SEC10-BP08 Menetapkan kerangka kerja untuk belajar dari insiden - Pilar Keamanan
Panduan implementasi Sumber daya

SEC10-BP08 Menetapkan kerangka kerja untuk belajar dari insiden

Menerapkan kerangka kerja pelajaran yang didapatkan dan kemampuan analisis akar masalah tidak hanya dapat membantu Anda meningkatkan kemampuan respons insiden, tetapi juga membantu mencegah berulang kejadian insiden. Dengan belajar dari setiap kejadian, Anda dapat membantu menghindari mengulangi kesalahan, paparan, atau kesalahan konfigurasi yang sama, sehingga tidak hanya meningkatkan postur keamanan Anda, tetapi juga meminimalkan waktu yang hilang untuk situasi yang dapat dicegah.

Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan: Sedang

Panduan implementasi

Penting untuk menerapkan kerangka kerja pembelajaran dan meraih poin-poin berikut di tingkatan tinggi:

  • Kapan pembelajaran diadakan?

  • Apa saja yang terlibat dalam proses pembelajaran tersebut?

  • Bagaimana pembelajaran dilakukan?

  • Siapa yang terlibat dalam proses tersebut dan bagaimana caranya?

  • Bagaimana cara mengenali area yang perlu ditingkatkan?

  • Bagaimana Anda memastikan peningkatan dilacak dan diimplementasikan secara efektif?

Kerangka kerja ini tidak boleh fokus pada individu atau menyalahkan individu, tetapi harus fokus pada perbaikan alat dan proses.

Langkah-langkah implementasi

Selain hasil tingkat tinggi yang dicantumkan sebelumnya, penting untuk memastikan bahwa Anda mengajukan pertanyaan yang tepat untuk mendapatkan nilai paling besar (informasi yang mengarah pada perbaikan yang dapat ditindaklanjuti) dari proses tersebut. Pertimbangkan pertanyaan-pertanyaan ini untuk membantu Anda memulai dalam mendorong diskusi pembelajaran Anda:

  • Apa insiden yang terjadi?

  • Kapan insiden tersebut pertama kali diidentifikasi?

  • Bagaimana insiden tersebut diidentifikasi?

  • Sistem apa yang memunculkan peringatan tentang aktivitas tersebut?

  • Sistem, layanan, dan data apa yang terlibat?

  • Secara khusus, apa yang terjadi?

  • Apa yang berjalan dengan baik?

  • Apa yang tidak berjalan dengan baik?

  • Proses atau prosedur mana yang gagal atau tidak dapat diskalakan untuk merespons insiden tersebut?

  • Apa yang dapat ditingkatkan dalam bidang berikut:

    • Orang

      • Apakah orang-orang yang perlu dihubungi benar-benar tersedia dan apakah daftar kontak sudah aktual?

      • Apakah orang-orang tidak mendapatkan pelatihan atau tidak memiliki kemampuan yang diperlukan untuk merespons dan menyelidiki insiden tersebut secara efektif?

      • Apakah sumber daya yang sesuai siap dan tersedia?

    • Proses

      • Apakah proses dan prosedur diikuti?

      • Apakah proses dan prosedur didokumentasikan dan tersedia untuk (jenis) insiden ini?

      • Apakah proses dan prosedur yang diperlukan tidak ada?

      • Apakah responden dapat memperoleh akses tepat waktu ke informasi yang diperlukan untuk merespons masalah ini?

    • Teknologi

      • Apakah sistem peringatan yang ada mampu mengidentifikasi dan memperingatkan tentang aktivitas tersebut secara efektif?

      • Bagaimana kita bisa mengurangi waktu deteksi hingga 50%?

      • Apakah peringatan yang ada perlu ditingkatkan atau apakah peringatan baru perlu dibangun untuk (jenis) insiden ini?

      • Apakah alat yang ada memungkinkan penyelidikan (pencarian/analisis) insiden yang efektif?

      • Apa yang dapat dilakukan untuk membantu mengidentifikasi (jenis) insiden ini lebih cepat?

      • Apa yang dapat dilakukan untuk membantu mencegah (jenis) insiden ini terjadi lagi?

      • Siapa yang bertanggung jawab atas rencana peningkatan dan bagaimana cara untuk menguji apakah rencana tersebut telah diimplementasikan?

      • Bagaimana garis waktu untuk mengimplementasikan dan menguji pemantauan tambahan atau kontrol dan proses pencegahan?

Daftar ini bukanlah daftar lengkap, melainkan dimaksudkan sebagai titik awal untuk mengidentifikasi kebutuhan organisasi dan bisnis dan bagaimana Anda dapat menganalisisnya agar dapat belajar secara efektif dari insiden dan terus meningkatkan postur keamanan Anda. Yang paling penting adalah memulai dengan memasukkan pembelajaran yang diambil sebagai bagian standar dari proses respons insiden, dokumentasi, dan ekspektasi di seluruh pemangku kepentingan.

Sumber daya

Dokumen terkait: