Ano ang incident response plan?

Ang incident response plan ay sunod-sunod na plano kung paano kikilalanin ng iyong negosyo, i-uulat, pigilan (contain), imbestigahan, at ibabalik sa normal ang isang security o teknolohiyang insidente. Maaaring ito ay ransomware, kahina-hinalang pag-login, nawalang laptop, pekeng email na invoice, o mahalagang sistema na hindi gumagana.

Isipin ito na parang fire drill para sa mga computer, account, at data ng negosyo. Ang layunin ay hindi hulaan ang bawat posibleng problema. Ang layunin ay tiyaking alam ng iyong team kung sino ang gagawa ng ano, sino ang tatawagan, ano ang dapat idokumento, at paano mananatiling takbo ang negosyo.

Para sa isang maliit na negosyo, hindi kailangang mahaba o sobrang teknikal ang plano. Sa maraming kaso, mas maganda ang malinaw na dokumentong 2 hanggang 5 pahina kaysa sa makapal na binder na hindi naman binabasa ng lahat.

Kung bago ka sa managed IT services, makakatulong ang seksyong ito ng aming mga sagot na ipaliwanag ang mga karaniwang termino sa payak na Ingles. Kung gusto mo ng tulong sa paghahanap ng independiyenteng provider na makakatulong sa pagbuo o pag-review ng plano, maaari ka naming tulungan para maitugma.

Kapag may nangyaring mali, kadalasang ang unang problema ay kalituhan. Hindi sigurado ang mga tao kung gaano kaseryoso ang pangyayari, sino ang dapat ipaalam, kailangan bang isara muna ang isang computer, o kung kailangang ipaalam sa mga customer. Ang nakasulat na plano ay binabawasan ang panic at tinutulungan ang mga tao na makapagdesisyon nang mas maayos kahit nasa ilalim ng presyon.

Nakakatulong din ang isang mahusay na plano na limitahan ang pagkaantala sa negosyo. Kung naapektuhan ang payment system, scheduling system, email, o access sa mga file, kahit maikling pagkawala ng serbisyo ay puwedeng magdulot ng nawawalang benta, pagkaantala sa trabaho, at nababagabag na mga customer. Walang tapat na provider ang nangangakong zero downtime o network na hindi mabobol*, pero ang pagpaplano ay kadalasang nagpapabilis ng response time at nakakabawas ng mga pagkakamali.

Mayroon ding aspeto sa negosyo at legal. Depende sa iyong industriya at estado, maaaring may mga patakaran tungkol sa privacy, payment data, impormasyon sa kalusugan, kontrata, o paunawa sa kliyente. Halimbawa, ang HIPAA—Health Insurance Portability and Accountability Act—ay sumasaklaw sa ilang uri ng impormasyong may kinalaman sa kalusugan. Ang PCI—karaniwang ibig sabihin ay Payment Card Industry Data Security Standard—ay nakaaapekto sa mga negosyong humahawak ng card payments. Nag-iiba-iba ang mga kinakailangan ayon sa industriya at estado, kaya ang tamang plano ay nakadepende sa iyong sitwasyon.

Kahit maliit ang iyong kumpanya, puwedeng magtanong ang mga customer, landlord, bangko, insurer, at mas malalaking kliyente tungkol sa iyong proseso sa seguridad. Ang pagkakaroon ng incident response plan ay nagpapakita na seryoso ang iyong negosyo sa pagpapatakbo.

Ang kapaki-pakinabang na incident response plan ay malinaw, kasalukuyan, at praktikal. Pinapangalanan nito ang mga taong kasangkot, paano sila makokontak, ano ang binibilang na incident, ano ang unang gagawin, at kailan kailangan nang tumawag ng tulong sa labas. Dapat itong nakasulat sa normal na wika, hindi lang puro teknikal na wika.

Karaniwan, sinasaklaw ng mga magagandang plano ang preparation, detection, containment, investigation, recovery, at review. Ang preparation ay pangunahing kahandaan, gaya ng na-update na listahan ng contact, backup locations, detalye ng insurance, at isang taong may kapangyarihang mag-apruba ng agarang aksyon. Ang detection ay kung paano nag-uulat ang staff ng kahina-hinalang email, kakaibang pop-up, nawawalang file, o hindi pangkaraniwang aktibidad sa account.

Ang containment ay paglilimita sa pinsala. Maaaring kabilang dito ang pagdiskonekta ng device sa Wi‑Fi, pag-freeze ng user account, o pag-isolate ng isang system. Ang investigation ay ang pag-alam kung ano ang nangyari at ano ang naapektuhan. Ang recovery ay ang ligtas na pagpapanumbalik ng mga system at pagbabalik ng mga tao sa trabaho. Ang review ay pag-aaral mula sa event para mas maging hindi malamang na maulit ang parehong isyu.

Kung may kinalaman ka sa isang MSP—ibig sabihin ay managed service provider—puwede ring tulungan ka ng provider na ma-dokumento ang mga hakbang na ito. May ilang negosyo ring humihiling ng SLA—service level agreement—na naglalarawan sa saklaw ng suporta at inaasahang oras ng pagrespond. Matuto pa tungkol sa mga opsyon ng provider sa aming mga serbisyo na pahina.

Mag-iiba ang eksaktong format, pero karamihan sa maliliit na negosyo ay dapat ilagay sa iisang lugar ang mga pangunahing bagay. Ginagawa nitong mas madaling gamitin ang plano sa panahon ng stress.

Dapat nitong ilista ang mga key contact, kabilang ang internal na may-ari (owner), office manager, legal o compliance contacts kung kailangan, mga detalye ng contact para sa cyber insurance, at anumang panlabas na technology partners. Dapat din nitong tukuyin ang pinakakaraniwang uri ng incident na maaaring harapin ng negosyo, tulad ng account compromise, malware, nawawalang device, vendor email fraud, o mga lockout sa cloud app.

Sa praktikal na plano, nakapapansin din kung saan naroon ang mga kritikal na system, kung anong mga business function ang pinakamahalaga, at kung anong mga backup option ang umiiral. Kung napag-uusapan ang backup, maaari mong marinig ang terminong 3-2-1 backup. Ibig sabihin nito ay may 3 kopya ng data, sa 2 magkaibang uri ng storage, at 1 kopya ang itinatago sa labas ng site o offline. Hindi nito ginagarantiya ang recovery, pero isa itong pangkaraniwang approach sa pagpaplano.

Maaari mo ring makita ang mga terminong gaya ng MFA—multi-factor authentication, EDR—endpoint detection and response, RMM—remote monitoring and management, endpoint—isang device gaya ng laptop o desktop, patching—ang paglalapat ng software updates at fixes, vCIO—virtual Chief Information Officer, at SOC 2—isang karaniwang balangkas (framework) kung paano hinahawakan ng mga service organization ang security at mga kaugnay na kontrol. Hindi lahat ng maliliit na negosyo ay kailangan ng bawat tool na ito, pero dapat ipakita ng iyong plano ang mga tool at vendor na talagang ginagamit mo.

Isa sa mga karaniwang pagkakamali ay gawing masyadong general ang plano. Okay ang template bilang panimulang punto, pero dapat tugma ito sa iyong tunay na mga system, tunay na staff, at tunay na mga vendor. Kung ang plano ay nagsasabing tatawag ng taong umalis dalawang taon na ang nakakaraan, hindi ito gaanong makakatulong.

Ang isa pang pagkakamali ay tutukan lang ang teknolohiya. Ang mga incident ay naaapektuhan din ang mga tao at operasyon. Dapat saklaw ng iyong plano kung sino ang magsasalita sa staff, sino ang kausap ang mga customer, sino ang nag-aapruba ng emergency spending, at paano mananatiling gumagana ang iyong team kapag hindi available ang isang kritikal na system.

Mali rin kung isang beses lang isusulat ang plano at hindi naman ito susubukin. Ang simpleng tabletop exercise—kung saan tatalakayin ninyo sa meeting ang isang sample scenario—ay makakakita ng mga hakbang na nawawala at mga role na nakakalito. Hindi mo kailangan ng drama. Kailangan mo lang ng tapat na pagsasanay.

Sa huli, huwag ipagpalagay na ang iyong backup, cyber insurance, o software vendor ay awtomatikong sasagot sa lahat. Puwede silang maging bahagi ng response, pero hindi sila kapalit ng isang kumpletong plano.

Magsimula nang maliit. Pumili ng isang taong magiging may-ari ng proyekto. Isulat ang iyong pinakamahahalagang system, ang pinakamalaking business risks, ang iyong internal at panlabas na mga contact, at ang unang limang aksyon na dapat gawin ng iyong team kapag may kahina-hinalang nangyari. Pagkatapos, i-review ito kasama ang mga taong aktwal na kasasangkot.

Kung nagtatrabaho ka na sa isang technology provider, tanungin kung tinutulungan nila ang mga kliyente na gumawa o mag-review ng incident response plans. Kung wala ka pa ring provider, puwedeng tumulong ang NodeBridge IT para makahanap ka ng independiyenteng managed IT provider na makakausap mo. Kami ay isang libreng serbisyo sa pagtutugma (matching). Hindi namin minamanage, minomonitor, iniu-secure, nire-repair, o ina-access ang iyong mga system.

Kapag nakipag-ugnayan ka sa amin, kinokolekta lang namin ang mga detalye ng negosyo at contact para matulungan ka naming makahanap ng tamang partner. Kung gusto mong tuklasin ang iyong mga opsyon, maaari kang maitugma. Kung nag-iisip ka pa at natututo, puwede mo ring i-browse ang mas marami pang payak na mga sagot.