上星期本栏提到,资讯保安系统须肩负侦测网络异常或事故的重任,而资讯保安人员得悉警报之后,下一步便需要作出及时而适当的应对。

这亦即是美国NIST (National Institute of Standards and Technology) CSF (Cybersecurity Framework) 资讯保安框架中的第四部份。

应对是直接解除网络威胁的工作,首要是完善的应对计划,在保安事故发生前制定周详的应对程序,并与机构上下及各持份者加强沟通,说明各自在应对计划中的角色,确保计划及时执行,达到拦截和善后之目的,阻止事故蔓延。

成功阻截了网络威胁之后,下一步便要缓和事故的影响。这一步相当关键,包括制订程序以遏制事故,防止事故扩散,从而减轻网络威胁对机构的损害。此外,如果发现任何新漏洞,资讯保安人员必须详细记录下来,并研究当中的潜在风险和应对方法,进而向全机构提出防范建议。

最后,不但资讯保安人员,各持份者也必须从应对威胁的过程中汲取经验,提出一系列改善建议,并合力将建议纳入未来的应对策略。

应对与侦测同样分秒必争,稍有延误便可能令威胁扩大,导致数据外洩、核心业务瘫痪、财务损失等严重后果。因此,一套周详有效的应对计划对机构相当重要,资讯保安人员必须确保各持份者也充份了解自己的角色和责任,专业地执行应对计划。

如应对网络事故之后发现数据受损,该如何復原呢?本栏下星期再谈。