SEC10-BP08 Entwickeln eines Frameworks, um aus Vorfällen zu lernen - Säule „Sicherheit“
Implementierungsleitfaden Ressourcen

SEC10-BP08 Entwickeln eines Frameworks, um aus Vorfällen zu lernen

Die Implementierung eines Erkenntnis-Frameworks für Erkenntnisse und der Fähigkeit zur Ursachenanalyse trägt nicht nur dazu bei, die Reaktionsfähigkeit auf Vorfälle zu verbessern, sondern auch zu verhindern, dass sich der Vorfall wiederholt. Indem Sie aus jedem Vorfall lernen, können Sie verhindern, dass dieselben Fehler, Risiken oder Fehlkonfigurationen wiederholt werden. Dies verbessert nicht nur Ihre Sicherheitslage, sondern minimiert auch den Zeitverlust durch vermeidbare Situationen.

Risikostufe bei fehlender Befolgung dieser Best Practice: Mittel

Implementierungsleitfaden

Die Implementierung eines Erkenntnis-Frameworks ist wichtig, der die folgenden Punkte allgemein festlegt und erreicht:

  • Wann finden Erkenntnisse statt?

  • Was beinhaltet der Erkenntnisprozess?

  • Wie werden Erkenntnisse durchgeführt?

  • Wer ist am Prozess beteiligt und wie?

  • Wie werden verbesserungswürdige Bereiche identifiziert?

  • Wie stellen Sie sicher, dass Verbesserungen effektiv verfolgt und implementiert werden?

Das Framework sollte sich nicht auf Einzelpersonen konzentrieren oder ihnen die Schuld geben, sondern stattdessen den Fokus auf die Verbesserung der Tools und Prozesse legen.

Implementierungsschritte

Abgesehen von den zuvor aufgeführten Ergebnissen auf hoher Ebene ist es wichtig, sicherzustellen, dass Sie die richtigen Fragen stellen, um den größtmöglichen Nutzen (Informationen, die zu umsetzbaren Verbesserungen führen) aus dem Prozess zu ziehen. Beachten Sie die folgenden Fragen, um Ihre Diskussionen über Erkenntnisse zu fördern:

  • Was ist vorgefallen?

  • Wann wurde der Vorfall zum ersten Mal identifiziert?

  • Wie wurde er identifiziert?

  • Welche Systeme haben über die Aktivität alarmiert?

  • Welche Systeme, Services und Daten waren beteiligt?

  • Was ist konkret passiert?

  • Was hat gut funktioniert?

  • Was hat nicht gut funktioniert?

  • Welcher Prozess oder welche Verfahren haben versagt oder konnten nicht skaliert werden, um auf den Vorfall zu reagieren?

  • Was kann in den folgenden Bereichen verbessert werden:

    • Mitarbeiter

      • Waren die Mitarbeiter, die kontaktiert werden mussten, tatsächlich verfügbar und war die Kontaktliste auf dem neuesten Stand?

      • Fehlten den Mitarbeitern Trainings oder Fähigkeiten, die erforderlich waren, um effektiv auf den Vorfall reagieren und ihn untersuchen zu können?

      • Waren die erforderlichen Ressourcen bereit und verfügbar?

    • Prozess

      • Wurden Prozesse und Verfahren eingehalten?

      • Wurden Prozesse und Verfahren für diese(n) (Art von) Vorfall dokumentiert und waren sie dafür verfügbar?

      • Fehlten die erforderlichen Prozesse und Verfahren?

      • Konnten die Notfallteams rechtzeitig auf die erforderlichen Informationen zugreifen, um auf das Problem zu reagieren?

    • Technologie

      • Haben die bestehenden Warnsysteme die Aktivität effektiv identifiziert und gemeldet?

      • Wie hätten wir die Zeit bis zur Erkennung um 50 % reduzieren können?

      • Müssen bestehende Warnungen verbessert werden oder müssen neue Warnungen für diese(n) (Art von) Vorfall erstellt werden?

      • Ermöglichten die vorhandenen Tools eine effektive Untersuchung (Suche/Analyse) des Vorfalls?

      • Was kann getan werden, um diese(n) (Art von) Vorfall früher zu erkennen?

      • Was kann getan werden, um zu verhindern, dass sich diese(r) (Art von) Vorfall wiederholt?

      • Wem gehört der Verbesserungsplan und wie testen Sie, ob er umgesetzt wurde?

      • Wie sieht der Zeitplan für die Implementierung und das Testen zusätzlicher Überwachungs- oder präventiver Kontrollen und Prozesse aus?

Diese Liste ist nicht vollständig, soll aber als Ausgangspunkt dienen, um zu ermitteln, was die Organisations- und Geschäftsanforderungen sind und wie Sie diese analysieren können, um am effektivsten aus Vorfällen zu lernen und Ihre Sicherheitslage kontinuierlich zu verbessern. Am wichtigsten ist es, zunächst die Erkenntnisse als Standardbestandteil Ihres Prozesses zur Vorfallsreaktion, der Dokumentation und der Erwartungen der Interessenvertreter zu berücksichtigen.

Ressourcen

Zugehörige Dokumente: