Vroeg of laat is iedere organisatie het slachtoffer van een cyberincident. Een goede voorbereiding is dan ook essentieel. Een sterk incidentresponsplan beperkt de schade en bevordert het nemen van de juiste maatregelen en beslissingen in het heetst van de strijd. Maar hoe stelt u zo'n plan op?
Wat is een incidentresponsplan?
Een incidentresponsplan beschrijft de procedures en de taakverdeling bij een incident. Zo kunnen alle betrokken medewerkers tijdig en juist handelen en weet iedereen precies wat van hem of haar wordt verwacht.
Op de eerste plaats kan dit de schade van een aanval beperken. Een incidentresponsplan voorkomt chaos, zorgt voor een tijdige mitigatie van het acute gevaar en verkleint de kans op fouten en misverstanden tijdens de cruciale minuten. Bovendien helpt het bij het nemen van de juiste maatregelen om de kans op herhaling te verkleinen.
Stappenplan
Hoe stelt u een goed incidentresponsplan op? Dit stappenplan biedt houvast:
1. Deel organisatiebreed taken en verantwoordelijkheden uit
Het reageren op een cyberincident is niet enkel de taak van de CISO of IT-manager. Het hele team heeft hierin een aandeel.
Neem bijvoorbeeld de medewerkers van de communicatieafdeling. Zij moeten precies weten wanneer ze wat kunnen communiceren richting de pers en via de eigen kanalen. Er moet sprake zijn van een goede 'communicatielijn': wie communiceert op welk moment naar wie over het incident, en hoe reist die boodschap verder de organisatie in? Ligt personeelsinformatie op straat, dan is het ook wel zo handig dat de hr-afdeling op de juiste manier handelt. En heeft de hack gevolgen voor het functioneren van de website, dan moet een plan voor webdevelopment klaarliggen.
2. Zorg voor intensieve, gecentraliseerde logging van alle IT- en netwerkactiviteiten
Het is na een incident belangrijk om precies na te gaan wanneer wat is gebeurd. Wie bijvoorbeeld toegang heeft gehad tot bepaalde accounts, en welke data zijn verwerkt. Dit 'broodkruimelspoor' kan niet alleen leiden naar de mogelijke dader(s), maar maakt ook effectieve maatregelen mogelijk. Een goede logging van alle activiteiten is daarvoor onmisbaar.
3. Weet wat er speelt, zowel binnen als buiten de organisatie
Logging alleen is nooit voldoende voor een goed begrip van de situatie. Zorg ook voor zicht op meer algemene zaken als werkwijzen, processen en procedures binnen de organisatie. Hoe verloopt het dagelijks werk? Welke applicaties, bestandsformaten en procedures gaan daarmee gepaard? Welke informatie wordt waar opgeslagen?
Zeker de verwerking van persoonsgegevens verdient aandacht. Dit moet uiteraard volgens de privacywetgeving gebeuren, maar dat is lang niet in iedere organisatie het geval. Ook niet onbelangrijk: zijn werkwijzen en procedures (goed) gedocumenteerd? In veel organisaties zit deze kennis enkel in de hoofden van de medewerkers.
Het is daarnaast goed te weten hoe de buitenwereld over de organisatie denkt. Zijn er bijvoorbeeld individuen of actiegroeperingen die het niet eens zijn met het gevoerde beleid? Is er negatieve berichtgeving over de organisatie in de media verschenen? Dit zijn namelijk risicofactoren die aanvallen door hackers kunnen uitlokken. Hoe meer u voorafgaand aan een mogelijke aanval weet, hoe beter u kunt reageren op het moment dat het misgaat.
4. Besteed veel aandacht aan het wegnemen van direct gevaar
Een incidentresponsplan moet uiteraard schade zoveel mogelijk beperken. Het stopzetten van het acute gevaar verdient dan ook volop aandacht. Definieer voor ieder type gevaar het 'noodplan'. Wat zijn de procedures bij een malwarebesmetting? Hoe stoppen we een hackaanval?
Mogelijke maatregelen zijn bijvoorbeeld het direct blokkeren van accounts of het isoleren van kwaadaardige code. Dergelijke maatregelen vormen het hart van je incidentresponsplan.
5. Definieer en controleer de herstelprocedures
Minstens zo belangrijk is het herstellen van de schade. Bij verlies van data is het belangrijk dat de back-up- en restorevoorzieningen en -procedures goed werken. In het incidentresponsplan definieer je hoe dergelijke procedures verlopen. Het is bovendien verstandig deze regelmatig te in de praktijk te testen.
6. Stel scenario's op en train deze
Een responsplan houdt rekening met alle waarschijnlijke risico's en scenario's. Bedenk dus welke mogelijke cyberincidenten kunnen plaatsvinden en welke impact deze hebben op de organisatie.
Deze scenario's moeten vervolgens door het hele team worden getraind. Dat kan variëren van een soort tabletop-oefeningen tot realistische trainingen waarbij ze het gehele incident en de reacties daarop 'in real life' naspelen. Op die manier identificeert u bovendien sterke en zwakke plekken in de organisatie, zodat effectievere maatregelen mogelijk zijn.
7. Werk het incidentresponsplan op gezette tijden bij
Organisaties veranderen continu. Hetzelfde geldt voor securitydreigingen. Een incidentresponsplan dat vandaag goed werkt, is over enkele maanden wellicht verouderd of zelfs geheel niet meer van toepassing. Herzie daarom het plan op gezette tijden, zodat het plan altijd up-to-date blijft.
Een incidentresponsplan is onderdeel van een slimme beveiligingsstrategie. Wilt u hierover meer weten? Download dan de whitepaper ‘Slimme beveiliging voor complexe dreigingen.’
Whitepaper: 'Slimme beveiliging voor complexe dreigingen - Cybersecurity'
In deze whitepaper laten we je zien hoe je de juiste afwegingen kunt maken bij de keuze voor beschermende maatregelen tegen cybercriminaliteit.
Download
