Procesy

7 nawyków skutecznego zarządzania incydentami – zaczynaj z wizją końca

1 Comment

7 nawyków skutecznego zarządzania incydentami - zaczynaj z wizją końca

Wstęp

Drugi nawyk, który Covey wymienia w swoim opracowaniu, dotyczy posiadania wizji końca podejmowanych działań. By to zobrazować, zachęca do zrobienia ćwiczenia myślowego, mającego na celu wyobrażenie sobie siebie samego na własnym pogrzebie. Co chciałbyś usłyszeć o sobie od znajomych, współpracowników, szefa, rodziny, a w końcu najbliższych Ci osób? Na pierwszy rzut oka, przykład ten wydaje się dość przerażający. Po co za życia rozważać tego typu kwestie? Nie mniej jednak jest w tym głęboki sens. Jeśli coś robisz, pomyśl, jaki da Ci to wynik na końcu. Czy w ogóle warto było zaczynać? Na bazie kilku przykładów chciałbym przedstawić Ci, w jaki sposób podejście – zaczynaj z wizją końca, może pozytywne wpłynąć na zarządzanie incydentami cyberbezpieczeństwa?

System zarządzania wiedzą

Z pewnością temat na oddzielny wpis, z uwagi na jego ogromną wartość w procesie zarządzania incydentami cyberbezpieczeństwa. Tu tylko zasygnalizuję jeden element. Brak wiedzy na jakiś temat, nie ułatwia podjęciu decyzji. W zarządzaniu incydentami cyberbezpieczeństwa ciągle operujemy w obszarze niepewności. Jeśli na to nałożymy konieczność podejmowania decyzji w formie reakcji na incydent, to mamy gotowy przepis na sytuację wysoce stresującą. Sztuką jest, by redukować niepewność do takiego poziomu, który powoli nam na „w miarę” komfortowe podjęcie decyzji. W tej sprawie z pomocą przychodzą nam systemy zarządzania wiedzą. Starając się zastosować drugi nawyk, należy przy wyborze, a następnie projektowaniu, implementacji tego typu narzędzi, odpowiedzieć sobie na pytanie. O co tak naprawdę chcemy odpytać system? Czy zarządzając kolejnym incydentem, chcę wiedzieć jak obsługiwano podobny incydent w przeszłości, jakie podjęto kroki? Czy chcę mieć dostęp do ustrukturyzowanych „Lessons Learned”? Wiem, że może pytania te są tendencyjne, ale odpowiedzi na nie już nie są. Warto więc zadać sobie tego typu pytania przed wyborem narzędzia, które ma nas wspierać w procesie podejmowania decyzji.

Im wyższa jakość dostarczonych informacji, tym dokładniejsza i wyważona odpowiedź na zaistniały incydent.

Plany reakcji

W poprzednim wpisie 7 nawyków skutecznego działania w zarządzaniu incydentami cyberbezpieczeństwa – bądź proaktywny wymieniłem plany reakcji na incydent, jako element bycia proaktywnym. Obecnie chciałbym skupić Waszą uwagę na świadomym określeniu „wizji/celu” takiego planu. Myślę, że warto zadać sobie kilka pytań, a w szczególności jedno najważniejsze, które brzmi: „Po co w ogóle tworzymy plany reakcji?” Czy to kolejny dokument z serii tzw. „pułkowników” – no wiecie, napisany i odstawiony na półkę, czy raczej ma czemuś służyć? Uważam więc, że tak zadane pytanie i szczera odpowiedź na nie ukierunkuje dalsze działania. Chciałbym podkreślić w tym miejscu, że nie ważne jest, jaką masz odpowiedź, każda z nich jest poprawna. Tu z pomocą przychodzi nam zarządzanie ryzykiem. Jeśli z naszego punktu widzenia najważniejsze jest bycie zgodnym z regulacjami, co niekoniecznie znaczy posiadanie solidnych zdolności w zakresie zarządzania incydentami cyberbezpieczeństwa i akceptujemy ryzyko, że mamy tzw. „paper security”, niech tak będzie. Jeśli z kolei mamy świadomość faktu, że nasz biznes eksponowany jest na cyber zagrożenia a każdy poważny atak może zakończyć się dla nas przykrymi konsekwencjami w postaci np. bardzo wysokich kar lub nawet zamknięciem naszej działalności, to z pewnością dużą wagę przyłożymy do tego, by nasze plany reakcji były skuteczne. Pamiętaj jednak, że działania, które podejmujemy podlegają wielu ograniczeniom, funkcjonujemy w otoczeniu różnego poziomu ryzyka, mamy inne cele do spełnienia.

System rejestracji incydentów

Podobne pytania należy zadać sobie w zakresie wyboru oraz konfiguracji systemu rejestracji incydentów. Co na końcu chcemy osiągnąć? Czy wystarczy nam przysłowiowy Excel, czy jednak potrzebujemy platformy do współpracy, wymiany myśli, wiedzy, w którym to możemy zaplanować przepływy informacji? W mojej ocenie i z pewnością nie jest to nic odkrywczego, na końcu powinniśmy osiągnąć w pełni sprawne narzędzie, które będzie wspierało system decyzyjny. Kilka słów o tym znajdziecie w poniższym wpisie coś o systemie informacyjnym. Dla mnie właśnie obsługa incydentów to przede wszystkim:

  • ciągłe zasilanie w informacje, budowanie świadomości tzw. operacyjnej.
  • podejmowanie decyzji na różnych szczeblach organizacji.

Im wyższa jakość dostarczonych informacji, tym dokładniejsza i wyważona odpowiedź na zaistniały incydent.

Plan komunikacji

Wydzieliłem to jako odrębny element, gdyż w mojej ocenie plan komunikacji jest jednym z kluczowych elementów zdolności organizacji w zakresie zarządzania incydentami cyberbezpieczeństwa. Tylko znów pojawia się pytanie co rozumiemy poprzez plan komunikacji. Co chcemy osiągnąć na końcu? Czy to tylko i wyłącznie lista kontaktowa na wypadek wystąpienia incydentu cyberbezpieczeństwa, mówiąca o tym, kiedy zadzwonić do CISO, a kiedy do Prezesa, no i w którym momencie powiadomić regulatora? Tu z kolei zaczynają piętrzyć się kolejne pytania. Czy komunikować o wszystkim, czy może tylko o wybranych zdarzeniach? A jeśli o wybranych, to o których? Istotnym jest tutaj posługiwanie się wspólnym słownikiem definicji i pojęć, by nie dochodziło do nieporozumień. Jeśli nie mieliście jeszcze okazji zapoznać się z tymi zagadnieniami, odsyłam Was do tego wpisu „Zdarzenie, alert, incydent”.

Ostatnio natknąłem się na bardzo ciekawy webinar, w którym poruszana była kwestia projektowania komunikacji.

Myślę, że można dojść do bardzo interesujących wniosków, np. do takiego, że de facto wszystko praktycznie co tworzymy jest formą komunikacji. Uważam więc, że projektując procesy zarządzania incydentami cyberbezpieczeństwa, należy uwzględniać element komunikacji na każdym etapie i w każdym szczególe. Żeby to osiągnąć, musimy zaczynać z wizją końca.

Podsumowanie

Uważam, że podejście – zaczynaj z wizją końca, jest bardzo ciekawym i dającym wiele korzyści. Wiedząc, co chcemy osiągnąć na końcu, przede wszystkim nie błądzimy, nie marnujemy energii na  zbędne czynności w myśl zasady – robić, żeby robić. Jeśli podobał Ci się wpis, zostaw komentarz pod wpisem, podziel się swoją opinią lub napisz do mnie na adres marcin.sikorski@ctrust.me

7 nawyków skutecznego zarządzania incydentami – zaczynaj z wizją końca Read More »

7 nawyków skutecznego zarządzania incydentami – bądź proaktywny

Zostaw komentarz

7 nawyków skutecznego zarządzania incydentami - bądź proaktywny

Wstęp

„7 nawyków skutecznego działania” to książka o rozwoju osobistym, którego autora, dla osób interesujących się tym zagadnieniem, nie muszę przedstawiać. Stephen Covey, o którym mowa, opisuje zasady postępowania, które w znaczący sposób mogą wpłynąć na poprawę jakości naszego życia. Zainspirowany lekturą książki, przyszło mi na myśl, że skoro opisywane nawyki są ponadczasowe, a rzeczywiście są, dlaczego nie zastosować ich w ramach procesów zarządzania incydentami cyberbezpieczeństwa? 

Dalsze rozmyślania na ten temat, tylko i wyłącznie utwierdziły mnie w przekonaniu, że „7 nawyków skutecznego działania”, można by potraktować jak swego rodzaju pryncypia, czyli podstawowe wartości, jakie zawsze powinny być obecne w ramach budowanych zdolności zarządzania incydentami cyberbezpieczeństwa w organizacji. Kto wie? Może właśnie wymyśliłem jakąś nową metodykę?

Covey w swojej książce dość szczegółowo, z przykładami opisuje tytułowe 7 nawyków, do których zalicza:

Tym artykułem chciałbym rozpocząć serię wpisów, w ramach których pokażę moje spojrzenie na zarządzanie incydentami, w ujęciu poszczególnych nawyków.

Bądź proaktywny

Z pewnością nie jest wielkim odkryciem stwierdzenie, że postawa proaktywna jest w zdecydowanej większości dużo lepsza niż postawa reaktywna. Można by powiedzieć, że samo stwierdzenie „reagowanie na incydenty”, nacechowane jest raczej postawą reaktywną, wyczekującą niż proaktywną, poszukującą. Chociażby z tego powodu wyłoniła się domena w cyberbezpieczeństwie nazwana threat huntingiem, czyli aktywnym poszukiwaniem zagrożeń w infrastrukturze organizacji. Nie o tym dziś będzie, a o tym, w jaki sposób proaktywnie podejść do kwestii zarządzania incydentami cyberbezpieczeństwa.

Proaktywność vs Reaktywność

Tu należy jeszcze zrobić małą dygresję. Covey stawia znak równości pomiędzy proaktywnością a odpowiedzialnością. Według niego człowiek proaktywny, to taki, który nie szuka wymówek, usprawiedliwień. On po prostu działa. W każdej sytuacji, której doświadcza, upatruje szansy na rozwój. To osoba, która zajmuje się rzeczami, na które ma realny wpływ i jednocześnie ignoruje te, na które wpływu nie ma. Działa racjonalnie w stosunku do sytuacji. Tym właśnie postawa proaktywna różni się od postawy reaktywnej. Ta druga to przede wszystkim ciągłe narzekanie, obwinianie innych za powstałe błędy, negatywne reakcje na pojawiające się sytuacje. Znacie może tego typu zachowania z Waszego otoczenia? Napiszcie w komentarzu, bo naprawdę jestem zainteresowany, z jakimi postawami mieliście częściej do czynienia.

Proaktywność w zarządzaniu

Myślę, by stwierdzić stanowczo, że stosuję się do zasady bycia proaktywnym, zacząłbym od następujących kwestii.

Analiza ryzyka

Uważam, że istotnym elementem w proaktywnym podejściu do zarządzania incydentami cyberbezpieczeństwa jest prowadzenie ciągłej analizy ryzyka ich wystąpienia. Tak na marginesie wymóg ten regulowany jest Ustawą o Krajowym Systemie Cyberbezpieczeństwa. Nie wiem czemu, panuje ogólne przekonanie, że analiza ryzyka to zło konieczne, albo wróżenie z fusów. Oczywiście nie jesteśmy w stanie przewidzieć każdego wariantu. Jednak pamiętaj, że to jest proces ciągły. Może nie masz dziś pełnej wiedzy o wszystkich zagrożeniach. Może potrzebujesz większej „widoczności” w eksploatowanych systemach w postaci rozszerzenia monitoringu. Istotne jest, że wartość, jaka płynie z przeprowadzenia takiego ćwiczenia to budowanie Twojej świadomości, świadomości Twoich przełożonych, klientów biznesowym w zakresie potencjalnego ryzyka. Od tego już tylko krok do podejmowania świadomych decyzji w zakresie reagowania na zaistniałe incydenty cyberbezpieczeństwa, ale przede wszystkim trwałe, długoterminowe budowanie odporności organizacji na cyberzagrożenia. Świadome decyzje z kolei, to odpowiedni, adekwatny do ryzyka, dobór mechanizmów bezpieczeństwa. Nie chce się dalej rozpisywać na temat płynących korzyści, w tym finansowych.

Plany reakcji

Opracowanie zawczasu planów reakcji na poszczególne typy incydentów i ich rzeczywiste, okresowe testowanie, to oszczędność czasu, pieniędzy, jak również nerwów. Już pisałem o tym, że w sytuacji wystąpienia poważnego incydentu cyberbezpieczeństwa, panująca atmosfera wśród personelu jest często daleka od pożądanej określana w potocznym języku stwierdzeniem „pożar w b******”. Oczywiście konsekwencją tego jest również szukanie za wszelką cenę winnego. Znów mała dygresja. Przy tej okazji gorąco polecam książkę „Ekstremalne przywództwo. Elitarne praktyki NAVY Seals w zarządzaniu”.

Ok. Czyli plany reakcji i koniecznie ich testowanie. Celem testów jest wyuczenie w nas określonych nawyków, które pozwolą, w trakcie wystąpienia incydentu, na racjonalne spojrzenie na sprawę i zastosowanie adekwatnych środków odpowiedzi na incydent. Unikamy wtedy pośpiechu i zmniejszamy prawdopodobieństwo popełnienia błędów. Pamiętaj czasem wolniej, znaczy szybciej.

Pamiętaj czasem wolniej znaczy szybciej.

Uczenie się na błędach - Lessons Learned

Bardzo ważny temat, niestety dość często zaniedbywany. Dzieje się tak dlatego, że dotyczy usprawnień procesu, a co za tym idzie, konieczności zmiany naszych zachowań. A czy zgadzamy się, czy nie, człowiek jest z natury leniwy. Do każdej zmiany, która wymaga wysiłku, podchodzi z niechęcią. Myślę, że kwestią Lessons learned zajmę się w oddzielnym wpisie, z uwagi na ich ogromne znaczenie w całym procesie zarządzania incydentami cyberbezpieczeństwa. Swoją drogą bardzo ciekawa książka, którą polecam w tej tematyce – Lessons Learned Practical Approaches to Learning from Experience 1st Edition

Podsumowanie

Proaktywność jest pierwszym nawykiem, który powinniśmy utrwalać, by stała się naszym naturalnym zachowaniem. Postawą proaktywną powinny cechować się wszystkie osoby realizujące czynności w ramach procesu zarządzania incydentami cyberbezpieczeństwa, a w szczególności  osoby odpowiedzialne za kwestie zarządzania, będące dyrektorami, kierownikami czy po prostu liderami w swoich zespołach, które nadają kierunki rozwoju zdolnościom organizacji w zakresie zarządzania incydentami cyberbezpieczeństwa.

7 nawyków skutecznego zarządzania incydentami – bądź proaktywny Read More »

Zdarzenie, Alert, Incydent

Zostaw komentarz

Zdarzenie, Alert, Incydent

W poprzednim wpisie, dotyczącym systemu informacyjnego, przywołałem podstawowe definicje, jak: zdarzenie, alert oraz incydent. W mojej ocenie zdefiniowanie tych pojęć winno być jednym z pierwszych kroków organizacji na drodze ku budowie trwałych zdolności w obszarze obsługi incydentów cyberbezpieczeństwa. Ważne jest, byśmy wszyscy mówili, a przede wszystkim rozumieli w ten sam sposób słownictwo, którym się posługujemy. Dzięki temu możemy zaoszczędzić sporo czasu, pieniędzy, jak również nerwów. Więc jak to jest w praktyce?

Zdarzenie

Jak już wspomniałem, Zdarzeniem jest wszystko to, co możemy zaobserwować w systemie. Znając życie, ktoś zapyta, a czym właściwie jest ten system lub o którym systemie mówimy? Powiedziałbym, że w zakresie czysto technicznym, gdzie wykorzystujemy techniki komputerowe, zdarzeniem jest każda zaobserwowana zmiana w systemie teleinformatycznym, zarejestrowana w postaci logu, jak np. logowanie użytkownika do systemu, zapytanie kierowane do serwera, zmiana uprawnień w systemie, zdarzenia zarejestrowane przez urządzenia sieciowe itp.

Alert

Co w przypadku Alertu? W wyniku określenia pewnych reguł detekcji dochodzimy do sytuacji, gdzie jedno lub więcej zdarzeń spełnia pewne, z góry ustalone warunki, które mogą wskazywać na fakt wystąpienia incydentu cyberbezpieczeństwa. Oczywiście na tym etapie nie możemy często jednoznacznie stwierdzić czy mamy do czynienia z incydentem, czy nie. Tu mówimy zdecydowanie o Alercie. Jak już pisałem, alert jest wynikiem „filtrowania” zdarzeń na podstawie reguł detekcji. Reguły detekcji pozwalają zespołom odpowiedzialnym za cyberbezpieczeństwo skupić swoją uwagę na zdarzeniach potencjalnie groźnych dla bezpieczeństwa przetwarzanych informacji. Wynikiem analizy alertu powinno być więc stwierdzenie czy: zaobserwowano i potwierdzono niebezpieczne zdarzenie w systemie (True Positive) czy jednak takiego zdarzenia w ogóle nie było, mimo że został wygenerowany Alert (False positive).

TP Benign vs TP Malicious

Spotkałem się również z dodatkowym podziałem alertu True positive na: True Positive Benign — zdarzenie poprawnie zidentyfikowane, jednak nieposiadające znamion incydentu cyberbezpieczeństwa jak na przykład wykrycie pentestów w organizacji oraz True Positive Malicious — gdzie definitywnie mamy do czynienia z incydentem cyberbezpieczeństwa. Tu jeszcze mała dygresja, o której należy wspomnieć. Zespoły odpowiedzialne za cyberbezpieczeństwo lub szerzej za bezpieczeństwo informacji powinny reagować na sygnały docierające do nich poprzez każdy kanał komunikacji tzn.: czy to bezpośrednio z systemów teleinformatycznych, ale również w postaci wiadomości e-mail, informacji telefonicznej od użytkowników, partnerów biznesowych. Jak zapewne wiecie, jedną z najskuteczniejszych metod detekcji jest świadomy użytkownik, który jest w stanie zaobserwować potencjalnie niebezpieczne zdarzenie, jak np. otrzymanie wiadomości e-mail będącej elementem ataku phishingowego.

Wynikiem analizy alertu powinno być więc stwierdzenie czy: zaobserwowano i potwierdzono niebezpieczne zdarzenie w systemie (True positive) czy jednak takiego zdarzenia w ogóle nie było, mimo że został wygenerowany Alert (False positive).

Incydent

Ok. Wystarczy już o alertach. Pozostało nam przedyskutować temat incydentu cyberbezpieczeństwa. Incydentem jest każde zdarzenie, którego skutkiem wystąpienia jest zagrożenie dla poufności, integralności czy dostępności przetwarzanych informacji. Pojawia się kolejne pytanie. Jak mimo wszystko rozróżnić czy rzeczywiście doszło do takiego zagrożenia, czy też nie? Uważam, że z pomocą mogą nam przyjść polityki bezpieczeństwa. Celem ich jest określenie w jasny i przejrzysty sposób: jakie zachowanie jest dozwolone w systemie, a jakie nie jest, przed jakimi zagrożeniami chcemy się chronić np. wynikającymi z analizy ryzyka wystąpienia danego typu incydentu cyberbezpieczeństwa.

Opracowanie własne

Podsumowanie

To byłoby na tyle. Na zakończenie chciałbym jeszcze podkreślić, że zarządzanie zdarzeniami, alertami winno odbywać się w ramach oddzielnego procesu niż zarządzanie incydentami, chociażby z uwagi na fakt, że mamy do spełnienia inne cele. Dla przykładu w ramach zarządzania zdarzeniami nie uruchamiamy całej machiny związanej z szeroko rozumianą komunikacją, co ma miejsce w przypadku potwierdzonego wystąpienia incydentu cyberbezpieczeństwa. Myślę, że o tym podyskutujemy w kolejnym wpisie. 

Zdarzenie, Alert, Incydent Read More »

O systemie informacyjnym

Zostaw komentarz

O systemie informacyjnym

Skuteczny proces zarządzania incydentami cyberbezpieczeństwa to dobrze opisany i wdrożony w organizacji system informacyjny. Cześć z Was z pewnością zada sobie pytanie, czym w ogóle jest system informacyjny? Czy może po prostu popełniłem błąd i zamiast informatyczny napisałem przez przypadek informacyjny? Otóż nie. Tak jeszcze dla wyjaśnienia. Nie będę w artykule opisywał szczegółowych różnić pomiędzy tymi pojęciami, bo jakby nie było istnieją. Bardziej dociekliwych odsyłam do literatury fachowej. Celem tego wpisu jest raczej praktyczne podejście do zrozumienia różnic i dlaczego sam system informatyczny np. w postaci systemu ticketowego nie jest wystarczający by sprawnie, efektywnie  zarządzać incydentami cyberbezpieczeństwa.

Proces decyzyjny a zagrożenia

Ważną rzeczą, o której należy pamiętać, jest fakt, że systemem informacyjnym określa się mianem systememu komunikacji w organizacji. Jest on niezbędnym elementem w procesie zarządzania organizacją, w szczególności w ramach wsparcia procesu decyzyjnego. Zatem kiepski system informacyjny sprawi, że w trakcie wystąpienia incydentu cyberbezpieczeństwa może, z dużym prawdopodobieństem, nastąpić mniejszy, bądź większy paraliż decyzyjny, na przykład: z uwagi na brak prawidłowego przepływu informacji czy zniekształcenia informacji. Stąd też ważne jest by po pierwsze: posługiwać się w organizacji wspólnym słownikiem pojęć, a po drugie mieć dobrze przemyślany i wdrożony plan komunikacji. Znów ktoś mógłby się zapytać, po co o tym wszystkim piszę? Odpowiedź jest bardzo prosta. Pomimo tego, że są to rzeczy proste i wydawałoby się podstawowe, to zapominamy o nich, przez co w naszym systemie informacyjnym wprowadzamy zniekształcenia, zakłócenia, co bezpośrednio przedkłada się na skuteczność w zarządzaniu incydentami cyberbezpieczeństwa.

systemem informacyjnym określa się mianem systememu komunikacji w organizacji. Jest on niezbędnym elementem w procesie zarządzania organizacją

Składowe układanki

Przywołane do tej pory: system ticketowy, plan komunikacji, słowniki pojęć to tylko składowe czegoś większego czegoś co nazywamy systemem informacyjnym. Systemy ticketowe wykorzystywane są przede wszystkim przez zespoły, które monitorują bezpieczeństwo organizacji. Nie będę teraz rozróżniał czy dotyczy to cyberbezpieczeństwa czy innych obszarów organizacji, gdzie monitorowanie jest wdrożone. Podstawową ich funkcją jest umożliwienie zapisu, no właściwie czego: zdarzeń, alertów, incydentów cyberbezpieczeństwa, czy wszystkiego naraz. Tu musimy się jednak na chwilę zatrzymać i zaproponować czym właściwie jest zdarzenie, czym różni się od alertu, a czym od incydnetu cyberbezpieczeństwa. A miało nie być defincji.

Podstawowe definicje

Jedna z definicji, z którą spotkałem się, jest bardzo prosta i intuicyjna. Zdarzenie jest wszystkim co można zaobserwować w systemie. Incydentem zatem możemy nazwać każde zdarzenie, którego skutkiem wystąpienia jest zagrożenie dla poufności, integralności czy dostępności informacji przetwarzanych przez organizację. W wyniku zastosowania reguł detekcji, czyli swego rodzaju filtra, uzyskujemy z kolei Alert, na którym powinniśmy skupić naszą uwagę, gdyż może on wskazywać na potencjalne  wystąpienie incydentu cyberbezpieczeństwa.

W kolejnym wpisie opiszę w większych szczegółach relacje pomiędzy przywołanymi pojęciami, tj. zdarzeniem, alertem oraz incydentem.

O systemie informacyjnym Read More »