Laut Statistik treten umso mehr Cybersicherheitsrisiken auf, je mehr Unternehmen ihre Geschäftstätigkeit auf die digitale Realität verlagern. Laut einer Umfrage zur Datensicherheit von GetApp 2020 hatten 35% der antwortenden Unternehmen im Jahr 2020 einen Datenverstoß und 28% waren einem Ransomware-Angriff ausgesetzt.
Was würden Sie tun? Haben Sie und Ihre Organisation einen Reaktionsplan?
Wir glauben, die Antwort zu kennen - laut IBM-BerichtNur 26% der Unternehmen verfügen über einen genau definierten Sicherheitsplan für Datenschutzverletzungen und andere Arten von Cyberangriffen. In diesem Beitrag werden wir diskutieren, was ein Plan zur Reaktion auf Cybersicherheitsvorfälle ist und wie Sie davon profitieren. Außerdem werden fünf Schritte zum Erstellen eines Vorfallsreaktionsplans hervorgehoben und eine Reihe von Ressourcen bereitgestellt, die Ihnen den Einstieg erleichtern.
Was ist ein Cybersicherheitsvorfall?
Ein Cybersicherheitsvorfall ist ein Ereignis, das gegen die IT-Sicherheitsrichtlinien eines Unternehmens verstößt und sensible Daten wie Finanzdaten von Kunden gefährdet. Malware-Infektionen, DDoS-Angriffe, Ransomware-Angriffe, nicht autorisierter Netzwerkzugriff, interne Angriffe und Phishing sind nur einige der häufigsten Arten von Cybersicherheitsvorfällen.
Was ist ein Plan zur Reaktion auf Cybersicherheitsvorfälle?
Ein Cyber Incident - Response - Plan ist ein Satz von Anweisungen , die Ihre Mitarbeiter helfen identifizieren , zu reagieren , und von erholen Cyber Vorfällen .
Ein solcher Plan umfasst Maßnahmen zur Verhinderung von Cyberangriffen, Maßnahmen, die zu ergreifen sind, wenn ein Unternehmen bereits einem Angriff ausgesetzt ist, und Maßnahmen nach dem Angriff, z. B. die Information der Interessengruppen oder die Meldung des Vorfalls an Regierungsbehörden.
Warum Sie einen Plan zur Reaktion auf Cybersicherheitsvorfälle benötigen
Hier sind die Hauptgründe, warum jedes Unternehmen einen gut dokumentierten und regelmäßig aktualisierten Plan zur Reaktion auf Cybersicherheitsvorfälle benötigt.
Vorbereitet, um Cyberangriffe zu bekämpfen
Mit einem Reaktionsplan wissen Sie und Ihr Team genau, was zu tun ist. Dabei hat jeder eine dokumentierte Rolle und seine eigene Verantwortung. Sie müssen Ihrem Team keine zusätzlichen Anweisungen geben, damit keine Zeitverluste oder Kommunikationsunterbrechungen auftreten.
Sie werden die Regeln befolgen
Im Falle einer Sicherheitsverletzung müssen Sie viele Anforderungen erfüllen, z. B. die Information der Stakeholder und die Meldung des Vorfalls an die Behörden. Ein Reaktionsplan hilft Ihnen dabei, diese Anforderungen zu verfolgen und einzuhalten. Zum Beispiel BIPR Verbraucher Datenschutzgesetz erfordert , dass Sie ein Sicherheitsereignis innerhalb von 72 Stunden seines Auftretens und die berichten PCI DSS Finanzinformationen Sicherheitsstandard erfordert , dass Sie hat einen Incident - Response - Plan und es mindestens einmal im Jahr zu überprüfen.
Sie müssen sich nicht auf die Reaktion auf Ad-hoc-Vorfälle verlassen
Ein Plan zur Reaktion auf Cybersicherheitsvorfälle ist ein schriftliches Dokument, in dem klar beschrieben ist, welche Schritte Sie und Ihre Mitarbeiter unternehmen müssen, wenn eine Sicherheitsverletzung festgestellt wird. Es wird von der Unternehmensleitung genehmigt, sodass Sie nicht improvisieren müssen. Stimmen Sie zu, eine vorbereitete Antwort ist effektiver als eine spontane und chaotische.
5 Schritte zum Erstellen eines Plans zur Reaktion auf Cybersicherheitsvorfälle
1. Dokumentieren Sie die häufigsten Arten von Sicherheitsvorfällen.
Erstellen Sie zunächst ein Dokument, in dem die potenziellen Bedrohungen für Ihr Unternehmen aufgeführt sind. Auf diese Weise können Sie verschiedene Strategien für die Reaktion auf verschiedene Arten von Cyber-Vorfällen vorbereiten.
2. Priorisieren Sie Sicherheitsvorfälle anhand ihres Schweregrads.
Sicherheitsvorfälle unterscheiden sich in Größe und Schweregrad. Eine beschädigte Datei auf dem Laptop eines Mitarbeiters kann als niedrigere Priorität angesehen werden als ein DDoS-Angriff, der die gesamte Site deaktivieren kann. Bestimmen Sie den Schweregrad jedes Sicherheitsvorfalls, um zu entscheiden, ob er zuerst behoben werden soll.
Prüfen Sie also, ob ein Vorfall Ihre Daten beeinflusst (unzugänglich macht, stiehlt oder zum Verlust führt) oder ob Sie Kunden bedienen oder Vorgänge ausführen können. Jeder Vorfall, der sowohl die Datensicherheit als auch die Betriebssicherheit beeinträchtigt, sollte vorrangig behandelt werden.
Verwenden Sie unser Tool zur Priorisierung von Sicherheitsvorfällendie Risiken verschiedener Sicherheitsvorfälle zu bewerten.
Geben Sie die Auswirkungen des Vorfalls auf Ihre Vorgänge und Daten an (nein, niedrig, mittel oder hoch), und der Dienst zeigt automatisch an, ob es sich wirklich um eine Priorität handelt oder ob die Lösung möglicherweise etwas wartet.
Vergessen Sie nicht, einen Zeitrahmen für die Lösung identifizierter Vorfälle festzulegen. Im Idealfall sollten Vorfälle mit hoher Priorität innerhalb von 2 bis 6 Stunden nach der Erkennung behoben werden, während Vorfälle mit niedriger Priorität innerhalb von 24 Stunden behoben werden sollten.
3. Erstellen Sie ein Ablaufdiagramm für die Reaktion auf Vorfälle mit den erforderlichen Aktionen
Ein Plan zur Reaktion auf Vorfälle bestimmt die Schritte, die Sie unternehmen müssen, um einen Angriff einzudämmen. Erstellen Sie Ihren Plan in einem Flussdiagramm, damit Ihr Team schnell verstehen kann, welchen Pfad zur Bedrohungsabwehr verwendet werden soll.
Ein Beispiel für eine Schaltung.
Geben Sie an, wer für die Ausführung der in Ihrem Flussdiagramm genannten Schritte verantwortlich ist. Verteilen Sie klare und widersprüchliche Verantwortlichkeiten unter Ihren Mitarbeitern, damit es nicht zu Konflikten oder unnötigen Streitigkeiten kommt.
Verwenden Sie die RACI-Matrix (Responsible, Accountable, Consulted and Informed), um anzugeben, wer zur Rechenschaft gezogen, zur Rechenschaft gezogen, konsultiert oder nur über die verschiedenen Schritte bei der Reaktion auf Vorfälle informiert werden soll. Dies kann eine Person sein. Beispielsweise ist Ihr Sicherheitsmanager für die Führung von Ereignisaufzeichnungen, die Verantwortung für den technischen Betrieb, die Beratung bei der Meldung nach einem Vorfall sowie für die allgemeine Koordination und Verbindung mit den Aufsichtsbehörden verantwortlich.
Hier finden Sie eine Beispiel-RACI-Matrix, in der die Verantwortlichkeiten verschiedener Stakeholder beschrieben sind. Diese können Sie herunterladen und an die Merkmale Ihres Unternehmens anpassen. Zum Beispiel, wenn Sie kein MSSP habenIhr Sicherheitsmanager ist für alle technischen Vorgänge verantwortlich.
4. Testen Sie und schulen Sie Ihre Mitarbeiter.
Ein Incident-Response-Programm allein reicht nicht aus. Sie müssen die Wirksamkeit testen, indem Sie Simulationsübungen durchführen, mit denen Ihre Mitarbeiter auch in ihrer Rolle bei der Verwaltung von Sicherheitsvorfällen geschult werden. Hier ist eine effektive rot-blaue Teamübung, die Sie als Modell durchführen können.
5. Aktualisieren Sie Ihren Vorfallreaktionsplan regelmäßig.
Aktualisieren Sie Ihren Plan regelmäßig, um mit den Änderungen in der Bedrohungslandschaft Schritt zu halten oder um neue Sicherheitsmaßnahmen aufzunehmen, die Sie kürzlich ergriffen haben. Überprüfen Sie Ihre Antwort mindestens einmal im Jahr und arbeiten Sie daran, die Zeit zu reduzieren, die Sie für das Eindämmen und Wiederherstellen von Vorfällen aufwenden.
Verwenden Sie Informationen aus früheren Sicherheitsvorfällen und Disaster-Simulationsübungen, um Verbesserungsmöglichkeiten zu identifizieren und neue Kontrollen für Ihren Plan zur Reaktion auf Sicherheitsvorfälle zu implementieren (achten Sie beispielsweise darauf, dass Sie nach automatisierbaren Schritten suchen).
Verwenden Sie schließlich dedizierte Software, um Sicherheitsbedrohungen effektiver zu erkennen und zu beheben. Sie ermöglichen die Fortsetzung des Geschäftsbetriebs, auch wenn im Hintergrund Aktivitäten zur Reaktion auf Vorfälle ausgeführt werden.
Hier sind einige davon:
- Antiviren Software
- Endpoint Security Software
- Netzwerksicherheitssoftware
- Netzwerküberwachungssoftware
- SIEM
- Datensicherungssoftware
- Business Continuity-Software