企業の監視方法で頻繁に遭遇する問題のXNUMXつは、トリガーするアラートが多すぎることです。 技術的には、この問題は ベストプラクティス (つまり、アクティブなアラートのダウンタイムを対処できるようにスケジュールする、しきい値を調整する、最も頻繁なアラートについてレポートし、最初に対処するなど)、チームの責任の分割によって解決が困難になる場合があります。 監視を実行しているチームが適切なしきい値を知らない場合、またはアラートが実行可能かどうかを知らない場合は、どうしますか?
これについては以前に話しましたが、核兵器施設でのセキュリティインシデントを不適切な慣行の例として使用しています。 対照的に、米海軍の核計画は、優れた慣行の例として掲げることができます。 ハーバードビジネスレビュー 記事を掲載 国防総省がサイバーセキュリティを改善するために米国海軍の原子力推進プログラムの慣行をどのように採用したかについてですが、同じ原則がIT監視の慣行にも当てはまります。
要約すると、監視にも適用されるHBRの記事のベストプラクティスは次のとおりです。
- 指揮を取る:信頼性の高い組織を運営したい場合は、メッセージが上から来て明確であることを確認してください。 IT資産は、おそらく企業が運営する最も高価な不動産(データセンター)のいくつかにあります。 同社は、これらのシステムの調達プロセス、ハードウェア、バックアップ、DR、およびソフトウェアの購入または開発に投資することを選択しました。 組織に付加価値を付けなければ、データセンターを運営することはできません。 すべてのシステムが会社にとって同等の価値があるわけではありませんが、すべてを監視する必要があります。 また、アラートが正しく構成されていない場合、価値の低いシステムからのアラートが重要なシステムからのアラートに殺到する可能性があり、解決にかかる時間が長くなります。
- 全員に説明責任を負わせる:すべてのレベルで、監視が完了している必要があり(つまり、問題に影響を与えるすべてのサービスがアラートをトリガーする必要がある)、実行可能である(つまり、誤ったアラートが繰り返されない)ことを期待します。 アラートの数と期間を反映したダッシュボードと部門ごとのレポートを設定し、マネージャーに説明責任を負わせます。
- 研究所のトレーニング: 衛生状態を監視する理由と方法に関する体系的なトレーニングを確立して、誰もがその重要性を理解し、その方法を理解できるようにします。
- 結果があります: 適切なアラートをトリガーしない問題は、新しいソフトウェアが展開されるときに時々発生します。 ただし、監視によってインシデントが適切に検出され、適切な人に通知されることが確認されるまで、インシデントがクローズされたと見なされるべきではありません。 それが発生しなかった場合は、インシデントをクローズする前に、次回発生することを確認してください。 そうしないと、将来の検出されない停止につながり、組織だけでなく人々にも影響を与えるはずです。
企業が組織に価値を提供しているITインフラストラクチャを実行または使用している場合は、 監視システム 所定の位置に。 それは戦いの半分です。次のステップは、監視が必要なすべての価値を確実に提供するように、組織的な慣行を確実に実施することです。