SEC10-BP01 Identifizieren wichtiger Mitarbeiter und externer Ressourcen

Identifizieren Sie internes und externes Personal, Ressourcen und rechtliche Anforderungen, die Ihre Organisation bei der Reaktion auf einen Vorfall unterstützen.

Gewünschtes Ergebnis: Sie haben eine Liste der wichtigsten Mitarbeiter, deren Kontaktinformationen und die Rollen, die sie bei der Reaktion auf ein Sicherheitsereignis spielen. Sie überprüfen diese Informationen regelmäßig und aktualisieren sie, um personelle Veränderungen aus Sicht der internen und externen Tools zu berücksichtigen. Bei der Dokumentation dieser Informationen berücksichtigen Sie alle Drittanbieter und Dienstleister, einschließlich Sicherheitspartner, Cloud-Anbieter und Software as a Service (SaaS)-Anwendungen. Während eines Sicherheitsereignisses stehen Mitarbeiter mit dem entsprechenden Maß an Verantwortung, Kontext und Zugriff zur Verfügung, um zu reagieren und sich zu erholen. 

Typische Anti-Muster:

• Fehlen einer aktualisierten Liste der wichtigsten Mitarbeiter mit Kontaktinformationen, ihren Aufgaben und ihren Verantwortlichkeiten bei der Reaktion auf Sicherheitsvorfälle

• Voraussetzen, dass jeder die Menschen, Abhängigkeiten, Infrastruktur und Lösungen bei der Reaktion auf ein Ereignis und bei der Wiederherstellung nach einem Ereignis versteht 

• Fehlen eines Dokuments oder eines Wissensspeichers, der die wichtigsten Infrastruktur- oder Anwendungsdesigns darstellt

• Fehlen von angemessenen Einarbeitungsprozessen für neue Mitarbeiter, um effektiv zur Reaktion auf ein Sicherheitsereignis beizutragen, wie z. B. die Durchführung von Ereignissimulationen

• Fehlen eines Eskalationspfades für den Fall, dass wichtige Mitarbeiter vorübergehend nicht verfügbar sind oder bei Sicherheitsereignissen nicht reagieren können

Vorteile der Einführung dieser bewährten Methode: Diese Praxis reduziert die Triage- und Reaktionszeit, die für die Identifizierung der richtigen Mitarbeiter und ihrer Rollen während eines Ereignisses aufgewendet wird. Minimieren Sie Zeitverluste während eines Ereignisses, indem Sie eine aktualisierte Liste der wichtigsten Mitarbeiter und ihrer Rollen führen, damit Sie die richtigen Personen für die Triage und die Wiederherstellung nach einem Ereignis einsetzen können.

Risikostufe, wenn diese bewährte Methode nicht eingeführt wird: hoch

Implementierungsleitfaden

Identifizieren Sie wichtige Personen in Ihrer Organisation: Führen Sie eine Kontaktliste der Personen in Ihrer Organisation, die Sie einbeziehen müssen. Überprüfen und aktualisieren Sie diese Informationen regelmäßig bei personellen Veränderungen wie organisatorischen Änderungen, Beförderungen und Teamwechseln. Dies ist besonders wichtig für Schlüsselpositionen wie Incident Manager, Incident Responder und Communications Lead. 

• Incident Manager: Incident Managers haben die Gesamtverantwortung für die Reaktion auf das Ereignis.

• Incident Responder: Incident Responders sind für Untersuchungen und Abhilfemaßnahmen zuständig. Diese Personen können sich je nach Art des Ereignisses unterscheiden, sind aber in der Regel Entwickler und Betriebs-Teams, die für die betroffene Anwendung verantwortlich sind.

• Communications Lead: Communications Leads sind für die interne und externe Kommunikation verantwortlich, insbesondere mit Behörden, Regulierungsbehörden und Kunden.

• Fachexperten (Subject Matter Experts, SMEs): Im Falle von verteilten und autonomen Teams empfehlen wir Ihnen, für geschäftskritische Workloads SMEs zu bestimmen. Sie bieten Einblicke in den Betrieb und die Datenklassifizierung von kritischen Workloads, die an dem Ereignis beteiligt sind.

Benutzen Sie die Funktion AWS Systems Manager Incident Manager, um wichtige Kontakte zu erfassen, einen Reaktionsplan zu definieren, Bereitschaftspläne zu automatisieren und Eskalationspläne zu erstellen. Automatisieren und rotieren Sie alle Mitarbeiter durch einen Bereitschaftsdienstplan, sodass die Verantwortung für den Workload auf alle Eigentümer verteilt wird. Dies fördert gute Praktiken wie die Ausgabe relevanter Metriken und Protokolle sowie die Definition von Alarmschwellen, die für den Workload von Bedeutung sind.

Externe Partner identifizieren: Unternehmen nutzen Tools, die von unabhängigen Softwareanbietern (ISVs), Partnern und Subunternehmern entwickelt wurden, um differenzierte Lösungen für ihre Kunden zu erstellen. Engagieren Sie wichtige Mitarbeiter dieser Parteien, die Ihnen bei der Reaktion auf einen Vorfall und bei dessen Bewältigung helfen können. Wir empfehlen Ihnen, sich für die entsprechende Stufe von AWS Support anzumelden, um über einen Supportfall sofortigen Zugang zu AWS Fachexperten zu erhalten. Erwägen Sie ähnliche Vereinbarungen mit allen Anbietern kritischer Lösungen für die Workloads. Einige Sicherheitsereignisse machen es erforderlich, dass börsennotierte Unternehmen die zuständigen Behörden und Aufsichtsbehörden über das Ereignis und dessen Auswirkungen informieren. Pflegen und aktualisieren Sie die Kontaktinformationen der relevanten Abteilungen und der zuständigen Personen.

Implementierungsschritte

1. Richten Sie eine Lösung für das Vorfallmanagement ein.

   1. Erwägen Sie die Bereitstellung von Incident Manager in Ihrem Security Tooling-Konto.

2. Definieren Sie Kontakte in Ihrer Lösung für das Vorfallmanagement.

   1. Definieren Sie für jeden Kontakt mindestens zwei Arten von Kontaktkanälen (z. B. SMS, Telefon oder E-Mail), um die Erreichbarkeit während eines Vorfalls sicherzustellen.

3. Definieren Sie einen Reaktionsplan.

   1. Ermitteln Sie die am besten geeigneten Ansprechpartner für einen Vorfall. Definieren Sie Eskalationspläne, die sich an den Rollen der einzuschaltenden Mitarbeiter orientieren, und nicht an einzelnen Ansprechpartnern. Erwägen Sie die Aufnahme von Kontakten, die für die Benachrichtigung externer Stellen zuständig sein könnten, auch wenn diese nicht direkt an der Lösung des Vorfalls beteiligt sind.  

Ressourcen

Zugehörige bewährte Methoden:

• OPS02-BP03 Betriebsaktivitäten haben feste Eigentümer, die für ihre Leistung verantwortlich sind

Zugehörige Dokumente:

• AWS-Leitfaden für Security Incident Response

Zugehörige Beispiele:

• AWS Customer Playbook Framework

• Prepare for and respond to security incidents in your AWS environment

Zugehörige Tools:

• AWS Systems Manager Incident Manager

Zugehörige Videos:

• Amazon's approach to security during development