Да ограничиш щетите при кибератака: Анатомията на един план за реагиране при инциденти

Финансовите загуби на компаниите при инциденти с киберсигурността растат с всяка изминала година. А много от тях никога не успяват да се възстановят. 

Често – и щетите, и възможността за възстановяване – зависят от наличието на план за реакция при инциденти. Това не е просто документ с етикет: „Отвори в случай на спешност!“. Той трябва да е основна част от стратегията за киберсигурност за всеки един бизнес и да се развива заедно с него и променящата се палитра от заплахи в киберпространството.  

Ето и основните компоненти на една подобна рамка: 

Тази рамка е разработена от SANS Institute, американска компания за информационна сигурност с повече от век история, но тя не е единствена. Например, National Institute of Standards and Technology (NIST), който е част от Министерството на търговията на САЩ, определя четири основни стъпки – подготовка; откриване и анализ; ограничаване, елиминиране на заплахата и възстановяване; дейност след инцидента: 

Двете рамки са идентични, но има една съществена разлика. В стъпка три NIST смята, че ограничаването, елиминирането на заплахата и възстановяването се припокриват – т.е. не трябва да чакате да ограничите всички заплахи, преди да започнете да ги елиминирате. 

В професионалната общност има спор коя от двете основни рамки е по-добра, но всъщност това е въпрос на предпочитания, както и на ресурсите на вашата организация. Най-важното е да не се забравя, че създаването на план за реагиране при инциденти не е единичен акт, а непрекъснат процес, съобразен с постоянно променящата се среда на заплахите. 

А стриктното спазване на стандартизирани практики, като рамките на NIST и SANS Institute, гарантира наистина сигурни процеси при възникване на инциденти. 

Източник
Hackread
Exit mobile version