О том, что входит в состав хорошего плана реагирования на инциденты и какие шаги должны предпринять специалисты по безопасности, чтобы обеспечить надлежащую готовность к почти неизбежной атаке и добиться поддержки со стороны руководства организации, на портале ComputerWeekly рассказывает CISO Elastic Мэнди Андресс.

Когда речь заходит о стратегиях реагирования на инциденты безопасности, многие организации, как правило, уделяют большое внимание киберустойчивости, что вполне оправданно, но при этом часто забывают учесть важность человеческой устойчивости.

Ведь от людей, отвечающих за локализацию, анализ и устранение последствий атаки, а также за последующее восстановление, требуется очень многое. На каждом этапе они должны сохранять спокойствие, анализируя сложную ситуацию, формулируя адекватные ответные меры, дипломатично оправдывая ожидания заинтересованных сторон, а иногда и сталкиваясь с отказом от своих рекомендаций. И это не говоря уже о продолжительном рабочем дне и ограниченных ресурсах, с которыми им приходится сталкиваться.

Но как много внимания уделяется фактическому опыту выполнения этой работы? Являются ли люди, участвующие в этой работе, адекватно оснащенными и поддерживаемыми? Или от них просто ожидают сверхчеловеческих усилий, невзирая на влияние физической и психологической усталости на их способность к восстановлению?

Для меня, как CISO, это очень важная задача: обеспечить, чтобы наши планы реагирования на инциденты включали адекватные положения для людей, работающих на передовой линии.

В начале инцидента, когда адреналин бьет ключом, а мотивация быстро остановить атаку высока, члены команды, как правило, прилагают чрезвычайные усилия, чтобы выполнить поставленные перед ними задачи. Это период высокооктановой интенсивности.

Однако не секрет, что инциденты безопасности и восстановление после них могут затягиваться на недели и даже месяцы. Длительный период постоянных повышенных требований к времени и вниманию команды выбивает из колеи даже самых компетентных и оптимистичных сотрудников. Снижается концентрация внимания. Снижается командный дух. Работоспособность снижается. Вряд ли это можно назвать способом роста через преодоление трудностей.

Вполне реальный риск заключается в том, что при снижении интенсивности и вовлеченности в работу происходит затягивание процесса. Первоначальный инцидент может быть ликвидирован, но в баке может остаться недостаточно топлива, чтобы должным образом извлечь уроки и трансформировать успешное реагирование в эффективную профилактику на будущее.

Более эффективная поддержка

Непрактично полагать, что в группах кибербезопасности должны работать только люди с исключительным уровнем устойчивости к внешним воздействиям. Во-первых, это просто нереально на фоне нехватки квалифицированных кадров. Но что еще более важно, это нечестная и безответственная практика работы с персоналом. Руководители организаций должны осознать свою обязанность поддерживать работу команд, занимающихся инцидентами безопасности. Как отмечают эксперты, «чтобы действительно повысить устойчивость организации к внешним воздействиям, необходимо осознать, что две вещи должны происходить одновременно: отдельные люди должны обладать резервом ресурсов, таких как оптимизм, бодрость и сложившиеся сети социальной поддержки, которые помогут им быть устойчивыми, а организации — предлагать проактивные ресурсы и проводить изменения, которые помогают защитить сотрудников».

Другими словами, индивидуальная устойчивость сотрудников не может заменить организационное совершенствование и поддержку. И в случае инцидентов безопасности CISO несут ответственность за создание культуры и рамок, в которых происходит совершенствование и поддержка. Вот несколько моментов, которые я рекомендую рассмотреть:

  1. Адекватная подготовка. Теоретические учения являются неотъемлемой частью большинства программ реагирования на инциденты безопасности, но дают ли они сотрудникам точное представление о том, с какими требованиями им придется столкнуться? Если у сотрудников есть возможность отрепетировать реагирование на инциденты, то появляется шанс, что в случае реальной атаки они будут более психологически подготовлены. Кроме того, такие учения — прекрасная возможность подчеркнуть важность перерывов в такой сложной работе и продумать, как их можно сделать.
  2. Составление расписания. Когда речь идет о планировании работы персонала, план должен выходить за рамки краткосрочного реагирования высокой интенсивности и учитывать недели и месяцы, которые могут потребоваться для ликвидации последствий инцидента. По возможности следует предусмотреть ротацию сотрудников в составе группы реагирования, чтобы предоставить им столь необходимое время для отдыха. По возможности следует уважать запланированный личный отпуск и личные/семейные обязательства.
  3. Поддержка. Какую поддержку получают группы реагирования на инциденты безопасности от организации в целом? Это могут быть программы по снижению стресса под руководством HR, предоставление оплачиваемого отпуска для отдыха и восстановления после инцидента, а также официальные каналы, по которым сотрудники могут высказать свои опасения и предложения по поводу условий работы, в которых они оказываются во время таких кампаний.

Прежде всего, для меня это вопрос признания человеческой природы людей, занятых в этой работе. Они люди, а не роботы. А это значит, что негативные эмоции в ответ на негативные ситуации, возникающие во время или после инцидента, естественны и здоровы. Поэтому CISO должны сами проявлять повышенную устойчивость, поддерживая здоровое эмоциональное самовыражение членов команды под давлением и не ожидая, что они будут сохранять бодрость духа в самые трудные времена.

CISO также должен напоминать себе, что это относится и непосредственно к нему. Он не может быть полезен команде, если не позаботится о себе.