Quản lý sự cố an ninh mạng

[thaihihi007]

Khi một sự cố xảy ra trong dịch vụ CNTT thì có thể gây ra sự ngưng trệ, giảm chất lượng của dịch vụ và tác động không tốt đến hoạt động kinh doanh của doanh nghiệp. Sự cố có thể xảy ra bất kỳ lúc nào, bất cứ doanh nghiệp nào. Ở vai trò người làm dịch vụ thì bạn đã sẵn sàng quản lý sự cố dịch vụ?


Sự cố là gì?
Theo tài liệu của Infrastructure Technology Information Library – ITIL thì sự cố được định nghĩa là một sự ngưng trệ dịch vụ CNTT không mong muốn hoặc là sự giảm chất lượng của một dịch vụ CNTT hoặc là một đơn vị cấu hình (Configuration Item hay được người trong nghề gọi tắc là CI) bị hỏng mà chưa làm ảnh hưởng đến dịch vụ CNTT (hay còn gọi là IT Service Management – ITSM).
Một hệ thống quản lý sự cố hiệu quả có thể giúp Doanh nghiệp quản lý rủi ro và tối đa hóa giá trị của các thiết bị an ninh hiện tại cần phải đảm bảo các yếu tố sau:
+ Củng cố đầu vào đồng nhất
+ Xác định sự cố
+ Ưu tiên các sự cố dựa trên những tác động của nó đến hoạt động kinh doanh
+ Theo dõi sự cố để ngăn chặn
+ Tích hợp với các hệ thống quản lý CNTT lớn
+ Hướng dẫn thực hành dễ hiểu
Đảm bảo rằng các phương pháp và thủ tục chuẩn được sử dụng để ứng phó hiệu quả và kịp thời
Sự cố được phân tích, tài liệu hoá, báo cáo sự cố và quản lý liên tục
Nâng cao sự minh bạch và truyền thông hiệu quả về sự cố giữa những người làm kinh doanh và nhóm hỗ trợ
Nâng cao nhận thức của doanh nghiệp về CNTT thông qua việc sử dụng một cách tiếp cận chuyên nghiệp để giải quyết nhanh chóng và giao tiếp kiệp thời khi sự cố xảy ra
Điều chỉnh các hoạt động quản lý sự cố phù hợp với mức độ ưu tiên của kinh doanh
Duy trì sự hài lòng của khách hàng về chất lượng dịch vụ của CNTT
-Hợp nhất thông tin
Khả năng thu thập thông tin từ các thiết bị an ninh trong Doanh nghiệp là nền tảng của bất kỳ ứng dụng quản lý sự cố nào. Các công ty đều cố gắng mua các thiết bị an ninh tốt nhất từ nhiều nhà cung cấp, điều này có thể làm tăng mức độ bảo vệ nhưng nó cũng làm tăng thách thức cho nhà quản trị khi mà phải quản lý đồng hời nhiều sản phẩm khác nhau. Nhiệm vụ của 1 nhà vận hành hệ thống là phải hợp nhất các thông tin từ các thiết bị an ninh báo về một cách thống nhất. Các sản phẩm từ các nhà cung cấp khác nhau sẽ sử dụng các định dạng khác nhau để diễn tả thông tin do đó cần có một bộ từ vựng thông dụng mà thay vào đó các thông điệp được dịch chuẩn hóa với nhau.
-Xác định ngẫu nhiên
Trước khi tiến hành xử lý sự cố điều cần làm là phải xác định được chính xác sự cố đang diễn ra. Các ứng dụng quản lý sự cố toàn diện cung cấp các công cụ để giúp nhà quản trị xác định được đặc điểm của sự cố đồng thời có các hoạt động thích hợp để ngăn chặn sự cố. Quá trình phản hồi thông tin xảy ra có liên quan đến chuyên môn, tuy nhiên một phần quan trọng của quá trình có thể được tự động hóa để các nhân viên an ninh có thể tập trung vào các hoạt động tốt thúc đẩy các kỹ năng của họ. Tương quan – Liên kết hai hoặc nhiều yếu tố vào một đơn vị là một kỹ thuật hiệu quả được dùng để xác định sự cố. Bằng cách liên kết các sự kiện để hình thành sự cố, mối tương quan sẽ giúp các nhà khai thác hoàn thành và xác định chính xác các đặc điểm quan trọng của vụ việc, do đó đặt nền móng giải quyết thành công.
-Xác định trình tự ưu tiên liên quan tới tác động đến doanh nghiệp
-Đối tượng
-Liên kết với các công ty an ninh mạng khác: SecurityBox....vv
-Hướng dẫn thực hành tốt
6 Giai đoạn chính của một kế hoạch ứng cứu sự cố bạn cần biết:
- Chuẩn bị Chuẩn bị các kịch bản sự cố có thể xảy ra và tiến hành diễn tập. Chuẩn bị các tài liệu hướng dẫn, quy trình và các công cụ cần thiết để thực hiện.
- Xác địnhKhi có dấu hiệu an ninh cần tiến hành xác định xem dấu hiệu đó có phải là một sự cố an ninh hay không. Sau khi xác định sự cố cần phân loại sự cố vào trong một nhóm cụ thể để có phương án xử lí tương ứng.
- Hạn chế Hạn chế thiệt hại của vụ việc và cô lập các hệ thống bị ảnh hưởng để ngăn chặn hệ thống bị thiệt hại thêm.
- Xóa bỏ Tìm ra nguyên nhân gốc rễ của vụ việc, loại bỏ các hệ thống bị ảnh hưởng từ môi trường bên trong.
- Phục hồiCho phép các hệ thống bị ảnh hưởng trở lại môi trường bên trong, đảm bảo không có mối đe dọa liên quan tới vấn đề an ninh mạng tồn đọng.
- Rút ra bài học kinh nghiệm Hoàn thành tài liệu hướng dẫn, thực hiện phân tích để học hỏi từ sự cố và có thể cải thiện các nỗ lực ứng cứu trong tương lai. Để kế hoạch ứng cứu sự cố đạt hiệu quả và mang lại lợi ích cho doanh nghiệp, người đại diện bộ phận IT và người quản lý phải biết làm thế nào nhằm giảm thiểu thời gian và mức độ thiệt hại từ một sự cố gây ra, xác định các bên có liên quan từ đó đẩy nhanh thời gian hồi phục, giảm thiểu những tác động tiêu cực cho hệ thống. Bản kế hoạch ứng cứu sự cố cần xác định và mô tả rõ vai trò, trách nhiệm của các thành viên trong nhóm phản ứng sự cố, yêu cầu họ phải có trách nhiệm thử nghiệm kế hoạch và thực hiện hành động. Kế hoạch cần nêu rõ các công cụ, công nghệ và các nguồn lực vật chất liên quan nhằm phục hồi sự cố tốt nhất.

Nguồn: SecurityBox