Siber Güvenlik Olayı Müdahale Planı Nasıl Oluşturulur: Adım Adım Kılavuz
Yayınlanan: 2022-05-07Bir siber güvenlik olayı müdahale planıyla veri ihlallerini yönetin ve kayıpları azaltın.
Siber saldırılarla uğraşmanın artan maliyeti, özellikle doğru tespit ve kurtarma planına sahip değillerse, küçük ve orta ölçekli işletmeler (KOBİ'ler) için sakatlayıcı olabilir.
Gartner araştırmasına göre, siber fiziksel sistem (CPS) saldırılarının işletmeler üzerindeki finansal etkisinin 2023 yılına kadar 50 milyar doları geçmesi bekleniyor. Bu maliyete sigorta, dava, tazminat, yasal para cezaları ve itibar kaybı dahildir. Gartner ayrıca 2025 yılına kadar CEO'ların (CEO'lar) %75'inin CPS olaylarından kişisel olarak sorumlu olacağını tahmin ediyor.
Bu amaçla, bir siber güvenlik olayı müdahale planına sahip olmak, küçük işletmenizin sistemleri doğru bir şekilde izlemesine, herhangi bir güvenlik olayını tespit etmesine ve kayıpları azaltmak için önleme veya kurtarma yöntemlerini uygulamasına yardımcı olacaktır.
Bu yazıda, beş adımda bir siber güvenlik olayı müdahale planının nasıl oluşturulacağını açıklıyoruz. Ancak ayrıntılara girmeden önce, siber olay müdahale planının ne olduğunu ve neden küçük işletmeniz için bir planı olması gerektiğini anlayarak başlayalım.
Siber güvenlik olay müdahale planı nedir?
Siber güvenlik olayı müdahale planı, işletmelerin siber saldırıları hızlı ve verimli bir şekilde tespit etmesine, etkilenen herhangi bir sistemi veya ağı (saldırıya yanıt olarak) izole etmesine ve ortaya çıkan kayıptan kurtulmasına yardımcı olan belgelenmiş bir talimatlar dizisidir.
Bir siber saldırı, kuruluşunuzu işlevler arasında etkileyebileceğinden, tasarladığınız plan, insan kaynakları, finans, müşteri hizmetleri, hukuk, tedarik zinciri, çalışan iletişimleri ve iş operasyonları dahil olmak üzere tüm işlevleri ve departmanları hesaba katmalıdır.
Siber güvenlik olay müdahale süreci olan ve olmayan iki işletme arasında hızlı bir karşılaştırma. Her ikisi de aynı saldırı tarafından tehlikeye atılırken, B işletmesi uygun planlama nedeniyle etkiyi azaltabilir.
İş A (CIRP'si yok) | İş B (CIRP'si var) |
|---|---|
Bir güvenlik olayı algılar ancak nasıl yanıt vereceğinden emin değildir. | Türüyle birlikte bir güvenlik olayını algılar. |
Beyan için ayrıntılı bir rapor hazırlamak birkaç saat sürer. | Baş bilgi güvenliği görevlisi ve olay müdahale uzmanları ile teyit ettikten sonra olayı hızlı bir şekilde ilan eder. |
Olay tanımlaması ve bildirimi zaman aldığından, güvenlik ihlali, ilk etkilenen sistemin yanı sıra diğer iş süreçlerine de yayıldı. | Etkilenen sistemi, kullanıcıyı ve nesneyi iş süreçlerinin geri kalanından anında yalıtır. |
Hukuk ekibi için kanıt toplayacak ve kurtarma konusunda tavsiyede bulunacak bir adli tıp ortağı yok. | Adli ortağı, saldırının kanıtlarını toplaması ve kurtarma konusunda tavsiye vermesi için çağırır. |
Kanıt eksikliği nedeniyle kurtarma gerçekleşemedi ve kayıpla sonuçlandı. | Zamanında kurtarma, işletmeyi kayıptan kurtardı. |
Adım 1: Bir eylem planı oluşturun
Bir eylem planı oluşturmak, tüm olay müdahale planlama sürecinin en önemli parçasıdır. Plan belgesi aşağıdaki unsurlara sahip olmalıdır:
Bir misyon beyanı
Bir misyon beyanı, olay müdahale planlama sürecinin amacını açıkça tanımlayarak sizin ve diğer paydaşların yapılan işin kapsamını anlamasını sağlar. Planlama sürecine dahil olan paydaşların her biri güvenlik ve risk uzmanı olmayabileceğinden, terimler ve tanımların açıklandığı misyon beyanı, aynı sayfada kalmalarına ve gerektiğinde önemli kararlar almalarına yardımcı olacaktır.
İşte birkaç misyon ifadesi örneği:
- Siber güvenlik tehditlerine karşı savunma
- Bir olay müdahale ekibi oluşturun
- Siber saldırıları ve türlerini araştırın ve iş üzerindeki etkilerini açıklayın
- Saldırının kanıtlarını toplayın ve herhangi bir yasal düzenlemenin etkilenip etkilenmediğini kontrol etmek için kolluk kuvvetleriyle birlikte çalışın
Tanımlanmış roller ve sorumluluklar
Paydaş rollerinin ve sorumluluklarının net bir şekilde tanımlanması, planlama sürecini oldukça ileriye dönük hale getirecektir - herkesin bir çalışma yönü olacaktır ve herhangi bir karışıklık olmayacaktır. Bir sürücü, sorumlu, danışılan ve bilgilendirilmiş (DACI) çizelgesi oluşturarak rolleri ve sorumlulukları tanımlayabilirsiniz.
RACI şeması olarak da bilinen bir DACI şeması, hangi paydaşın hangi aşamada yer aldığını ve onlardan ne yapmaları beklendiğini tanımlar. Her bir paydaşın oynadığı işlevsel rolün görsel bir temsili olarak hizmet eder. İşte başlamanıza yardımcı olacak ücretsiz bir DACI şablonu.
D – Sürücü | Bir görevi yürüten kişiler (örneğin, CISO) |
|---|---|
A – Sorumlu | Görevin başarısından sorumlu kişiler (örneğin proje yöneticisi)  |
C - Danışılan | Bilgi veya onay için danışılması gereken kişiler (örneğin, konu uzmanları) |
Ben bilgilendirdim | Görevin ilerleyişi ve güncellemeleri hakkında bilgilendirilmesi gereken kişiler (örneğin, liderlik). |
2. Adım: Planlamanızı desteklemek için kaynakları toplayın
Planlamayı tamamladıktan sonraki adım, planınızı destekleyecek araçları ve kaynakları toplamaktır. Örneğin, veri hırsızlığını tanımlarsanız Bir işletme için kritik öneme sahip verilerin yetkisiz kullanıcılar tarafından çalındığı, kaldırıldığı veya taşındığı bir veri güvenliği ihlali. potansiyel bir risk olarak, veri kaybını önleme yazılımı gibi araçlara sahip olmanız gerekir.
Doğru kaynaklarla donatıldığınızdan emin olmak için birkaç temel unsur şunlardır:
Güvenlik izleme için vakaları kullanın
Güvenlik izleme, planınızı zamanında uygulamanın ve olayları doğru bir şekilde tespit etmenin temelini oluşturur ve bu da onu süreçte çok önemli bir adım haline getirir. Kullanım senaryolarını (işletme içinde daha önce kullanılan olay izleme yöntemlerinin canlı örnekleri) incelemek ve mevcut izleme sürecinizde kanıtlanmış yöntemleri uygulamak, yalnızca risk toleransınızı artırmakla kalmaz, aynı zamanda müdahale hedeflerinin planlanmasına da yardımcı olur.
Güvenlik sorunlarını algılama
İş fonksiyonları genelinde güvenlik sorunlarını tespit etmek ve düzeltmek için doğru kaynakları bulmak, kullanım senaryolarına sahip olmak kadar önemlidir. Veri güvenliği ihlallerinden sistem arızalarına kadar çeşitli BT ile ilgili olayları kaydetmek, raporlamak ve önceliklendirmek için olay yönetimi yazılımını kullanabilirsiniz. Yazılım, kesinti süresini minimumda tutmak için BT personeline bilet atar ve bir sorun ortaya çıkar çıkmaz paydaşlara bildirimler gönderir.
Adım #3: Eşyaları bir araya getirin
Bir sonraki adım, kaynakları planlamak ve toplamak için şimdiye kadar yaptığınız tüm zor işleri bir araya getirmektir. Bu adımdaki çabalarınızın büyük kısmı, toplanan verilerin kapsamını belirlemeye ve anlamaya ve bunları hazırlanan eylem planının farklı aşamalarıyla uyumlu hale getirmeye gidiyor. Amaç, ekibinizin bir güvenlik olayı müdahale planı oluşturmaya başlamaya hazır olup olmadığını kontrol etmektir.
Adım #4: Oluşturma sürecini yürütün
Her şey yerine oturduğunda, siber güvenlik olay müdahale planınızı oluşturmaya hazırsınız demektir. Belirlenen planın ve kaynakların olay müdahale ekibi üyelerinize ve diğer paydaşlara iyi bir şekilde iletildiğinden emin olun. Bu, bir güvenlik olayının etkisini azaltmaya yardımcı olacaktır.
Adım 5: Öğrenin, optimize edin ve doğaçlama yapın
Artık siber güvenlik olayı müdahale planınızı oluşturduğunuza göre, tüm oluşturma sürecini analiz etme, hem hataları hem de başarıyı içeren öğrenmeleri belgeleme ve bunları oluşturma sürecini daha da optimize etmek ve iyileştirmek için kullanma zamanı. Optimizasyon, farklı bir kaynak seti kullanmaktan plan oluşturma sürecine ek ekip üyelerini dahil etmeye kadar her şey olabilir. Ancak tüm bunlar, siber güvenlik olay müdahale planınızın nasıl ortaya çıktığına bağlıdır.
Optimizasyona, sürece daha fazla ince ayar yapmak ve ekip verimliliğini en üst düzeye çıkarmak için bir dizi öğrenme ve eğitim alıştırmaları eşlik edebilir.
Bir siber güvenlik olayı müdahale planı oluşturmak en iyi savunma mekanizmasıdır
Bir CIRP'ye sahip olmak, güvenlik ekibinizin olaylara proaktif ve tekdüze bir şekilde yanıt vermesine yardımcı olabilir, böylece olaylara müdahale yeteneklerini geliştirir. İhtiyacınız olan tek şey, iş akışına karar vermek için doğru kaynaklar, araçlar ve eylem planıdır.
O halde siber güvenlik olay müdahale planınızı bugün oluşturmaya başlayın!
Siber güvenlik hakkında daha fazla bilgi edinmek ister misiniz? Bu ek kaynaklara göz atın:
- En iyi siber güvenlik yazılım araçları
- Küçük işletme siber güvenliğinizi geliştirmek için 4 uzman ipucu
- Siber güvenlik ile işinizi nasıl büyütebilirsiniz?
- Sizi dünya çapında ağ savaşına hazırlayacak 11 siber güvenlik sertifikası
- 7 yaygın siber saldırı türü