缺少人手时如何确定安全事件响应过程

　　对于任何一个企业来说，处理数据泄漏安全事件都是一项艰巨的任务。数据泄漏之后的善后工作涉及到许多费时的步骤， 其中包括确认泄漏的数据、报告安全事件细节，以及实施必要的管制以防止类似的事情再次发生等。(这些只是必要措施中的一少部分。)安全事件的后果令人害 怕，如果再缺少人手，这件事似乎不可能完成。然而，情况并不一定如此。

　　在本文中，我们将概述如何利用非安全部门的员工组成一个能够制定数据泄漏响应计划的电脑安全事件响应小组。

　　安全事件响应过程：第一步

　　为了确保数据泄漏造成的损失最小，最好的办法就是提前做准备，第一步就是组建电脑安全事件响应小组 (CSIRT)。这个小组应该包含来自企业各个部门的员工：IT、法律、人力资源以及公司管理人员等。这个安全事件响应过程中的员工都应该是值得高度信任 的人，因为他们可能会接触到敏感数据，具体情况视安全事件细节而定。

　　数据泄漏安全事件响应小组中的任何人都要明白，他们的工作细节是机密，他们必须保护他们所接触的、或者在调查期间 存储的数据的安全。

　　关于如何组建CSIRT的其他细节可以从CERT、NIST、FIRST组织，或者地方性安全事件响应组织那获 得。

　　电脑安全事件响应小组如何协助制定数据泄漏响应计划?

　　虽然根据常识，在经济萧条时期，IT和信息安全员工数量减少的情况下，安全事件响应过程会更加困难，然而这实际上 也可能是一个机会——让现有员工进行创造性的思考，并在企业内部各部门之间建立起信任。为此，让我们更加详细的讨论一下可以参与到电脑安全事件响应小组的 各部门的角色。每个CSIRT都应该包括核心成员以及机动成员。比如，核心CSIRT成员应该包括来自主要运行系统部门的代表，一个网络工程师和一个应用 程序部门的员工。而机动成员可以是那些在数据泄漏事件中可能会被牵扯进来的部门的一员。

　　很明显，CSIRT应该包含系统管理员和应用程序支持人员。当有泄漏事件发生时，他们通常是最先被通知的一批人， 然后其他人才会得到消息，他们可以检查日志来确定可疑事项、验证管理账户的可靠性、验证系统上应该运行的服务、为CSIRT核心成员提供系统访问权或者应 用程序访问权，以及许多其他的基本工作。

　　其他的主要参与者包括那些来自法律、法规遵从、物理安全以及公众关系部门的人员。法律部门和法规遵从部门的专家能 够提供法律、监管规则、合同要求或者安全事件其他方面的指导意见;那些属于严格监管行业的公司，比如医疗保健或者金融行业，可能会考虑把法律以及法规遵从 代表加入CSIRT并作为其核心成员。那些精通物理安全的人员能够提供企业中进进出出的人员和其他方面的数据。他们甚至还可能跟执法机构有关系，并且在报 告和调查犯罪方面有相关经验。公众关系部门成员可以帮忙进行任何跟媒体有关的活动。如果需要对相关方进行通知，所有这些部门都可以帮得上忙。

　　然而，当各个部门缺少人手的时候，说服他们派出CSIRT代表或者全体人员都花费必要的时间来准备响应安全事件可 能会比较困难。为了说服其他部门派出CSIRT代表，你必须让他们意识到他们的时间和专业知识都会受到高度重视。这意味着只是在必要的时候才会请他们帮 忙，而且响应数据泄漏事件所需时间也最短。他们应该有适合自己角色的清晰明确的程序，以便为响应泄漏事件做准备。根据数据泄漏的严重程度，他们有时可能不 需要牵扯进来，这时应该跟他们进行交流，以便让他们知道在不必要的时候不用参与进来。

　　即便是缺少人手，响应数据泄漏事件也至少需要包括一个核心CSIRT成员、一位具有系统知识的IT联系人，以及一 位熟悉系统包含哪些数据的人员。这些关键人员在确定受影响的数据、实施的安全控制以及应该执行的响应行动等方面能够提供专业的知识。这些人还可以提出相关 建议防止此类安全事件再次发生。

　　最后，需要进行事后分析，对经过人员调整的CSIRT进行有效性评估，因为在缺少人手的情况下安全事件响应工作可 能会跟平时不太一样。这个评估应该优先进行，特别是在这个由不同部门成员组成的CSIRT比平时企业人员配备齐全的方案效率更高时。在泄漏事件响应的时 候，向公司管理层通报小组的参与力度也是一个很好的做法，这样做可以详细解释他们是如何把安全事件对企业的影响降到最低的。