סיכום של מסמך NIST 800-61 R2, מסמך זה מסביר מדוע וכיצד להגיב לאירועי סייבר באופן מהיר, מה פוטנציאל הנזק של מתקפות סייבר שונות, כיצד להגדיר צוות תגובה ומה הדרישות בפועל.


תקציר מנהלים:
מתן תגובה לאירועי סייבר הפך לנדבך חשוב במחלקות IT השונות, התקפות סייבר הפכו למתוחכמות ופוטנציאל הנזק שהן גורמות רק הולך וגדל.
הערכות לאירועי אבטחת מידע יכולה להקטין את הסיכון אך לא למנוע אותו ולכן ישנה חשיבות רבה למהירות ואיכות התגובה שניתנה על ידי אנשי הצוות הארגוניים.
היערכות למתקפה כוללת את השלבים הבאים:
  • מודיעין מקדים אודות תקיפה כנגד הארגון.
  • הערכת סיכונים וצמצומם.
  • בניית בקרות חדשות וייעול של תהליכים קיימים.
  • יישום הנחיות של רגולציות.
  • בניית יכולות אוטומציה.
  • מודעות עובדים וצוות מוכן ומנוסה.
  • נהלים ברורים ותעדוף הטיפול באירועי אבטחת מידע.
  • עמידה ב-SLA.
  • ליצור קשרים ושיתופי פעולה עם גורמי מודיעין על מנת לקבל IOC.
  • יצירת מדיניות ותכנית תגובה לאירועים.
  • פיתוח נהלים לביצוע טיפול ודיווח אירועים.
  • קביעת הנחיות לתקשורת עם גורמים חיצוניים לגבי אירועים.
  • בחירת מבנה צוות ומודל איוש.
וקטורי תקיפה העיקריים הם:
  • התקפה באמצעות מדיה חיצונית / נשלפת: החדרת קוד זדוני באמצעות חיבור התקן נשלף.
  • התקפת כוח גס: השגת סיסמאות למערכות, שרתים או שירותים אחרים.
  • התקפות על אתרי אינטרנט: התקפה על אתרי אינטרנט ואפליקציות.
  • פישינג: התקפה המתבצעת באמצעות הודעת דוא"ל או קובץ מצורף.
  • שימוש לא נכון במערכות המידע: כל אירוע הנובע מהפרה של השימוש המקובל בארגון.
  • גניבת ציוד: אובדן או גניבה של מכשיר סלולרי או מחשוב.
חובת הארגון להדגיש את חשיבותם של זיהוי וניתוח אירועים בצורה מהירה ובכל שלב.
מומלץ להטמיע מערכות אוטומציה המאפשרות ניתוח נתונים מהיר, סינון אירועי שווא ואירועים בהם נדרש זיהוי ראשוני והמשך הטיפול אינו שייך לצוות הבקרה (דו"חות, אירועי משמעת, גניבה ועוד).
תוכנות אבטחת מידע לא יהיו בעלות ערך רב אם המידע שהועבר אליהן אינו איכותי וראוי לניתוח,
לדוגמה:
מערכת WAF המחוברת אל מערכת ה-SIEM אך לא מעבירה נתונים על הקלט הזדוני אלא רק את שם האירוע בלבד ותאריך - חומר הגלם לא מאפשר ניתוח מספק ולכן המידע לא איכותי מספיק.
דוגמה נוספת:
מערכת המתריעה על ניסיונות כניסה בלתי מורשים בשערי החברה לא שולחת אירועים, הדבר פוגע מאוד באיכות הניטור מכיוון שרמת האבטחה ירדה באופן ניכר ואין דיווחים מערכת ולכן יש לבדוק את המערכות באופן קבוע על מנת להבטיח שהמידע מועבר אל המערכת, מפורסר כראוי ויעיל לשימוש. 

תעדוף אירועים - על כל ארגון לבצע תעדוף של הטיפול באירועים שונים:
רמה קריטית: התחלת טיפול תוך [הגדרת זמן] וסיום טיפול תוך [הגדרת זמן].
רמה גבוהה: התחלת טיפול תוך [הגדרת זמן] וסיום טיפול תוך [הגדרת זמן].
רמה בינונית: התחלת טיפול תוך [הגדרת זמן] וסיום טיפול תוך [הגדרת זמן].
רמה נמוכה: התחלת טיפול תוך [הגדרת זמן] וסיום טיפול תוך [הגדרת זמן].
  • חשוב לעמוד בהתחייבויות לטיפול ולתעדף ראשונים אירועים בעלי חשיבות אבטחתית.
כיצד נקבע תעדוף האירועים?
  1. השפעה על תפקוד הארגון (השפעה שלילית מיידית ועתידית על העסק).
  2. גרימת סיכון ופגיעה במידע (השפעה על סודיות, שלמות וזמינות).
  3. התאוששות מאירוע (איזה מערכות יפגעו, כמה זמן נדרש לתיקון, זמינותם של המומחים וכו').

הפקת לקחים לאחר אירוע הוא תהליך חשוב בו ניתן ללמוד האם הפעולות שנקטו נכונות, לבצע התאמה לנהלים וכמו כן לבדוק את יעילות החוקים ולתקף אותם ובכך להשיג ערך מוסף מכל תקריץ.
ניתן לבצע פגישות תקופתיות על מנת לחשוב על רעיונות חדשים לבקרות והטמעות מערכות נוספות הכשרת עובדים בנושאים חדשים והפקת דו"חות לניתוח ושליחתם לאנליסט לחקירה פרו אקטיבית.

אופן התגובה לאירוע אבטחת מידע כרוך במספר שיקולים ארגוניים:
  1. הגדרת המונח אירוע כך שתהיה ברורה.
  2. מה תפקידו והיקף האחריות של צוות התגובה - איזה שירותים הוא צריך לספק לארגון בעת אירוע?
  3. הגדרת מבנה הצוותים כך שיוכלו לספק מענה לאירוע בודד ויותר.
  4. תהליך עבודה למתן תגובה בעת אירוע (IRP).
  5. יש לציין במדויק מהם ממשקי העבודה של הצוות עם צוותים פנים ארגוניים וגורמי חוץ, דובר ארגוני ותקשורת וגורמי אכיפת חוק (משטרה, מערך הסייבר המקומי וכו').

מה זה Event?
כל פעולה שנעשית במערכת ארגונית וברשת (לווא דווקא זדונית) ומתועדת במערכת בצורת לוג.
לדוגמה:
  • התחברות למערכת.
  • שליחה של הודעת דוא"ל.
  • חסימה של הודעת דוא"ל.
  • חסימת תקשורת באמצעות חומת אש.
  • מעבר בשערי הכניסה והיציאה.

מה זה Adverse Events?
כל פעילות בעלת תוצאה שלילית שלא נגרמה מאסונות טבע:
  • שימוש לא מורשה בהרשאות מערכת.
  • גישה לא מורשית אל נתונים המוגדרים כרגישים.
  • התקנת תוכנות זדוניות.
  • הצפה וקריסה של מערכות.

מה זה Incident?
כל פעולה שמפרה את מדיניות אבטחת המידע או בעצם כאשר איום מצליח לנצל חולשה. 
לדוגמה:
תוקף שולח הודעת דוא"ל המכילה צרופה זדונית כאשר העובד מפר את מדיניות האבטחה ומפעיל את הקובץ החשוד הוא מדביק מחשבים נוספים בארגון ויוצר קשר עם שרת שליטה ובקרה חיצוני ושולח מידע בעל ערך מחוץ לארגון.
דוגמה נוספת:
במדיניות אבטחת המידע הוגדר שלעובדי ניקיון אסור להיכנס לחדר המחשב.
באחד מימי החופשה השנתית התקבל דיווח אודות עובד ניקיון שנכנס אל חדר המחשב בשעות שאינן שגרתיות.

סמכויות ומבנה ארגוני:
הגדרת אחריות, סמכויות ומבנה ארגוני מסייעות לצוות התגובה להבין אל מי יש לפנות על מנת לנתק ציוד או לעקוב אחר פעילות חשודה, כמו כן מאפשר לדעת עם מי ניתן לשתף ממצאים ובאיזה ערוצים וכמובן אל מי מבצעים אסקלציה כשצריך.
  • איזה סמכויות יש לתת לעובדי פנים (TIER1, TIER2, TIER3)?
  • איזה סמכויות יש לתת לעובדי חוץ?
  • מי מקבל את ההנחיות המבצעיות?
  • האם בעת האירוע יש צורך להגביל את הגישה למידע לעובדי מיקור חוץ?
  • לוודא שלכל עובד במיקור חוץ יש מקבל סמכות בהיעדרו.
  • האם כל עובדי החוץ חתומים על הסכם סודיות (NDA)?
תכנון ואסטרטגיה:
לאחר שארגון מפתח תוכנית ומקבל אישור מההנהלה הבכירה, על הארגון להתחיל בתהליך היישום ולבדוק את התוקף שלה לפחות פעם בשנה כדי להבטיח שהארגון עומד אחר היעדים שהציב לעצמו.
מספר נושאים שיש להתייחס אליהם:
  • אישור הנהלה בכירה דירקטוריון.
  • מדיניות ארגונית מסודרת בנושא של תגובה לאירועי אבטחת מידע.
  • מהם ערוצי ההפצה של הארגון?
  • כיצד צוות התגובה יתקשר עם הארגון בזמן אירוע?
  • מדדים ומגמות המציגים את זמן התגובה ויעילותו.
  • תהליכים עתידיים לשיפור מערך התגובה הארגוני.
  • כיצד התוכנית התגובה מתאימה לארגון ולא רק לתחום אבטחת מידע.
כיצד מורכב נוהל?
נוהל הינו קבוצה של הוראות מקיפות המסודרות בצורה של שלב אחר שלב ומסייעות לעובד לבצע פעולות שגרתיות, בסיסיות ומורכבות כאחד.
נהלי העבודה צריכים להיות תואמים עם מדיניות התגובה לאירועים ומטרתן העיקרית הינה מזעור טעויות במיוחד במצבי לחץ.
רצוי לבדוק את הנהלים אחת לפני ההפצה על מנת לוודא את איכותם ורמת הדיוק שלהם וכמו כן לתקף אותם אחת לתקופה.

שיתוף מידע עם גורמים חיצוניים:
לעיתים, כאשר מדובר בהתקפת סייבר רחבה ולאחר שכבר נגרם נזק, הארגון נדרש להודיע לגורמים פנימיים וחיצוניים וכמובן חלה חובה לתעד את כל הפעילות ואנשי הקשר ולקבוע ערוצי הפצה מאובטחים:

1. גורמים פנימיים:
  • המחלקה המשפטית.
  • דוברות.
  • מחלקת הונאה.
  • ההנהלה הבכירה.
2. גורמים חיצוניים:
  • ארגון פיננסי - לבנק המרכזי.
  • ארגון ציבורי - למטה הסייבר / בהתאם לרגולציה.
  • ארגון בתחום התעופה - רשות שדות התעופה.
  • פגיעה בפרטיות הלקוחות - הרשות להגנת הפרטיות במדינה וללקוחות עצמם.
  • שיתוף אינדיקטורים עם חברות בעלות עיסוק דומה.
  • עובדים ויועצים במיקור חוץ.
  • מענה לעורכי דין במקרה של תביעת פיצויים.
  • גורמי אכיפת החוק - FBI, OIG, CIA.
  • לעיתונות - במידה והינך בעל חברה ציבורית או גדולה אתה נדרש לספק הסברים.
  • לספק האינטרנט - במידה ויש התקפה רחבה נגד תשתיות הארגון.
נהלי תקשורת:
על צוות הטיפול לקבוע נהלי תקשורת העומדים במדיניות הארגון בנושא של שיתוף מידע עם גורמים חיצוניים ולהכין רשימה של אנשי קשר ייעודיים שיסייעו בזמן התקפה, יש לבצע תיאום מראש ולהסביר על זמינות וחשיבותה וכמו כן לבצע סימולציה בנושא זמינות ותקשורת אחת לתקופה.
כמנהל אבטחת מידע או כמנהל אירוע, חשוב להזכיר לכל הצוות את נהלי התקשורת ולדאוג לתקף אותם.
היערך לכך שתצטרך לעבור ראיון מול גורמי ביקורת או תקשורת ותדאג שתדע לענות על השאלות הבאות:
  • מי תקף את הארגון?
  • למה תקפו את הארגון?
  • מתי זה קרה?
  • איך תקפו את הארגון?
  • האם התקיפה הצליחה בגלל שרמת האבטחה שלכם נמוכה?
  • האם האירוע נפוץ?
  • באיזה צעדים אתה נוקט כדי למנוע התקפות כאלה בעתיד?
  • מה ההשפעה של ההתקפה הזאת על הארגון שלך?
  • האם נחשף מידע אישי רגיש?
  • מה היקף הנזק המשוער?

כיצד להעביר את פרטי האירוע לגורם מצד שלישי?
רצוי למנות עובד או שניים שישמשו איש קשר עיקרי מול גורמי אכיפה ורגולציה ויכיר את נהלי הדיווח.
מספר שאלות שיש לבדוק לפני הדיווח אל הגורם החיצוני:
  • מהן דרישות החוק?
  • מה ההנחיות בנהלי הארגון?
  • כיצד מדווחים?
  • כיצד לאסוף ראיות?
  • איזה ראיות חשוב לשמור?
מבנה הצוות:
  • מה התקציב שמקבל התחום?
  • האם הוא מספיק להעסקת עובדים ולשמירה על כישורים?
  • איוש מספק? חלופה ושחיקת עובדים.
  • בחירה בשירות מנוהל או פנים ארגוני.
  • האם יש צורך בזמינות 24/7?
  • האם בעת אירוע ניתן להתחבר מרחוק או להגיע לארגון?
משימות צוותיות:
  • היכרות עם התקפות שונות.
  • בעלי אוריינטציה טכנית וטכנולוגית.
  • חקירת נוזקות.
  • התמודדות עם אירועי אבטחת מידע
  • חקירה פרו אקטיבית.
  • כתיבה וביצוע סדנאות למודעות עובדים.
  • חקירות מודיעיניות.
  • תוכנית חונכות - אפשר לצוות הטכני הבכיר לעזור לצוות פחות מנוסה.
  • חפיפה של תפקידים מנהל רשת מגיע ללמוד על מערכות אבטחת מידע ולהיפך.
  • בניית חוקים במערכת האירועים.
  • בניה של תרחישים וביצוע סימולציות פנים ארגוניות.
מנהל הצוות:
מנהל הצוות (לא חייב להיות מנהל אירוע) צריך להיות עובד יחיד אך עם ממלא מקום ייעודי, פנים ארגוני או במיקור חוץ אך כזה שעובד במשרה מלאה ומכיר את הארגון ובעל המיומנויות והכישורים הנדרשים:
  • בעל אוריינטציה טכנית וטכנולוגית.
  • ניסיון במתן תגובה לאירועי סייבר
  • יכולת ארגונית גבוהה
  • חרוץ ובעל כושר לפתרון בעיות
  • יכולת עבודה עצמית ובצוות
  • בעל מוטיבציה גבוהה
  • סקרן ובעל כושר ניתוח
  • תקשורת בין אישית ויחסי עבודה מצויינים
  • עבודה עם מספר גורמים
  • כושר ניהול צוות ויכולת סיכום ודיווח
שיתוף פעולה של גורמים פנים ארגוניים:
חשוב לזהות ולהעזר בגורמים פנים ארגונים שיסייעו במניעה, הכלה, מיגור והתאוששות מהאירוע:
  • ההנהלה - קובעת את מדיניות התגובה, תקציב ואיוש.
  • אבטחת מידע - ייתכן שיהיה צורך באנשי צוות נוספים, מנהלי פרויקטים, מטמיע מערכות וכו'.
  • סיסטם והלפדסק - סיוע בהגנה על מערכת הפעלה ועצירת התפשטות של התוקף ברשת וכמו כן החלת מדיניות ארגונית בהתאם למצב החירום.
  • המחלקה המשפטית - עובדי המחלקה אחראים על מדיניות החברה ונהלי התגובה לאירועים לבדוק את משמעותם ועמידתם בחוק ומול ההנחיות הרגולטוריות ובהתאם לכך להעריך את ההשלכות או הנזק.
  • יחסי ציבור - יידעו את ציבור הלקוחות דרך התקשורת ואמצעי המדיה.
  • משאבי אנוש - במידה ועובד חשוד בגרימת האירוע, תפקיד המחלקה הוא לנקוט בהליכים משמעתיים בהתאם להסכמים שנחתמו עימו.
  • המשכיות עסקית והתאוששות מאסון - חייב לוודא שיש סנכרון בין נהלי התגובה ותהליכי המשכיות עסקית. אירועי אבטחת מידע פוגעים בחוסן העסקי ואף עשויים לגרום נזק רב. כמו כן, להמשכיות עסקית המומחיות למזער סיכונים תפעוליים ובכך לצמצם את סיכויי התקיפה נגד הארגון.
  • קצין ביטחון (קב"ט) - במידה ונגנב ציוד, הסתננות של עובד למיקום שאינו מורשה לגשת וכו'.
שלבי תגובה:
שלב ראשון (הכנה): הקמה והדרכה של צוות תגובה, פיתוח כלים והקצאת משאבים נדרשים.
הטמעת בקרות וצמצום סיכונים לאחר הערכת סיכון, איתור פגיעויות באמצעות מבדקי חדירה. 
צוות התגובה אינו אחראי למניעת אירועים אך הוא חיוני להגנה על הארגון ומתן תגובה.

שלב שני (זיהוי): אירועים אבטחת מידע יכולים להתרחש באינספור דרכים ולכן לא ניתן להכין תוכנית לכל אירוע באופן פרטני בעקבות זאת על הארגון להיות מוכן לטפל בכל אירוע ולהתמקד בוקטור תקיפה מרכזי, התקפות נפוצות ומודיעין מקדים.
ניתן לגבש תוכנית תגובה לפי שיטות תקיפה נפוצות:
  • חיבור התקן נשלף המכיל קוד זדוני.
  • התקפת כוח גס: השגת סיסמאות למערכות, הצפה ומניעת גישה אל השירות.
  • התקפות על אתרי אינטרנט: התקפה על אתרי אינטרנט ואפליקציות (XSS, SQLI, LFI וכו').
  • פישינג: התקפה המתבצעת באמצעות הודעת דוא"ל (המכילה קישור לעמוד מתחזה) או קובץ מצורף שנראה כמו קובץ לגיטימי ומתגלה כקובץ זדוני.
  • שימוש לא נכון במערכות המידע: כל אירוע הנובע מהפרה של השימוש המקובל בארגון.
  • גניבת ציוד: אובדן או גניבה של מכשיר סלולרי או מחשוב.

החלק המאתגר ביותר בתהליך התגובה לאירוע הוא גילויו, הערכת הפוטנציאל הזדוני של הפעולות שהוא מבצע וקביעה אם מדובר באירוע אמיתי או אירוע שווא.
במידה ומדובר באירוע אמת יש לברר:
  • איך התגלתה ההתקפה?
  • מה סוג ההתקפה?
  • מה היקף המתקפה?
  • האם הפעילות זוהתה כהתנהגות חשודה או פעולה בעלת פוטנציאל זדוני מובהק?
  • האם היו אינדיקטורים ומזהים מקדימים למתקפה?
  • האם יש שינוי מגמות שעשוי מעורר חשד?
  • אם מדובר בקובץ האם התגלה בסריקה מתוזמנת או יזומה?
שלב שלישי (ניתוח):
ניתוח אירועים היה קל אם כל תלונה או אינדיקטור היו מגיעים ממקור מהימן ומקצועי, אך זה לא המקרה.
גם אם יש הערכת מודיעין מדויקת זה לא אומר שיהיה אירוע.
  • תלונות של משתמשים על שרת שאינו פעיל לרוב מתבררות כלא נכונות.
  • מערכות אבטחת מידע מייצרות מאות אירועי שווא.
  • מערכות מודיעין מספקות אינדיקטורים לא מדויקים או לא רלוונטים.
יש לבדוק באופן פרטני כל פעילות או קובץ בעל פוטנציאל זדוני וכדי לקבוע אם הוא לגיטימי או זדוני.
יש מקרים שקלים מאוד לגילוי וניתוח:
  • עמוד פישינג.
  • ביצוע שינויים באתר האינטרנט.
  • איתור ניסיונות התחברות חריגים.
  • נעילת משתמשים ועוד.
על צוות התגובה להבין מהי התנהגות רגילה כדי שיוכלו לזהות התנהגות לא תקינה בקלות.
  • לבחון אירועים חשודים.
  • לזהות מגמות חשודות לאורך תקופת זמן.
  • סינון והצגת אירועים בעלי פוטנציאל הנזק הגבוה ביותר.
  • הקלטה של מסך המחשב של הקורבן במידה וזוהתה פעילות עם פוטנציאל זדוני.
  • צפיה במצלמות האבטחה יכולים להצביע על דפוס התנהגות חשוד.
תיעוד אירועים:
חשוב לתעד כל אירוע או כזה שעשוי להיות בעל פוטנציאל זדוני וסיווגם לפי קטגוריה:
  • אירוע חדש
  • אירוע בטיפול
  • הועבר לחקירה
  • סגירת אירוע
תיעוד זה יכול לשמש כראיה משפטית וכהוכחה שהאירוע טופל כראוי לפי מדיניות החברה ובועד שהוגדר.

סיכום האירוע:
בעת כתיבת הסיכום יש לציין את הנושאים הבאים:
  • כל העובדים שלקחו חלק בטיפול באירוע.
  • איסוף רשימת הראיות מכל עובד שהשתתף בתחקור.
  • אינדיקטורים שזוהו.
  • פעילות חשודה שאותרה.
  • שמות העמדות והמשתמשים.
  • השפעה על מערכות ופרטי קשר של מנהלי המערכת.
  • הצעדים שיש לנקוט על מנת לסיים את הטיפול באירוע.
  • להוסיף צילומי מסך של ההתראות ותכתובות דוא"ל.
חשוב להגביל את הגישה אל סיכום האירוע - מכיוון שהוא מכיל מידע רגיש, פגיעויות שנוצלו ועוד.

שלב שלישי - השגת שליטה (Containment):
שלב חשוב הוא ההשתלטות על התהליכים שגרמו נזק ועצירתם (נקרא גם שלב ההכלה).
מומלץ לקבוע מראש כיצד הצוות יעבוד בשלב זה של האירוע ולקבוע אסטרטגיה ברורה:
  • מי מקבל ההחלטות כמו ניתוק עמדה מהרשת או כיבוי שרת וכו'?
  • האם תבוצע הכלה חלקית או מלאה?


מספר שאלות שעלינו לשאול בקביעת תהליך העבודה:
  • מה הנזק שנגרם?
  • האם נגנב מידע רגיש?
  • איזה ראיות צריך לשמור?
  • איזה שירותים נפגעו ואינם זמינים?
  • האם השירותים שנפגעו הם חיצוניים ומשרתים לקוחות או פנימיים?
  • איזה שירותים זמינים ועשוים להיות פגיעים?
איסוף וטיפול בראיות:
יש לאסוף ראיות מכל המערכות שנפרצו וכמו כן את נהלי התגובה, כל ראיה קבילה בבית משפט:
  • לוגים
  • שם מארח
  • כתובת IP
  • כתובת MAC
  • מיקום
  • הרשאות
  • התראות ממערכת המודיעין
יש לציין את שמם של כל העובדים שטיפלו בראיות בזמן החקירה, היכן נשמרו ואיזה הרשאות קיבלו.

נטרול רכיבי תקיפה (Eradication):
כעת, כל שנותר הוא לנטרל ולהסיר את רכיבי התקיפה, מחיקת תוכנות זדוניות, נעילת חשבונות המשתמשים שביצעו פעילות זדונית, זיהוי וטיפול בפגיעויות בהן השתמש התוקף והפחתת הסיכון שלהן.
חשוב לטפל בכל הפגיעויות שזוהו על מנת למנוע מקרים נוספים.

חזרה לשגרה (Recovery):
השלב האחרון בכל התהליך, משתנה לפי חומרת האירוע (עבור אירועים בקנה מידה גדול, שלב זה עשוי לארוך כמה חודשים).
בשלב זה יש לוודא שהמערכות חזרו לפעול, בחינת הצורך לפתח מערכות מחדש, להטמיע מערכות חלופיות או לבדוק את הקוד של המערכות הקיימות על מנת לטפל בפגיעויות שהתגלו ולצמצם סיכונים עתידיים.
לפני שמשחזרים מגיבוי, חשוב לבדוק שהגיבוי תקין ונקי, לבצע עדכוני מערכת, להחליף סיסמאות, לבדוק את ההגדרות של חומת האש וכו'.

הפקת לקחים
השלב החשוב ביותר בתהליך התגובה.
יש לקיים ישיבת סיכום עם כל המשתתפים באירוע, לוודא שהאנשים הנכונים מעורבים בתהליך ולא רק אלא שלקחו חלק ולקבוע ישיבה תקופתית של מעקב ויישום לקחים.
בעת הפגישה ניתן להעלות מספר נושאים:
  • מה קרה?
  • באיזה זמנים אירעה התקיפה?
  • האם אנשי ההנהלה הצליחו להתמודד עם האירוע?
  • האם נהלי העבודה היו מספקים?
  • האם כל הפעולות תועדו כהלכה?
  • האם המידע שסופק לצוותים השונים בכל שלב היה מספק?
  • כיצד ניתן לשפר את שיתוף המידע בין הצוותים?
  • איך היה ממשק העבודה בין הצוותים?
  • האם נעשו כל הפעולות הנדרשות?
  • האם יש דברים שהיה עלינו לעשות אחרת?
  • האם נדרש שיתוף פעולה עם ארגונים אחרים?
  • האם יכולנו להיעזר במודיעין מקדים?
  • איזה מדדים יכולים לסייע כדי להבחין באירוע כזה?

דו"ח מעקב:
כחלק מתהליך הפקת הלקחים מומלץ ליצור דו"ח מעקב לכל אירוע ומספק מידע שניתן להשתמש בו באירועים עתידיים ולפרט בו מספר דברים:
1. סדר פעולות כרונולוגי לפי זמן.
  • כמה זמן לקח לזהות את האירוע?
  • כמה זמן נמשך האירוע?
  • כמה זמן לקח צוות התגובה לאירוע להגיב לדיווח הראשוני?
  • כמה זמן לקח לדווח על האירוע להנהלה?
  • האם היה צורך לדווח לגורם חיצוני?
  • צירוף לוגים מהמערכות השונות.
2. אומדן כספי של הנזק שנגרם.
  • כולל כמות העובדים שנדרשו לעבוד שעות נוספות וצוות חיצוני שגויס.
סימולציות פנימיות:
סימולציות פנים ארגוניות משפרות את איכות ועירנות הצוות וכמו כן מסייעת לשיפור תהליכי תפעול ארגוניים.

שתף:

פאביו ליאור רחמים

סקרן, אוהב טכנולוגיה ומחשבים מזה שנים רבות וכותב ערכים קבוע בויקיפדיה.