五步快速应对突发事件

日期: 2008-03-18 作者:Mike Rothman翻译:周姝嫣 来源:TechTarget中国 英文

一些帖子含蓄地引用基层人民的话,很具激发力也很伟大。你也知道,有些人信奉“毅力”和“团队合作”。我想起一名僧人在喧嚣城市的某个院子里沉思场景,这或许就是“压力背后的优雅”。   我很吃惊,僧人们能如此镇静,何时何地都能处于“那种境界”。

但是,他们并非一蹴而就,这需要练习,需要年复一年的专注练习。这还需要纪律,也是真正区别智者和伪装者的地方。   当然,现在你可能在想,这与安全有什么关系吗?实际上,安全专家不停地在行业中受到威胁。可能不是今天,也不是明天,但是威胁依然会在某个时候发生,可能由Web应用程序的缺陷或者内部恶意人士造成,而大多数人往往没有做好准备。

安全管理员不是简单地依赖事先制定的稳……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

一些帖子含蓄地引用基层人民的话,很具激发力也很伟大。你也知道,有些人信奉“毅力”和“团队合作”。我想起一名僧人在喧嚣城市的某个院子里沉思场景,这或许就是“压力背后的优雅”。

  我很吃惊,僧人们能如此镇静,何时何地都能处于“那种境界”。但是,他们并非一蹴而就,这需要练习,需要年复一年的专注练习。这还需要纪律,也是真正区别智者和伪装者的地方。

  当然,现在你可能在想,这与安全有什么关系吗?实际上,安全专家不停地在行业中受到威胁。可能不是今天,也不是明天,但是威胁依然会在某个时候发生,可能由Web应用程序的缺陷或者内部恶意人士造成,而大多数人往往没有做好准备。安全管理员不是简单地依赖事先制定的稳固的应急预案,而往往会在应急过程中惊惶失措,最终不得不开始寻找新工作,因为一旦发生重大事故,管理员没有正确处置事故,就不可能在内部恢复名誉。

  但是,事情不一定会这样。只要应急预案编制良好,保证企业的数据安全不受任何损失,我们就能沉着应对重大事故。目前,安全专家可以采取一系列措施,确保企业在受到攻击之前做好一切准备。

  第一步:写下计划

  许多人拥有应急预案,但仅仅是在脑子里。这还不够。单调地执行各个步骤?这也不够。预案需要得到的交流,比在家庭饭桌上更加广泛,这就意味着要把它写下来,与同事们分享,及时修改,确保所有受影响的部门都了解预案。

  预案应该明确事故发生过程。预案需要明确责任和义务,明确是否/何时需要采取法律措施。如果没有写下来,就相当于不存在,因为发生的紧急事件会阻碍你及时、正确地作出反应,一份良好的应急预案应该是所有部门在紧急事件发生之前都已经熟悉的预案。

  第二步:说服工作

  计划一旦写下来了,就需要在企业内部IT主要人员之间传阅,确保每个人都能正确了解计划,明确自己的责任。当然,也包括CIO,因为紧急事件可能还使系统/网络停止运行。合理的反应策略需要在事件发生之前经过讨论和认可,否则要准备好承担管理不善带来的后果。

  不要忘了其它的高层成员,尤其是人力资源部和咨询总部的成员。紧急事件最终会引起法律起诉,这些人都能准确地判断需要收集哪些数据,如何应对和其它的人员如何执行。

  第三步:扩大了解

  我在之前提到过,预案要具体,这一点很重要。首先要明确的是通知过程。通知谁?什么时候通知?什么条件下CIO、CFO或者 CEO要负责?晚上什么时候叫醒他们,如果发生过的话?确定半夜3点去找CEO,她会不会因为你搅乱了她的美梦而咬牙切齿。

  还有一点很重要,要明确企业可以接受的破坏水平。如果重要的面向客户的应用程序受到破坏,有没有调查带外情况,有没有记录应用程序?由谁来做出决策?很重要的是那些随时能发动号召的人,而不是安全专家。

  第四步:实践,实践,再实践

  你的企业最后一次模拟应急事件是什么时候?如果曾经有过的话,大多数企业会回答几年之前,这是个问题。实际上,每个组织都拥有流动的员工、很多商业合作伙伴、应用程序基础以及许多其它的东西,这些东西随时都在发生变化。这就意味着,应急预案应该是一份实实在在的预案。应急预案需要根据企业变化作出改变,而这些改变需要通过实践得以加强。

  我明白,要组织大家参与应急模拟可能是一项很大的挑战,因为似乎离现实那么遥远,但是很重要。如果企业直到发生紧急事件才意识到预案存在漏洞,就可能会犯一些严重的错误,浪费时间。记住,紧急情况下的反应是条件反射,只有通过实践和重复才能完善。

  第五步:从错误中吸取教训

  即使是最好的、最富经验的安全专家也会犯错,尤其是处理在紧急事件的时候。这就是为什么除了及时弥补损失,最重要的就是详细的事后调查。人人会犯错,但是同样的错误不要犯两次。

  除非共同努力,了解事件特征、故障所在,以及将会发生的变化,保证不再发生类似事故,历史才不会重演。

  所以,不要骄傲,要深入了解事故,做出改进,保证同样的事故错误不再发生。这种事后调查的方法在审计过程中非常重要,所以要向审计员展示企业如何从紧急事件中恢复、如何从错误中吸取教训。
记住,被当作英雄,还是成为寻找下一份工作的替罪羊,其区别只是在于如何处理基金事件。遵循以上五个步骤,安全专业人员就能继续战斗。

作者

Mike Rothman
Mike Rothman

Mike Rothman是一家独立信息安全研究公司的总经理和首席分析师。最为一位终端用户,他已经连续15年的时间提倡世界企业和中等规模的商业,他的工作是发起引人深思的关于如何确保核心商业需求的信息安全方面的讨论。在建立Security Incite 之前,Mike是META Group的首位网络安全分析师,并曾在TruSecure的CipherTrust共司担任主管职位,而且他还是SHYM科技工色的创始人之一。Mike经常为TechTarget撰稿,是一位受人尊重的信息安全专家。