Quali sono le informazioni più preziose quando si gestisce un evento / evento di sicurezza IT?

6

Attualmente sto esaminando i processi di reporting nella sicurezza delle informazioni e mi chiedevo quale tipo di informazioni dovessero essere segnalate quando si verifica un evento o un incidente di sicurezza IT.

Le definizioni di queste sarebbero (prese da ISO / IEC 27000: 2016)

information security event

identified occurrence of a system, service or network state indicating a possible breach of information security policy or failure of controls, or a previously unknown situation that may be security relevant

information security incident

single or a series of unwanted or unexpected information security events that have a significant probability of compromising business operations and threatening information security

Per dare un po 'di contesto: pensa a una grande azienda che ha circa 150 sedi. La maggior parte di queste sedi impiega da 30 a 500 dipendenti. Vorrei stimare che la mediana fosse di circa 120 dipendenti. Tutto sommato stiamo parlando di circa 70.000 dipendenti. Ogni sede ha il proprio processo di segnalazione. Ciò non significa che ci siano 150 processi diversi, la maggior parte di essi sembrerà praticamente la stessa con solo piccole differenze. Direi che probabilmente ci sono 4 tipi di processi in questo momento:

  1. tipo di processo 1 (il 70% di tutte le posizioni ha questo)
    • si verifica un incidente
    • il dipendente interessato segnala l'incidente alle persone responsabili della sicurezza IT in questa specifica località
    • l'impiegato interessato compila un modulo che gli richiede di inserire un set di informazioni molto piccolo
    • il modulo viene inviato allo staff tecnico, che si trova in loco, che tenta quindi di risolvere il problema
  2. tipo di processo 2 (il 15% di tutte le posizioni ha questo)
    • si verifica un incidente
    • il dipendente interessato segnala l'incidente allo staff tecnico o qualcuno che ritiene responsabile, ma non c'è nessuno responsabile per la sicurezza IT in loco
    • l'impiegato interessato compila un modulo che gli richiede di inserire un set di informazioni molto piccolo
    • il modulo viene inviato allo staff tecnico, che si trova in loco, che tenta quindi di risolvere il problema
  3. tipo di processo 3 (il 10% di tutte le posizioni ha questo)
    • si verifica un incidente
    • il dipendente interessato riporta l'incidente in una grande posizione centrale, che gestisce tutta l'infrastruttura IT per diverse posizioni, inclusa questa. Non c'è nessuno responsabile per la sicurezza IT in loco.
    • l'impiegato interessato compila un modulo che gli richiede di inserire un set di informazioni molto piccolo
    • il modulo viene inviato allo staff tecnico nella posizione centrale, che quindi tenta di risolvere il problema
  4. tipo di processo 4 (il 5% di tutte le posizioni ha questo)
    • si verifica un incidente
    • il dipendente interessato non può segnalare l'incidente, perché non c'è nessuno responsabile per la sicurezza IT in loco o nella sede centrale specificatamente per questo sito
    • il dipendente interessato tenta di trovare una soluzione da solo e quindi contatta un fornitore di terze parti
    • nessuna informazione è stata inserita in nessun modulo

Questa situazione è problematica, ma non è tutto. Di tanto in tanto, incidenti di sicurezza delle informazioni si verificano in massa in diverse posizioni. Se gli incidenti si verificano in luoghi, dove ci sono anche persone che sono responsabili per la sicurezza IT in loco, la maggior parte delle volte queste persone sono sufficientemente qualificate per chiamare la sede centrale e avvisare di una possibile minaccia alla sicurezza a livello aziendale . La posizione centrale può quindi reagire e inserire tutti i moduli che sono stati compilati dai dipendenti interessati. In casi come questo, le informazioni giuste che aiutano a risolvere / risolvere incidenti come questo sono molto preziose.

Puoi immaginare che per un'azienda così grande, praticamente ogni tipo di attacco è possibile / probabile. Ci sono molti controlli di sicurezza, ma succede ancora.

La mia domanda è: quale tipo o tipo di informazioni dovrebbe essere in un ambiente come quello descritto?

Come posso progettare un modulo in un modo, che è abbastanza facile compilare per il personale non esperto di tecnologia, ma abbastanza informativo per il personale tecnico per ottenere informazioni utili e interessanti per risolvere un grave incidente di sicurezza?

MODIFICA 1: Questa azienda ha un CERT a livello aziendale che si trova nella posizione centrale e il CERT è dove verranno analizzati i moduli. Modificherò di nuovo questa domanda in seguito, per fornire ulteriori dettagli su cosa ho esattamente in mente.

    
posta Tom K. 16.08.2017 - 14:39
fonte

1 risposta

3

Da un punto di vista forense, tutte le informazioni sono probabilmente preziose. Ciò include tutto il traffico di rete, tutto il traffico da e verso Internet (comprese eventualmente le connessioni crittografate con TLS ai mailer privati), le immagini di tutte le chiavette USB e gli hard disk mobili utilizzati prima dell'incidente.

Tuttavia, la tua domanda mira a compilare moduli da parte dei dipendenti. Anche se questo potrebbe causare alcuni argomenti in quanto questa è una questione di opinione, proverò a delineare ciò che troverei utile.

Generalmente, le informazioni più specifiche sono più utili delle informazioni generiche. Sebbene non tutti i dipendenti possano rispondere correttamente alle domande tecniche, coloro che lo fanno potrebbero avere informazioni di valore da condividere. Pertanto, fare domande tecniche è generalmente una buona idea.

Quando gli analisti identificano il tipo di problemi sospetti, potrebbero contattare direttamente i dipendenti e porre domande specifiche. Pertanto, le informazioni di contatto devono essere inserite nei moduli.

Poiché domande specifiche spesso portano le persone a tralasciare cose importanti che ritengono irrilevanti, un buon approccio sarebbe chiedere loro di descrivere in dettaglio cosa stavano facendo prima che si verificasse l'incidente, in un lasso di tempo ragionevole di forse 15 minuti.

Inoltre, dovresti chiedere informazioni su ogni singola politica di sicurezza. È noto al dipendente? Il dipendente ha seguito la politica? Se ora, perché no e in quali modi? E assicurati che non ci siano ritorsioni per aver infranto le politiche di sicurezza dell'azienda.

Questo ha due ragioni: a volte, le politiche vengono evitate per un flusso di lavoro migliore o più semplice. Tali casi possono essere rivisti e approcci migliori per facilitare il flusso di lavoro possono essere progettati per il futuro. In secondo luogo, evitare le politiche di sicurezza è spesso il problema e si desidera innanzitutto gestire l'incidente, non punire i dipendenti.

Riguardo le politiche, dopo una dichiarazione di non responsabilità che nessuna delle informazioni avrà una ricaduta disciplinare e il loro capo non lo saprà mai, potrebbe esserci una domanda di esempio: "Ora puoi usare le chiavette USB. Lo sai? segui questo? In caso contrario, si prega di fornire la pen drive (s) che hai usato "

Modifica: sebbene ciò non rientri nella portata della domanda, tali rapporti dovrebbero essere conservati e valutati da un CERT a livello aziendale, dovrebbero avere tutte le informazioni su tutte le filiali locali. Anche se l'incidente può essere gestito dai professionisti IT locali dopo che il CERT centrale ha avuto accesso all'incidente.

    
risposta data 19.08.2017 - 09:38
fonte

Leggi altre domande sui tag