Što učiniti prije, tijekom i nakon sigurnosnog incidenta u poslovnom okruženju, odnosno provale u sustav? Novi Symantecov 'white paper' daje niz savjeta tvrtkama kako se pripremiti za sigurnosne incidente te kako djelovati kada budu otkriveni i što činiti nakon što budu neutralizirani
Prije napada
Provedite sljedeće korake i mjere u svojoj organizaciji prije nego što se dogodi napad na njezinu infrastrukturu:
- Pripremite se rano, pripremajte se često. Pripremu ne čini samo nekakav dokument koji ste sastavili. Kao što ovaj dokument s praktičnim savjetima preporučuje, radi se o živoj strategiji i programu koji moraju biti osmišljeni, testirani i dodatno poboljšani – nakon čega slijede testiranje te ponovna, stalna poboljšanja i unaprjeđenja.
- Okupite učinkovit tim. Neka vam razvoj i rast vašeg internog tima zaduženog za sigurnost budu važan prioritet. Provjerite njihova znanja, saznajte postoje li područja iz kojih vašem timu nedostaju stručnost i edukacija te ih pripremite, kroz odgovarajuće treninge, za realistične scenarije koji bi se mogli dogoditi. Sigurnosni plan u tvrtki ništa ne znači bez odgovarajućeg kvalitetnog tima koji stoji iza njega!
- Integrirajte informacije o globalnim prijetnjama. Vaši protivnici, potencijalni napadači na vašu infrastrukturu, kontinuirano mijenjaju svoju taktiku. Organizacije moraju stvoriti precizan program praćenja globalnih prijetnji kroz koji će konstantno nadgledati kakvi su napadi i kampanje trenutačno aktualni u svijetu.
Tijekom napada
Napadači danas koriste sofisticirane taktike kako bi spriječili da budu otkriveni dok pokušavaju zaobići vašu obranu – mnogi ovakvi napadi često ostanu neprimijećeni mjesecima, katkada čak i godinama! Izuzetno je važno znati kako ispravno reagirati ukoliko shvatite da je napad trenutačno u tijeku.
- Otkrijte napad i brzo odgovorite. Što ranije detektirate sigurnosni incident i dodijelite mu najvišu moguću razinu hitnosti odgovora, to će se brže svi resursi u vašoj organizaciji moći mobilizirati i koristiti.
- Primijenite dostupne informacije o prijetnjama. Ukoliko ste 'naoružani' informacijama o trenutačnoj razini globalnih prijetnji za sigurnost informacijskih sustava, možete krenuti u ofanzivu te proaktivno tražiti tragove koji ukazuju da se neka od tih prijetnji dogodila u vašem vlastitom okruženju. Razmotrite mogućnost stvaranja partnerstva s nekom tvrtkom koja se bavi sigurnosnim tehnologijama te koja vam tako može pomoći da proširite i nadopunite tehničke sposobnosti i efektivno povećate broj ljudi u vašem vlastitom timu za računalnu sigurnost.
Nakon napada
Nakon što je sigurnosni incident detektiran i stavljen pod kontrolu ili otklonjen, trebali biste svakako napraviti sljedeće:
- Obuzdajte napad i sanirajte situaciju. Vaš tim za sigurnost mora obuzdati incident što je prije moguće kako on ne bi doveo do stvarne provale u vaš sustav i gubitka podataka.
- Sastanak sa zaključcima. Obavezno organizirajte sastanak na kojemu ćete razmotriti što se dogodilo, zašto, što ste naučili o incidentu i vašoj reakciji te koliko ste dobro zamislili i proveli svoj program sigurnosti u tvrtki.
- Edukacija i testiranje. Timovi čija je zadaća odgovor na sigurnosne incidente zahtijevaju kontinuirani trening i edukaciju, razvoj vještina i neprekidna testiranja – a sve to kako bi gotovo posve refleksno bili spremni za stvarnu reakciju u slučaju incidenta. Nakon što se incident dogodio, dobro obrazovan i treniran tim moći će odmah krenuti u akciju.
U konačnici, sve što ste naučili odgovarajući na sigurnosni incident i tijekom napada na vašu infrastrukturu odmah iskoristite kako biste unaprijedili svoj program računalne sigurnosti te pripremili svoje timove za eventualne buduće incidente.
