網路風險緩解:董事會對資訊安全長提出的首要問題
這個主要針對資訊安全長所提供的積極溝通策略指導方針包含了四個部分,而本文是這個系列 的第二部分。此一系列包含了如何闡釋關鍵資訊並透過行政語言來說明您的行動,使您可以持 續將重心放在回應事件、活動和威脅等重要的工作上,進而緩減對於企業造的衝擊。
當發生網路安全事件時,您的董事會想要了解您是否有因應的計劃。他們需要確認您的企業已準備好能更迅速、更 有效率且更加確實地因應各種事件,將對於企業造成的衝擊降到最低。這也是為什麼在針對您的網路風險暴露進行 溝通後,下一個最迫切需要回答的會是與網路風險緩解計劃有關的問題。您必須做好準備來回應問題 「 情況是否已 獲得控制,以及我們是否處理得當?」
應思考的隱含問題:
- 我們有哪些回應計劃?
- 我們如何排定人力和資源配置的優先順序?
- 還有哪些事情需要完成?
- 是否發生任何意外和/或學到任何經驗?
網路風險緩解:我們是否已完成?
高階主管和董事會真正想知道的是,情況是否已獲得控制,以及您可以提供什麼樣的保證,證明您已適當處理 風險。
為了做好充分的準備來向董事會 (或未來的稽核委員會) 回答這一類的問題,您需要的是記錄文件、記錄文件還是 記錄文件!您將會需要事件回應、修補程式管理、零時差弱點計劃來擷取所有的程序、溝通記錄以及解決問題所採 取的步驟,並驗證風險確實已緩解。
此一記錄文件應能夠面面俱到,除了具體計劃以外還應包含:
- 您已執行的緊急變更程序
- 所有涉入的人員
- 修補和區隔詳細資訊 (系統優先順序排定以及進行修補/區隔的方法和時機)
- 系統與關鍵程序之間的關聯性
- 程序如何分層
- 如何變更及部署執行規則
我們的目標是忠實呈現您完成的任務以及完成的時間和方法,讓您能夠展現對於規範的熟悉程度,並且針對董事 會、監管及稽核機構想要了解的項目進行報告。
讓高階主管隨時掌握現況:復原是一種進程,不是一個歷史事件
董事會可能會問您「事情搞定了嗎?情況是否已獲得控制?任務是否已完成?」因此,我們必須將復原當成是一種 進程,而不是特定時間點的經驗。復原是一種持續不斷的程序,因為它會反覆發生且一次比一次更強烈、更快速。
這意味著您必須坐下來進行檢討會議,以協助您找出學到的經驗,並了解如何才能更節省時間或是以不同或更好的 方式來解決問題。由於時間是不可或缺的要素,因此我們剛討論的記錄文件就非常重要,因為它能確保我們不會有 任何遺漏、能夠全力以赴,且不會漏掉任何步驟。但識別並處理一些小狀況也很重要,因為它對於營運效率來說也 會產生很大的差異。
舉例來說,針對特定情況維護一個易於追蹤的調用樹狀圖,以及可讓您充分掌握重要資產的業務衝擊報告,將能為 您節省大量的時間和人力來應付充滿壓力的日常工作。事後諸葛的事大家都會做,所以您應該花時間了解有用的資 訊,然後向董事會說明之後再遇到同樣的問題將能游刃有餘。
在將對於董事會的回答定義為一種旅程之後,您就可以提醒他們,安全性的維護永遠不會結束也很難做到完美,但 我們的能力將會變得更強大且做事更有效率。請記住,「上台跳舞的那天絕不會是開始學舞的那天」,因此,除了 詳盡記錄每一件事情以外,也別忘了演練、演練、再演練,實踐、實踐、再實踐,然後不斷精進。請務必讓董事會 明白,您是如何把握每一次機會來預備自己並增強您的能力,以及做了哪些事來確保下一次會表現得更好 (因為我 們知道事情永遠會有下一次)。
接下來我們將進入這一系列的第三部分並探討如何回答,「我們已完成了哪些盡職調查和保證?」
請觀看這部影片以深入了解如何與您的董事會討論網路風險緩解相關議題:
取得聯繫
若您需要事件回應服務,請記得透過您的網路保險公司向 Unit 42 進行洽詢。
若您認為自己可能已遭到 Log4j 弱點或任何其他類型的重大攻擊,請 與 Unit 42 聯繫以洽詢相關團隊成 員。Unit 42 事件回應團隊提供全年無休的服務。您也可以申請主動式評估來採取預防性的步驟。