Sektörde genel kabul görmüş yöntem 6 safhadan oluşuyor;
Hazırlık=>Tespit=>Sınırlama=>Ortadan Kaldırma=>Kurtarma=>Değerlendirme (Hasar Raporu)
- Hazırlık safhasında bilgisayar olayı meydana gelmeden önce önleyici mekanizmalar oluşturulur, talimatlar hazırlanır (bakınız University of Florida), gerekli kaynak ve personel planlaması yapılır ve müdahale mimarisi kurulur,rol ve sorumluluklar belirlenir, ihtiyaç halinde temas kurulacak personel listesi,kontak bilgileri politikalarla belirlenir.
- Tespit safhası bana göre en önemli safha, çünkü tespit edilmediği sürece bilgisayar olayının varlığından söz etmek, olayın etkilerini azaltacak ya da ortadan kaldıracak eylemlerde bulunmak yani müdahale etmek mümkün değil. Müdahale sürecini tetikleyen safhadır tespit,kimi zaman kullanıcının bildirimiyle başlar.Günümüz çalışma ortamlarında kullanılan ve işlenen verinin devasalığı,çalışan sayısının ve buna bağlı olarak artan işlem sayısı ve ağ trafiğinin artışı, güvenlik düşünülmeden iyi niyetle hazırlanan protokollerin kötüye kullanımı gibi etkenler düşünüldüğünde bilgisayar olaylarını tespit etmenin aslında ne kadar zor olduğunu tahmin edebilirsiniz.Neyse ki bu kritik safhada kullanılabilecek yazılım ve donanım ürünleri mevcut, aslına bakarsanız BT altyapısında kullanılan tüm ürünler bilgisayar (güvenlik) olaylarını tespitinde kullanılabilir. Size düşen bu ürünler varsayılan konfigürasyonların dışında ihtiyacınıza göre yapılandırmak,ihtiyacınız olduğu kadar daha doğrusu inceleyebileceğiniz kadar log toplamak, güvenlik ölçütleri belirlemek.Bu safhada dikkat edilmesi gereken bir diğer önemli konu da olay tespiti sonrası paniklememek,çevredekileri de panikletmemek.Soğukkanlılıkla bilgisayar olayının kapsamını belirmeye çalışmalısınız,bu hem ekibin işini hem de olay için öncelik belirlemeyi kolaylaştırır.Son olarak tespit safhasında yapılması gereken ilgili otoriteleri ve personeli bilgilendirmektir.CISO da denen bilgi güvenliğinin başındaki kişi,ekip üyeleri,varsa halkla ilişkiler bölümü ve bazen de hukuk departmanları olayla ilgili bilgilendirilmeli.Bilgilendirmenin nasıl ve ne şekilde yapılacağı (güvenli iletişim kanalları kullanılarak vb) bilgi güvenliği politikasında ya da bilgisayar olaylarına müdahale politikasında açıkça belirtilmelidir.Tavsiyem kurum intranet portalinde süreci başından sonuna kadar takip ve kayıt altında tutmanıza yardımcı olacak yazılımlar geliştirmeniz ya da geliştirtmeniz.Kullanıcıdan artık kağıt form doldurmasını beklemeyin,kullanıcı üşenir,bıkar. Örnek olay bildirim formu için tıklayın.