چگونه یک تیم مدیریت حوادث فناوری اطلاعات قوی ایجاد کنیم
اگر یکی از سرویسهای مهم شما از کار بیفتد، یا اگر مشتری با بیان مسائل مربوط به حریم خصوصی درخواست کند دادههایش حذف شود، چه میکنید؟ در این گونه موارد، منیج انجین نیز مثل هر سازمانی کارکنانی را دارد که تیم مدیریت حادثه یا IM نام دارند.
وقتی کارها خراب می شوند تیم IM اولین خط دفاعی هستند و همین مسأله است که باعث می شود نتوانید هنگام تشکیل تیم IM سازمانتان کوچکترین لغزشی انجام دهید. در ManageEngine، ما در طول سال ها با حوادث مختلفی روبرو بوده ایم. این تجربیات به ما کمک کرده است تا یک تیم IM قوی ایجاد کنیم، به آنها آموزش دهیم و توسعه دهیم.
ما به شما نشان خواهیم داد که چگونه می توانید بهترین ها را در تیم IM خود برای مبارزه با هر گونه حادثه امنیتی ارائه دهید.
یک تیم IM (مدیریت حوادث) چه کاری انجام می دهد؟
مسئولیت های یک تیم IM بسیار ساده است:
- تأثیر حوادث را بر کاربران و سازمان به حداقل برسانید
- تسهیل بازسازی فوری خدمات
- انجام تجزیه و تحلیل علت ریشه ای (RCA) برای کاهش تکرار یک حادثه
- اینها فعالیت های اصلی تیم IM در حالت کلی هستند. با این حال، تیم IM شما باید طیف وسیعی از فعالیتهای در مقیاس کوچک را برای رسیدن به این هدف انجام دهد.
به طور مثال تصور کنید که سرور ابری MDM سازمان ما برای مدت کوتاهی از کار افتاده است.
ما از ابزار نظارت بر سایت خود برای حوادث استفاده می کنیم. در طول یک قطع، به طور خودکار یک اعلان به پلت فرم ارتباط داخلی ما ارسال می کند، که حوادث در دسترس بودن را پیگیری می کند. تیم IM ابتدا این اطلاعات را دریافت می کند. اولین کار آنها تماس با تیم مربوطه IT است. در این مورد، آنها با تیم مرکز عملیات شبکه ما (NOC) تماس گرفتند. تیم IM این حادثه را با یک مدیر در میان گذاشت و یک هماهنگ کننده، هر دو از تیم NOC را تعیین کرد. سپس، آنها یک گروه چت را تشکیل دادند که شامل هماهنگ کننده و سایر کارمندانی بود که برای حل این حادثه به کمک آنها نیاز بود.
آنها متوجه شدند که مشکل از ISP ما است. در حالی که تیم NOC مشکل را حل کرد، تیم IM این حادثه را ضبط کرد و کاربران آسیب دیده را بررسی کرد. آنها به کاربران پاسخ دادند و به آنها اطمینان دادند که ما مشکل را شناسایی کردهایم و سرویسها در اسرع وقت بازیابی خواهند شد. پس از اینکه تیم NOC خدمات را بازیابی کرد، تیم IM با تیم NOC برای ایجاد یک RCA کار کرد.
RCA چند آیتم عمل داشت. تیم IM این موارد را تا بسته شدن طبق SLA های ما ردیابی کرد. چند استثنا برای این وضعیت وجود دارد که در آن تیم IM باید رویه دیگری را دنبال میکرد. این شامل مواردی است که:
تیم NOC نمی تواند علت اصلی را پیدا کند.
تیم های بیشتری باید درگیر شوند.
آیتم های اقدام را نمی توان طبق برنامه ریزی اجرا کرد.
اگر این یک حادثه امنیتی بود، آنها مسیر کاملا متفاوتی را از طریق ارزیابی ریسک، آزمایش و استفاده از ابزارهای دیگر در پیش می گرفتند.
فعالیت های تیم مدیریت حوادث
آنچه یک تیم IM موفق نیاز دارد
تیم IM حوادث در دسترس بودن، امنیت و حریم خصوصی را مدیریت می کند. آنها حتی ممکن است هر سه آنها را به طور همزمان مقابله کنند. آنها کلاه های متعددی بر سر می گذارند و در هر مورد رویکردهای متفاوتی را اتخاذ می کنند. بنابراین، ما اطمینان میدهیم که تیم IM از ظرفیتهای زیر برای انجام این فعالیتها برخوردار است:
-
آشنایی با اپلیکیشن های (برنامه های کاربردی) وب
در مثال قبلی، ابتدا با ابزار مانیتورینگ در مورد قطع سرویس در سرور ابری MDM خود هشدار داده شد. علت قطع میتواند در لاگهای برنامه یا گزارشهای MI باشد (MI ابزاری برای نظارت بر شبکه است که توسط ManageEngine توسعه داده شده است). این یافته برای RCA بسیار مهم است. برای به دست آوردن این بینش، تیم IM باید درک اولیه ای از این برنامه ها داشته باشد. آنها همچنین در هنگام مواجهه با حوادث امنیتی به دلیل آسیب پذیری ها به این درک نیاز دارند. به همین ترتیب، آنها باید توانایی استفاده از برنامه های داخلی برای مدیریت پایگاه داده حوادث را داشته باشند.
-
درک عملیات IT
در مثال قبلی، اگر قطع سرویس در یک مجموعه اصلی از برنامهها رخ دهد (یعنی Zoho WorkDrive، به این معنی که چندین برنامه تحت WorkDrive نیز ممکن است با قطعی مواجه شوند)، ممکن است Zorro، تیمی که عملیات مرکز داده ما را مدیریت میکند، درگیر کند. تیم IM باید زورو را در جریان این حادثه قرار دهد. در حالی که زورو این حادثه را برطرف می کند، تیم IM باید جزئیات حادثه و اقدامات انجام شده برای بازگرداندن آن را به کاربران آسیب دیده منتقل کند. اگر تیم IM عملیات فناوری اطلاعات را درک کند، میتواند این نگرانیها را به نحو شایستهتری حل کند.
-
آشنایی با اصول امنیت اطلاعات
تیم IM باید امنیت اطلاعات را درک کند تا تفاوت بین رویدادهای امنیتی و حوادث امنیتی را تشخیص دهد. به عنوان مثال، چندین شکست ورود به سیستم مرتبط با حساب مشتری در مرکز داده ایالات متحده یک رویداد امنیتی است. با این حال، اگر رمز عبور به خطر بیفتد و یک آدرس IP از شرق آسیا با موفقیت وارد شود، روی مشتری تأثیر می گذارد و به یک حادثه امنیتی تبدیل می شود. بنابراین، تیم IM باید به وضوح تشخیص دهد که یک رویداد چه زمانی رخ می دهد و چه زمانی آن را به عنوان یک حادثه ثبت کند.
علاوه بر این، تیم IM باید بداند که چگونه از اصول امنیتی شامل محرمانه بودن، یکپارچگی، و در دسترس بودن اطلاعات استفاده کند.
برای مثال در این مثال نقض موارد اینگونه تعریف می شود:
محرمانه بودن: ورود موفقیت آمیز توسط مهاجم
یکپارچگی: مهاجم اطلاعات موجود در حساب را تغییر می دهد
در دسترس بودن: مهاجم داده های موجود در حساب را از بین می برد
تیم IM باید با در نظر گرفتن این اصول به همه حوادث امنیتی نزدیک شود. آنها همچنین باید بدانند که چه زمانی اصول حفظ حریم خصوصی داده ها را در حوادث امنیتی اعمال کنند. برای مثال، اگر حساب در معرض خطر دارای کپی دیجیتالی از اسناد هویتی حساس (مانند گذرنامه) باشد، این یک نقض حریم خصوصی است.
-
آگاهی از فریم ورک ها و کاربرد آنها
در ManageEngine، ما به طور کلی از چارچوب امنیت سایبری NIST پیروی می کنیم. ما از این چارچوب در همه تیمها برای استانداردسازی ارزیابیهای ریسک استفاده میکنیم، و مطمئن میشویم که تیم IM ما نحوه اعمال آن را برای هدایت تیمها از طریق آن ارزیابیهای ریسک درک میکند.
اینها برخی از الزامات اساسی برای ایجاد یک تیم IM مستحکم هستند. با این حال، باید توجه داشته باشید که توسعه تخصص در این زمینه ها به زمان و تلاش نیاز دارد.
چگونه به پیشرفت تیم IM خود کمک کنیم
دستورالعمل برای انواع مختلف حوادث
جدای از خط مشی IM، تیم IM شما به دستورالعمل هایی نیاز دارد تا مطمئن شود در مسیر خود باقی می مانند. دستورالعمل ها به آنها کمک می کند به منابع دسترسی پیدا کنند و تصمیمات بهتری بگیرند.
-
حوادث در دسترس بودن
رهنمودها باید یک رویه شفاف را تعیین کنند که تیم را در پایان فرآیند هدایت کند. به عنوان مثال، بخش رویه در دستورالعمل های ما با اعلان نظارت شروع می شود و با جلسه پس از RCA پایان می یابد. در اینجا دستورالعمل های ما برای حوادث در دسترس بودن شامل موارد زیر است:
محدوده تیم IM در حادثه
روش پاسخگویی به حوادث در دسترس بودن: جمعآوری اطلاعات از ابزارهای نظارت، اطلاع اعضای تیم مربوطه و کار با آنها برای بازیابی سرویسهای آسیبدیده، تجزیه و تحلیل دلیل در دسترس نبودن، ثبت رویدادها در رجیستر IM، ایجاد یک RCA، و پیگیری موارد اقدام RCA بسته
موارد استثنایی که می تواند از حوادث عادی منحرف شود
نقش ها و مسئولیت های تیم های فناوری اطلاعات و تیم IM
یک ماتریس اولویت (نحوه اولویت بندی حوادث بر اساس تأثیر)
فهرستی از ابزارهای مورد استفاده
پیش نیازهای تیم IM و سایر تیم های IT
بررسی و مجوز
نحوه رسیدگی به استثناها و تشدیدها
معیارهای
-
حوادث امنیتی:
برای حوادث امنیتی، ما معمولا با اطلاعات محرمانه و سطح متفاوتی از خطر سروکار داریم. در اینجا دستورالعمل های ما شامل موارد زیر است:
محدوده تیم IM
تفاوت بین یک رویداد امنیتی و یک حادثه
نمونه ها و موارد استفاده برای انواع حوادث امنیتی
فهرستی از ابزارهای مورد استفاده
مراحل مختلف در حوادث امنیتی: مرحله پیش نویس، مرحله تجزیه و تحلیل، مرحله مهار، مرحله ریشه کنی، مرحله بازیابی، مرحله اطلاع رسانی، مرحله بررسی و بسته شدن
نقش ها و مسئولیت ها در طول هر یک از مراحل فوق
گزارش رویداد: چه چیزی و چگونه گزارش شود و به چه کسی گزارش شود
ارتباطات خارجی و داخلی: چه کسی، چه زمانی و چگونه باید اطلاع رسانی کرد
قالب های RCA
نحوه جمع آوری شواهد
نحوه رسیدگی به تشدیدها و استثناها
بررسی و تایید
-
حوادث حریم خصوصی:
این حوادث نیازمند درک کامل قوانین حفظ حریم خصوصی در سراسر جهان و نحوه اعمال آنها در مورد ما است. به عنوان مثال، اگر یکی از تیمهای ما ایمیلی را به مجموعهای از آدرسهای ایمیل اشتباه ارسال کند، این یک حادثه حریم خصوصی فقط در برخی از نقاط جهان است. پس از ادغام چنین قوانینی، دستورالعمل های ما شامل موارد زیر است:
- روش پاسخگویی به حوادث حریم خصوصی: مهار، ارزیابی اولیه، تجزیه و تحلیل ریسک، اطلاع رسانی، حل و فصل، و بسته شدن
- هر مرحله همراه با قوانین مربوط به حریم خصوصی برای مرجع شرح داده شده است
- نمونه ها و موارد استفاده مربوط به حوادث حریم خصوصی
- تفاوت بین کنترل کننده داده و پردازشگر داده و نحوه اعمال آن در مورد ما
- الگوهای اعلان تخلف برای مقامات آگاه کننده
آموزش، راهنمایی و پشتیبانی
حتی با جامعترین دستورالعملها، تیم IM شما به مرور زمان برای توسعه تخصص نیاز به قرار گرفتن در معرض حوادث مختلف دارد. در حالی که این با تجربه اتفاق می افتد، می توانید یادگیری آنها را از طریق جلسات آموزشی در موارد زیر تسریع کنید:
- آگاهی از امنیت اطلاعات
- آگاهی از حریم خصوصی داده ها
- مدیریت عملیات فناوری اطلاعات
- رهبری و ارتباطات.
در ManageEngine، ما همچنین اطمینان میدهیم که تیم IM با رهبران با تجربه فناوری اطلاعات که بینشهای خود را به اشتراک میگذارند، در تعامل است. این بحث ها پس از حوادث مهم و در طول جلسات سه ماهه اتفاق می افتد. ما همچنین شرکت های خارجی را برای آموزش تیم IM ما در زمینه رهبری و ارتباطات وارد می کنیم.
مهمتر از همه، تیم IM به حمایت مدیریت نیاز دارد. ما پا را فراتر می گذاریم و مطمئن می شویم که تیم IM ما ابزار مناسبی برای مدیریت حوادث دارد. ما همچنین یک مخزن از دستورالعمل ها و گروه های چت برای تسهیل کار آنها داریم.
تشکیل یک تیم مستحکم IM میتواند سالها تلاش کند، اما این سرمایهگذاری است که هیچ شرکتی از انجام آن پشیمان نخواهد شد. اگر مایلید در مورد اینکه چگونه تیم IM ما فرآیند IM ما را از خط مقدم رهبری می کند بیشتر بدانید، کتاب راهنمای IM ما را بررسی کنید.
ارسال یک دیدگاه