Rufbereitschaft ist bereits eine anspruchsvolle und mitunter sehr unnachgiebige Aufgabe. In regulierten Branchen sind die Anforderungen an das Incident-Management jedoch wahrscheinlich noch höher und weniger nachsichtig. In diesem Artikel werden wir einige grundlegende Prinzipien des softwarebezogenen Incident-Managements erläutern. Vorfallmanagement in regulierten Branchen.

Vorfälle, Vorschriften und Einhaltung

Zunächst wollen wir uns jedoch kurz ansehen, was ein softwarebezogener Vorfall in einer regulierten Branche bedeutet. Würde man die meisten Softwareentwickler oder IT-Fachleute nach einer Definition von „Vorfällen“ fragen, würden sie wahrscheinlich Ausfallzeiten oder lange Reaktionszeiten von Anwendungen beschreiben. Ein weiterer wichtiger Faktor könnte sein: Sicherheit — Einbrüche, Datendiebstahl, mangelnder Schutz sensibler Daten usw.

In regulierten Branchen umfasst der Begriff „Vorfall“ jedoch weit mehr als nur Ausfallzeiten und Sicherheitsprobleme; er kann alles umfassen, was dazu führt, dass das Unternehmen, seine Produkte oder Dienstleistungen nicht mehr den geltenden Vorschriften entsprechen. Für ein Wasserversorgungsunternehmen könnte dies beispielsweise das Vorhandensein von E. coli-Bakterien im Trinkwasser sein. Für eine Bank könnte es der Verlust von Kundendaten sein. Für ein Krankenhaus könnte es der Ausfall lebenswichtiger Systeme sein. Vorfälle, die die öffentliche Sicherheit, den Verlust wichtiger Daten oder die Unterbrechung essenzieller Dienste betreffen und bei denen die Einhaltung gesetzlicher Vorschriften auf dem Spiel steht, können mindestens genauso wichtig sein wie solche, die lediglich zu gewöhnlichen Ausfallzeiten führen.

Compliance – Was steht auf dem Spiel?

Eine der grundlegendsten Herausforderungen für jedes Unternehmen in einer regulierten Branche ist die Einhaltung der geltenden Vorschriften. Je nach Branche und Art des Vorfalls kann ein Verstoß gegen diese Vorschriften folgende Konsequenzen haben:

• Geldbußen, Gebühren oder sonstige zivil- oder verwaltungsrechtliche Strafen
• Rechtsstreitigkeiten oder andere rechtliche Schritte von Organisationen oder Einzelpersonen, die von dem Vorfall betroffen sind
• Aussetzung oder Verlust von Lizenzen oder anderen Zertifizierungen, die für die Arbeit in der Branche erforderlich sind
• Reputationsverlust innerhalb der Branche oder in den Augen der Öffentlichkeit
• In extremen Fällen drohen den Verantwortlichen strafrechtliche Anklagen, Verurteilungen und Gefängnisstrafen.

Anders ausgedrückt: Es kann um sehr viel gehen; Sie möchten nicht in der Lage sein, Ihre Vorgehensweise beim Umgang mit Zwischenfällen einem Richter erklären zu müssen.

Notwendige und bewährte Verfahren

Wie geht man unter solch strengen Bedingungen mit Zwischenfällen um? Die beste Vorgehensweise ist Prävention – alle potenziellen Vorfälle zu beheben, bevor sie zu Compliance-Problemen führen. Das ist in der Praxis nicht immer möglich. Daher ist es wichtig, Notfallpläne zu haben, die sowohl den rechtlichen Anforderungen als auch den praktischen Erfordernissen gerecht werden. Dabei sollten folgende Faktoren berücksichtigt werden:

• Regulatorische Anforderungen und Richtlinien. Halten Sie sich stets an die Vorgaben der Aufsichtsbehörden in Bezug auf Vorfallmanagement, Prävention und Reaktion. Diese variieren je nach Branche und zuständiger Behörde, beinhalten aber häufig formale Vorgaben. Notfallplan , ein Reaktion auf IT-Vorfälle Team und formale Dokumentation der Verfahren und Maßnahmen zur Reaktion auf Vorfälle.

Organisationen, die unter dem Health Insurance Portability and Accountability Act (HIPAA) tätig sind ( HIPAA ) oder dem Payment Card Industry Data Security Standard ( PCI DSS Beispielsweise muss ein dokumentierter Sicherheitsreaktionsplan und ein Reaktionsteam vorhanden sein; das Bundesinformationssicherheitsmanagement Gesetz (FISMA) Ebenfalls enthalten sind detaillierte Richtlinien für das Krisenmanagement und die Reaktion auf Vorfälle für Bundesbehörden. Informieren Sie sich, welche Behörden und welche Anforderungen für Ihre Organisation gelten, falls Sie dies noch nicht wissen, und stellen Sie sicher, dass Sie alle Anforderungen vollständig erfüllen.

• Branchenrichtlinien und bewährte Verfahren. Diese variieren je nach Branche. Eine branchenweite Berufsvereinigung kann häufig eine Reihe empfohlener Vorgehensweisen bereitstellen.

Falls es keine spezifischen Richtlinien für Ihre Branche gibt, Dokumente zu gemeinsamen Kriterien und gemeinsamen Bewertungsmethoden bieten einen nützlichen Rahmen zum Verständnis allgemeiner IT-Sicherheits- und öffentlicher Sicherheitsfragen.

Allgemeine Überlegungen

Es gibt einige grundlegende Überlegungen, die für alle regulierten Branchen und alle regulatorischen Rahmenbedingungen gelten:

Identifikation

Identifizieren Sie alle sensiblen Systeme (Anwendungen, Netzwerke, Dienste usw.), deren Ausfall oder sonstige Fehlfunktion direkt oder indirekt zu einem Compliance-Problem führen könnte. Eine Datenbank mit Patientendaten oder ein Programm zur Steuerung der Stromverteilung eines Versorgungsunternehmens fallen beispielsweise darunter. Die Buchhaltungssoftware Ihres Unternehmens ist, so wichtig sie auch sein mag, in diesem Zusammenhang wahrscheinlich kein sensibles System.

Verhütung

Ihre erste Verteidigungslinie im Incident-Management besteht darin, zu verhindern, dass sensible Systeme überhaupt in die Nähe eines Ausfallzustands geraten. Das bedeutet, dass Ihr Incident-Response-Team nicht nur bei einem tatsächlichen Systemausfall, sondern auch bei jedem Zustand alarmiert werden muss, der potenziell zu einem Ausfall führen kann. Bei sicherheitsrelevanten Systemen kann dies jede Aktivität sein, die auf einen Einbruchsversuch hindeutet, oder jede Leistungsminderung der Sicherheitssoftware selbst. Bei Systemen, bei denen die öffentliche Sicherheit gefährdet ist, kann dies jedes anomale Verhalten bei wichtigen Kennzahlen umfassen. Selbstverständlich gehören zur Prävention vollständige Datensicherungen und gegebenenfalls die Bereitstellung vollständiger Backup-Systeme in Bereitschaft.

Um Probleme zu erkennen, bevor sie zu Verstößen gegen regulatorische Bestimmungen führen, ist ein perfekt abgestimmtes Incident-Response-Team erforderlich, das über alle relevanten Informationen aus allen Quellen verfügt. In solchen Situationen zählt jede Sekunde! Daher ist es unerlässlich, die zuständigen Ansprechpartner im Vorfeld festzulegen, klare Eskalationsrichtlinien zu definieren und Zugriff auf Kennzahlen aus verschiedenen Systemen zu gewährleisten, die zu einer einheitlichen Übersicht des Problems zusammengeführt werden.

Priorität

Sie müssen Ihre bestehende Prioritätenliste für das Vorfallmanagement um eine weitere Ebene ergänzen und allen Compliance-bezogenen Vorfällen höchste Priorität einräumen. Das bedeutet: Wenn Ihre Buchhaltungs- und Warenwirtschaftssysteme komplett ausfallen und gleichzeitig Ihre Datenbank für Patientendaten Probleme bereitet, müssen Ihre Mitarbeiter in der Buchhaltung und im Lager möglicherweise warten, bis Ihr Notfallteam die Datenbank repariert hat – vorausgesetzt, Sie haben nicht genügend IT-Fachkräfte zur Verfügung. Und wenn die öffentliche Sicherheit betroffen ist, muss Ihr Einsatzteam bereit sein, die kritischen Systeme unmittelbar nach einer Katastrophe am Laufen zu halten.

Das alles mag gewaltig und teuer klingen. Aber die Kosten für ein Großschadensereignis Die Kosten können deutlich höher ausfallen, insbesondere wenn eine Aufsichtsbehörde oder ein Richter feststellt, dass Ihr Unternehmen die Vorschriften nicht ausreichend eingehalten hat. Für Sie und Ihr Unternehmen gilt daher: Präventives Vorfallmanagement ist mit Abstand der beste Schutz, den Sie erhalten können.

Wenn Sie nach einer Ressource suchen, um Ihre Prozesse und Arbeitsabläufe im Bereich der Reaktion auf Sicherheitsvorfälle zu verbessern, schauen Sie sich unsere Open-Source-Lösung an. Dokumentation der Reaktion auf Vorfälle sowie unsere Kurzübersicht zu Finanzdienstleistungslösungen Ein Beispiel dafür, wie PagerDuty regulierten Branchen hilft.