Внутренние инциденты в информационной безопасности — одни из самых трудных и чувствительных для любой организации. Утечки данных, саботаж, злоупотребление правами доступа и нарушения политик безопасности требуют профессионального и юридически точного расследования. В прямом эфире AM Live мы обсудим, как выстроить системный подход к таким случаям, какие технологии использовать и как действовать, чтобы сохранить доказательства и избежать ошибок.
Эксперты AM Live разберут практические аспекты расследования внутренних ИБ-инцидентов: как действовать, если инцидент уже зафиксирован, какие шаги предпринимать на каждом этапе, как не уничтожить улики и не допустить ошибок. Вы узнаете, как собирать доказательства, которые выдержат юридическую проверку, восстанавливать цепочку событий с помощью технологий и правильно взаимодействовать между ИБ, HR, юристами и ИТ.
Ключевые вопросы дискуссии:
- Особенности внутренних инцидентов
- Какие типы внутренних инцидентов наиболее распространены в организациях?
- Какова типология нарушителей: случайные, недобросовестные, целенаправленные злоумышленники?
- Чем отличается расследование внутренних нарушений от внешних атак по подходам, составу участников, источникам данных и юридическим рискам?
- Почему расследование внутренних инцидентов требует особого баланса между скоростью, точностью и корректностью действий?
- Какие риски возникают при ошибках в расследовании: правовые, кадровые, репутационные?
- Какие шаги включает в себя расследование внутреннего инцидента — от первичной фиксации до итогового заключения?
- Что является конечной целью таких расследований?
- Что важно делать на каждом этапе, чтобы расследование было эффективным и юридически корректным?
- Какие действия категорически нельзя предпринимать во время расследования инцидента?
- Как выстроить взаимодействие с другими подразделениями во время расследования?
- Как собирать и фиксировать информацию, чтобы результаты расследования принимались в суде или стали основой для дисциплинарного взыскания?
- Техническая база для расследований внутренних инцидентов
- Как помогают DLP-системы в процессе расследования инцидента?
- Какие возможности есть у современных DLP для восстановления контекста действий пользователя?
- Чем может быть полезна UEBA при рассоедовании инцидента?
- Какие внешние источники (коннекторы) могут использоваться для обогащения данных об инциденте в DLP-системе?
- Зачем могут быть полезны связки с DCAP, DAM, SIEM, NGFW, EDR?
- Можно ли обойтись в расследовании без покупки DLP, используя бесплатные утилиты?
- Блиц. Какие ошибки чаще всего совершают при попытках использования DLP для расследований?
- Как извлечь уроки из расследования
- Какие ошибки в процессах, документации, обучении сотрудников вскрываются в ходе расследования?
- Что нужно пересматривать по результатам расследования: политики, регламенты, зоны ответственности, инструменты мониторинга?
- Как преподнести результаты расследования, чтобы не только закрыть инцидент, но и убедить в необходимости системных изменений?
Приглашенные эксперты:
|
|
Уточняется Уточняется |
Модераторы:
|
|
Уточняется Уточняется |
