Supongamos que hay un incidente que requiere una respuesta inmediata, como un brote de virus en el correo electrónico, Cryptolocker encriptando activamente los archivos o un ataque de DOS.
¿Cómo debo enfocar esto de una manera que no solo sea valorada en términos de nuestros clientes (SLA, etc.), sino que también sea vista positivamente por todos los niveles de administración y mis colegas?
Supongo que hay las siguientes fases:
- Identificación
- Contención
- Remediación
A veces, un incidente requiere que retrocedamos y volvamos a identificar el problema (por ejemplo, no es un problema del servidor web, es un ataque de DOS) y, a menudo, un técnico bien intentado trabajará en tareas que se superponen y pueden no ayudar. La situación, o peor aún, puede impedir otras cuestiones. (por ejemplo, una restauración de SAN en el mismo LUN que la producción, matando el rendimiento)
Pregunta
Dado que a menudo hay muchas partes móviles para resolver los problemas, ¿qué proceso puedo consultar para obtener orientación para darle más estructura al proceso de contención y remediación?
Algunas cosas en las que puedo pensar incluyen:
- Identificar usuarios afectados, partes interesadas de negocios
- Identifique personas, proveedores que están trabajando en la solución
- Comunicar tareas y el estado de todas las tareas entre las personas y los proveedores que trabajan en la solución
- Comparta el estado apropiado de la audiencia (servicio de asistencia, administración, ejecutivo)
Debe haber algún tipo de guía que ya haya escrito que aborde esto, por ejemplo en una especie de "runbook", pero no estoy seguro de cómo se llamaría. Los términos de búsqueda serían apreciados