Definizione di ruoli e responsabilità - Guida sulla risposta agli incidenti di sicurezza di AWS
Fornire formazione

Definizione di ruoli e responsabilità

Le competenze e i meccanismi di risposta agli incidenti sono molto importanti quando si gestiscono eventi nuovi o su larga scala. Questi eventi si basano sugli standard scritti che il team ha sviluppato e sull'esperienza pratica del team. Poiché non possiamo prevedere o codificare tutte le potenziali direzioni che può prendere un evento, ci affidiamo all'automazione per attività semplici e ripetitive, come la raccolta di memoria delle istanze o registri diagnostici, e lasciamo che le persone prendano le decisioni difficili. La gestione di eventi di sicurezza poco chiari richiede disciplina tra le organizzazioni, propensione a operazioni decisive e capacità di ottenere risultati. All'interno della struttura organizzativa, dovrebbero esserci molte persone responsabili, affidabili, consultate o tenute informate durante un incidente, come i rappresentanti delle risorse umane (HR), il team dirigenziale e quello legale. Considera questi ruoli e responsabilità e se devono essere coinvolte terze parti. Si noti che in molte aree geografiche esistono leggi locali che regolano ciò che si può e non si può fare. Sebbene possa sembrare un'operazione burocratica costruire un grafico RACI (Responsible, Accountable, Consulted, Informed), ciò consente una comunicazione rapida e diretta e delinea chiaramente la leadership nelle diverse fasi dell'evento.

I partner affidabili possono essere coinvolti nell'indagine o nella risposta e forniscono ulteriori competenze e un prezioso controllo. Quando non hai queste competenze nella tuo team, potresti voler assumere una parte esterna per assistenza. Se assumi una parte esterna, assicurati che questa addestri i membri del team. Quando queste parti esterne lavorano con i tuoi sviluppatori e operatori interni, possono ampliare le competenze dei membri del team e le nuove competenze possono essere preziose per il programma IR in futuro.

Durante un incidente, includere i proprietari e gli sviluppatori delle applicazioni e delle risorse interessate è fondamentale perché sono SME in grado di fornire informazioni e contesto. Assicurati di fare pratica e di costruire relazioni con gli sviluppatori e i proprietari delle applicazioni prima di affidarti alla loro competenza per la risposta agli incidenti. Ai proprietari delle applicazioni o alle PMI può essere richiesto di agire in situazioni in cui l'ambiente non è familiare, presenta una complessità imprevista o in cui i team di risposta non hanno accesso. Gli SME delle applicazioni dovrebbero esercitarsi e sentirsi a proprio agio nel lavorare con il team IR.

Fornire formazione

Per ridurre le dipendenze e ridurre il tempo di risposta, assicurati che i team di sicurezza e i team di risposta siano informati sui servizi cloud e abbiano opportunità di esercitarsi direttamente con le piattaforme cloud specifiche utilizzate dalla tua organizzazione. Parte di questa formazione deriva dalla costruzione del team e dalla creazione dei runbook che avviene all'inizio del processo. Includendo quante più persone possibile nella fase iniziale della formazione dei runbook, fornisci una migliore comprensione ai team interni. Questa formazione diventa più reale quando i team iniziano a seguire i runbook negli esercizi di simulazione.

AWS e altre terze parti forniscono anche workshop sulla sicurezza online (AWS Security Workshops) che puoi scaricare e utilizzare. L'organizzazione può trarre vantaggio dalla formazione aggiuntiva del personale per apprendere le competenze di programmazione, i processi di sviluppo (inclusi i sistemi di controllo delle versioni e le pratiche di implementazione) e l'automazione dell'infrastruttura.

AWS offre una serie di opzioni di formazione e percorsi di apprendimento tramite la formazione digitale, la formazione in aula, i partner APN e le certificazioni. Per ulteriori informazioni, consulta AWS Training & Certification.