Comment réagir à une crise de sécurité des données
Si vous vous trouvez soudainement confronté à une violation de la sécurité des données, votre but est une réponse rapide, mais en considération. Rassemblez les faits aussi rapidement que vous pouvez et agir dès que vous avez suffisamment d'informations pour répondre correctement. Ne prendre aucune mesure jusqu'à ce que vous pouvez définir avec précision le problème (pas nécessairement la cause) et savoir sa portée. Considérez les 6 étapes suivantes:
1. Examiner vos documents de conformité
Dans les industries fortement réglementées, les organisations doivent documenter leur conformité aux normes gouvernementales de sécurité prescrites. Si cela s'applique, vous pouvez être sûr de démontrer la conformité afin d'éviter des amendes et des mesures réglementaires.
2. Identifier une équipe de réponse aux incidents
Heureusement, vous avez une réponse aux incidents de sécurité informatique équipe prête à aller. Si non, assembler une équipe qui (en plus de TI) peuvent inclure: des avocats, C-suite les cadres, les relations publiques, et un représentant de chacune des lignes d'affaires touchés - y compris les RH si la violation implique des employés. Peu importe la taille de votre organisation, ne permettent pas une personne à gérer la situation. Avoir une équipe permettra de réduire les chances d'une réponse erratique.
3. Évaluer les dégâts
Déterminer qui et ce qui est / peut être affecté et l'effet potentiel sur votre entreprise. Une attaque externe sur votre site Web public pourrait ne pas être un gros problème si c'est un site d'information, mais il peut casser votre entreprise si vous êtes dépendant de e-commerce. En outre, une attaque sur la base de données d'initiés de l'entreprise du personnel peut avoir un impact différent que le vol d'un pirate d'une base de données client.
4. Informer les intervenants
Qui vous a dit et quand vous leur dites peut faire une différence quant à savoir si vous êtes en mesure de trouver rapidement et corriger le problème. Si le vôtre est une industrie hautement réglementée, vous aurez besoin d'appeler les responsables du gouvernement immédiatement. Si un crime peut avoir été
commis, la police sera l'un des premiers appels. Si vous envisagez d'apporter des consultants tiers, tels que les experts en sécurité informatique ou de médecine légale, de les mettre en plus tôt possible.
La plupart des États ont des échéances précises pour informer les clients et autres personnes pouvant être affectées par la violation (jusqu'à 30 jours de la divulgation). Cela signifie que vous aurez le temps pour obtenir la situation sous contrôle avant que l'information devient publique.
5. Identifier la cause et de minimiser les dommages
Beaucoup de graves problèmes de sécurité apparaissent bénins au premier abord. En fait, votre personnel informatique peut-être vu comme une nuisance et appliqué un correctif de routine. Par exemple, les attaques d'initié de nombreux bugs mineurs ressemblent jusqu'à ce que quelqu'un constate un comportement inhabituel ou suspect et l'escalade de la situation. Les premiers signes peuvent inclure une augmentation globale du trafic - en particulier une quantité inhabituelle de l'activité au départ et une augmentation des demandes de help desk. Signes plus manifestes des sites web de s'écraser et de sites internes. Dans les cas extrêmes, rien ne fonctionnera pas du tout.
Sauf si la violation est activement blesser vos affaires, ne commencez pas d'assainissement jusqu'à ce que vous de bien comprendre la cause et son impact potentiel. Dans certains cas, vous ne devriez pas toucher à rien jusqu'à ce qu'une équipe a terminé la criminalistique la collecte de preuves.
Si l'infraction est touchant votre entreprise, vous aurez envie de limiter les dégâts immédiatement en faisant des choses telles que le débranchement des serveurs et systèmes de stockage qui sont infectés ou pénétré. D'autres mesures peuvent inclure la déconnexion des périphériques médias - surtout si vous soupçonnez un code malicieux est lancé. De manière générale, plus vite vous de débrancher l'équipement, meilleures sont vos chances de sauver vos données. Une fois que vous avez pris ces mesures de base, ne font rien d'autre sans l'aide d'experts.
6. Documenter l'incident
L'absence de documentation ne sera pas seulement, il est difficile de reconstruire vos systèmes, il peut aussi blesser vos chances de poursuivre avec succès un attaquant. Tout au long du processus d'évaluation et d'assainissement, vous devez enregistrer tout, de la manière dont l'incident a été détecté à ce que les membres de l'équipe d'intervention a fait.
Si l'attaque est venue de l'extérieur de l'entreprise et de votre matériel et logiciels de sécurité sont à jour, la documentation se fera automatiquement dans les fichiers log de firewall, IDS / IPS / systèmes de déplacés, et d'autres outils de sécurité informatique de gestion. Votre travail sera beaucoup plus facile si les outils que vous avez mis en place sont suffisamment sophistiqués pour enregistrer l'intrusion; les infections qui en découlent ou les téléchargements et les modifications de configuration qui ont arrêté l'attaque.
La documentation est un des aspects les plus négligés et fastidieuse d'un incident de sécurité. Toutefois, la documentation est essentielle pour beaucoup de choses telles que la reconstruction des systèmes qui ont été temporairement modifiés pour stopper l'incident.
Source de l'article: http://EzineArticles.com/5716964
Jeux d'ordinateur
0 commentaires:
Enregistrer un commentaire