فا

‫ مديريت رخداد در شش مرحله- مرحله پيگيري

IRCAR201106105
تاريخ: 7/4/90
در قسمت­هاي پيشين مجموعه مقالات «مديريت رخداد در شش مرحله»، به مراحل «آمادگي»، «شناسايي»، «كنترل و محدود سازي»، «پاكسازي» و «بازيابي»، كه پنج مرحله نخست از مراحل شش گانه مديريت رخدادهاي امنيتي است پرداختيم. در اين قسمت به مرحله آخر، يعني «مرحله پيگيري» خواهيم پرداخت.
در مرحله پيگيري، هدف اين است كه از رخدادي كه به وقوع پيوسته است درس بگيريم. در اين مرحله شما به دنبال نكته هايي مي­گرديد كه كمك كنند تا در آينده كار خود را بهتر انجام دهيد. برخي از رخدادها زمان و تلاش قابل توجهي را براي پاسخگويي صرف مي­كنند. در اين موارد سطح استرس افزايش يافته و ممكن است ارتباطات افراد نيز تحت تاثير آن قرار بگيرد. پس از آن، افرادي كه در مركز مشكل قرار گرفته اند مي­خواهند هرچه سريعتر مشكل ايجاد شده را فراموش كرده و به زندگي عادي خود بازگردند. فعاليت پيگيري، يكي از ارزشمندترين فعاليت­ها در پاسخگويي به رخدادهاي امنيتي است. اين روال، تحت عنوان «جستجو براي يافتن درس­هاي آموخته شده» شناخته مي­شود. سازمان­هايي كه بلافاصله پس از حل يك مشكل به دنبال مرحله پيگيري آن مي­روند، قابليت مديريت رخداد خود را به سرعت بهبود مي­بخشند. پيگيري سريع همچنين، به پيگرد قانوني افراد قانون شكن نيز كمك مي­كند.
گام 1: يك گزارش پيگيري ايجاد نماييد
تجارب كسب شده بايد به سرعت جمع آوري و ثبت گردند. يك گزارش پيگيري كه شامل درس­هايي است كه از آن رخداد آموخته ايد، روشي مقبول براي محافظت از آموزه هايي است كه در آينده مي­توانند مورد استفاده قرار گيرند.
فعاليت 1-1: هرچه سريعتر آغاز كنيد
افرادي كه تا چند هفته پس از رخداد صبر مي­كنند تا گرد و خاك­ها فرو بنشيند و سپس به ثبت درس­هاي آموخته شده مي­پردازند، به زودي ياد خواهند گرفت كه حافظه بشر در طول زمان ضعيف شده و بسياري از مسائل فراموش خواهند شد.
فعاليت 1-2: اين كار را به گروه «مديريت رخداد در محل» بسپاريد
اغلب سايت­ها، به اين منظور كه بخش «درس­هاي آموخته شده» را تا حد ممكن مفيد و موثر بسازند، از گروه مديريت رخداد مي­خواهند كه گزارش درس­هاي آموخته شده را به صورت پيش­نويس و به عنوان يك بخش كامل از گزارش كار مديريت رخداد خود تهيه نمايد. كارها تا زماني كه نوشتن گزارش بر روي كاغذ كامل نشده باشد، به اتمام نمي­رسد.
فعاليت 1-3: از فرم­هاي آماده كه در قسمت­هاي مختلف اين مجموعه مقالات ارائه شده اند استفاده كنيد
معمولا گزارش رخداد، يك نسخه الكترونيكي از فرم­هاي شناسايي، بررسي، كنترل و محدود سازي و پاكسازي است كه در اين مجموعه مقالات ارائه شده اند. به طور خاص بر روي پاسخ دادن به سوالات مربوط به درس­هايي كه آموخته ايد تمركز نماييد.
فعاليت 1-4: از تمامي بخش­هاي درگير بخواهيد كه پيش­نويس را بازبيني نمايند
گزارش درس­هايي را كه آموخته ايد به همراه پيش­نويس گزارش رخداد براي بازبيني توسط تمامي بخش­هايي كه درگير رخداد بوده اند ثبت كرده و در اختيار آنها قرار دهيد.
فعاليت 1-5: براي رسيدن به وفاق عمومي تلاش كنيد
پاسخ­ها، مخالفت­ها، انتقادات و پيشنهادات ارائه شده در مورد رخداد را از تمامي بخش­هايي كه درگير رخداد بوده اند جمع آوري نماييد. آنها را تشويق كنيد تا پيشنهادات خود را به صورت الكترونيكي ثبت نمايند تا به اين ترتيب به كار خود سرعت ببخشند. توصيه هاي آنها را به عنوان بخشي از ركورد خود نگهداري نماييد.
فعاليت 1-6: يك جلسه براي يادگيري دروس رخداد ترتيب دهيد
پيشنهادات ارائه شده را منتشر كرده و براي يك جلسه يك ساعته در مورد درس­هايي كه از رخداد آموخته ايد برنامه ريزي نماييد. اگر شما افراد را با توصيه ها و پيشنهادات و نكاتي كه پيش از اين بازبيني نكرده اند غافلگير كنيد، اين جلسات ممكن است مدت زمان بيشتري طول بكشند. جلسه را بر روي بازبيني مجدد رخداد و تصويب كردن تغييرات لازم در پروسه كار متمركز نماييد.
فعاليت 1-7: يك خلاصه اجرايي ايجاد كنيد
خلاصه اي از رخداد براي مديريت تهيه نماييد. اين خلاصه شامل هزينه ها و ضربه هاي ايجاد شده توسط رخداد براي سازمان است. اين خلاصه را به مديريت عرضه كرده و قول بدهيد كه تغييرات پيشنهادي پيگيري خواهند شد.
فعاليت 1-8: تغييرات پيشنهادي را براي مديريت ارسال كنيد
يك مجموعه تغييرات پيشنهادي اولويت بندي شده را به مديريت ارائه نماييد. اين تغييرات شامل پروسه درس­هايي كه آموخته ايد، تخمين هزينه، برنامه ريزي سطح بالا و تاثير پياده سازي يا عدم پياده سازي فعاليت­هاي پيشنهادي در رخدادهاي آتي است.
فعاليت 1-9: پيشنهادات پذيرفته شده را پياده سازي كنيد
زماني كه موافقت مديريت را در مورد تغييرات پيشنهادي جلب نموديد، اطمينان حاصل كنيد كه اين تغييرات با استفاده از سيستم وظايف سازماني شما اعمال مي­گردند.
سوالات مرحله پيگيري
در ادامه، فهرستي از سوالات پيشنهادي براي جلسه يادگيري دروس رخداد را مشاهده مي­كنيد. هدف اوليه اين جلسه اين است كه روال مديريت رخداد خود را بهبود ببخشيد. تقريبا در تمامي رخدادها كارهايي بسيار خوب انجام شده و كارهاي ديگري خوب انجام نمي­شوند. مردم علاقه دارند چيزهاي بد را به خاطر بسپارند. شما به موارد مثبت اهميت بدهيد.
سوالات زير بايد توسط گروه مديريت رخداد پاسخ داده شوند. پيشنهادات تمامي بخش­هاي درگير نيز بايد با روي باز پذيرفته شود.
به طور مختصر شرح دهيد كه چه چيز رخ داده و چه كاري براي مقابله با آن انجام شده است. آيا آمادگي كافي براي مقابله با اين رخداد وجود داشته است؟ چه آماده سازي­هايي بايد انجام مي­گرفته كه انجام نشده است؟
· آيا تشخيص رخداد بلافاصله اتفاق افتاده است؟ اگر جواب منفي است، توضيح دهيد چرا؟
· چه ابزارهاي ديگري مي­توانستند به پروسه تشخيص و پاكسازي كمك كنند؟
· آيا اين رخداد به اندازه كافي كنترل و محدود سازي شده است؟
· آيا ارتباطات افراد كافي بوده يا مي­توانسته بهتر از اين نيز باشد؟
ما هرگز يك رخداد جدي را كه در آن هر كسي با جديت ادعا كند كه «ارتباطات عالي بود» مشاهده نكرده ايم. گاهي خطوط تلفن مشغول بوده و گروه مديريت رخداد در محل براي دسترسي به گروه تصميم و دستور جهت ارائه اطلاعات تاكتيكي به آنها، با مشكل روبرو شده است. هرچه استرس افزايش مي يابد، ارتباطات نيز كاهش پيدا مي­كند. هدف اين سوال پيدا كردن راه­هايي براي بهبود بخشيدن به ارتباطات است. ممكن است يك سازمان نخواهد سه خط تلفن اضافي براي گروه تصميم و دستور اختصاص دهد. اما پس از وقوع يك رخداد كه گروه در طي آن قادر نبوده است با بخش­هاي حياتي سازمان در تماس بماند، معمولا خطوط اضافي تلفن بدون هيچ بحثي تخصيص داده مي­شوند.
· با چه مشكلات خاصي روبرو شديد؟
هزينه رخداد را تحليل كنيد. زمان صرف شده توسط پرسنل براي درگير شدن با رخداد، از جمله زمان لازم براي بازيابي سيستم­ها را تعيين كنيد. اين زمان­ها را به هزينه مالي تبديل نماييد. ساده ترين روش اين است كه زمان صرف شده را در ارزش مسئوليت فرد (معمولا 1.5 برابر حقوقي كه سازمان پرداخت مي­كند) ضرب كنيد.
· بپرسيد كه رخداد تا چه اندازه فعاليت­هاي جاري را مختل كرده است؟
· آيا داده اي طوري از دست رفته كه قابل بازيابي نباشد؟ اگر جواب مثبت است، ارزش اين داده ها چقدر است؟
· آيا هيچ سخت افزاري آسيب ديده است؟
يك خلاصه اجرايي تهيه كنيد كه شامل هزينه و فهرست خرابي­ها و ضربه ها باشد. در صورت امكان نتايج تحقيقات رخداد را بر روي صفحه وب اينترانت مديريت رخداد قرار دهيد.
مطالب مرتبط:
منابع:
Computer Security Incident Handling: An Action Plan for Dealing with Intrusions, Cyber-Theft, and Other Security-Related Events, Version 2.3.1

نظرات

بدون نظر
شما برای نظر دادن باید وارد شوید

نوشته

 
تاریخ ایجاد: 18 مرداد 1393

دسته‌ها

امتیاز

امتیاز شما
تعداد امتیازها: 0