您从未知道过的事件响应计划

通过使用现有业务连续性计划(BCP)的关键组件,可以使事件响应计划获得领先的五种策略。

商业视频ts
Thinkstock

今天的计算机事件与过去相去甚远。如今,涉及数据泄露的计算机事件可能导致企业和领导层瘫痪,其方式与地震或火灾可能通过物理业务中断而摧毁一家公司的方式几乎相同,甚至更大。数据泄露,例如 目标 已经表明,具有快速识别事件并提升为适当领导能力的能力是至关重要的业务能力。

为什么不利用现有业务连续性计划(BCP)来构建计算机事件响应计划(CIRP),而不是重新发明轮子?业务连续性计划很可能已经到位,并且可能已经有一定程度的审查和执行。通过利用现有BCP和资源的重要元素,安全团队可以快速启动CIRP,并获得更快,响应更快的组织。

[也是CSO: 业务连续性和灾难恢复计划:基础 ]

以下是五种策略,可帮助您通过使用BCP的内置组件和现有组件来制定事件响应计划。

1.      使用现有的业务恢复结构和组织

现有的BCP通常具有布局合理的管理和报告结构,该结构将在停机期间激活。与其为CIRP创建单独的报告和管理结构,不如尝试并使用现有的BCP结构。在领导层戴上帽子的中小型组织中,很有可能您会发现CIRP和BCP的管理响应团队之间有75%或更多的重叠。

通常因业务连续性事件而受聘的领导团队很可能由同一位高级管理人员组成,他们将需要考虑与计算机相关的事件。我将把这两个计划中的领导团队合并为一个业务连续性和计算机事件响应计划共有的领导团队。例如,在发生计算机事件的情况下,内部审计团队将需要介入,但在业务连续性事件中可能并非如此。另一方面,在业务连续性事件中,物理安全团队肯定需要处于循环中,但不一定需要在审核团队中。但是,一个普通的领导团队可以包括来自审计和物理安全团队的领导,可以根据需要对他们进行调动以应对事件响应。

2.      结合角色和责任

业务恢复协调员是围绕谁来轮流对业务中断做出响应的中心人物。事件响应管理器在CIRP计划中扮演类似角色。此外,业务连续性经理通常还会向信息安全团队报告。与其为业务连续性安排一个单独的协调员,而对于计算机事件响应没有另一个协调员/管理者,可以考虑为这两者使用同一角色和业务连续性人员。

3.      重用流程

触发响应和与领导团队沟通的方法也将有很多共同点。例如,在BCP和CIRP中,事件响应管理器用于分类和确定初始事件严重性并逐步升级的角色和过程都可以相似。

4.      常用联系信息

BCP通常具有定义明确的呼叫树和组织层次结构,并且已经确定了联系信息。在许多情况下,此信息是最新的。利用此信息并在CIRP中引用此BCP联系信息,而不是尝试维护单独的并行系统

5.      结合练习

BCP程序通常每年进行一次练习,其中尝试进行桌面模拟或实际练习。通常的情况是火灾,停电,地震等。请考虑将年度BCP练习与CIRP练习结合起来。该练习可以使用与数据泄露相关的事件或加密锁删除作为练习方案。使用与计算机相关的事件可以使高层管理者了解与计算机相关的中断或破坏的重要性,并可以提高认识到,与计算机相关的事件的规模可以与传统物理安全中断相比并超过。

业务连续性计划和计算机事件响应计划之间的重叠程度可以相差很大。对于某些组织来说,将两者完全结合并具有单个事件响应计划可能是一种良好的商业意识。对于其他依赖于监管环境的方案,最好还是将两个计划保持分开,但在可能的情况下合并要素。

[也是CSO: 确保灾难发生时做好准备的10条提示 ]

归根结底,业务连续性计划和计算机事件响应计划都要求定义经理,建立领导决策和沟通流程,并引入适当的团队和资源进行补救和恢复。在这两种情况下,决策的速度和快速的响应都是责任。拥有一支经过培训并知道其角色的团队,比需要额外开销的多个团队和文档要有效得多。

版权© 2015 IDG通讯,Inc.