7 สิ่งที่คุณต้องมีในแผน Incident Response

คงเป็นเรื่องไม่ดีแน่ถ้าคุณได้รับการแจ้งว่าระบบของคุณเกิดปัญหาขึ้นในระดับรุนแรงมากโดยไม่ได้มีการเตรียมการไว้เบื้องต้น ในบทความนี้เราจะนำเสนอ 7 สิ่งที่คุณต้องทำเพื่อตอบสนองต่อสถานการณ์ผิดปกติที่อาจจะเกิดขึ้น

1. มีแผนที่ใช้งานได้จริง

คุณเชื่อว่าทุกองค์กรย่อมมีแผนอยู่แต่ปัญหาคือมันใช้ได้จริงหรือเปล่า? จากการสำรวจของ Ponemon จาก 623 บริษัทในปี 2015 พบว่าบริษัท 2 ใน 3 มีจำนวนพนักงานมากกว่า 1,000 คนและกว่า 60% ของบริษัทเหล่านี้ไม่มีแผนรับมือกับเหตุการณ์ที่ไม่คาดคิดหรือมีแผนเฉพาะเหตุการณ์บางอย่างเท่านั้น มีเพียง 17% ที่อ้างว่ามีแผนรองรับสำหรับทั้งองค์กรเป็นอย่างดี

2. นิยามคำว่า ‘Incident’

เพื่อให้สามารถรับมือกับเหตุการณ์ไม่คาดฝันได้อย่างมีประสิทธิภาพ คุณต้องให้นิยามมันเสียก่อนว่าอะไรคือเหตุการณ์ที่ผิดปกติ (Incident) คืออะไร พร้อมทั้งจำแนกประเภทและระดับความรุนแรงของเหตุการณ์เหล่านั้น คุณต้องนิยามให้ได้ว่าอะไรคือผลกระทบโดยตรงจากแต่ละเหตุการณ์พร้อมทั้งมีแผนการรับมือว่าต้องทำอย่างไร เมื่อเกิดเหตุการณ์ขึ้นต้องรู้ว่าระดับความรุนแรงเท่าไหร่และต้องใช้แผนไหนจึงจะเหมาะสมกับเหตุการณ์นั้นๆ นอกจากนี้ทีมงานที่ได้รับการอบรมควรเป็นส่วนหนึ่งเมื่อใช้งานแผนเหล่านั้นเพื่อที่จะแนะนำผู้ที่ประสบปัญหาและทราบว่าเมื่อใดควรยกระดับความรุนแรงและจุดไหนที่คุณควรจะแจ้งทีมงานที่มีหน้าที่โดยตรงเพื่อรับมือกับเหตุการณ์

3. แผนที่มีต้องทันสมัย

เมื่อไม่ได้ใช้งานแผนการสักพักหนึ่งบริษัทก็จะมีอุปกรณ์ที่ไม่ได้สำรวจหรือคนหน้าใหม่ผลัดเปลี่ยนกันเข้ามา คุณอาจคิดว่ามีแผนอยู่แล้วพอเกิดเหตุการณ์จริงมันอาจจะสับสนวุ่นวายเนื่องจากแผนที่ใช้ยังไม่ได้อัปเดตให้ใหม่ล่าสุด

4. มีแผนอย่างเดียวไม่พอต้องทดสอบด้วย

บริษัทจำนวนมากมีแผนที่ทำเพียงแค่ ‘Check-the-box’ ว่ากิจกรรมตรงกับความต้องการหรือไม่ ทั้งๆ ที่แผนนั้นไม่เคยถูกทดสอบหรือปรับให้เข้ากับกระบวนการภายในที่เกิดขึ้นจริงหรือการเปลี่ยนแปลงขององค์กรเลย การมีแผนแต่ไม่ได้ทดสอบอาจจะแย่กว่าการไม่มีแผนเสียอีก เพราะอย่างน้อยคุณก็ยังรู้ว่าไม่มีแผนรับมือ แทนที่จะตอบสนองด้วยความเข้าใจหรือกระบวนการผิดๆ ซึ่งอาจทำให้สถานการณ์เลวร้ายลงกว่าเดิมได้

5. บุคคลที่เกี่ยวข้องควรมีส่วนร่วมกับการทดสอบ

การทดสอบแผนนั้นมันเกี่ยวข้องไปถึงบุคคลหลายๆ ฝ่าย เช่น ผู้นำระดับอาวุโส แผนกประชาสัมพันธ์ ฝ่ายกฎหมาย หรือต้องการความร่วมมือระดับองค์กับบริษัท Third-party บริษัทหุ้นส่วน เพราะการปฏิบัติการบางอย่างเราอาจจะต้องทำภายในข้อสัญญาซึ่งละเอียดอ่อน ดังนั้นมันเป็นการดีที่จะให้คนหรือผู้ที่คาดว่าจะเกี่ยวข้องกับแผนการเข้ามารับรู้แผนการตรงนี้ด้วย

6. ทดสอบแผนให้บ่อย แต่กระชับ

แนะนำให้ทดสอบแผนอย่างน้อยปีละครั้ง หรือบ่อยกว่านั้นสำหรับองค์กรขนาดใหญ่มากๆ นี่ดูเหมือนเป็นเรื่องใหญ่แต่มันก็มีทางที่ทำให้มันง่ายขึ้น เช่น แทนที่จะจอง 2 วันเต็มก็ขอเวลาเป็น 4 ชั่วโมงต่อวันเพราะหากนานกว่านั้นคนจะเริ่มขาดความสนใจ มันง่ายกว่าที่จะขอเวลาส่วนหนึ่งแทนที่จะจองทั้งวันโดยเฉพาะบุคคลตำแหน่งใหญ่ โดยการทำตามขั้นตอนนี้คุณอาจจะต้องไปหารือกับบุคคลที่มีอำนาจสักเล็กน้อยเพื่อจะให้ได้รับอำนาจรับผิดชอบในเหตุการณ์ต่างๆ เพื่อให้คุณสามารถดำเนินงานต่อไปได้

7. มีแผนการปฏิบัติหลังเกิดเหตุการณ์ที่ไม่คาดคิด

แม้ว่าเหตุการณ์จะเกิดขึ้นไปแล้ว ผู้คนอาจจะยุ่งเป็นเท่าตัว แต่สิ่งสำคัญเราควรจะเรียนรู้จากเหตุการณ์และทำเอกสารว่าเกิดอะไรขึ้น อะไรเป็นไปตามแผนหรือผิดแผนเพื่อที่จะปรับปรุงแผนการรับมือให้ดีขึ้นสำหรับคราวต่อไป

สุดท้ายนี้แม้ว่าการสร้างแผนการรับมือเหตุการณ์ไม่คาดคิดอาจทำได้ยากแต่มันก็ยังคุ้มและดีกว่าการที่เกิดเหตุการณ์แล้วทุกคนทำอะไรไม่ถูก ถึงคุณจะไม่สามารถป้องกันทุกเหตุการณ์ได้แต่อย่างน้อยการมีแผนไว้ก่อนเพื่อเป็นแนวทางปฏิบัติก็สามารถลดผลกระทบที่จะเกิดขึ้นได้ดีกว่าเสียเงิน เสียเวลา และความเชื่อมั่นของบริษัท

ที่มา : https://www.symantec.com/connect/blogs/7-items-you-must-add-any-incident-response-plan


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

พบมัลแวร์ตัวใหม่ ‘OSX/Linker’ พยายามใช้ช่องโหว่บน macOS ที่ Apple ยังไม่แพตช์

นักวิจัยจาก Intego ได้ออกมารายงานถึงการค้นพบมัลแวร์ตัวใหม่ชื่อ ‘OSX/Linker’ บน VirusTotal ที่ได้มีความพยายามใช้ช่องโหว่เพื่อ Bypass ฟีเจอร์ GateKeeper ของ macOS เพื่อ Execute โค้ดโดยไม่ต้องถามสิทธิ์หรือแจ้งเตือนผู้ใช้

ผู้บริหารธุรกิจไทยเล่าประสบการณ์การก้าวสู่ยุค Citizen Data Scientist ด้วย Oracle Autonomous Data Warehouse

ทีมงาน TechTalkThai มีโอกาสได้เข้าฟัง Discussion Panel ของ Oracle ที่ได้เชิญลูกค้าจาก PTG Energy และ Forth Smart Service มาเล่าถึงประสบการณ์การใช้ Oracle Autonomous Data Warehouse ที่ช่วยให้การทำ Business Intelligence, Business Report และ Business Dashboard สำหรับทำ Data Driven Business นั้นเป็นไปได้อย่างรวดเร็วและง่ายดาย ไม่ต้องพึ่งพาฝ่าย IT หรือ DBA ในการดึงข้อมูลต่างๆ ที่ต้องการให้อีกต่อไป และยังทำให้การทำรายงานต่างๆ เร็วขึ้นกว่าเดิมหลายสิบถึงหลายร้อยเท่าอีกด้วย