《地球戰栗》作者Ayn Rand曾經說：“最難理解的莫過于平時習以為常的事情出了狀況。”這種說法非常適用于IT和信息社區在事件響應方面的做法。每家企業都看似安全、合規且能夠處理任何發生的安全事件，當然，等事情真正發生時就不是那么回事兒了。事實上，企業的事件響應政策存在很多空白、漏洞和不足。作為IT或安全管理人員，事件發生后，你會突然變成被關注的焦點，但是很多情況下，你都沒做好準備。

[[165382]]

很多事件響應計劃只是理論，而沒有實際做法。而恰恰企業應該制定明確做法，在事件或泄露事故發生后可供大家遵循。請不要再使用非正式政策，這些政策通常不會被強制執行，大多數人也不重視。如今，詳細的安全事件響應政策或計劃與企業災難恢復計劃一樣重要，甚至要更加重要。如果你沒有事件響應策略或可行程序，那么是時候開始部署了。不過，你應該避免犯這些錯誤：

• 在沒有全部正確信息的情況下作出決策

正如豎立IT和安全目標能夠指引你朝正確的方向前進，你需要從系統和人員那里獲取良好的信息以有效應對安全事件。不過，對于某些事件，有些人會對發生的事情找合理化借口，并將原本不好的事情說成好的事情。在很多情況下，人們在完全沒有任何信息的情況下作出決策，這對企業安全來說很不好。

• 專注于清單項目而不是流程

現實情況是，很多企業并沒有對其信息風險進行真正的評估。大多數IT和安全專業人員不知道敏感信息的位置;在數據泄露的情況下，非常難以發現哪些系統和信息已被泄露。對于網絡事件響應，企業不應該使用核對清單，應注重流程。

• 行動速度不夠快

部署事件響應政策的首要目標之一是：保持與任何隨后調查有關的系統、信息和日志記錄的完整性。企業應該獲取這些信息并使其隨時可用。理想情況下，你應該有外部事件響應和隨時協助取證公司的任何調查。

• 律師沒有作為事件響應領導者

在法律方面，關鍵策略是獲取和維持律師-委托人特權。你的律師應該起領導作用，特別是要擔負起與安全團隊成員及外部供應商聯系的主要人員。

• 沒有提前準備適當的工具

當事件響應是“事后將軍”時，部署必要的安全和取證工具來協助事件調查通常已經為時過晚。企業應該在需要工具前就購買適當的工具，例如日志聚合、SIEM和取證分析，無論是內部使用還是外包。否則，你無法知道你何時需要這些工具。

• 沒有制定公共關系策略

很多人認為當事件變得很糟糕時，管理層會把事情處理好。你知道應該找哪位高管來獲取必要的信息嗎?如果長期聲譽非常重要，則應該確定誰可以代表企業發言。如果有疑問，企業可以提前聘請外部公關公司。

無論企業信息事件響應政策的成熟度水平或者方法如何，管理層都應參與其中。他們需要將事件響應視為信息安全的核心功能，在整個業務連續性和靈活性方面發揮重要作用。如果他們明白這一點，那么，當事件發生時每個人都會齊心協力，從而簡化原本痛苦而復雜的過程。如果他們無法理解，眼下可能順風順水，但當事件發生時，則全都遭殃。

請退一步想想企業在過去是如何響應安全問題的，以及在未來企業應該如何響應安全事件。現在應該著手調整企業事件響應政策了，做到未雨綢繆。