Straszna świadomość, iż coś się stałodane zostały uzyskane i teraz musisz powiedzieć o tym klientom i światu. Lata ciężkiej pracy nad budowaniem zaufania i reputacji wiszą teraz na szali tego, jak sobie z nimi radzisz i poinformuj o zdarzeniu.
Jeśli tak się stanie, należy podjąć najważniejsze kroki w celu utrzymania zaufania i zminimalizowania potencjalnych szkód. Z własnego doświadczenianajważniejszym elementem jest przejrzystość. choćby jeżeli nie masz wszystkich informacji, przyznanie się do incydentu, przyjęcie odpowiedzialności – przy jednoczesnym wykazaniu empatii – i podzielenie się wiedzą, którą posiadasz, umożliwia klientom i władzom dokonanie własnych ocen i udzielenie pomocy w ograniczaniu ryzyka.
Ważne jest, aby jasno określić, co się stało, jakie systemy zostały dotknięte, do jakich danych uzyskano dostęp i co to oznacza dla klientów. Wstępne dochodzenia są kluczowe, aby móc jasno przedstawić szczegóły klientom, których to może dotyczyć. Początkowy szok po otrzymaniu informacji o incydencie gwałtownie uruchamia mózg klienta w trybie działania; co, kiedy, jak, kto to wszystko są zasadne pytania, jakie klienci mają w związku z incydentem, a możliwość wyjaśnienia tych szczegółów może zapewnić pewne zapewnienie, iż rozumiesz, co się stało, i jak możesz zapewnić, iż to się nie powtórzy. Wielu klientów będzie oczekiwać i prosić o zaangażowanie niezależnego zewnętrznego zespołu ds. cyberbezpieczeństwa, aby upewnić się, iż incydent jest w pełni zrozumiany i zarządzany, więc ważne jest, aby mieć umowę, aby móc skorzystać z tej wiedzy specjalistycznej, utrzymać zaufanie i zapewnić to zapewnienie.
To właśnie zaangażowanie klientów i społeczności pozwala zainteresowanym stronom zadawać pytania, a radzenie sobie z tym napływem powinno być częścią planu komunikacji reagowania na incydenty każdej organizacji. Kto planuje połączenia, w jaki sposób są planowane połączenia, kto odbiera połączenia, kto jest upoważniony do składania oświadczeń, w jaki sposób zapewniamy 24x7x365, wszystko to należy wziąć pod uwagę, gdy pojawią się nowe informacje lub zostaną złożone publiczne oświadczenia. Regularne udostępnianie aktualizacji dotyczących incydentu i dochodzenia zapewnia organizacji kontrolę nad narracją i wyjaśnianie podjętych działań, kolejnych kroków i definiowanie zakończenia incydentu. Często może to obejmować zalecenia dla klientów, takie jak udostępnianie wskaźników IoC, TTP lub procesów, które należy przestrzegać w celu dalszej ochrony danych klientów. Z drugiej strony brak informacji doprowadzi do tego, iż nieświadome strony będą tworzyć hipotezy i rozpowszechniać dezinformację.
Gdy incydent i dochodzenie dobiegną końca, ważne jest, aby pomyśleć o zamknięciu incydentu, jakie są zaległe działania i kolejne kroki oraz w jaki sposób będziemy komunikować wszelkie dalsze aktualizacje w przyszłości. Narzędzia takie jak przegląd po incydencie, wyciągnięte wnioski i wprowadzanie zmian wymaganych do ciągłego ulepszania procesów reagowania na incydenty i komunikacji są niezbędnymi krokami, aby zapewnić utrzymanie najlepszych praktyk i ciągłą ewolucję procesów.
Z własnego doświadczenia wiemy, iż właśnie tutaj Projekt Bedrock i zobowiązanie Okta Secure Identity narodziły się z. Mechanizmy, które pozwoliły nam zdefiniować te działania, ale co ważniejsze, w jaki sposób my jako firma zapewnimy, iż nasza uwaga pozostanie i będzie mogła pozostać na zdefiniowanych ulepszeniach i zmianach kulturowych, które musieliśmy wprowadzić.
Bardzo ważne jest, abyśmy wyciągali wnioski z każdego incydentu związanego z bezpieczeństwem. Choć incydenty się zdarzają, to sposób, w jaki organizacja na nie reaguje, będzie decydującym wyznacznikiem sukcesu klientów i naszego.
Stephen McDermid jest dyrektorem ds. bezpieczeństwa regionu EMEA w Okta