Работа с данными Центра мониторинга и реагирования на инциденты безопасности
Принятие решений, основанных на обработке данных, является ключевым фактором успешного бизнеса и менеджмента, отмечает С. Морган в статье, посвященной работе с информацией Центра мониторинга и реагирования на инциденты безопасности (распространенный вариант перевода с английского аббревиатуры SOC - Security Operations Center). Сегодня в охранной индустрии без машинной обработки и анализа данных невозможно принимать быстрые и верные решения о рисках и угрозах, эффективно реагировать на инциденты.
Автор предлагает для примера взглянуть на бесчисленное множество вопросов, которые встают перед Центром, когда происходит инцидент безопасности. Ответ практически на любой из них связан с анализом данных.
-
Когда сработала тревожная сигнализация?
-
Какой тип сигнала активировался?
-
В какой точке сработала сигнализация?
-
В какой момент оператор зафиксировал сигнал?
-
Кто из операторов получил сигнал?
-
Какие меры приняты в ответ?
-
Какие видеокамеры задействованы?
-
Сколько времени понадобилось, чтобы оценить ситуацию?
-
Было ли проведено расследование?
-
Кого проинформировали об инциденте?
-
Как скоро отреагировали на инцидент?
-
Какие меры предприняты по итогам инцидента?
И это только часть информации, которая может понадобиться оператору для создания полной и ясной картины происходящего. Особого внимания требует к себе стандартизация данных во всей инфраструктуре безопасности. В противном случае вместо целостной картины охрана будет видеть только ее отдельные фрагменты.
Обработка и анализ данных позволяет выявить недостатки охранной инфраструктуры, измерить эффективность процедур и мер реагирования, повысить слаженность в работе команды.
Для упорядочения работы с данными в Центре автор публикации предлагает следующие последовательные шаги:
Шаг 1. Сформулировать приоритетные проблемы, которые необходимо решать. Это могут быть, например, скорость принятия решений по инцидентам, какие точки периметра безопасности наиболее уязвимы, достаточно ли хорошо укомплектована команда операторов, охранников для результативного реагирования на инциденты…
Шаг 2. Определить параметры, необходимые для адекватного ответа на такой, к примеру, вопрос: «сколько времени занимает в среднем реагирование на инциденты?». Метриками могут служить время (по часам, минутам и секундам), затрачиваемое на фиксацию, анализ и реагирование инцидента, периодичность инцидентов в сутки, неделю, месяц, частота инцидентов по отдельным объектам и локациям охраняемой зоны.
Шаг 3. Централизация потоков данных. Самый простой и надежный путь – стандартизация, выбор системы, которая координирует любые тревожные сигналы, ответы на них и расследования путем трансформации и сведения данных разных форматов в единую информационную структуру.
Шаг 4. Визуализация данных. Это особенно важно для отчетов и презентаций акционерам, совету директоров. Рынок предлагает множество программ визуализации. Выбирайте такие, которые могут представлять информацию в различных форматах, в одном случае в виде графика, в другом – в виде таблицы, а, кроме того, выявлять тенденции и помогать прогнозированию изменений в ландшафте рисков и угроз.
© "АМУЛЕТ" 2003 г. Тел/Факс.(495) 614-40-60, 614-41-60,
Е-mail:sb@amulet-group.ru
|