十步搞定數據泄漏應急預案
安全專家有充分的理由擔心安全信息泄漏,從而制定數據泄漏應急預案。攻擊的復雜性和針對性不斷增強,被泄漏數據的數量持續上升,有組織的犯罪更加頻繁。然而,許多首席信息安全官(CISO)發現,他們無力應對這些攻擊。
美國通訊、安全和網絡解決方案提供商Verizon Business在其《2009數據泄漏調查報告》中指出,在最近的10起數據泄漏事件中,有9起本來是可以避免的。雖然這一統計數據本身不值得炫耀,但是它確實表明,在防止未來攻擊方面我們可以有所作為。下面我們來討論一下如何制定和測試數據泄漏應急預案。詳細的數據泄漏應急預案不僅可以減少遭受攻擊的可能性,而且可以顯著降低數據泄漏對企業的影響,并大大節約處理數據泄漏事件的寶貴時間。
下面列出了企業在制定數據泄漏應急預案時應該采取的10個高級步驟。只要按照這些步驟執行,你就可以制定出一個可靠的數據泄漏應急預案。
1、利用現有的方法識別和保護敏感數據。
許多企業已經制定了詳盡的數據分類方案和數據處理準則,然而這些方案和準則大都過于復雜而難以執行。盡管數據分類很重要,但它也不應成為保護敏感數據的障礙。利用現有的方法設法識別和保護關鍵領域和敏感數據,這些方法包括業務影響分析(Business Impact Analysis,BIA)、災難恢復(Disaster Recovery)演習等。可能這些方法已經生成了關于區分和查找敏感數據的大量文檔。
2、確定企業的IT環境狀況,識別潛在的風險領域。
通過仔細觀察員工、流程和技術領域并實施高層次風險評估,可以集中精力應對最關鍵的風險領域。要多與企業內處理敏感數據的人員進行交談,因為他們知道漏洞所在。另外,還可以考慮聘請外部公司實施風險評估,以幫助企業識別風險最高的領域。對于大型企業或非傳統企業來說,當企業難以確定自己的IT環境狀況或者企業內部對各個領域的風險等級存在分歧時,聘請外部公司實施風險評估是一個不錯的選擇。不要一下子面面俱到,而應該首先集中精力應對關鍵風險領域。
3、制定明確的業務流程,減少意外錯誤。
大多數的數據泄漏都是由人為失誤而不是技術故障引起的。通過制定明確的業務流程并經常對其進行評估,企業可以減少意外的數據泄漏風險。例如,如果每次硬化服務器時都對其配置進行驗證,則攻擊者就沒有什么機會利用服務器上可能導致數據泄漏的安全漏洞。要知道,在數據泄漏應急預案中,這種人為失誤可能會造成更大的破壞。
4、制定層次化的防御方法。
層次化的安全防御方法可以大大增加將攻擊者拒之門外的可能性。首先,員工是企業信息安全的第一道防線。企業應該對員工進行培訓,使其警惕社交工程攻擊。企業安全計劃中最牢固同時也是最薄弱的環節就是員工。其次,除了提高員工的安全意識,安全專家還應該確保現有的技術能力(例如加密、數據丟失防護等)能夠減輕風險。最后,企業還需要提供相應的處理工具,使其他兩個層次發揮作用更加容易。例如,如果要求員工加密電子郵件,但又沒有加密電子郵件的集成工具,就不會有人遵守這一規定了。
5、擴大數據泄漏應急響應團隊的權限。
等待管理層的批準和授權往往會浪費寶貴的響應時間。通過擴大數據泄漏應急響應團隊的權限,使其能夠當場做出決定又不用擔心受到責罰,可以避免這種情況的出現。數據泄漏應急預案還應該與現有的業務連續性或事件處理計劃保持一致。這樣,數據泄漏應急響應團隊就能夠及時有效地做出重要決定,協調各個計劃處理團隊的工作。很顯然,管理層應該成為數據泄漏應急處理的主導力量,而不是數據泄漏應急處理的瓶頸。
6、嚴格測試應急預案,迅速解決發現的問題。
幾乎每個企業都編制了一些數據泄漏應急預案文件。然而,據美國技術和市場研究公司Forrester Research Inc估計,只有不到20%的企業定期測試和更新其應急預案。測試的目的是記錄“執行項目”和“經驗教訓”,布置整改措施和后續行動,以確保在數據泄漏事件發生之前妥善解決發現的問題。要確認應急預案符合法律法規的最低要求。否則,企業可能會被視為存在失職行為。
7、制定溝通計劃。
與企業的通信、法律和人力資源部門協作,決定如何向下列人員通報數據泄漏事件:a)內部員工;b)公眾;c)直接受到數據泄漏事件影響的人員。制定一份準備就緒的溝通計劃非常重要,因為當發生數據泄漏事件時,以適當的方式及時通知客戶和有關執法機構,可以更容易獲得客戶和監管機構的諒解。
8、建立內部和外部合作關系。
與取證機構、執法機構以及法律和公共關系公司等建立合作關系,以免當數據泄漏事件發生時手忙腳亂地尋找聯系人。事先建立這種合作關系,使企業有充足的時間執行全面的風險評估,并確定適合本企業特定需求的合作伙伴。同樣地,作為溝通方案的一部分,還要加強與企業其他部門(例如IT運營部門)之間的聯系。
9、為應急響應人員提供適當的工具和培訓。
應急響應人員需要能夠熟練使用各種事件響應工具。如果應急預案是為了在企業內部處理數據泄漏事件,那么就要立刻行動起來,使應急響應人員熟悉取證工具,并掌握明確的證據收集和存儲流程。此外,還要確保所有處理數據泄漏事件敏感數據的人員能夠妥善處置必要的證據。很多時候,重要的證據都是由于未能正確收集而丟失。
10、將員工作為防止數據泄漏的最后一道防線。
員工不僅是企業信息安全的第一道防線,也是最后一道防線。企業應該教育和培訓員工,當數據泄漏應急預案啟動時,他們應該如何應對。要使員工在如何處理敏感數據方面保持清醒的頭腦,時常提醒員工,即使沒有發生數據泄漏,也不能懈怠和自滿。始終保持警覺至關重要。
【編輯推薦】
