God praksis for hendelseshåndtering

johnny_automatic_over_the_cliffDet finnes en rekke anbefalinger for hendelseshåndtering om hvilke rutiner som bør være på plass, roller og ansvar, planer og øvelser. Men det kan være minst like mye å hente på å lære av andre organisasjoner enn å lese side opp og side ned av anbefalinger og standarder. Vi har gått gjennom en rekke vitenskapelige studier som har dokumentert erfaringer og praksis hos ulike organisasjoner. Vårt arbeid viser at praksisen er rimelig i tråd med ISO/IEC 27035, men det er noen anbefalinger som det er vanskelig å leve opp til, og kanskje er det nødvendig med mer spesifikke retningslinjer eller verktøy på disse områdene.

Vi har analysert 15 ulike studier, og alle disse er utført etter 2005. Studiene dekker ulike bransjer, bl.a. finans, akademia, olje og kraft. Noen av studiene fokuserte på spesifikke deler av hendelseshåndteringsprosessen, mens andre hadde en mer helhetlig tilnærming.

ISO/IEC 27035 beskriver hendelseshåndtering som en prosess bestående av fem faser: Planlegging og forberedelser, deteksjon, vurdering og rapportering, respons, og evaluering/læring. Vi har identifisert hvilke aktiviteter som gjøres i praksis for hver av disse fasene og gjort en vurdering av hvorvidt praksisen er i tråd med anbefalingene i standarden. I tillegg har vi sett på hva ulike organisasjoner lykkes med, samt hva de synes er spesielt utfordrende når det gjelder hendelseshåndtering. I dette blogginnlegget presenterer vi de viktigste funnene fra litteraturstudien vår.

Følgende aktiviter fungerer godt hos enkelte organisasjoner og kan derfor fungere som inspirasjon for andre:

  • Ha en enkel og kortfattet plan. Enkle planer er lettere å forklare til andre og lettere å følge enn lange og kompliserte planer.
  • Automatisert håndtering av lav-risiko hendelser som inntreffer ganske ofte, er effektivt.
  • Det er nyttig å dokumentere hendelser. Så snart en hendelse oppdages eller rapporteres, bør man begynne å dokumentere. Det gjør det enklere å dele informasjon med alle involverte, og responsteamet kan konsentrere seg om å løse problemet.
  • Det lønner seg å bruke tid på å lære fra hendelser, det kan redusere antall hendelser på sikt.
  • Målinger og statistikk kan gi økt innsikt i hva som går galt, hvor lenge hendelser pågår, og hvilke konsekvenser de har.

Deretter er det noen aktiviteter som viser seg å være vanskeligere å få til i praksis:

  • Å utvikle planer eller å lage dem enkle nok.
  • Å sikre tilstrekkelig engasjement fra toppledelsen.
  • Å involvere alle ansatte. Angripere i dag henvender seg gjerne direkte mot ansatte framfor bare å bryte seg inn i datasystemene. Å trene ansatte i å gjenkjenne og rapportere hendelser er utfordrende.
  • Å automatisere enkelte prosesser. Mange av verktøyene som finnes i dag for deteksjon og respons har svakheter knyttet til brukbarhet, mange falske alarmer, og behov for svært nøyaktig informasjon som er vanskelig å dokumentere. De er likevel svært nyttige til sitt bruk, men det etterlyses bedre verktøystøtte.
  • Å dokumentere hendelser godt nok. Selv om organisasjoner har verktøy på plass for registrering av hendelser, er det begrenset hvor mye informasjon som skrives ned. Teknisk personell har en tendens til å rapportere bare det de må, hvilket gjør det vanskelig å bruke informasjonen til noe nyttig i etterkant.
  • Å samarbeide på tvers av grupper og fagretninger, for eksempel mellom tekniske team og ledelsen. Samarbeid innad i grupper fungerer ofte bra.
  • Å dele erfaringer på tvers innad i en organisasjon.
  • Å samarbeide godt med leverandør(er). Hendelseshåndtering når IT-driften er outsourcet krever tett samarbeid, felles planer og tydelig avklarte ansvarsforhold.
  • Å bruke nok tid og ressurser på å lære av hendelser. Det framheves som viktig, men blir ofte nedprioritert. Særlig gjelder det læring av hendelser som har begrensede konsekvenser, men som likevel kan gi ny innsikt.

Basert på våre funn ser vi behov for videre forskning innenfor et utvalg områder:

  • Evaluering av eksisterende verktøy og forbedring av disse eller utvikling av nye, bedre verktøy
  • Bedre forståelse av betydningen av taus kunnskap, samt strategier for å håndtere dagens avhengighet av denne typen kunnskap
  • Bedre forståelse av læringsprosessen, målet må være å identifisere rotårsaker av hendelser
  • Bedre forståelse av utfordringer knyttet til outsourcing, og spesielt i tilfeller hvor en organisasjon er avhengig av at flere leverandører samarbeider om å håndtere enkelthendelser
  • Utvikle nyttige metoder for måling; det finnes mye arbeid på området i dag, men målinger likevel svært lite utbredt foreløpig.
  • Forståelse av hvilke faktorer i organisasjonen som står i veien for forbedringer innen hendelseshåndtering.

Studien vår er presentert i sin helhet i artikkelen Information security incident management: Current practice as reported in the literature av Inger Anne Tøndel, Maria B. Line og Martin G. Jaatun. Artikkelen er publisert i Computers & Security, 2014. Vi har laget en lydpresentasjon av arbeidet, den kan du se her: