SEC10-BP08 Menetapkan kerangka kerja untuk belajar dari insiden
Menerapkan kerangka kerja belajar dari pengalaman dan kemampuan analisis akar masalah tidak hanya dapat membantu meningkatkan kemampuan respons insiden, tetapi juga membantu mencegah insiden berulang. Dengan belajar dari setiap kejadian, Anda dapat membantu menghindari mengulangi kesalahan, paparan, atau kesalahan konfigurasi yang sama, sehingga tidak hanya meningkatkan postur keamanan Anda, tetapi juga meminimalkan waktu yang hilang untuk situasi yang dapat dicegah.
Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan: Sedang
Panduan implementasi
Penting untuk menerapkan kerangka kerja belajar dari pengalaman yang secara umum menetapkan dan mencapai poin-poin berikut ini:
-
Kapan belajar dari pengalaman diadakan?
-
Apa yang terlibat dalam proses belajar dari pengalaman?
-
Bagaimana belajar dari pengalaman dilaksanakan?
-
Siapa yang terlibat dalam prosesnya, dan bagaimana?
-
Bagaimana area perbaikan akan diidentifikasi?
-
Bagaimana Anda akan memastikan bawa perbaikan dilacak dan diimplementasikan secara efektif?
Kerangka kerja ini tidak boleh fokus pada individu atau menyalahkan individu, tetapi harus fokus pada perbaikan alat dan proses.
Langkah implementasi
Selain hasil tingkat tinggi yang dicantumkan sebelumnya, penting untuk memastikan bahwa Anda mengajukan pertanyaan yang tepat untuk mendapatkan nilai paling besar (informasi yang mengarah pada perbaikan yang dapat ditindaklanjuti) dari proses tersebut. Pertimbangkan pertanyaan-pertanyaan ini untuk membantu Anda memulai dalam membangun diskusi belajar dari pengalaman Anda:
-
Apa insidennya?
-
Kapan insiden tersebut pertama kali diidentifikasi?
-
Bagaimana insiden tersebut diidentifikasi?
-
Sistem apa yang diperingatkan tentang aktivitas tersebut?
-
Sistem, layanan, dan data apa yang terlibat?
-
Apa yang terjadi secara khusus?
-
Apa yang berjalan dengan baik?
-
Apa yang tidak berjalan dengan baik?
-
Proses atau prosedur mana yang gagal atau gagal diskalakan untuk merespons insiden tersebut?
-
Apa yang dapat diperbaiki dalam area-area berikut:
-
Personel
-
Apakah orang-orang yang perlu dihubungi benar-benar sedang lowong dan apakah daftar kontak sudah diperbarui?
-
Apakah orang-orang melewatkan pelatihan atau kemampuan yang diperlukan untuk merespons dan menyelidiki insiden tersebut secara efektif?
-
Apakah sumber daya yang tepat siap dan tersedia?
-
-
Proses
-
Apakah proses dan prosedur diikuti?
-
Apakah proses dan prosedur didokumentasikan dan tersedia untuk (jenis) insiden ini?
-
Apakah proses dan prosedur yang diperlukan tidak tersedia?
-
Apakah perespons dapat memperoleh akses tepat waktu ke informasi yang diperlukan untuk merespons masalah ini?
-
-
Teknologi
-
Apakah sistem peringatan yang ada secara efektif mengidentifikasi dan memperingatkan tentang aktivitas?
-
Bagaimana kita bisa mengurangi waktu deteksi hingga 50%?
-
Apakah peringatan yang ada memerlukan perbaikan atau peringatan baru perlu dibuat untuk (jenis) insiden ini?
-
Apakah alat yang ada memungkinkan penyelidikan (pencarian/analisis) insiden yang efektif?
-
Apa yang dapat dilakukan untuk membantu mengidentifikasi (jenis) insiden ini dengan lebih cepat?
-
Apa yang dapat dilakukan untuk membantu mencegah (jenis) insiden ini terjadi lagi?
-
Siapa yang memiliki rencana perbaikan dan bagaimana Anda akan menguji bahwa rencana tersebut telah diterapkan?
-
Bagaimana garis waktu untuk mengimplementasikan dan menguji pemantauan tambahan atau kontrol dan proses pencegahan?
-
-
Daftar ini bukanlah daftar lengkap, melainkan dimaksudkan sebagai titik awal untuk mengidentifikasi kebutuhan organisasi dan bisnis dan bagaimana Anda dapat menganalisisnya agar dapat belajar secara efektif dari insiden dan terus meningkatkan postur keamanan Anda. Yang paling penting adalah memulai dengan menyertakan kerangka kerja belajar dari pengalaman sebagai bagian standar dari proses respons insiden, dokumentasi, dan harapan seluruh pemangku kepentingan.
Sumber daya
Dokumen terkait:
