Своими мыслями на этот счёт поделился Стюарт Рэнс, эксперт в области управления ИТ-услугами.
Большинство инцидентов, с которыми имеет дело ИТ, относительно незначительны. Они могут быть важны для пользователей, которых затронули, но в большинстве случаев не представляют реальной угрозы для бизнеса. Команды технической поддержки, с которыми мне доводилось работать, в основном достаточно эффективно устраняют такие инциденты. Они в состоянии довольно быстро определить, что необходимо сделать, и отлично взаимодействуют с затронутыми пользователями. А поскольку таких инцидентов происходит довольно много, они учатся на собственном опыте. Они понимают, что инциденты являются источником информации для планирования мер по совершенствованию, и ведут проактивную работу по выявлению, приоритезации и реализации этих мер. Основным фактором, ограничивающим возможности по непрерывному совершенствованию при работе с “рутинными” инцидентами, является не отсутствие опыта или желания, а недостаток времени и ресурсов на анализ тенденций и проведение мероприятий по совершенствованию.
Значительные инциденты и нарушения безопасности не похожи на рутинные инциденты. Они происходят не часто, многим организациям вообще не доводилось иметь с ними дело. А для многих из тех, кто сталкивается со значительными инцидентами, это происходит впервые. В такой ситуации обучение на собственном опыте может обойтись слишком дорого или даже привести к полной потере бизнеса.
Как же обеспечить себе уверенность в том, что при первой встрече со значительным инцидентом вы предпримите правильные шаги?
Планирование
Далее перечислены наиболее важные вещи, которые необходимо сделать для подготовки к крупным инцидентам и нарушениям безопасности.
Выявите риски
Подумайте, что может пойти не так. Пообщайтесь с коллегами, идентифицируйте угрозы и возможные сценарии их реализации, изучите новости о значительных инцидентах, произошедших в других организациях. Не думайте только о рисках безопасности! Задумайтесь, а может ли ещё что-нибудь пойти не так? Какое влияние на ваш бизнес это тогда окажет?
Действуйте во избежание риска
Лучший способ справиться с любым значительным инцидентом – это не дать ему произойти. Как только вы определили, что может пойти не так, вы находитесь в идеальных условиях для планирования мер по минимизации риска. Такими мерами могут оказаться, например, регламентация процесса контроля и установки обновлений безопасности, проведение обучения для сотрудников технической поддержки и так далее.
Своевременно идентифицируйте риски
Если мы своевременно не идентифицируем существенные риски и не предпринимаем корректирующие действия, их негативное влияние растёт. Возьмем, к примеру, нарушения безопасности. Многие нарушения привели к существенной утечке данных только из-за того, что их не замечали в течение многих месяцев. Если бы их обнаружили быстро, их воздействие могло быть значительно уменьшено. Возможно, вам потребуются подходящие инструменты, которые помогут выявлять нарушения. При этом следует помнить, что не менее важно научить персонал сообщать о вещах, которые выглядят необычно. Чем быстрее вы обнаружите риск, тем скорее вы сможете взять его под контроль.
Планируйте ответные действия
Если вы хотите быть уверены в том, что предпримите корректные шаги по устранению значительного инцидента, вам нужно спланировать свои действия ещё до наступления инцидента. Решения, принятые в момент “тушения пожара”, никогда не будут работать так же хорошо, как те, которые были продуманы заранее. Подумайте над каждым идентифицированным вами риском и разработайте план реагирования на него.
Ваш план должен содержать:
- Описание первоочередных шагов, которые необходимо предпринять для локализации проблемы;
- Перечень сведений, которые необходимо собрать, и описание, как это сделать;
- Перечень заинтересованных сторон, которые необходимо информировать об инциденте и ходе работ, а также указание, как именно должно осуществляться это информирование;
- Описание шагов восстановления;
- Перечень участвующих ролей и описание их обязанностей.
Репетиция
Хочется верить, что вы подготовите планы по выявлению и устранению многих рисков до того, как эти риски реализуются. Вследствие этого у вас не будет возможности для проверки на деле планов по устранению значительных инцидентов и обучения на собственном опыте. Это означает, что нужно репетировать выполнение своих планов. Начните с простого обсуждения за столом, где все участники проговаривают порядок своих действий. Затем можно перейти к более сложным испытаниям, но будьте осторожны, чтобы не вызвать ими более негативные последствия, чем те, ради предотвращения которых эти испытания проводятся. Используйте репетицию, как инструмент познания и совершенствования, а также, как возможность для обучения персонала, чтобы все точно знали, что они должны делать при чрезвычайных ситуациях.
Обновляйте и совершенствуйте свои планы
Как бы ни были хороши ваши планы, их нужно постоянно актуализировать и совершенствовать. Даже если ваше ИТ-решение работает стабильно, бизнес-среда постоянно меняется, а вместе с ней меняются и угрозы. Продолжайте пересматривать и обновлять свои планы, чтобы они соответствовали назначению.
Планирование непрерывности
Многие организации формируют планы обеспечения непрерывности ИТ-услуг, нацеленные на защиту бизнеса от масштабных сбоев. В идеале, эти планы должны быть интегрированы с планами непрерывности бизнеса. Только так можно достичь определённой уверенности в том, что планы охватывают все необходимые области.
В некоторых организациях порядок управления значительными инцидентами прорабатывается в рамках планирование непрерывности ИТ-услуг. Другие относят к компетенции процесса управления непрерывностью только самые крупные сбои, имеющие высокое влияние на бизнес, и полагаются на ИТ-персонал в части управления менее серьезными инцидентами. В обоих случаях важно, чтобы ваши планы охватывали все возможные негативные сценарии, и чтобы каждый знал, что конкретно ему необходимо будет делать, когда что-то пойдет не так.
Резюме
Управление инцидентами – это не только восстановление сервиса для пользователей после того, как они обратились в службу технической поддержки. ИТ-организация должна быть готова к работе со всеми видами событий, начиная от незначительных инцидентов и заканчивая серьезными нарушениями бизнес-процессов. Если вы не планируете деятельность по управлению значительными инцидентами и нарушениями безопасности, то первый же такой инцидент, с которым вы столкнетесь, может привести к катастрофическим последствиям для вас, вашего бизнеса и ваших клиентов.
I guess this is a translation of my recent blog https://optimalservicemanagement.com/blog/how-to-manage-major-incidents-and-security-breaches/