Reakce na incidenty je proces přípravy na kybernetické bezpečnostní hrozby, jejich detekce v okamžiku jejich vzniku, reakce na jejich potlačení nebo zmírnění a plánování další. Organizace spravují své informace o hrozbách a jejich zmírňování pomocí plánování reakce na incidenty: pro velké společnosti, které zpracovávají citlivá data, je to zvláště důležité. Každá organizace ale může přijít o peníze, data a reputaci kvůli hrozbám kybernetické bezpečnosti.
Reakce na mimořádné události vyžaduje sestavení týmu lidí z různých oddělení v organizaci, včetně některých ve vedení, některých v IT a některých v oblasti kontroly / dodržování předpisů. Na základě priorit společnosti a právních požadavků musí tento tým:
- Naplánujte, jak analyzovat data a sítě kvůli možným hrozbám a podezřelé aktivitě
- Rozhodněte se, na které incidenty byste měli obdržet odpověď jako první
- Plán pro ztrátu dat a financí
- Dodržujte všechny příslušné zákony
- Buďte připraveni po porušení předložit údaje a dokumentaci úřadům
I když ne všechny mohou mít za následek odcizení citlivých dat nebo finanční ztrátu, narušení dat jsou běžná a často k nim dochází ve velkých podnicích. Proaktivní předcházení kybernetickým porušením zahrnuje:
- Školení zaměstnanců, aby si byli vědomi taktiky sociálního inženýrství, jako jsou škodlivé odkazy v e-mailech nebo žádosti o soukromé informace
- Rozvoj strategií řízení rizik
- Implementace bezpečnostních opatření pro detekci a odezvu koncových bodů pro celou organizaci a všechna zařízení
- Vyhýbejte se informačním silám tím, že budete každého zaměstnance v týmu IR zapojovat a uvědomovat
- Zvyšování zabezpečení kolem privilegovaných přístupových účtů, díky nimž útočníci často získávají přístup k citlivým informacím
- Důkladná analýza všech dat společnosti, možná v datovém jezeře, aby nebyly utlumeny žádné informace a aby bylo možné snáze sledovat hrozby
- Automatizace informací o hrozbách, aby zaměstnanci IT nebyli ohromeni; nebudou moci dostatečně analyzovat všechna data bez pomoci strojového učení
Reakce na incidenty není jen o tom, jak se vyhnout porušení, ale také reagovat, když k nim dojde poprvé. Bezpečnostní řešení, která společnost implementovala, upozorní tým na incident; zda to bude brzy, záleží na řešení a na tom, jak úspěšně je implementováno. XDR je jedno z nejlepších řešení: je komplexní a pro lepší viditelnost a detekci sleduje všechny rohy sítě, nikoli jen jednu či dvě.
Reakce na incidenty může být pro organizace velmi zdrcujícím procesem, zejména proto, že správa obrovského množství dat je bez pokročilé technologie a automatizace téměř nemožná. Je to však zásadní pro ochranu dat, nejen soukromých sítí organizace, ale také uložených informací o zákaznících. Je také nezbytný pro dodržování zákonů o ochraně osobních údajů.
Reakce na incidenty a dodržování předpisů
Odezva na mimořádné události se stala velmi důležitou od roku 2018, kdy vstoupilo v platnost nařízení GDPR, a brzy následovala CCPA. Například GDPR má extrémně přísné předpisy o hlášení porušení. Pokud je třeba nahlásit konkrétní porušení, společnost o tom musí vědět do 72 hodin a informovat příslušné orgány o tom, co se stalo. Nejen to, musí poskytnout zprávu o tom, co se stalo, mít dobrou představu o tom, jak a kde v síti došlo k porušení, a předložit aktivní plán ke zmírnění škod. Pokud společnost nemá předdefinovaný plán reakce na incidenty, nebude připravena takovou zprávu předložit.
GDPR chce zjistit nejen to, co se stalo, ale také to, zda měla organizace předem zavedena vhodná bezpečnostní opatření. Společnosti mohou být přísně penalizovány, pokud jsou prošetřeny po porušení a úředníci zjistí, že nemají odpovídající zabezpečení.