Condividi tramite

Gestione degli eventi imprevisti di sicurezza Microsoft: attività post-evento imprevisto

  • Articolo

Post mortem

Alcuni eventi imprevisti di sicurezza, in particolare quelli che hanno un impatto sui clienti o che comportano una violazione dei dati, sono soggetti a un evento imprevisto completo postmortem. Il team di risposta alla sicurezza esegue un postmortem dettagliato con tutte le parti coinvolte nella risposta agli eventi imprevisti di sicurezza per:

  • Documentare la sequenza di eventi che hanno causato l'evento imprevisto.
  • Creare un riepilogo tecnico dell'evento imprevisto come supportato dalle prove che includono gli attori coinvolti nella violazione (se noto). Questo riepilogo include il modo in cui è stata eseguita la risposta e altri aspetti chiave.
  • Identificare errori tecnici, errori procedurali, errori manuali, difetti del processo e problemi di comunicazione e/o eventuali vettori di attacco precedentemente sconosciuti identificati durante la risposta agli eventi imprevisti di sicurezza.

Il postmortem influenza direttamente il miglioramento dei servizi online Microsoft, i processi operativi e la documentazione impostando nuove priorità nel ciclo di sviluppo di progettazione Servizi online Microsoft.

Documentazione

Tutti i principali risultati tecnici nel processo postmortem vengono acquisiti in un report e gli investimenti nei servizi o nelle correzioni sotto forma di bug o richieste di modifica dello sviluppo. Questi risultati vengono seguiti dai team di progettazione appropriati. Per gli errori di processo e i problemi tra organizzazioni, i problemi sono documentati nel database del team di risposta alla sicurezza e seguiti dai gruppi appropriati per risolverli.

Miglioramento del processo

Rispondere a un evento imprevisto di sicurezza in Microsoft Servizi online comporta il coordinamento con più gruppi distribuiti tra organizzazioni diverse all'interno di Microsoft e potenzialmente anche organizzazioni esterne appropriate, ad esempio le forze dell'ordine. Sappiamo che è fondamentale valutare le risposte dopo ogni evento imprevisto di sicurezza sia per la sufficienza che per la completezza. Per eventuali miglioramenti o modifiche identificati, il team di risposta alla sicurezza valuta i suggerimenti in consultazione con i team e gli stakeholder appropriati e, se necessario, li incorpora nelle procedure operative standard. Tutte le modifiche necessarie, i bug o i miglioramenti del servizio identificati durante la risposta agli eventi imprevisti di sicurezza o l'attività postmortem vengono registrati e registrati in un database di progettazione Microsoft interno. Tutti i potenziali bug o funzionalità vengono assegnati al proprietario appropriato. Il team di risposta alla sicurezza Microsoft esamina tutte le voci fino a quando il problema non viene risolto.