联想到近期出现的一系列安全违规问题,大家自然希望思考自家企业是否已经为此做好准备——包括如何处理与客户、员工、监管机构以及政府部门间的沟通流程。时至今日,网络风险已经成为真正的挑战,并应被视为一类业务、而非技术问题。事实上,未发生数据违规反而是一种意外惊喜,而这类状况的出现则应成为可预见性事件。
大多数企业已经制定危机处理与相关各方交流策略。此外,CEO及其领导团队应该也比较熟悉如何处理快速决策以及风险计算当中的模糊性难题。
在如今这个连接水平远超以往的时代当中,我们的企业需要以24/7全天候的方式持续运营。因此可以预见,我们早晚会与那些希望窃取数据或入侵系统,进而损害我们运营体系的威胁主体发生对抗。由此带来的影响亦可能持续很长时间,我们甚至无法查清哪些家伙能够访问有价值数据、其身在何处,甚至在数天、数月乃至数年的入侵周期之内实施了哪些恶意行为。
审视近期出现的安全违规行为,我们还发现其中存在着反复发生的相同问题模式。沟通策略计划不周导致人们不得不中止自己的现有工作。而由于缺乏适当且有效的违规行为处理方式,大家也往往不得不关闭关键服务。
很多朋友希望解释违规活动或安全事故的来龙去脉、恶意方已经开展了哪些行动乃至需要执行哪些应对措施以解决问题,这些都是非常正常的应对思路。然而,在涉及网络安全相关问题时,我们必须考虑到及时和外部及内部各方发布通知的必要性同时确保为其提供关于事件本身的准确且及时的详细信息。
网络安全工作需要在确定相关各方获取违规信息方式之后为其提供必要的原则性指导,同时分析更多数据以准确描绘事件全貌,从而向各方提供更多资讯支持。
危机管理从来不是件容易的事,而网络危机更会带来一系列独特的挑战。事实上,许多网络安全违规行为都是由第三方发现并/或由媒体加以公布,这意味着企业高管将发生集体性的“后知后觉”。
如今形势已经刻不容缓,每个人都需要立即参与其中并采取行动。一般而言,目前的典型网络安全危机计划应包括:
一份非常明确的指示清单,用于说明如何检测、应对当前状况,并防止安全事件对企业造成任何进一步损害。
为客户、员工、投资者、业务合作伙伴、监管机构、执法机构以及董事会等设置沟通优先级、交流渠道以及信息传递机制。
明确角色与责任分配。
认真规划权限提升路径。
但如果要让这套规划提升到新的高度,我们还需要解决以下问题:
我们的计划是否经过严格测试?
计划是否已经在多种场景下得到全面讨论?
是否已经通过模拟试验来运行我们的计划?
计划是否符合最新要求?
以下几项基本步骤,能够帮助大家提升计划的动态水平与有效性:
建立一套规程,以帮助保持危机管理计划的时效性与相关性。
测试计划内容并通过模拟演练培训工作人员——甚至可以通过模拟演练培训董事会成员。
在基本计划当中纳入不同场景,例如在受到勒索软件攻击时该如何应对。最重要的是,如果首席信息安全官遭遇安全问题,结果又会如何。
如果知识产权遭到窃取,我们该怎么办?如果无法访问数据或系统,该怎么办?如果您所在组织的有价值数据遭到破坏,或者电子商务销售系统发生中断,结果又会如何?
探索日常业务运营方式中的各个层面,并将实际情况与经过测试及演练的连续性保障计划结合起来。
进一步加以分解:您的业务依赖于哪些关键系统,这些系统间如何进行关联,又存在着哪些依赖关系?如果我们的响应团队忙于关闭暴露系统,那么整体业务恐怕也将无法正常运行。
高度关注您的持续性计划,因为其有可能长期闲置,而其中已经存在大量关于旧有系统的过时信息以及已离职人员的联系资料。没准其中保存的联系方式只是仅在工作日营业时间有效的固定电话——不开玩笑,这种情况其实经常出现。
准备工作需要时间,而我们显然无力决定问题到来的时间。这一概念在网络攻击层面尤为明显。因此,大家不妨问问自己:我们今天为网络安全准备做了什么?企业必须确保所有相关者对于违规事件发生时的应对方式都非常熟悉。现在,是时候行动起来了!
本文由安全内参翻译自RSA
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
