كه «ارتباطات عالي بود» مشاهده نكرده ايم. گاهي خطوط تلفن مشغول بوده و گروه مديريت رخداد در محل براي دسترسي به گروه تصميم و دستور جهت ارائه اطلاعات تاكتيكي به آنها، با مشكل روبرو شده است. هرچه استرس افزايش مي يابد، ارتباطات نيز كاهش پيدا ميكند. هدف اين سوال پيدا كردن راههايي براي بهبود بخشيدن به ارتباطات است. ممكن است يك سازمان نخواهد سه خط تلفن اضافي براي گروه تصميم و دستور اختصاص دهد. اما پس از وقوع يك رخداد كه گروه در طي آن قادر نبوده است با بخشهاي حياتي سازمان در تماس بماند، معمولا خطوط اضافي تلفن بدون هيچ بحثي تخصيص داده ميشوند.
· با چه مشكلات خاصي روبرو شديد؟
هزينه رخداد را تحليل كنيد. زمان صرف شده توسط پرسنل براي درگير شدن با رخداد، از جمله زمان لازم براي بازيابي سيستمها را تعيين كنيد. اين زمانها را به هزينه مالي تبديل نماييد. ساده ترين روش اين است كه زمان صرف شده را در ارزش مسئوليت فرد (معمولا 1.5 برابر حقوقي كه سازمان پرداخت ميكند) ضرب كنيد.

بپرسيد كه رخداد تا چه اندازه فعاليتهاي جاري را مختل كرده است؟
آيا داده اي طوري از دست رفته كه قابل بازيابي نباشد؟ اگر جواب مثبت است، ارزش اين داده ها چقدر است؟
آيا هيچ سخت افزاري آسيب ديده است؟

Computer Security Incident Handling: An Action Plan for Dealing with Intrusions, Cyber-Theft, and Other Security-Related Events, Version 2.3.1

برچسب‌ها

مستندات مرجع

مديريت رخداد در شش مرحله- مرحله پيگيری

دسترسی سریع

تماس با ما