Attualmente sto esaminando i processi di reporting nella sicurezza delle informazioni e mi chiedevo quale tipo di informazioni dovessero essere segnalate quando si verifica un evento o un incidente di sicurezza IT.
Le definizioni di queste sarebbero (prese da ISO / IEC 27000: 2016)
information security event
identified occurrence of a system, service or network state indicating a possible breach of information security policy or failure of controls, or a previously unknown situation that may be security relevant
information security incident
single or a series of unwanted or unexpected information security events that have a significant probability of compromising business operations and threatening information security
Per dare un po 'di contesto: pensa a una grande azienda che ha circa 150 sedi. La maggior parte di queste sedi impiega da 30 a 500 dipendenti. Vorrei stimare che la mediana fosse di circa 120 dipendenti. Tutto sommato stiamo parlando di circa 70.000 dipendenti. Ogni sede ha il proprio processo di segnalazione. Ciò non significa che ci siano 150 processi diversi, la maggior parte di essi sembrerà praticamente la stessa con solo piccole differenze. Direi che probabilmente ci sono 4 tipi di processi in questo momento:
- tipo di processo 1 (il 70% di tutte le posizioni ha questo)
- si verifica un incidente
- il dipendente interessato segnala l'incidente alle persone responsabili della sicurezza IT in questa specifica località
- l'impiegato interessato compila un modulo che gli richiede di inserire un set di informazioni molto piccolo
- il modulo viene inviato allo staff tecnico, che si trova in loco, che tenta quindi di risolvere il problema
- tipo di processo 2 (il 15% di tutte le posizioni ha questo)
- si verifica un incidente
- il dipendente interessato segnala l'incidente allo staff tecnico o qualcuno che ritiene responsabile, ma non c'è nessuno responsabile per la sicurezza IT in loco
- l'impiegato interessato compila un modulo che gli richiede di inserire un set di informazioni molto piccolo
- il modulo viene inviato allo staff tecnico, che si trova in loco, che tenta quindi di risolvere il problema
- tipo di processo 3 (il 10% di tutte le posizioni ha questo)
- si verifica un incidente
- il dipendente interessato riporta l'incidente in una grande posizione centrale, che gestisce tutta l'infrastruttura IT per diverse posizioni, inclusa questa. Non c'è nessuno responsabile per la sicurezza IT in loco.
- l'impiegato interessato compila un modulo che gli richiede di inserire un set di informazioni molto piccolo
- il modulo viene inviato allo staff tecnico nella posizione centrale, che quindi tenta di risolvere il problema
- tipo di processo 4 (il 5% di tutte le posizioni ha questo)
- si verifica un incidente
- il dipendente interessato non può segnalare l'incidente, perché non c'è nessuno responsabile per la sicurezza IT in loco o nella sede centrale specificatamente per questo sito
- il dipendente interessato tenta di trovare una soluzione da solo e quindi contatta un fornitore di terze parti
- nessuna informazione è stata inserita in nessun modulo
Questa situazione è problematica, ma non è tutto. Di tanto in tanto, incidenti di sicurezza delle informazioni si verificano in massa in diverse posizioni. Se gli incidenti si verificano in luoghi, dove ci sono anche persone che sono responsabili per la sicurezza IT in loco, la maggior parte delle volte queste persone sono sufficientemente qualificate per chiamare la sede centrale e avvisare di una possibile minaccia alla sicurezza a livello aziendale . La posizione centrale può quindi reagire e inserire tutti i moduli che sono stati compilati dai dipendenti interessati. In casi come questo, le informazioni giuste che aiutano a risolvere / risolvere incidenti come questo sono molto preziose.
Puoi immaginare che per un'azienda così grande, praticamente ogni tipo di attacco è possibile / probabile. Ci sono molti controlli di sicurezza, ma succede ancora.
La mia domanda è: quale tipo o tipo di informazioni dovrebbe essere in un ambiente come quello descritto?
Come posso progettare un modulo in un modo, che è abbastanza facile compilare per il personale non esperto di tecnologia, ma abbastanza informativo per il personale tecnico per ottenere informazioni utili e interessanti per risolvere un grave incidente di sicurezza?
MODIFICA 1: Questa azienda ha un CERT a livello aziendale che si trova nella posizione centrale e il CERT è dove verranno analizzati i moduli. Modificherò di nuovo questa domanda in seguito, per fornire ulteriori dettagli su cosa ho esattamente in mente.