Otte trin til en stærkere cybersikkerhedsstrategi

Hvis der er et angreb på landet, militæret mobiliserer. Når en naturkatastrofe rammer, genopretningsplaner træder i kraft. Skulle en infektionssygdom begynde at sprede sig, sundhedsembedsmænd lancerer en indeslutningsstrategi.

Reaktionsplaner er afgørende for genopretning i nødsituationer, men når det kommer til cybersikkerhed, et flertal af industrier er ikke opmærksomme.

"Virkeligheden er, uanset hvor fantastisk du er med dine forebyggelsesevner, du bliver hacket, " sagde Mohammad Jalali, et forskningsfakultetsmedlem ved MIT Sloan, hvis arbejde i øjeblikket er fokuseret på folkesundhed og organisatorisk cybersikkerhed. "Hvad vil du så gøre? Har du allerede en god beredskabsplan på plads, som løbende opdateres? Og kommunikationskanaler er defineret, og interessenternes ansvar er defineret? Typisk er svaret i de fleste organisationer nej. "

For at hjælpe med at tackle svagheder i cybersikkerhed i organisationer, Jalali og andre forskere Bethany Russell, Sabina Razak, og William Gordon, bygget en otte aggregeret responsstrategieramme. De kalder det ØRE.

Jalali og hans team gennemgik 13 tidsskriftsartikler, der involverede cybersikkerhed og sundhedspleje for at udvikle EARS. Selvom sagerne er relateret til sundhedsorganisationer, strategierne kan gælde for en række forskellige brancher.

EARS-rammen er opdelt i to halvdele:pre-incident og post-incident.

Før-hændelse:

1 — Konstruktion af en hændelsesplan:Denne plan bør omfatte trin til detektion, efterforskning, indeslutning, udryddelse, og bedring.

"En af de almindelige svagheder, som organisationer har, er, at de har udarbejdet en hændelsesplan, men problemet er, at dokumentation normalt er meget generisk, det er ikke specifikt for organisationen, "Sagde Jalali." Der er ingen klar, bestemt, liste over varer, der kan bruges. "

Sørg for, at alle i organisationen kender planen, ikke kun medarbejderne i it -afdelingen. Sæt klare kommunikationskanaler, og ved tildeling af ansvar, sørg for, at de er klart definerede.

2 — Konstruktion af en informationssikkerhedspolitik, der virker afskrækkende:Klart definerede sikkerhedstrin etablerer og tilskynder til overholdelse.

"Mange virksomheder tror, ​​at overholdelse er sikkerhed, "Sagde Jalali." [Det] hvis du bare følger de oplysninger, du bliver taget hånd om. "

Sæt ikke barren så lavt, at organisationen ikke er sikker. Forskrifter bør sikre en forståelse af cybertrusler. Etabler motiverende årsager til, at svarholdene følger rapporteringspolitikker. Overholdelse bør gå hånd i hånd med løbende forbedringer.

3 — Involvering af nøglepersonale i organisationen:Uanset en organisations størrelse, nøgleledere skal uddannes i vigtigheden af ​​cybersikkerhed og være klar til at handle i henhold til reaktionsplanen.

Ledere behøver ikke at være cybersikkerhedseksperter, men de skal forstå, hvilken indvirkning en hændelse vil have på deres organisation. Jo mere informerede de er, jo mere involverede de kan være i en responsplan.

4 — Regelmæssig mock-test af genopretningsplaner:Gendannelsesøvelser hjælper organisationer med at stresstestplaner og træne medarbejdere i korrekte responsprotokoller.

Hvis organisationen kun tester sin genopretningsplan under en egentlig nødsituation, det vil sandsynligvis støde på alvorlige problemer, hvilket kan øge mængden af ​​skader forårsaget af cyberhændelsen.

Skiftet fra en reaktiv til proaktiv holdning kan hjælpe en organisation med at identificere svagheder eller huller i sin genopretningsplan, og adressere dem, før en hændelse opstår.

Efter hændelsen:

5 - Begrænsning af hændelsen:Indeslutning involverer både proaktive og reaktive foranstaltninger.

Det er lettere at afbryde inficerede enheder fra et netværk, hvis de allerede er segmenteret fra andre enheder og forbindelser, forud for en hændelse.

Forskerne indrømmer, at det ikke altid er muligt at segmentere netværk, heller ikke straks at afbryde det fra hele systemet. I det mindste, rapporter straks den inficerede enhed til organisationens it-team for at begrænse hændelsen.

6 — Indlejret etik og involvering af andre uden for organisationen:Det er vigtigt at huske, at alle organisationens interessenter kan blive påvirket af en cyberhændelse.

Underret omgående juridisk rådgiver og relevante regulerings- og retshåndhævende myndigheder. Overvej hjælp fra eksterne ressourcer, og del oplysninger om cybertruslen.

7—Undersøgelse og dokumentation af hændelsen:Vær rettidig og grundig; hvert trin i reaktionen før og efter hændelsen skal dokumenteres.

Undersøgelsen bør sigte mod at finde den grundlæggende tekniske årsag til problemet, samt svagheder, der kunne forhindre fremtidige angreb. Korrekt dokumentation er en nødvendighed for denne analyse.

8 — Konstruktion af en skadevurdering og genoprettelsesalgoritme:Organisationer bør selvvurdere efter hændelsen.

Mens computere er der, hvor cyberangreb sker, de kan også bruges til at hjælpe med genopretning. Organisationer kan udnytte computernes kraft, især kunstig intelligens, til afsløring og inddæmning af hændelser i realtid.

"De almindeligt anvendte rammer for hændelsesresponsstrategier savner ofte dette vigtige trin, "Jalali sagde, "selvom der allerede findes AI-baserede produkter til netop dette formål."