Qual è la procedura da seguire contro una violazione della sicurezza?

9

La settimana scorsa, un paio di ragazzi sono stati licenziati dalla compagnia per cui lavoro; tutti avevano accesso a informazioni sensibili.

Uno di questi ha cancellato tutte le e-mail dal server di posta, ha inviato un'enorme e-mail alla maggior parte dei nostri clienti, insultandoli e dicendo loro di non fare affari con noi perché "facciamo schifo". Letteralmente.

Gli amministratori di sistema non sono riusciti a rimuovere le loro credenziali per i server quando sono stati licenziati, un errore molto comune, sfortunatamente. Gli attuali amministratori di sistema non sembrano sapere cosa fare in questo scenario. Nemmeno io devo essere onesto e vorrei sapere qual è la normale procedura da seguire in caso di violazione della sicurezza, quindi posso formulare una raccomandazione per implementarla in azienda.

    
posta ILikeTacos 08.05.2012 - 18:51
fonte

2 risposte

12

Serverfault ha una grande risposta canonica su " cosa dovremmo fare ora per ripulire questo casino ", così io Prenderò una pugnalata a "cosa dovremmo fare per evitare che ciò accada di nuovo".

  • La tua organizzazione deve stabilire un processo di "uscita dai dipendenti" e attenersi ad esso.
  • La tua organizzazione dovrà risolvere se devono trattare tutte le terminazioni allo stesso modo, o in modo diverso tra le terminazioni "ostili" e "non ostili", o in modo diverso tra i dipendenti regolari e quelli con accesso a informazioni sensibili.
  • L'IT deve documentare le procedure per la chiusura di ogni account che un dipendente potrebbe avere, inclusi gli account IT che non controlla .
  • L'IT deve mantenere un registro degli account dei dipendenti che consenta loro di identificare immediatamente gli account di un dato dipendente. (Questo può essere molto lavoro.)
  • L'IT deve disporre di un elenco di tutti gli account generici e di chi conosce le password. Devono anche rimuovere il maggior numero possibile di account generici, idealmente tutti.
  • Quando viene presa la decisione di "ostile", le risorse umane devono incontrarsi preventivamente con l'IT e pianificare in modo che gli account siano tutti disattivati mentre il dipendente sta imparando che sono stati interrotti .
  • Contemporaneamente alla chiusura degli account, è necessario proteggere l'hardware del computer e i badge ID.

IT, risorse umane e senior management devono tutti impegnarsi per quanto sopra.

Inoltre, dalla tua domanda risulta anche che le tue procedure di backup non sono buone - risolvi il problema. (Non dimenticarti di proteggere i tuoi backup, in particolare cerca di non avere nessuno autorizzato a cancellare sia gli originali che i backup.)

    
risposta data 08.05.2012 - 19:20
fonte
2

Quello che segue è quello che farei, data la tua situazione.

  1. Ripristina le e-mail da un precedente backup. Se li hanno cancellati, supponiamo che abbiano qualcosa da nascondere.
  2. Contatta un professionista in grado di controllare i tuoi sistemi e assicurarti che non ci siano backdoor o buchi di rete che non vengono rimossi dalla terminazione (credenziali webmail / vpn / blackberry, connessioni RDC, file, ecc.)
  3. Confronta i backup dei tuoi file dal giorno della chiusura alla notte precedente. Ripristina tutti i file che potrebbero essere stati cancellati.
  4. Arruola il tuo team di PR / Comunicazione in quanto dovrai eseguire un controllo sui danni per quanto riguarda l'e-mail che è stata inviata.
  5. Come affermato da Graham, è necessario creare una serie di criteri e una "lista di controllo partenza dipendenti" per evitare che ciò accada.
  6. Hai bisogno di sederti con le risorse umane e l'alta direzione per discutere le procedure di terminazione in quanto tipicamente devono essere ben orchestrate (vale a dire assicurarsi che il dipendente non stia attorno a un computer mentre sta accadendo e chiedere all'IT di bloccare i sistemi mentre sta accadendo ecc.)
  7. A seconda del livello di auditing (e giudicando dalla tua situazione, assumerò che tu non abbia molto), vedi quali file sono stati consultati e modificati dalla partenza.
  8. Tieni sotto controllo le tue e-mail lasciando il tuo sistema - se i dipendenti hanno ancora degli amici potrebbero ancora divulgare segreti commerciali / informazioni aziendali riservate ai loro amici terminati.

Spero che ti aiuti!

    
risposta data 08.05.2012 - 19:30
fonte

Leggi altre domande sui tag