Stabilisci un framework per imparare dagli incidenti - AWS Security Incident Response Guida per l'utente

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Stabilisci un framework per imparare dagli incidenti

L'implementazione di un framework e di una metodologia tratti dalle lezioni apprese non solo contribuirà a migliorare le capacità di risposta agli incidenti, ma aiuterà anche a prevenire il ripetersi degli incidenti. Imparando da ogni incidente, è possibile evitare di ripetere gli stessi errori, esposizioni o configurazioni errate, non solo migliorando il livello di sicurezza, ma anche riducendo al minimo il tempo perso in situazioni evitabili.

È importante implementare un framework basato sulle lezioni apprese in grado di stabilire e raggiungere, a un livello elevato, i seguenti punti:

  • Quando si tiene un framework basato sulle lezioni apprese?

  • Cosa comporta il processo basato sulle lezioni apprese?

  • Come viene eseguito un framework basato sulle lezioni apprese?

  • Chi è coinvolto nel processo e in che modo?

  • Come vengono identificate le aree di miglioramento?

  • Come farete a garantire che i miglioramenti siano monitorati e implementati in modo efficace?

Oltre a questi risultati di alto livello elencati, è importante assicurarsi di porre le domande giuste per trarre il massimo valore (informazioni che portino a miglioramenti attuabili) dal processo. Considera queste domande per iniziare a promuovere le discussioni sulle lezioni apprese:

  • Qual è stato l'incidente?

  • Quando è stato identificato per la prima volta l'incidente?

  • Come è stato identificato?

  • Quali sistemi hanno avvisato dell'attività?

  • Quali sistemi, servizi e dati sono stati coinvolti?

  • Cosa è successo nello specifico?

  • Cosa ha funzionato bene?

  • Cosa non ha funzionato bene?

  • Quale processo o quali procedure non sono riusciti a scalare per rispondere all'incidente?

  • Cosa può essere migliorato nelle seguenti aree:

    • Persone

      • Le persone da contattare erano effettivamente disponibili e l'elenco dei contatti era aggiornato?

      • Le persone presentavano lacune nella formazione o nelle capacità necessarie per rispondere e indagare efficacemente sull'incidente?

      • Le risorse appropriate erano pronte e disponibili?

    • Processo

      • Sono stati seguiti i processi e le procedure?

      • I processi e le procedure erano documentati e disponibili per questo tipo di incidente?

      • Mancavano i processi e le procedure richiesti?

      • Il team di risposta è stato in grado di accedere tempestivamente alle informazioni necessarie per rispondere al problema?

    • Tecnologia

      • I sistemi di avviso esistenti hanno identificato e segnalato efficacemente l'attività?

      • Gli avvisi esistenti devono essere migliorati o è necessario creare nuovi avvisi per questo (tipo di) incidente?

      • Gli strumenti esistenti consentivano un'indagine efficace (ricerca/analisi) dell'incidente?

  • Cosa si può fare per identificare prima questo tipo di incidente?

  • Cosa si può fare per evitare che questo tipo di incidente si ripeta?

  • A chi appartiene il piano di miglioramento e come verifichi che sia stato implementato?

  • Qual è la tempistica entro cui i monitoring/preventative controlli/processi aggiuntivi devono essere implementati e testati?

Questo elenco non è esaustivo; è destinato a servire come punto di partenza per identificare quali sono le esigenze dell'organizzazione e dell'azienda e come analizzarle per imparare nel modo più efficace dagli incidenti e migliorare continuamente il livello di sicurezza. La cosa più importante è iniziare incorporando le lezioni apprese come parte standard del processo di risposta agli incidenti, della documentazione e delle aspettative di tutti le parti interessate.