Insiden keamanan terjadi. Ini bukan masalah “jika”, tetapi “kapan”. Itu sebabnya Anda menerapkan produk dan prosedur keamanan untuk mengoptimalkan proses respons insiden (IR).
Namun, banyak profesional keamanan yang melakukan pekerjaan yang sangat baik dalam menangani insiden menemukan secara efektif mengkomunikasikan proses yang sedang berlangsung dengan manajemen mereka tugas yang jauh lebih menantang.
Terasa akrab?
Di banyak organisasi, kepemimpinan tidak paham keamanan, dan mereka tidak tertarik pada detail tentang semua bit dan byte yang dikuasai pro keamanan.
Untungnya, ada template yang dapat digunakan oleh pimpinan keamanan saat mempresentasikan ke manajemen. Ini disebut template Pelaporan IR untuk Manajemen, yang menyediakan alat yang jelas dan intuitif bagi CISO dan CIO untuk melaporkan proses IR yang sedang berlangsung dan kesimpulannya.
Template Pelaporan IR untuk Manajemen memungkinkan CISO dan CIO untuk berkomunikasi dengan dua poin utama yang menjadi perhatian manajemen—jaminan bahwa insiden tersebut terkendali dan pemahaman yang jelas tentang implikasi dan akar permasalahan.
Kontrol adalah aspek kunci dari proses IR, dalam arti bahwa pada saat tertentu, ada transparansi penuh tentang apa yang ditangani, apa yang diketahui dan perlu diperbaiki, dan penyelidikan lebih lanjut apa yang diperlukan untuk mengungkap bagian-bagian dari serangan itu. belum diketahui.
Manajemen tidak berpikir dalam hal trojan, eksploitasi, dan gerakan lateral, tetapi mereka berpikir dalam hal produktivitas bisnis — waktu henti, jam kerja, hilangnya data sensitif.
Memetakan deskripsi tingkat tinggi tentang rute serangan hingga kerusakan yang ditimbulkan adalah hal terpenting untuk mendapatkan pemahaman dan keterlibatan manajemen – terutama jika proses IR memerlukan pengeluaran tambahan.
Template Pelaporan IR untuk Manajemen mengikuti kerangka kerja IR SANSNIST dan akan membantu Anda memandu manajemen Anda melalui tahapan berikut:
Identifikasi
Kehadiran penyerang terdeteksi tanpa keraguan. Ikuti template untuk menjawab pertanyaan kunci:
- Apakah deteksi dilakukan sendiri atau oleh pihak ketiga?
- Seberapa matang serangannya (dalam hal kemajuannya di sepanjang rantai pembunuhan)?
- Apa perkiraan risikonya?
- Apakah langkah-langkah berikut akan diambil dengan sumber daya internal atau apakah ada kebutuhan untuk melibatkan penyedia layanan?
Penahanan
Pertolongan pertama untuk menghentikan pendarahan segera sebelum penyelidikan lebih lanjut, akar penyebab serangan, jumlah entitas yang offline (titik akhir, server, akun pengguna), status saat ini, dan langkah selanjutnya.
Pemberantasan
Pembersihan penuh dari semua infrastruktur dan aktivitas berbahaya, laporan lengkap tentang rute serangan dan tujuan yang diasumsikan, dampak bisnis secara keseluruhan (jam kerja, data yang hilang, implikasi peraturan, dan lainnya sesuai konteks yang bervariasi).
Pemulihan
Tingkat pemulihan dalam hal titik akhir, server, aplikasi, beban kerja cloud, dan data.
Pelajaran yang Dipetik
Bagaimana serangan itu terjadi? Apakah karena kurangnya teknologi keamanan yang memadai, praktik tenaga kerja yang tidak aman, atau yang lainnya? Dan bagaimana kita bisa memperbaiki masalah ini? Berikan refleksi pada tahap sebelumnya di seluruh linimasa proses IR, mencari apa yang harus dipertahankan dan apa yang harus ditingkatkan.
Secara alami, tidak ada satu ukuran untuk semua dalam insiden keamanan. Misalnya, mungkin ada kasus di mana identifikasi dan penahanan akan terjadi hampir seketika bersamaan, sementara di acara lain, penahanan mungkin memakan waktu lebih lama, memerlukan beberapa presentasi tentang status sementaranya. Itulah mengapa template ini bersifat modular dan dapat dengan mudah disesuaikan dengan varian apa pun.
Komunikasi dengan manajemen bukanlah hal yang menyenangkan tetapi merupakan bagian penting dari proses IR itu sendiri. Template IR Reporting to Management yang definitif membantu pimpinan tim keamanan membuat upaya dan hasil mereka sangat jelas bagi manajemen mereka.
Unduh template Definitive IR Reporting to Management di sini.