セキュリティ違反に対して実行する手順は何ですか?
先週、私が働いている会社から数人の男が解雇された。彼ら全員が機密情報にアクセスできました。
そのうちの1人は、メールサーバーからすべての電子メールを消去し、大部分の顧客に大量の電子メールを送信し、侮辱し、「私たちは吸います」ので私たちと取引しないように彼らに伝えました。文字通り。
システム管理者は、解雇されたときにサーバーの資格情報を削除できませんでした。これは、残念ながらよくある間違いです。現在のシステム管理者は、このシナリオで何をすべきかを知らないようです。私も正直ではありません。セキュリティ違反が発生した場合の通常の手順を知りたいので、会社に実装することをお勧めします。
Serverfaultには、「 この混乱を解消するために今何をすべきか 」というすばらしい正解があります。そのため、「これが二度と起こらないようにするために何をすべきか」を試してみましょう。
- あなたの組織は「従業員の退職」プロセスを確立し、それに固執する必要があります。
- 組織がすべての解雇を同じように扱う必要がある場合、または「非友好的」と「非敵対的」の解雇で異なる場合、または通常の従業員と機密情報にアクセスできる従業員で異なる場合に対処する必要があります。
- ITは、従業員が持つ可能性のあるすべてのアカウントを閉じるための手順を文書化する必要がありますITが制御していないアカウントを含む。
- ITは、特定の従業員がどのアカウントを持っているかを即座に識別できる従業員アカウントレジスタを保持する必要があります。 (これは大変な作業になる可能性があります。)
- ITには、すべての汎用アカウントのリストと、それらのパスワードを知っている人が必要です。また、できるだけ多くの一般的なアカウント、理想的にはそれらすべてを削除する必要もあります。
- 「敵意のある」終了の決定が下された場合、人事部は事前にITと会って計画を立て、従業員が終了したことを学習している間、アカウントがすべて無効になるようにする必要があります。
- アカウントが閉鎖されると同時に、コンピューターのハードウェアとIDバッジを保護する必要があります。
IT、人事、上級管理職はすべて、上記に取り組む必要があります。
さらに、質問から、バックアップ手順が適切でないことも聞こえます—修正してください。 (バックアップを保護することを忘れないでください。特に、オリジナルとバックアップの両方を削除する権限を持つ人がいないようにしてください。)
以下は、あなたの状況を踏まえて、私が何をするかです。
- 以前のバックアップからの電子メールを復元します。彼らがそれらを削除した場合、彼らは何かを隠す必要があると思います。
- システムを監査できる専門家に連絡し、終端からパッチが適用されないままになっているバックドアやネットワークホールがないことを確認してください(ウェブメール/ VPNクレデンシャル/ブラックベリー、RDC接続、ファイルなど)
- 終了日から前夜までのファイルバックアップを比較します。削除された可能性のあるファイルを復元します。
- 送信された電子メールに関して何らかのダメージコントロールを行う必要があるので、PR /コミュニケーションチームに参加してください。
- グラハムが述べたように、これが起こらないようにするには、一連のポリシーと「従業員の出発チェックリスト」を作成する必要があります。
- 通常、適切に調整する必要があるため、人事や上級管理職と一緒に終了手続きについて話し合う必要があります(つまり、従業員がコンピューターの近くにいないときに、コンピューターが稼働しているときにIT部門がシステムをロックできるようにします)。
- 監査のレベルに応じて(そしてあなたの状況から判断すると、私はあなたが多くを持っていないと仮定します)、出発以来どのファイルがアクセスされ変更されたかを確認します。
- システムを離れる電子メールを監視します-従業員がまだ友人を持っている場合、彼らはまだ彼らの終了した友人に企業秘密/民間企業情報を漏らしているかもしれません。
お役に立てば幸いです。