Siber saldırıların gitgide karmaşık ve sofistike olduğu bir dönemde bir şirketin çeşitli siber saldırılara maruz kalması ve zarar görmesi mümkündür. Siber saldırı sonunda bunu örtbas etmek yerine postmortem sürecini doğru yönetmesi önemli kazanımları elde etmesini sağlayabilir.

Peki postmortem nedir, nasıl uygulanır ? “Postmortem” terimi aslen tıbbi bir terim olup, ölüm nedenini belirlemek amacıyla yapılan otopsi anlamına gelir. Ancak, yazılım geliştirme ve sistem yönetimi gibi teknoloji alanlarında, “postmortem” terimi genellikle bir olayın veya başarısızlığın nedenlerini analiz etmek ve bu deneyimden öğrenmek amacıyla düzenlenen bir toplantı veya süreci ifade eder.

Teknoloji alanındaki postmortem süreci, bir olayın neden meydana geldiğini, etkilerini, alınan önlemleri ve çözümleri, ayrıca benzer olayların tekrarlanmasını önlemek için alınması gereken önlemleri ele alır. Bu süreç, ekip üyelerini bir araya getirerek açık iletişim sağlar ve gelecekteki başarısızlıkları önlemek için önlemler geliştirmeye odaklanır.

Postmortem süreci, genellikle bir olayın hemen ardından gerçekleştirilir ve ekip üyelerini, olayın detaylarını paylaşmaya, nedenleri anlamaya ve gelecekteki benzer durumları önlemeye teşvik eder. Bu süreçte, olası nedenler, alınan kararlar ve çözüm süreçleri açıkça belgelenir.Bu terim, yazılım geliştirme süreçlerinde özellikle yaygın olarak kullanılır, ancak siber güvenlik olayları, sistem çökmeleri veya hizmet kesintileri gibi geniş bir yelpazedeki olaylarda da uygulanabilir.

Postmortem süreci, “suçsuz kültür” anlayışını benimser. Yani, ekip üyeleri, olayın nedenlerini açıklarken suçlanma veya cezalandırılmaktan korkmazlar; bunun yerine, olaydan öğrenilmesi ve gelecekte benzer hataların tekrarlanmaması için çözümler geliştirilmesi amaçlanır.

Siber Saldırı Sonrası Postmortem Süreci: Olaylardan Ders Çıkarma ve İlerleme Yolunda Adımlar.

Sistemlerimiz büyüdükçe ve karmaşıklığı arttıkça, başarısızlıklar kaçınılmaz hale gelir. Aynı zamanda olaylar bir öğrenme fırsatıdır. Sistemdeki zayıflıkları ortaya çıkarma şansı, tekrarlayan olayları azaltma ve çözüm süresini kısaltma fırsatıdır. Bir sonraki sefere daha iyi olmak için takımlarınızı bir araya getirme zamanıdır. Olay sırasında neler olduğunu anlamanın ve öğrenilen dersleri yakalamanın en iyi yolu, bir incident postmortem veya post-incident review olarak bilinen bir inceleme yapmaktır. Bir incident postmortem, insanları bir araya getirir ve bir olayın ayrıntılarını tartışmalarını sağlar: neden meydana geldi, etkisi neydi, hangi önlemler alındı ve çözüldü, ve bunun tekrarlanmaması için ne yapılmalıdır.

Versiyon kontrolü, özellik bayrakları ve sürekli teslimat gibi araçlar sayesinde birçok olay hızla “geri alınabilir.” Birçok olay, üretime gönderilen bir değişiklikteki bir hatadan kaynaklanır ve bu değişikliği geri almak, uygulamayı tekrar çalışır duruma getirebilir. Bu, herkes için gerçekten faydalıdır, hizmeti hızla tekrar çalışır duruma getirir. Ancak genellikle neyin başarısız olduğunu ve neden başarısız olduğunu anlamanıza yardımcı olmaz. İşte burada postmortem’ler devreye girer.Bir incident postmortem, olaylardan öğrenme ve sorunları ilerlemeye dönüştürme çerçevesidir. Aynı zamanda müşterilerle, meslektaşlarla ve olaydan etkilenen kişilerle güven oluşturur ve ekibinizin gelecekteki olayları ve etkileri en aza indirmek için çalıştığını bildirir.

Postmortem Döngüsü İllüstrasyonu

Postmortem, her zaman açık bir hizmetin yaşam döngüsünde önemli bir adımdır. Postmortem’den elde edilen bulguların planlama sürecinize doğrudan beslenmesi gerekir. Bu, postmortem’de belirlenen kritik düzeltme çalışmalarının gelecek işlere yerleştirilmesini sağlar ve gelecekteki işler ve önceliklerle dengelemeye olanak tanır.

Incident Postmortem’un Faydaları

Formel bir incident postmortem toplantısını ve yazılı bir raporu atlamak isteyebilirsiniz, özellikle de olayın neden olduğu konusunda eminseniz ve sorunu çözdüğünüzden oldukça eminseniz. Bu sizin için doğru olabilir. Ancak takımınızda, olayın neden olduğunu anlamamış ve net bir anlayışa sahip olmamış kişiler olabilir ve bunlar hizmetinizi ve müşterilerinizi geliştirmelerine yardımcı olabilir. Yapılan yapılandırılmış, işbirlikçi bir süreçte insanları bir araya getirmek, herkesin öğrendiklerini katkıda bulunmasına ve ekibiniz içinde güven ve dayanıklılık oluşturmaya yardımcı olabilir. Olayı ve ekibin bununla nasıl başa çıktığını belgelemek, gelecekteki olayların nasıl ele alınacağı konusunda bilgi verir. Ayrıca, incident postmortem’den elde edilen sonuçları müşterilerle veya organizasyonun geri kalanıyla paylaşmaya karar verebilirsiniz. Bu, olay sırasında yakından dahil olmayan insanlar arasında güveni yeniden inşa etmede uzun bir yol kat edebilir. Organizasyonunuzdaki diğer ekipler, özellikle liderlik, sorunun ayrıntılarını ve takımınızın gelecekte ikinci tahminlere neden olmamak için attığı adımları görmek isteyebilir. Ortaklar, müşteriler ve son kullanıcılar da ne olduğunu ve deneyimlerini iyileştirmek için attığınız adımları bilmek isteyebilir. Incident postmortem’unuzu genel halka açık bir web sitesinde yayınlamak her zaman uygun olmayabilir, ancak pazarlama veya halkla ilişkiler ekibiniz, insanlara bilgiyi bilgilendirici ve hizmetlerinizde güven oluşturan bir şekilde sunacak dilde size yardımcı olabilir.

Incident Postmortem İçin En İyi Uygulamalar

Incident postmortem’unuza nasıl yaklaştığınız, attığınız adımların kontrol listesi kadar önemlidir. Bir olayın ardından gerilimler yüksek olabilir. İnsanları zor bir sorunu çözmek için hazır ve katılımcı hale getirmenin anahtarı, onlara psikolojik güven duygusu vermektedir.

Suçsuz Kültürü Kurma

Eski Etsy CTO’su John Allspaw, “blameless postmortems” üzerine etkili bir makale yazdı. Bu olayın soruşturulmasına bir yaklaşım, bir olaya karışan insanların eylemlerini, etkilerini ve ne bildiklerini ve ne zaman bildiklerini ceza veya kınama korkusu olmadan açıklamalarına izin verir. Bu yaklaşım, takımlarınızın bilgiyi açıkça paylaşmasını ve bir olayın temel nedenine ulaşmasını sağlamak için önemlidir. Herhangi bir cezadan korkan biri bilgiyi saklayabilir veya suçu başka yönlere yönlendirmeye çalışabilir. Bu olunca insanlar birbirlerine güveni kaybeder. Ve organizasyon, takımlarında ve sistemlerinde direnç oluşturma fırsatını kaçırır.

Parmak Sallamaktan Kaçının, Eleştirileri Yapıcı Tutun Postmortem toplantınızda – ve bulguların sonraki yazısında – olaydan kişisel olarak sorumlu tutan dil kullanmaktan kaçının. Bunun yerine, eylemlere, sonuçlara ve etkiye odaklanın.Konuşmayı güvenli ve objektif tutmak önemlidir, ancak olayın temel nedenine ulaşmak olayı çözmek açısından kritiktir. Toplantınızda “5 Neden” adlı bir teknik kullanabilirsiniz. Herkesin problemin ne olduğu konusunda hemfikir olduğundan emin olun. Sonra, bu nedenin neden meydana geldiğini sorun ve sonra bu soruya “neden” sorun. Bu soruyu en az beş kez tekrarlayarak sorunu etkileyen tüm derin faktörleri açığa çıkarmanıza yardımcı olun. Odanın rahatsız edici bir gerçekten kaçınmamasına veya kolay bir uzlaşıya varmamasına dikkat edin.

Her Bir Postmortem’u İnceleyin ve Sürecinize Ekleyin

İncelenmemiş bir incident postmortem raporu, aslında hiç yazılmamış gibi olabilir. Bir incident postmortem raporu taslağı hazırlandıktan sonra, bu raporu incelemek, çözülememiş sorunları kapatmak, gelecekte düşünülecek fikirleri yakalamak ve raporu nihai hale getirmek önemlidir. Belki de incident, bu incelemenin yapılmadığı bir şekilde gerçekten çözülmüş sayılmaz.Bunu nasıl başarırsınız? Mühendislikle (ve ilgilenen diğer herkesle, örneğin müşteri destek veya hesap yöneticileri gibi), en azından aylık olarak, incident postmortem raporlarını gözden geçirmek için tekrarlanan bir toplantı düzenleyin. Yakın zamandaki raporları gözden geçirebilir veya belki de hala bugün için relevant olan eski raporları gözden geçirip dersleri paylaşabilirsiniz.

Etkili Bir Incident Postmortem Planı

Postmortem’ların etkili olması ve sürekli gelişim kültürü oluşturmanıza olanak tanıması için herkesin katılabileceği basit, tekrarlanabilir bir süreç uygulamak istersiniz. Bunun nasıl yapılacağı kültürünüze ve ekibinize bağlı olarak değişecektir. İşte başlamak için bazı ipuçları:

1. İpucu: Bir eşik belirleyin : Kuruluşunuzdaki olayların net ve ölçülebilir şiddet seviyeleri olmalıdır. Bu şiddet seviyeleri ölüm sonrası süreci tetiklemek için kullanılabilir. Örneğin, Sev-1 veya daha yüksek herhangi bir olay, ölüm sonrası süreci tetiklerken, daha az şiddetli olaylar için ölüm sonrası süreç isteğe bağlı olabilir. Eşiğe ulaşmayan herhangi bir olay için ekip liderlerine veya yönetime otopsi talep etme fırsatı vermeyi düşünün.

2: Ertelemeyin : Bir olaydan sonra ara vermek ve biraz dinlenmek önemlidir. Ancak olayı otopsi sonrasında yazmayı geciktirmeyin. Çok uzun süre beklerseniz önemli ayrıntılar kaybolabilir veya unutulabilir. İdeal olarak, taslağın taslağı, olayın çözülmesinden sonraki 24-48 saat içinde ve en fazla beş iş günü içinde gerçekleştirilecek olay sonrası inceleme toplantısının hemen ardından hazırlanır.

3. İpucu: Rolleri ve sahipleri atayın : Olay sonrası inceleme toplantısı, olay sonrası otopsiye kaydedilecek ayrıntıları özetleyeceğiniz yerdir. Otopsi taslağını belirli bir kişiye, ideal olarak olaya aşina olan ve nedenleri ve hafifletici etkenleri anlamak için gerekli düzeyde teknik ve organizasyonel bilgiye sahip olan birine devretmek iyi bir fikirdir.

4. İpucu: Bir şablondan çalışın: Bir şablon önemli ayrıntıları atlamanızı engelleyebilir. Ve bu, otopsileriniz boyunca tutarlılık oluşturmanın harika bir yoludur.

5. İpucu: Bir zaman çizelgesi ekleyin: Zaman çizelgesi, olayın belgelenmesinde çok yararlı bir yardımcıdır. Çoğu zaman, okuyucularınızın olup biteni hızlı bir şekilde değerlendirmeye çalışırken gözlerinin atladığı ilk yer burasıdır. Mümkün olduğunca açık ve spesifik olmaya çalışın. Örneğin, “11 civarı” değil, “Pasifik Standart Saati 11:14”. Zaman damgaları konusunda spesifik olmak, yüksek doğruluklu bir olay zincirinin haritasını çıkarmanıza olanak tanır ve bu, iyileştirme alanlarının belirlenmesinde faydalıdır. Örneğin, etkinin başladığı zaman ile müşterilere bilgi verildiği zaman arasındaki sürenin çok uzun olduğunu tespit edebilirsiniz.

Dahil edilmesi gereken önemli zamanlar.

• İlk uyarı İlk iletişim duyurusu (dahili ve/veya harici)Durum sayfası güncelleme zamanları.
• Herhangi bir düzeltme girişiminin zamanı (kod geri alma işlemleri vb.)Çözüm zamanı
• Ayrıntılar, ayrıntılar, ayrıntılar… Ayrıntıları gözden kaçırmak, yararsız ve belirsiz postmortemler yazmanın hızlı bir yoludur. Olay sırasında ne olduğu ve ne yapıldığı hakkında mümkün olduğunca fazla ayrıntı ekleyin. “Sonra genel iletişim kesildi” yerine “Olayın duyurusunu yapan ilk kamu iletişimini genel durum sayfamıza ve Twitter hesabımıza gönderdik” deyin.
• Mümkün olan her yerde bağlantıları ve adları, bildirimlere ve durum güncellemelerine olan bağlantıları, olay durumu belgelerine ve izleme çizelgelerine olan bağlantıları ekleyin. İlgili grafiklerin veya kontrol panellerinin ekran görüntülerini de eklemekten korkmayın. İzleme sisteminizden alınan ve olayın başlangıç ve bitiş zamanlarını açıkça gösteren bir grafik (örneğin, talep oranındaki düşüş ve ardından normale dönüş), net olduğu için çok değerlidir. Bu süre zarfında perde arkasında neler olduğunu gösteren grafiklerle birleştirildiğinde daha da güçlü hale gelir; örneğin, aynı zaman diliminde veritabanı bağlantıları, ağ bağlantı durumu veya CPU / bellek / io / bant genişliği tüketimi.
• Olay ölçümlerini yakalayın. Olay sonrası ölümünüzde metrikleri yakaladığınızda, sorunlara ve bunların etkilerine somut verileri uygularsınız. Bu veri noktalarına sahip olmak, ekibinizin doğru yönde ilerleyip ilerlemediğini belirlemenize ve olayların sayısını, ciddiyetini ve kesinti süresini azaltmanıza yardımcı olur. Tutarlı metriklerin ölçülmesiyle bir adım geriye gidebilir ve zaman içindeki olay eğilimlerine bakabilirsiniz. Olay sonrası ölüm takibinizde dikkate almanız gereken bazı ölçümler: Kesinti süresinin dakika sayısı; böylece bu sayının artıp azalmadığını takip edebilirsiniz. Olayın ciddiyeti, böylece sistemlerinizin göreceli güvenilirliğini belirleyebilirsiniz. Ortalama Çözüm Süresi (MTTR), bir olayın ilk rapor edildiği andan itibaren çözülmesi için geçen ortalama süreyi ölçer. En önemli ipucu? Hiçbir adımı atlamayın . Ekibinizi ve sistemlerinizi geliştirmenize yardımcı olacak olay otopsilerini yürütmenin anahtarı, bir sürece sahip olmak ve ona bağlı kalmaktır. Süreci kolaylaştırmak için olay sonrası ölüm şablonunu kullanın. Ekibinizin olay sonrası incelemeler konusunda bir kültür geliştirmesini sağlamak için, yeniden kullanılabilir kontrol listeleri ve şablonlarla bilgi toplamayı, toplantı planlamayı ve nihai raporu yayınlamayı kolaylaştırın. Tekrarlanabilir bir süreç tutarlılık sağlar ve insanların ne beklemeleri gerektiğini bilmelerine ve ardından sürece üretken bir zihniyetle gelmelerine yardımcı olur. Bir olay sonrası ölüm süreci için tipik kontrol listesi öğeleri:Yapılması gereken toplantılar: – Bilgi toplama toplantısı. – Raporun incelenmesi- Raporun sunumu Önceden toplanması gereken bilgiler:– Her toplantı için standart gündemler – Katılımcılar, paydaşlar, hakemler- Bir şablonla olay sonrası ölüm raporu yazımını standartlaştırın.