對于任何一個企業(yè)來說，處理數(shù)據(jù)泄漏安全事件都是一項艱巨的任務。數(shù)據(jù)泄漏之后的善后工作涉及到許多費時的步驟，其中包括確認泄漏的數(shù)據(jù)、報告安全事件細節(jié)，以及實施必要的管制以防止類似的事情再次發(fā)生等。（這些只是必要措施中的一少部分。）安全事件的后果令人害怕，如果再缺少人手，這件事似乎不可能完成。然而，情況并不一定如此。

在本文中，我們將概述如何利用非安全部門的員工組成一個能夠制定數(shù)據(jù)泄漏響應計劃的電腦安全事件響應小組。

安全事件響應過程：***步

為了確保數(shù)據(jù)泄漏造成的損失最小，***的辦法就是提前做準備，***步就是組建電腦安全事件響應小組（CSIRT）。這個小組應該包含來自企業(yè)各個部門的員工：IT、法律、人力資源以及公司管理人員等。這個安全事件響應過程中的員工都應該是值得高度信任的人，因為他們可能會接觸到敏感數(shù)據(jù)，具體情況視安全事件細節(jié)而定。

數(shù)據(jù)泄漏安全事件響應小組中的任何人都要明白，他們的工作細節(jié)是機密，他們必須保護他們所接觸的、或者在調查期間存儲的數(shù)據(jù)的安全。

關于如何組建CSIRT的其他細節(jié)可以從CERT、NIST、FIRST組織，或者地方性安全事件響應組織那獲得。

電腦安全事件響應小組如何協(xié)助制定數(shù)據(jù)泄漏響應計劃？

雖然根據(jù)常識，在經(jīng)濟蕭條時期，IT和信息安全員工數(shù)量減少的情況下，安全事件響應過程會更加困難，然而這實際上也可能是一個機會——讓現(xiàn)有員工進行創(chuàng)造性的思考，并在企業(yè)內(nèi)部各部門之間建立起信任。為此，讓我們更加詳細的討論一下可以參與到電腦安全事件響應小組的各部門的角色。每個CSIRT都應該包括核心成員以及機動成員。比如，核心CSIRT成員應該包括來自主要運行系統(tǒng)部門的代表，一個網(wǎng)絡工程師和一個應用程序部門的員工。而機動成員可以是那些在數(shù)據(jù)泄漏事件中可能會被牽扯進來的部門的一員。

很明顯，CSIRT應該包含系統(tǒng)管理員和應用程序支持人員。當有泄漏事件發(fā)生時，他們通常是***被通知的一批人，然后其他人才會得到消息，他們可以檢查日志來確定可疑事項、驗證管理賬戶的可靠性、驗證系統(tǒng)上應該運行的服務、為CSIRT核心成員提供系統(tǒng)訪問權或者應用程序訪問權，以及許多其他的基本工作。

其他的主要參與者包括那些來自法律、法規(guī)遵從、物理安全以及公眾關系部門的人員。法律部門和法規(guī)遵從部門的專家能夠提供法律、監(jiān)管規(guī)則、合同要求或者安全事件其他方面的指導意見；那些屬于嚴格監(jiān)管行業(yè)的公司，比如醫(yī)療保健或者金融行業(yè)，可能會考慮把法律以及法規(guī)遵從代表加入CSIRT并作為其核心成員。那些精通物理安全的人員能夠提供企業(yè)中進進出出的人員和其他方面的數(shù)據(jù)。他們甚至還可能跟執(zhí)法機構有關系，并且在報告和調查犯罪方面有相關經(jīng)驗。公眾關系部門成員可以幫忙進行任何跟媒體有關的活動。如果需要對相關方進行通知，所有這些部門都可以幫得上忙。

然而，當各個部門缺少人手的時候，說服他們派出CSIRT代表或者全體人員都花費必要的時間來準備響應安全事件可能會比較困難。為了說服其他部門派出CSIRT代表，你必須讓他們意識到他們的時間和專業(yè)知識都會受到高度重視。這意味著只是在必要的時候才會請他們幫忙，而且響應數(shù)據(jù)泄漏事件所需時間也最短。他們應該有適合自己角色的清晰明確的程序，以便為響應泄漏事件做準備。根據(jù)數(shù)據(jù)泄漏的嚴重程度，他們有時可能不需要牽扯進來，這時應該跟他們進行交流，以便讓他們知道在不必要的時候不用參與進來。

即便是缺少人手，響應數(shù)據(jù)泄漏事件也至少需要包括一個核心CSIRT成員、一位具有系統(tǒng)知識的IT聯(lián)系人，以及一位熟悉系統(tǒng)包含哪些數(shù)據(jù)的人員。這些關鍵人員在確定受影響的數(shù)據(jù)、實施的安全控制以及應該執(zhí)行的響應行動等方面能夠提供專業(yè)的知識。這些人還可以提出相關建議防止此類安全事件再次發(fā)生。

***，需要進行事后分析，對經(jīng)過人員調整的CSIRT進行有效性評估，因為在缺少人手的情況下安全事件響應工作可能會跟平時不太一樣。這個評估應該優(yōu)先進行，特別是在這個由不同部門成員組成的CSIRT比平時企業(yè)人員配備齊全的方案效率更高時。在泄漏事件響應的時候，向公司管理層通報小組的參與力度也是一個很好的做法，這樣做可以詳細解釋他們是如何把安全事件對企業(yè)的影響降到***的。

【編輯推薦】

1. McAfee企業(yè)數(shù)據(jù)丟失防護解決方案解析
2. 面對數(shù)據(jù)丟失防護企業(yè)將何去何從？