Prędzej czy później każda organizacja będzie się musiała zmierzyć z incydentem związanym z bezpieczeństwem informacji i obawiam się, że nastąpi to prędzej, niż później. Aktualna rzeczywistość, specyfika i natężenie zagrożeń, nieograniczone możliwości jakie cyberprzestępcom dają szybko rozwijające się technologie oraz umiejętne wykorzystywanie podatności każdego systemu bezpieczeństwa, jakim jest człowiek, sprawiły, że nie mamy już do czynienia z dużym prawdopodobieństwa zaistnienia incydentu, ale z pewnością, że ten nastąpi. Osoby i działy firm zajmujące się bezpieczeństwem informacji są zmuszone do zmiany podejścia – z zapobiegania incydentom, raczej na minimalizację ich negatywnych skutków. Firmy i instytucje nie powinny szukać odpowiedzi na pytanie: „jak uniknąć incydentu?”, bo to dziś niemożliwe, ale raczej „jak się na niego przygotować i obsłużyć, aby jego skutki nie wpłynęły negatywnie na biznes?”.

We współczesnych realiach funkcjonowanie zespołów reagujących na incydenty (Incident Response Team) staje się koniecznością i przewidują to już chyba wszystkie normy i systemy dotyczące bezpieczeństwa informacji.

Przygotowanie

Zarządzanie incydentami związanymi z bezpieczeństwem informacji i funkcjonowanie zespołu ludzi, którzy będą się tym zajmować wymaga odpowiedniego przygotowania, również z prawnego punktu widzenia. Zespół incident response powinien się składać z odpowiednio wyszkolonych, umocowanych, samodzielnych i zaufanych osób (członków organizacji), którzy będą w stanie samodzielnie poradzić sobie z incydentami bezpieczeństwa informacji, a w niektórych przypadkach przy udziale zewnętrznych ekspertów, np. prawników, informatyków śledczych.

Praktyka pokazuje, że sprawna reakcja na incydenty powinna opierać się na wypracowanych i przemyślanych procedurach, schematach działania, zawartych w różnego rodzaju politykach. Również wewnętrzna organizacja zespołu, ustanawiająca jego lidera/managera, powinna być uporządkowana i przejrzysta. Osoby obsługujące dany incydent powinny posiadać swobodę do samodzielnego działania oraz podejmowania decyzji (odpowiedzialność przez ścisłym kierownictwem organizacji albo przed właścicielem), a także posiadać uprawnienia do wydawania poleceń pracownikom organizacji, również wyższego szczebla. Wszyscy pracownicy powinni być świadomi uprawnień członków zespołu incident response, które najlepiej opisać w dostępnej dla wszystkich polityce. Prowadzenie cyklicznych szkoleń dla członków zespołu, jak i pozostałych pracowników również jest ważnym elementem systemu bezpieczeństwa.

Wykonywanie zadań związanych z obsługą incydentów bezpieczeństwa powinno wchodzić oczywiście w zakres obowiązków członków zespołu. Obsługa incydentów może stanowić ich podstawowy obowiązek, ale często do zespołu reagowania na incydenty angażuje się pracowników, którzy na co dzień zajmują się innymi kwestiami i należy te kwestie przewidzieć w umowach. 

Incydenty związane z bezpieczeństwem  informacji często dotykają poufnych aspektów prowadzenia biznesu. Bezwzględnie członkowie zespołu reagowania na incydenty powinni być zobowiązani do zachowania poufności.

Również współpraca z podmiotami zewnętrznymi, wspierającymi wewnętrzny zespół reagowania na incydenty, powinien opierać się o odpowiednio skonstruowaną umowę, zapewniającą skuteczność działania, szybki przepływ informacji oraz wszelkie kwestie związane z bezpieczeństwem i poufnością.

cdn.

Całą treść można przeczytać w Magazynie Informatyki Śledczej