網(wǎng)+線下沙龍 | 移動APP模式創(chuàng)新：給你一個做APP的理由>>

《地球戰(zhàn)栗》作者Ayn Rand曾經(jīng)說：“最難理解的莫過于平時習(xí)以為常的事情出了狀況。”這種說法非常適用于IT和信息社區(qū)在事件響應(yīng)方面的做法。每家企業(yè)都看似安全、合規(guī)且能夠處理任何發(fā)生的安全事件，當(dāng)然，等事情真正發(fā)生時就不是那么回事兒了。事實上，企業(yè)的事件響應(yīng)政策存在很多空白、漏洞和不足。作為IT或安全管理人員，事件發(fā)生后，你會突然變成被關(guān)注的焦點，但是很多情況下，你都沒做好準(zhǔn)備。

很多事件響應(yīng)計劃只是理論，而沒有實際做法。而恰恰企業(yè)應(yīng)該制定明確做法，在事件或泄露事故發(fā)生后可供大家遵循。請不要再使用非正式政策，這些政策通常不會被強(qiáng)制執(zhí)行，大多數(shù)人也不重視。如今，詳細(xì)的安全事件響應(yīng)政策或計劃與企業(yè)災(zāi)難恢復(fù)計劃一樣重要，甚至要更加重要。如果你沒有事件響應(yīng)策略或可行程序，那么是時候開始部署了。不過，你應(yīng)該避免犯這些錯誤：

• 在沒有全部正確信息的情況下作出決策

正如豎立IT和安全目標(biāo)能夠指引你朝正確的方向前進(jìn)，你需要從系統(tǒng)和人員那里獲取良好的信息以有效應(yīng)對安全事件。不過，對于某些事件，有些人會對發(fā)生的事情找合理化借口，并將原本不好的事情說成好的事情。在很多情況下，人們在完全沒有任何信息的情況下作出決策，這對企業(yè)安全來說很不好。

• 專注于清單項目而不是流程

現(xiàn)實情況是，很多企業(yè)并沒有對其信息風(fēng)險進(jìn)行真正的評估。大多數(shù)IT和安全專業(yè)人員不知道敏感信息的位置;在數(shù)據(jù)泄露的情況下，非常難以發(fā)現(xiàn)哪些系統(tǒng)和信息已被泄露。對于網(wǎng)絡(luò)事件響應(yīng)，企業(yè)不應(yīng)該使用核對清單，應(yīng)注重流程。

• 行動速度不夠快

部署事件響應(yīng)政策的首要目標(biāo)之一是：保持與任何隨后調(diào)查有關(guān)的系統(tǒng)、信息和日志記錄的完整性。企業(yè)應(yīng)該獲取這些信息并使其隨時可用。理想情況下，你應(yīng)該有外部事件響應(yīng)和隨時協(xié)助取證公司的任何調(diào)查。

• 律師沒有作為事件響應(yīng)領(lǐng)導(dǎo)者

在法律方面，關(guān)鍵策略是獲取和維持律師-委托人特權(quán)。你的律師應(yīng)該起領(lǐng)導(dǎo)作用，特別是要擔(dān)負(fù)起與安全團(tuán)隊成員及外部供應(yīng)商聯(lián)系的主要人員。

• 沒有提前準(zhǔn)備適當(dāng)?shù)墓ぞ?/strong>

當(dāng)事件響應(yīng)是“事后將軍”時，部署必要的安全和取證工具來協(xié)助事件調(diào)查通常已經(jīng)為時過晚。企業(yè)應(yīng)該在需要工具前就購買適當(dāng)?shù)墓ぞ撸缛罩揪酆稀IEM和取證分析，無論是內(nèi)部使用還是外包。否則，你無法知道你何時需要這些工具。

• 沒有制定公共關(guān)系策略

很多人認(rèn)為當(dāng)事件變得很糟糕時，管理層會把事情處理好。你知道應(yīng)該找哪位高管來獲取必要的信息嗎?如果長期聲譽(yù)非常重要，則應(yīng)該確定誰可以代表企業(yè)發(fā)言。如果有疑問，企業(yè)可以提前聘請外部公關(guān)公司。

無論企業(yè)信息事件響應(yīng)政策的成熟度水平或者方法如何，管理層都應(yīng)參與其中。他們需要將事件響應(yīng)視為信息安全的核心功能，在整個業(yè)務(wù)連續(xù)性和靈活性方面發(fā)揮重要作用。如果他們明白這一點，那么，當(dāng)事件發(fā)生時每個人都會齊心協(xié)力，從而簡化原本痛苦而復(fù)雜的過程。如果他們無法理解，眼下可能順風(fēng)順?biāo)?dāng)事件發(fā)生時，則全都遭殃。

請退一步想想企業(yè)在過去是如何響應(yīng)安全問題的，以及在未來企業(yè)應(yīng)該如何響應(yīng)安全事件。現(xiàn)在應(yīng)該著手調(diào)整企業(yè)事件響應(yīng)政策了，做到未雨綢繆。

【編輯推薦】