جيد خطة الاستجابة للحوادث يستلزم أدوارًا رئيسية وخططًا وأدلة لعب محددة وإجراءات تم التدرب عليها جيدًا مع تواصل واضح ودقيق. أفضل خطط الاستجابة للحوادث هي تلك المكتوبة بالقلم الرصاص والمراجعة جيدًا والمألوفة تمامًا لأولئك الذين يحتاجون إلى أن يكونوا في الخطوط الأمامية للاستجابة.
هناك بعض الجوانب الحاسمة لأي خطة استجابة للحوادث، أولها هو التقييم. قم بجرد ما حدث. هل هذه إيجابية كاذبة؟ هل تم اختراق النظام أم أن هذه مجرد محاولة؟ عليك أن تفهم ما حدث ويحدث لمعرفة ما يجب فعله حيال ذلك. وعلى المستوى الفني، غالبًا ما يعود هذا إلى السجلات – يعد التأكد من وجود تسجيل قوي عبر جميع الأنظمة “اكتشافًا” شائعًا جدًا من الشركات التي تعرضت مؤخرًا لهجوم إلكتروني أثناء قيامها بمراجعة الحادث بأثر رجعي. قد تعتقد أنك تقوم بالتسجيل بشكل جيد. ضعها بالاختبار.
العنصر التالي في خطة الاستجابة للحوادث هو الاحتواء. تمامًا مثل الاستجابة لحالة طوارئ صحية عامة، يجب عليك فهم مصدر العدوى وعزلها. إذا قام أحد المهاجمين باختراق أنظمتك، فحدد نقاط الوصول هذه وقم بإزالتها من الإنترنت. منع التواصل معهم خوادم القيادة والسيطرة. غالبًا ما يكون قول هذا أسهل من فعله، ولكن هذه الخطوة من العملية ستفصل بين المنظمات الناضجة والمنظمات الضعيفة الاستعداد. تحدث الأخطاء، وكما رأينا على مدى السنوات القليلة الماضية، تظل أساليب التصيد الاحتيالي والهندسة الاجتماعية فعالة للغاية، حتى في المؤسسات الآمنة مثل موفري الهوية الرئيسيين. المفتاح هو مدى السرعة التي يمكنك بها وقف موجة الضرر.
العنصر الثالث لخطة الاستجابة الجيدة للحوادث هو بناء الفريق للاهتمام بالاستجابة. في بعض الأحيان يكون هؤلاء موظفين مخصصين على وجه التحديد مع مسؤولية علاقات المستثمرين وحدهم، وفي أحيان أخرى يكون هؤلاء موظفين مرخص لهم للقيام بدور علاقات المستثمرين في حالة وقوع حوادث. كلاهما على ما يرام، طالما أن الفريق مستعد وممارس جيدًا لأدواره. أحد الأجزاء المهمة من هذا هو تحديد قائد الاستجابة للحوادث، وهو مدير واحد هو صانع القرار الوحيد للحادث ويتم تمكينه من خلال القيادة الفنية للتصرف بسرعة. ويساعد هذا على ضمان عدم وجود أي شك فيما يتعلق بسلطة اتخاذ القرارات الصعبة، حيث أنه غالبًا ما يتعين اتخاذها في مواقف حرجة للغاية من حيث الوقت عندما لا تعمل خطوط التقارير العادية.
بمجرد أن يكون لديك فريقك، مع قائد متخصص لإدارة الحوادث، تكون قد قمت بتقييم الوضع واحتواء تفشي المرض، ويأتي بعد ذلك التعافي من الكوارث. بالنسبة للمؤسسات التي أعمل معها، أنصح بتشغيل أكبر عدد ممكن من عمليات النسخ الاحتياطي/الاسترداد الآلية – على سبيل المثال، كل أسبوع يكون لديك مهمة تلقائية تأخذ تطبيق ويب، وتنشئ إصدارًا جديدًا من التعليمات البرمجية المصدر، وتدور البنية التحتية المرتبطة، وتنسخ قاعدة البيانات من نسخة احتياطية، ثم يتم إطلاقها، مع توجيه حركة المرور إلى النظام الجديد. من منظور تطوير البرمجيات، هذا هو المكان البنية التحتية كرمز يأتي دور. تريد القدرة على كتابة هذه الخطط إلى حد كبير بالكود وإمكانية تشغيلها على أساس منتظم مع تقارير التنفيذ ومقاييس النجاح (نأمل) لمشاركتها مع القيادة الفنية العليا.
أحد الأجزاء الأكثر إغفالًا في خطة الاستجابة للحوادث هي الممارسة لذلك. في كثير من الأحيان، تقوم المؤسسات ببناء خطط ولكنها تفعل ذلك مع فرق تبحث فقط في التعافي من الكوارث أو إدارة المخاطر. يتم بعد ذلك الاحتفاظ بهذه الخطط في صومعة بعيدًا عن الفرق التي تحتاج بالفعل إلى تنفيذ الخطة عند وقوع حادث. ودعونا نواجه الأمر، مع تزايد وتيرة الهجمات وحالات التسوية، نحتاج إلى تحويل عقليتنا من “إذا حدث حل وسط” إلى “عندما يحدث حل وسط”. إن الاعتراف بحدوث حل وسط هو الخطوة الأولى نحو وضع أمني أقوى ومنظمة أكثر مرونة.
الخطوة التالية هي بناء خطة يمكنك ممارستها، وتحتاج إلى ممارستها. ابدأ بخطة صغيرة تغطي الأساسيات: كيف تتعامل مع النسخ الاحتياطية؟ هل يتم الاحتفاظ بها في نظام منفصل عن بيئات تكنولوجيا المعلومات والإنتاج العامة لديك؟ ما مدى سرعة الاستعادة من هذه النسخ الاحتياطية عند الحاجة؟ هل اختبرت ذلك؟
عندما يتعلق الأمر بقياس مدى نضج المؤسسة في التعامل مع الحوادث، هناك درس مفيد حقًا يمكن الاستفادة منه من نظام هندسة موثوقية الموقع. هناك مفهوم يسمى “هندسة الفوضى”، وهو عبارة عن اختبار متعمد للأخطاء للأنظمة لفهم نقاط الانهيار الخاصة بها وإعادة بنائها بشكل أفضل. سيختبر المهندسون مرونة مجموعات الأجهزة الافتراضية أو الخدمات المعبأة في حاويات عن طريق تدمير بعضها عمدًا عن طريق التحميل غير المقصود أو في بعض الأحيان خطأ أمني ومعرفة مدى قدرة شبكة الأنظمة الشاملة على إعادة التوازن وإصلاح نفسها. يمكننا تطبيق هذا المبدأ نفسه على الاستجابة للحوادث. باستخدام هذا النموذج، حاول أن يكون هناك فريق مختلف عن الفريق المسؤول عن التعافي من الكوارث ليتوصل إلى بعض الأجزاء المقاسة من “الفوضى” لحقنها في التكنولوجيا الخاصة بك ومعرفة مدى نجاح خطتك في الممارسة العملية. تكون هذه مفيدة للغاية عندما يكون لديك نهج “عدم الإخطار”، مما يعني أن الفرق التي تقوم بالاستجابة للحوادث لا تعرف أن هذا تدريب إلا بعد الانتهاء من العمل. قد يبدو هذا أمرًا مرهقًا، ولكن إذا قمت بالفعل بإجراء عمليات تدريب ناجحة، فهذه هي الخطوة المنطقية التالية التي ستحسن بشكل كبير من قدرة مؤسستك على الاستجابة للمجهول.
إن إشراك القيادة في جلسات التدريب على الاستجابة للكوارث يمكن أن يحدث فرقًا كبيرًا عندما يتعلق الأمر بالدعم من كبار المسؤولين التنفيذيين. من المهم إشراك القادة غير التقنيين في التخطيط للكوارث وعمل الاستجابة للحوادث من خلال إجراء تمارين سطحية أو اختبار خطة الاستجابة الفعلية. تمكنهم هذه المشاركة المباشرة من مجلس الإدارة من فهم خطورة الوضع، والموافقة على خطة العمل والتأكد من حصول البرنامج على الدعم المؤسسي والتمويل الذي يحتاجه ليكون ناجحًا عند وقوع حوادث إلكترونية.
إليوت ويلكس هو الرئيس التنفيذي للتكنولوجيا في أنظمة الدفاع السيبراني المتقدمة
