Эксперты Bi.Zone провели исследование
Непрерывность бизнес-процессов зависит от оперативности — насколько быстро организация реагирует на киберинциденты. А на само своевременное реагирование влияет качество мониторинга событий. Эти три направления — управление непрерывностью, инцидентами и событиями безопасности — тесно связаны.
Как наладить управление непрерывностью бизнеса
Механизмы BCM помогают планировать действия на случай внезапных происшествий, например, если случится утечка данных или просто процессы встанут на полдня из-за отключения электричества.
Вот советы, которые помогут повысить уровень зрелости в рамках этого направления.
1. Разработать процедуры на случай непредвиденной ситуации
Мы выяснили, что 83% компаний не имеют плана по обеспечению непрерывности и восстановления процессов. При этом 40% российских предприятий сталкиваются с критическими инцидентами, из-за которых важные процессы могут остановиться более чем на четыре часа.
Планирование поможет сократить время простоя или вовсе избежать нарушений в работе.
2. Взять стандарты ISO за основу для процессов
Непрерывность бизнеса регулирует стандарт ISO 22301.
По данным опроса ISO, только у трех российских организаций есть такой сертификат.
Необязательно проходить сертификацию — можно взять требования стандарта за основу для своих алгоритмов, например, для плана аварийного восстановления.
3. Обучать сотрудников и регулярно имитировать непредвиденные события
Часто исход критической̆ ситуации зависит от того, хорошо ли участники процесса знают свои обязанности и порядок действий. Тренировки помогут подготовить сотрудников к инцидентам и чрезвычайным происшествиям.
Как настроить работу с инцидентами
Инциденты кибербезопасности — это события, которые нарушают сохранность информации.
Чтобы управлять инцидентами, нужно настроить циклический процесс, включающий:
Вот советы, которые помогут улучшить управление инцидентами.
1. Разработать процессы по управлению инцидентами
Почти 20% компаний из нашей выборки работают с инцидентами стихийно, не имея четкого плана. Но если заранее найти уязвимые места в инфраструктуре и разработать комплекс мер по реагированию, это позволит свести к минимуму или нейтрализовать возможный ущерб.
Разработать процессы можно на основе стандартов ISO, NIST и отраслевых требований регуляторов, например:
2. Использовать преимущества центра мониторинга кибербезопасности
Чтобы управлять инцидентами кибербезопасности, нужна синергия технологий, людей и процессов.
Этот принцип лежит в основе работы SOC, security operations center: специалисты в рамках процессов мониторят, выявляют инциденты и реагируют на них, используя технические средства защиты.
Можно построить такое подразделение в компании или подключить аутсорсинговое решение.
3. Вовлекать специалистов безопасности в тематические мероприятия вроде киберполигонов
Там сотрудники накопят практический опыт отражения кибератак — это поможет им эффективно действовать в реальных условиях.
Как улучшить управление событиями безопасности
Управление событиями — основа работы с киберинцидентами. На этот процесс влияет:
- как компании ведут и контролируют журналы событий,
- разрабатывают порядок мониторинга инфраструктуры,
- анализируют собранные данные.
Вот несколько рекомендаций, которые помогут наладить управление событиями безопасности.
1. Провести аудит и оценку рисков
Это позволит выявить наиболее уязвимые точки инфраструктуры. Как показывает практика, большая часть атак начинается именно там, где их не ждут, например на рабочих станциях рядовых сотрудников или тестовых серверах.
2. Разработать процессы мониторинга
Для этого нужно настроить системы логирования: определить, какие события собирать, как их хранить и анализировать.
3. Использовать SIEM-системы для управления событиями
Автоматизация поможет снизить нагрузку на специалистов, а хранение данных в одном месте позволит быстрее находить аномалии и реагировать на них. При этом важно отметить: если собирать все события подряд, на то, чтобы их разобрать, уйдет в несколько раз больше ресурсов. Поэтому лучше заранее продумать, какие данные собирать.
4. Анализировать события, а не только хранить их
По нашим данным, четыре из пяти компаний логируют события внутренних систем, при этом только одни из трех анализирует собранные данные. Но именно анализ журналов позволяет найти среди событий признаки атаки до того, как злоумышленники успеют причинить бизнесу реальный ущерб.
Итог
Следуя этим базовым рекомендациям, вы улучшите процессы и сделаете IT-инфраструктуру более устойчивой. Так компания подготовится к кризисным ситуациям и сможет минимизировать их негативные последствия.
Больше статей у нас на канале: https://t.me/truebusiness
