Έλεγχος Καταγραφών και Διαχείριση Περιστατικών Ασφάλειας

Κατά ένα μεγάλο ποσοστό οι παραβιάσεις δεδομένων λαμβάνουν χώρα διότι πολλοί οργανισμοί δεν καταφέρνουν να παρακολουθήσουν σωστά και ολοκληρωμένα τις δραστηριότητες των δικτύων τους (εσωτερικές ή εξωτερικές).

Η παρακολούθηση της δικτυακής δραστηριότητας πρέπει να εφαρμόζεται σε όλους τους οργανισμούς (ανεξαρτήτως μεγέθους).

Η λήψη προληπτικών μέτρων, θεωρείται απαραίτητη για την εξασφάλιση της διαθεσιμότητας της ακεραιότητας και της εμπιστευτικότητας των διακινούμενων πληροφοριών. Ένα τέτοιο βασικό μέτρο θεωρείται η παρακολούθηση των διακινούμενων δεδομένων καθώς και η καταγραφή τους (Log Files) για περεταίρω έλεγχο μέσω ειδικού λογισμικού (Log management). Ένα τέτοιο σύστημα μπορεί να χρησιμοποιηθεί για την ανίχνευση ανωμαλιών ενός δικτύου, για απόπειρες παραβίασης δεδομένων αλλά και για τον εντοπισμό επιθέσεων, δηλαδή για τον εντοπισμό ενός ή περισσότερων περιστατικών ασφάλειας.

Κατ’ αντιστοιχία, ειδικό λογισμικό θα πρέπει να χρησιμοποιείται για την διαχείριση των περιστατικών ασφάλειας ενός οργανισμού το οποίο θα έχει ως βασική πηγή πληροφόρησης τα παραπάνω αρχεία καταγραφών. Όλα αυτά τα γεγονότα θα πρέπει να μπορούν να διαφοροποιηθούν (ώστε να αντιμετωπίζονται διαφορετικά) στις εξής δύο κατηγορίες:
• Κατηγορία που αφορά συμβάντα και σε
• Κατηγορία που αφορά περιστατικά ασφάλειας
Συμβάν θεωρείται μια ενέργεια (ακούσια ή μη) που δεν οδήγησε σε παραβίαση (π.χ. μια σειρά από αποτυχημένες προσπάθειες εισαγωγής συνθηματικών για την είσοδο σε μια εφαρμογή), ενώ περιστατικό θεωρείται ένα συμβάν το οποίο οδήγησε σε παραβίαση της ασφάλειας, δηλαδή την προσβολή της διαθεσιμότητας ή/και της ακεραιότητας ή/και της εμπιστευτικότητας το δεδομένων και των πληροφοριακών συστημάτων που τα φιλοξενούν.

Ο κύκλος ζωής ενός συμβάντος ασφάλειας συχνά αποτυπώνεται στα παρακάτω διακριτά βήματα:

1. Εντοπισμός Συμβάντος
Αυτόματος εντοπισμός συμβάντος μέσω λογισμικού (π.χ. μέσω ενός συστήματος SIEM (Security Information and Even Management), IPS (Intrusion Prevention System), IDS (Intrusion Detection System) ) ή εντοπισμός του από κάποιον χρήστη.
2. Δημιουργία Αιτήματος
Καταχώρηση του συμβάντος, είτε αυτόματα από κάποιο σύστημα καταγραφών ή χειροκίνητα από κάποιον χρήστη (φυσικό πρόσωπο).
3. Κατηγοριοποίηση
Καθορισμός του συμβάντος: Αν είναι απλό συμβάν ή αν πρόκειται για περιστατικό ασφάλειας. Αυτό το βήμα, καθώς και τα επόμενα, γίνονται μόνο από εξειδικευμένο προσωπικό (Π.χ. IT Security Engineer).
4. Προτεραιοποίηση
Καθορισμός προτεραιότητας για την ανάληψη δράσης έναντι του συμβάντος. Έλεγχος αν απαιτείται ενημέρωση των αρχών (π.χ. διωκτικές αρχές, αρχή προστασίας προσωπικών δεδομένων).
5. Επεξεργασία
Ανάληψη δράσης για την επίλυση του περιστατικού. Στο βήμα αυτό μπορεί να εμπλακούν τόσο πρόσωπα από το τεχνικό τμήμα (π.χ. ΙΤ, Development) όσο και από άλλα τμήματα, όπως το Νομικό τμήμα, ο DPO (Data Protection Officer) Κλπ., ανάλογα με την φύση και το είδος του περιστατικού.
6. Κλείσιμο
Κλείσιμο του συμβάντος και καταγραφή των διορθωτικών ενεργειών καθώς και των μέτρων για την μείωση της πιθανότητας επανάληψης του.
7. Αναφορές
Εξαγωγή αναφορών και στατιστικών για το σύνολο των γεγονότων / συμβάντων ασφάλειας του οργανισμού. Μετρήσεις απόδοσης και ικανοποίησης βάση συγκεκριμένων KPIs (π.χ. πλήθος συμβάντων και περιστατικών που συνέβησαν σε μια χρονική περίοδο, πλήθος συμβάντων που επαναλήφθηκαν, μέσος χρόνος απόκρισης σε συγκεκριμένα συμβάντα, κ.λπ.).