Bereitschaftsdienst ist bereits eine anspruchsvolle und manchmal sehr unerbittliche Verantwortung. Wenn Sie jedoch in einer regulierten Branche arbeiten, sind die Anforderungen, die das Incident Management an Ihr Unternehmen stellt, wahrscheinlich noch größer und noch weniger ertragreich. In diesem Artikel besprechen wir einige der Grundprinzipien der softwarebezogenen Vorfallmanagement in regulierten Branchen.

Vorfälle, Vorschriften und Compliance

Zunächst wollen wir uns jedoch kurz ansehen, was ein softwarebezogener Vorfall in einer regulierten Branche bedeutet. Wenn Sie die meisten Leute in der Softwareentwicklung oder IT bitten würden, „Vorfälle“ zu definieren, würden sie wahrscheinlich über Ausfallzeiten oder schlechte Anwendungsreaktionszeiten sprechen. Ein weiterer wichtiger Faktor könnte sein Sicherheit — Einbrüche, Datendiebstahl, mangelnder Schutz sensibler Daten usw.

In regulierten Branchen geht der Begriff „Vorfall“ jedoch weit über Ausfallzeiten und Sicherheitsprobleme hinaus. Er kann alles umfassen, was dazu führt, dass das Unternehmen oder seine Produkte oder Dienstleistungen nicht mehr den Vorschriften entsprechen. Für ein Wasserversorgungsunternehmen könnte das das Vorhandensein von E. Coli-Bakterien in der Wasserversorgung sein. Für eine Bank könnte es der Verlust von Finanzdaten von Kunden sein. Für ein Krankenhaus könnte es der Ausfall lebenswichtiger Systeme sein. Vorfälle, die die öffentliche Sicherheit, den Verlust wichtiger Daten oder die Unterbrechung wichtiger Dienste betreffen, wenn die Einhaltung gesetzlicher Vorschriften auf dem Spiel steht, können mindestens genauso wichtig sein wie solche, die normale Ausfallzeiten verursachen.

Compliance – Was auf dem Spiel steht

Eines der grundlegendsten Probleme für jede Organisation, die in einer regulierten Branche tätig ist, ist die Notwendigkeit, die geltenden Vorschriften einzuhalten. Je nach Branche und Art des Vorfalls kann eine Nichteinhaltung folgende Folgen haben:

• Bußgelder, Gebühren oder andere zivil- oder verwaltungsrechtliche Sanktionen
• Klagen oder andere rechtliche Schritte von Organisationen oder Einzelpersonen, die vom Vorfall betroffen sind
• Aussetzung oder Verlust von Lizenzen oder anderen Zertifizierungen, die für die Arbeit in der Branche erforderlich sind
• Reputationsverlust innerhalb der Branche oder in der Öffentlichkeit
• In extremen Fällen Strafanzeige, Verurteilung und Gefängnisstrafe für die Verantwortlichen

Mit anderen Worten: Es kann sehr viel auf dem Spiel stehen; Sie möchten nicht in die Lage kommen, einem Richter Ihre Verfahren zum Vorfallmanagement erklären zu müssen.

Notwendige und bewährte Vorgehensweisen

Wie bewältigt man Vorfälle unter solch strengen Bedingungen? Das beste Vorfallmanagement ist die Prävention – sich um alle potenziellen Vorfälle zu kümmern, bevor sie zu Compliance-Problemen werden. Dies ist unter realen Bedingungen nicht immer möglich. Daher ist es wichtig, über Vorfallreaktionspläne zu verfügen, die sowohl den gesetzlichen Anforderungen als auch den praktischen Notwendigkeiten entsprechen. Dabei ist es wichtig, die folgenden Faktoren zu berücksichtigen:

• Gesetzliche Anforderungen und Richtlinien. Befolgen Sie stets die Anforderungen der Aufsichtsbehörden in Bezug auf Vorfallmanagement, Prävention und Reaktion. Diese variieren je nach Branche und beteiligter Behörde, umfassen jedoch häufig eine formelle Vorfallreaktionsplan , ein Reaktion auf IT-Vorfälle Team und formelle Dokumentation der Verfahren und Maßnahmen zur Reaktion auf Vorfälle.

Organisationen, die im Rahmen des Health Insurance Portability and Accountability Act ( HIPAA ) oder dem Payment Card Industry Data Security Standard ( PCI DSS ) muss beispielsweise über einen dokumentierten Sicherheitsreaktionsplan und ein Reaktionsteam verfügen; das Federal Information Security Management Gesetz (FISMA) enthält ebenfalls detaillierte Richtlinien zum Vorfallmanagement und zur Reaktion auf Vorfälle für Bundesbehörden. Informieren Sie sich, welchen Behörden und welchen Anforderungen Ihre Organisation unterliegt, falls Sie dies noch nicht wissen, und stellen Sie sicher, dass Sie alle Anforderungen vollständig erfüllen.

• Branchenrichtlinien und bewährte Methoden. Auch diese variieren je nach Branche. Eine branchenweite Berufsorganisation kann häufig eine Reihe empfohlener Vorgehensweisen bereitstellen.

Wenn es keine spezifischen Richtlinien für Ihre Branche gibt, Dokumente zu gemeinsamen Kriterien und gemeinsamen Bewertungsmethoden bieten einen nützlichen Rahmen zum Verständnis allgemeiner Fragen der IT-Sicherheit und der öffentlichen Sicherheit.

allgemeine Überlegungen

Es gibt einige grundlegende Überlegungen, die für alle regulierten Branchen und alle regulatorischen Rahmenbedingungen gelten:

Identifikation

Identifizieren Sie alle sensiblen Systeme (Anwendungen, Netzwerke, Dienste usw.), bei denen ein Ausfall oder eine andere Fehlfunktion direkt oder indirekt zu einem Compliance-Problem führen könnte. Eine Datenbank mit Krankenakten von Klienten beispielsweise oder ein Programm, das die Stromverteilung für ein öffentliches Versorgungsunternehmen verwaltet, fallen wahrscheinlich unter diese Überschrift. Die Buchhaltungssoftware Ihres Unternehmens, so wichtig sie auch sein mag, ist in diesem Zusammenhang wahrscheinlich kein sensibles System.

Verhütung

Ihre erste Verteidigungslinie im Incident Management besteht darin, zu verhindern, dass eines der Systeme, die Sie als sensibel identifiziert haben, auch nur annähernd ausfällt. Das bedeutet, dass Ihr Incident-Response-Team nicht nur über Ausfälle dieser Systeme informiert werden sollte, sondern auch über alle Umstände, die zu einem Ausfall führen könnten. Bei sicherheitssensiblen Systemen kann dies jede Aktivität sein, die auf einen Einbruchsversuch hindeutet, oder jede Leistungsminderung der Sicherheitssoftware selbst. Bei Systemen, bei denen die öffentliche Sicherheit auf dem Spiel steht, kann dies jedes anomale Verhalten in einer wichtigen Kennzahl umfassen. Selbstverständlich umfasst die Prävention vollständige Datensicherungen und, falls erforderlich, vollständige Backup-Systeme im Standby-Modus.

Um Probleme zu erkennen, bevor sie zu Verstößen gegen gesetzliche Vorschriften führen, ist außerdem ein vollständig synchronisiertes Incident-Response-Team erforderlich, das über den vollständigen Kontext aller Informationsquellen verfügt. In solchen Situationen zählt jede Sekunde! Aus diesem Grund ist es wichtig, im Voraus Einsatzkräfte zu definieren, klare Eskalationsrichtlinien zu haben und auf Kennzahlen aus mehreren Systemen zuzugreifen, die zu einer einheitlichen Ansicht des Problems zusammengeführt werden.

Priorität

Sie müssen Ihrer bestehenden Vorfallmanagement-Triage tatsächlich eine weitere Prioritätsebene hinzufügen, indem Sie allen Compliance-bezogenen Vorfällen höchste Priorität einräumen. Das bedeutet, dass Ihre Buchhaltungs- und Inventarsysteme komplett abstürzen und gleichzeitig Ihre Datenbank mit Krankenakten nicht mehr richtig funktioniert. Wenn Sie also nicht genügend IT-Mitarbeiter zur Verfügung haben, um sich um alles zu kümmern, müssen Ihre Buchhaltungsmitarbeiter und Lagermitarbeiter möglicherweise warten, bis sich Ihr Notfallteam um die Datenbank kümmert. Und wenn die öffentliche Sicherheit betroffen ist, muss Ihr Notfallteam möglicherweise bereit sein, wichtige Systeme unmittelbar nach einer größeren Katastrophe am Laufen zu halten.

All dies mag gewaltig klingen, und auch teuer. Aber die Kosten für eine Schwerer Vorfall kann viel höher sein, insbesondere wenn eine Aufsichtsbehörde oder ein Richter feststellt, dass Ihr Unternehmen die Vorschriften nicht ausreichend eingehalten hat. Unterm Strich ist für Sie und Ihr Unternehmen ein vorbeugendes Vorfallmanagement der bei weitem beste Schutz, den Sie haben können.

Wenn Sie nach einer Ressource suchen, um Ihre Prozesse und Arbeitsabläufe bei Vorfällen zu verbessern, schauen Sie sich unsere Open-Source- Dokumentation der Reaktion auf Vorfälle sowie unsere Kurzfassung: Lösungen für Finanzdienstleistungen für ein Beispiel, wie PagerDuty regulierten Branchen hilft.