As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
SEC10-BP08 Estabeleça uma estrutura para aprender com incidentes
Implementar um framework de lições aprendidas e o recurso de análise da causa-raiz não só ajudará a melhorar os recursos de resposta a incidentes, mas também a evitar que o incidente se repita. Ao aprender com cada incidente, você pode ajudar a evitar a repetição dos mesmos erros, exposições ou configurações incorretas, não apenas melhorando seu procedimento de segurança, mas também minimizando o tempo perdido em situações evitáveis.
Nível de risco exposto se esta prática recomendada não for estabelecida: Médio
Orientação para implementação
É importante implementar um framework de lições aprendidas que estabeleça e atinja, em alto nível, os seguintes pontos:
-
Quando um processo de lições aprendidas é realizado?
-
O que está envolvido no processo de lições aprendidas?
-
Como um processo de lições aprendidas é realizado?
-
Quem está envolvido no processo e como?
-
Como as áreas de melhoria serão identificadas?
-
Como você garantirá que as melhorias sejam monitoradas e implementadas de forma eficaz?
O framework não deve se concentrar em culpar os indivíduos, mas sim na melhoria de ferramentas e processos.
Etapas de implementação
Além dos resultados de alto nível listados acima, é importante garantir que você faça as perguntas certas para obter o máximo valor (informações que levem a melhorias práticas) do processo. Considere estas perguntas para ajudar você a começar a promover discussões sobre lições aprendidas:
-
Como foi o incidente?
-
Quando o incidente foi identificado pela primeira vez?
-
Como ele foi identificado?
-
Que sistemas alertaram sobre a atividade?
-
Que sistemas, serviços e dados estiveram envolvidos?
-
O que ocorreu especificamente?
-
O que funcionou bem?
-
O que não funcionou bem?
-
Que processos ou procedimentos falharam ou não tiveram a escala ajustada para responder ao incidente?
-
O que pode ser melhorado nas seguintes áreas:
-
Pessoas
-
As pessoas que precisavam ser contatadas estavam realmente disponíveis e a lista de contatos estava atualizada?
-
As pessoas estavam perdendo treinamentos ou não tinham os recursos necessários para responder e investigar o incidente de forma eficaz?
-
Os recursos apropriados estavam prontos e disponíveis?
-
-
Processo
-
Os processos e procedimentos foram seguidos?
-
Os processos e procedimentos foram documentados e estavam disponíveis para esse (tipo de) incidente?
-
Havia processos e procedimentos necessários faltando?
-
Os respondedores conseguiram obter acesso oportuno às informações necessárias para responder ao problema?
-
-
Tecnologia
-
Os sistemas de alerta existentes identificaram e alertaram efetivamente sobre a atividade?
-
Como poderíamos ter reduzido em time-to-detection 50%?
-
Os alertas existentes precisam ser aprimorados ou novos alertas precisam ser criados para esse (tipo de) incidente?
-
As ferramentas existentes permitiram uma investigação (pesquisa/análise) eficaz do incidente?
-
O que pode ser feito para ajudar a identificar esse (tipo de) incidente mais cedo?
-
O que pode ser feito para ajudar a evitar que esse (tipo de) incidente ocorra novamente?
-
Quem é o proprietário do plano de melhoria e como você testará se ele foi implementado?
-
Qual é o cronograma para que os controles e processos adicionais de monitoramento ou prevenção sejam implementados e testados?
-
-
Essa lista não inclui tudo, mas serve como ponto de partida para identificar quais são as necessidades da organização e da empresa e como você pode analisá-las para aprender com os incidentes de forma mais eficaz e melhorar constantemente seu procedimento de segurança. O mais importante é começar incorporando as lições aprendidas como parte padrão do processo de resposta a incidentes, da documentação e das expectativas das partes interessadas.
Recursos
Documentos relacionados:
