Mặc dù việc ứng phó với sự cố an ninh mạng (IR) là cần thiết, các CISO vẫn phải đối mặt với những tình huống khó trong quá trình thực hiện. Có năm yếu tố mà các CISO nên cân nhắc khi tổ chức hoạt động IR trong doanh nghiệp:
1. Thiếu chuyên gia có trình độ
Việc ứng phó với sự cố an minh mạng (Incident Response - IR) thường bị hiểu nhầm là diễn ra ở giai đoạn khắc phục khi sự cố xảy ra. Tuy nhiên, quá trình này đã bắt đầu từ trước lúc diễn ra cuộc tấn công mạng và vẫn tiếp tục sau khi cuộc tấn công dừng lại.
Nhìn chung, hoạt động IR bao gồm bốn giai đoạn: Giai đoạn chuẩn bị, đảm bảo tất cả nhân viên, tùy theo trách nhiệm công việc của mình, biết cách hành động khi bị tấn công; Giai đoạn phát hiện sự cố; Giai đoạn loại bỏ cuộc tấn công và phục hồi hệ thống bị ảnh hưởng; Giai đoạn hậu sự cố, xem xét chiến lược ứng phó dựa trên kinh nghiệm vừa có để giảm thiểu các sự cố tương tự trong tương lai.
2. Lựa chọn nhà thầu phù hợp
Lựa chọn nhà thầu cũng không phải là công việc đơn giản. Để đạt hiệu quả, nhóm thầu phải hội tụ tất cả nhân lực đáp ứng công việc của IR; như nghiên cứu mối đe dọa, phân tích phần mềm độc hại và điều tra kỹ thuật số. Ngoài ra, cần chú ý đến kinh nghiệm của họ trong vai trò này. Họ càng làm việc cho nhiều khách hàng trong nhiều ngành khác nhau thì họ sẽ càng gặp nhiều sự cố điển hình và có thể đưa ra giải pháp trong nhiều trường hợp khác nhau.
3. Chi phí ứng phó sự cố
Thiết lập hoạt động IR nội bộ sẽ rất tốn kém. Doanh nghiệp cần phải trả lương cho nhân viên có những kỹ năng đặc biệt và chuyên nghiệp. Họ cũng cần mua những giải pháp và dịch vụ (báo cáo mối đe dọa) cần thiết để tìm kiếm các mối đe dọa, phân tích dữ liệu và khắc phục khi bị tấn công.
Tuy nhiên, chi phí trung bình của doanh nghiệp cho việc bị tấn công dữ liệu cũng đang tăng lên trên toàn cầu - với số tiền trung bình hiện nay lên đến 1,23 triệu USD (tăng 24% so với 992 nghìn USD năm 2017). Với chi phí được hacker đầu tư cho các sự cố bảo mật ngày càng tăng, các doanh nghiệp nhận ra rằng họ cũng phải chi tiêu nhiều hơn cho an ninh mạng.
4. Hợp tác với bộ phận IT
Khi sự cố xảy ra, nhóm IT có thể chọn giải pháp tắt máy bị nhiễm để giảm tác động. Tuy nhiên, đối với bộ phận phản hồi sự cố, điều quan trọng trước nhất là phải thu thập bằng chứng, nghĩa là sau khi sự cố xảy ra, máy bị nhiễm mã độc sẽ không được đụng tới trong một thời gian. Do vậy, công việc thu thập và lưu trữ thông tin trong ba tháng và việc ngắt kết nối các máy bị nhiễm mã độc khiến công việc của team IR trở nên khó khăn hơn.
5. Chậm trễ trong việc đưa ra phản hồi
Các tổ chức thuê dịch vụ IR bên ngoài có thể thiết lập các quy trình nhanh hơn, vì team IR bên ngoài luôn sẵn sàng để giải quyết sự cố khi cần thiết. Tuy nhiên, điều này lại có thể đi kèm với những rủi ro. Chẳng hạn, doanh nghiệp và bên thứ ba phải ký hợp đồng và thỏa thuận trước khi thực hiện bất kỳ công việc nào. Điều này có thể dẫn đến chậm trễ trong phản ứng sự cố.