Incidenthantering – A till Ö
Incidenthantering – A till Ö 2013-02-19 Fokusområde Incidenthantering och IT-forensik Agenda - Två processer Skapa förmåga 19 februari 2013 Hantera incidenter Varför? ”It’s about how hard you can get hit and keep moving forward” Rocky Balboa 25 februari 2013 Source: http://www.wallpaperup.com Varför? 25 februari 2013 ”It’s about how hard you can get hit and keep moving forward” Rocky Balboa Varför? ”It’s about how hard you can get hit and keep moving forward” Rocky Balboa Threat action by category ”Through 2016, the financial impact of cybercrime will grow 10% per year, due to the continuing discovery of new vulnerabilities.” Verizon Data Breach Report 2012 25 februari 2013 Skapa förmåga – CERT/CSIRT Skapa förmåga 19 februari 2013 Hantera incidenter ”Decide you must, how to serve them best” Roll Omfattning Tjänster • Uppdragsgivare • Intressenter • Organisatorisk placering • Mål och syfte • Budget • Befogenheter • Reaktiva • Proaktiva • Kvalitetshöjande 25 februari 2013 Source: http://www.theinspirationroom.co Organisation CERT/CSIRT EXTERN CENTRALISERAD + + + - - - dedikerat personal kompetensutveckling hög kontroll högre kostnader svårt att hitta personal ingen verksamhetskompetens 27 februari 19 februari 2013 2013 INTERN DISTRIBUERAD + central styrning + verksamhetskompetens + lokal närvaro - resursertilldelning - svårt att styra - kompetensutveckling - ansvarsfördelning Förberedelser Roll, Omfattning och Tjänster Personal • • • • Medlemmar (antal) Kompetens / utbildning Intressenter / kontaktvägar Externt / internt samarbete 19 februari 2013 Dokumentation • • • • Riktlinjer Checklistor Eskaleringsrutiner Systemdokumentation Teknik/verktyg • • • • Övervakning / loggning Inhämtning Analysverktyg Kommunikation / lagring Incidenthantering Skapa förmåga 19 februari 2013 Hantera incidenter Incidenthanteringsprocessen Identifiera Analysera INPUT • Larm • Service desk • Interna audits • Omvärldsbevakning • Leif Nixon 19 februari 2013 Identifiera Agera OUTPUT • Incidentinformation Förbättra Viktiga frågor under hela processen • Ägare och arbetsuppgifter • Mandat och befogenheter • Dokumentation • Tidsaspekten (SLA) • Samordning / kommunikation • Omvärldsbevakning • Externa leverantörer Incidenthanteringsprocessen Identifiera INPUT • Incidentinformation 19 februari 2013 Analysera Analysera Agera OUTPUT • Teknisk information • Verifierad incident • Konsekvens • Prioritet Förbättra Viktiga frågor under hela processen • Ägare och arbetsuppgifter • Mandat och befogenheter • Dokumentation • Tidsaspekten (SLA) • Samordning / kommunikation • Omvärldsbevakning • Externa leverantörer Incidenthanteringsprocessen Identifiera INPUT • Teknisk information • Verifierad incident • Konsekvens • Prioritet Analysera Agera OUTPUT • Tekniska åtgärder • Nya objekt för analys Agera Förbättra Viktiga frågor under hela processen • Ägare och arbetsuppgifter • Mandat och befogenheter • Dokumentation • Tidsaspekten (SLA) • Samordning / kommunikation • Omvärldsbevakning 19 februari 2013 • Externa leverantörer Incidenthanteringsprocessen Identifiera INPUT • Erfarenheter • Analysresultat Analysera Förbättra Agera OUTPUT • Förbättring av incidentprocessen • Kompetensutveck. • Förbättring av ITmiljö Förbättra Viktiga frågor under hela processen • Ägare och arbetsuppgifter • Mandat och befogenheter • Dokumentation • Tidsaspekten (SLA) • Samordning / kommunikation • Omvärldsbevakning 19 februari 2013 • Externa leverantörer Summering • Roll, omfattning, tjänster • Organisatorisk modell • Personal • Dokumentation • Tekniska förberedelse 19 februari 2013 Skapa förmåga Hantera incidenter • • • • Ta emot incidenter Bra kontaktvägar Enkla checklistor Förbättringar Frågor? Secure Experience Jonas Elmqvist [email protected] +4670-379 22 74 19 februari 2013
© Copyright 2024