بهترین روشها برای مدیریت حوادث مهم
تعریف شفاف یک حادثه مهم
یک حادثه زمانی مهم تلقی میشود که کاربران زیادی را تحت تأثیر قرار دهد، خدمات حیاتی کسبوکار را مختل کند، و نیازمند واکنشی فراتر از فرآیندهای معمول مدیریت حادثه باشد. گاهی اوقات، یک حادثه اولویتدار ممکن است به اشتباه حادثه مهم تلقی شود؛ مثلاً خراب شدن لپتاپ یک مدیر ارشد در یک کنفرانس، یک حادثه با اولویت بالا است، اما حادثه مهم محسوب نمیشود. بنابراین، باید تعریف روشنی از حادثه مهم بر اساس فوریت، تأثیر و شدت آن ارائه شود.
برنامه ارتباطی مشخص داشته باشید
یک برنامه ارتباطی باید شامل جزئیات حادثه (چگونگی وقوع، زمان وقوع، برنامه اقدام، زمان تخمینی رفع مشکل و بازههای اطلاعرسانی) و افراد درگیر باشد تا ارتباطات بهموقع و کارآمد انجام شود.
تعیین توافقنامههای سطح خدمات (SLA)
باید برای واکنش و حل حادثه توافقنامههای SLA مشخصی تعیین شود که شامل مسیرهای روشن برای تشدید (Escalation) باشد. اگر تیم در یک روز خاص با کمبود نیرو مواجه شد، نباید در استفاده از منابع سایر تیمها برای حل مشکل تردید کرد تا تأثیر منفی بر SLA کاهش یابد.
فرآیند اختصاصی برای مدیریت حوادث مهم
تعیین فرآیندهای جداگانه برای مدیریت حوادث مهم کمک میکند تا انواع مختلف حادثهها، از جمله عدم دسترسی به سرویسها، مشکلات عملکردی، یا خرابی سختافزار و نرمافزار، به شکلی کارآمدتر مدیریت شوند.
تخصیص منابع و تیمهای مناسب
باید اطمینان حاصل شود که تیمهای صحیح با نقشها و مسئولیتهای مشخص بر روی مدیریت حادثه کار میکنند تا روند رفع مشکل سریعتر و مؤثرتر باشد.
مستندسازی برای بهبود مستمر خدمات
مدیر حادثه باید تمام جزئیات شامل تعداد افراد درگیر، نقشها و مسئولیتها، کانالهای ارتباطی، ابزارهای استفادهشده، فرآیندهای تأیید و تشدید، و برنامه کلی اقدام را مستندسازی کند. سپس، ذینفعان (از جمله مدیریت ارشد) این مستندات را بررسی کرده و برای بهبود فرآیندها تصمیمگیری میکنند.
مدیریت امنیت سایبری (CyberSec) و حوادث امنیتی
امنیت، سنگبنای سازمان ما است. تیم امنیت فناوری اطلاعات ما از محرمانگی، یکپارچگی، و در دسترس بودن سیستمها و دادهها محافظت میکند و سازمان را در برابر تهدیداتی مانند بدافزارها، حملات پیشرفته (APT)، باجافزارها، فیشینگ، مهندسی اجتماعی، حملات داخلی و سایر خطرات ایمن نگه میدارد.
ما یک تیم هکرهای کلاه سفید تحت عنوان رد تیم (Red Team) داریم که بهطور مداوم تلاش میکنند تا مکانیزمهای امنیتی را دور بزنند و آسیبپذیریها را شناسایی کنند. همچنین، هماهنگکنندگان امنیتی در فرآیند توسعه محصول دخیل هستند تا اطمینان حاصل شود که امنیت از ابتدا در محصولات ما لحاظ میشود.
از آنجا که هر سازمانی ممکن است هدف حملات سایبری قرار گیرد، ما فرآیند CyberSec را برای تشخیص آسیبپذیریها، مقابله، هماهنگی، و بازیابی اطلاعات توسعه دادهایم. این فرآیند به کاهش زمان و اثرگذاری حملات امنیتی کمک کرده و باعث بازیابی سریعتر دادهها، اپلیکیشنها و زیرساختهای IT میشود.
تیمها، نقشها و مسئولیتها در مدیریت امنیت سایبری
| تیم | نقش | مسئولیت |
|---|---|---|
| مدیریت حادثه | هماهنگکنندگان حادثه | مدیریت حادثه از تشخیص تا حل مشکل |
| تیم امنیت مرکزی IT | تیم امنیت فناوری اطلاعات | نظارت و تحلیل مداوم روی رویههای امنیتی محصولات |
| تیم واکنش به حوادث امنیتی (SIRT) | شامل تیم مدیریت حادثه، تیم امنیت مرکزی | ارزیابی اثر حادثه، رعایت SLA، هماهنگی با تیمهای حریم خصوصی، حقوقی، محصول و مدیریت ارشد در شرایط بحرانی |
| مدیریت ارشد | تصمیمگیرندگان کسبوکار | ارزیابی اثر کسبوکار، تصمیمگیری کلیدی (مثلاً قطع ارتباط اینترنت سیستم آلوده)، و تعیین زمان تماس با مراجع قانونی |
| تیم حقوقی | مشاوران حقوقی | ارزیابی اثرات قانونی حادثه، تضمین رعایت استانداردهای قانونی، و راهنمایی سازمان برای ثبت شکایت |
| تیم حریم خصوصی | مسئول حفاظت از دادهها (DPO) | مدیریت مقررات حریم خصوصی و پاسخگویی به نهادهای نظارتی در صورت نشت اطلاعات |
| تیم محصول | مهندسان محصول | شناسایی و رفع آسیبپذیریها و انتشار بهروزرسانیهای امنیتی |
| رد تیم (Red Team) | هکرهای کلاه سفید | شبیهسازی حملات سایبری، ارزیابی ضعفهای امنیتی، و تست نفوذ برای افزایش امنیت محصولات |
این فرآیند به ما کمک میکند تا در برابر تهدیدات سایبری مقاوم باشیم و در صورت وقوع حادثه امنیتی، سریع و مؤثر عمل کنیم.
