Hoe kan uw organisatie zich voorbereiden op een cyberincident?

De media komen dagelijks met nieuws over cyberaanvallen, datalekken of door vermoedelijk cyberaanvallen veroorzaakte ICT-storingen. Het blijkt dat organisaties vaak slecht voorbereid zijn op zo’n cyberincident. Dit is onverstandig, omdat zulke incidenten enorme verstoringen kunnen veroorzaken. Vandaag de dag kan iedere organisatie slachtoffer worden van een cyberaanval als gevolg van misbruikte kwetsbaarheden in het eigen netwerk of in die van softwareleveranciers. Deze zijn meestal niet specifiek gericht op uw organisatie, maar in een aantal gevallen zijn de aanvallen wel gericht op een specifieke organisatie.

Incident Response, ransomware cyber aanval

Voorkomen is natuurlijk altijd beter, maar de praktijk leert dat de dreiging zo’n gevarieerd karakter heeft dat je er als organisatie goed aan doet om ook over de volle breedte op alle mogelijke scenario’s voorbereid te zijn. Hoe zorgt u er als directeur of CEO voor dat uw organisatie goed voorbereid is op een cybersecurity incident? Door het ontwikkelen van een Incident Response strategie en plan.

Wat is Incident Response?

Incident Response is het proces dat een organisatie gebruikt om met een IT-Security incident en de gevolgen ervan om te gaan. Vier fundamentele stappen van Incident Response zijn:

  • Stap 1: Technische voorbereiding inrichten
  • Stap 2: Incident Response team formeren
  • Stap 3: Incident Response plan opstellen
  • Stap 4: Trainen, oefenen en leren

Stap 1: Technische voorbereiding inrichten

Bij Incident Response zijn technische voorbereidingen het startpunt. Om een forensic trail (digitaal spoor) van een incident te kunnen opbouwen, is het bijvoorbeeld noodzakelijk dat allerlei logbestanden zo ver als mogelijk teruggaan in de tijd: minimaal drie maanden, maar liefst langer. Het gaat hierbij om de logs van onder andere firewalls, antivirus- en malwarepakketten, de Active Directory, Office365 en Windows events. Ook detectietechnologie kunt u reeds in uw IT-infrastructuur activeren en monitoren.

Stap 2: Incident Response team formeren

Het is essentieel om de medewerkers die de benodigde taken op zich nemen te bundelen in een Incident Response team, dat ook als taskforce voor cyberincidenten kan fungeren. Het gaat hierbij om het analyseren en monitoren van dreigingen, maar ook om coördinatie bij een IT-Security incident. Zorg ervoor dat duidelijk is wie de teamleden zijn, welke verantwoordelijkheden zij hebben en – misschien wel het belangrijkst – zorg ervoor dat ze goed worden opgeleid en getraind. Veel organisaties roepen bij IT-Security incidenten de hulp in van een Computer Emergency Response Team van een gespecialiseerd IT-Security bedrijf zoals NFIR.

Stap 3: Incident Response plan opstellen

Met een I​ncident Response plan (IR-plan) kan bij een incident gecoördineerd en effectief worden opgetreden. Het omvat een reeks instructies om uw medewerkers te helpen bij het detecteren van, reageren op en herstellen van beveiligingsincidenten. Voorbeelden van een IT-security incident zijn een storing, een datalek of een digitale aanval. Het doel is om snel en adequaat te kunnen reageren, om de impact te verkleinen, schade te beperken en reparatiewerk te minimaliseren. Onderdeel van het IR-plan is een risk assessment waarbij specifieke risico’s voor uw organisatie in kaart gebracht worden. Op welke systemen staat bedrijfsinformatie? Welke middelen worden hiervoor gebruikt? Welke informatie moet beschermd worden? Waar bevindt zich de informatie en welke wettelijke verplichtingen zijn er in het geval van een data-inbreuk? Vervolgens maakt u een helder stappenplan met daarin de stappen die moeten worden gezet en welke personen en partijen betrokken of geïnformeerd moeten worden bij een IT-Security incident. NFIR kan u daarbij assisteren. Zo bieden wij een training aan waarin onze experts u meenemen in het proces en stappenplan voor een Incident Response plan. Het mede opstellen van uw IR-plan door NFIR is ook mogelijk.

Stap 4: Trainen, oefenen en leren

Zorg ervoor dat de plannen veilig worden bewaard (liefst op papier), maar wel toegankelijk zijn voor wie erbij moet kunnen in geval van een cyberincident. Train de medewerkers van het Incident Response team goed in alle aspecten van hun taak. Dit kan bijvoorbeeld met de Incident Readiness training van NFIR . Daarnaast is het van groot belang om op realistische wijze incidenten te oefenen, zodat de teamleden echt als team gaan functioneren. Deze crisissimulaties trainen het team in adequaat reageren op incidenten. Dit kan bij NFIR bijvoorbeeld met een Incident Response Dry run (simulatie met “injects” van een geslaagde ransomware aanval).

Communiceren is belangrijk

Effectieve communicatie is cruciaal bij een cyberincident. Dit geldt voor interne én externe communicatie.

Intern
Wanneer een medewerker vermoedt dat een incident plaatsvindt of sprake van een dreiging is, moet deze persoon snel alarm kunnen slaan. Zorg ervoor dat uw medewerkers weten hoe, en regel goed dat er 24/7 kan worden gemeld. Zorg ook dat het duidelijk is wie er communiceert met externe partijen (zoals een ICT-leverancier, cloudleverancier, de Autoriteit Persoonsgegevens of indien nodig een Computer Emergency Response Team). Zorg dat medewerkers op de hoogte zijn van het meldpunt, de scenario’s en eventuele andere contactpersonen. Als medewerkers weten dat het plan bestaat, wat het inhoudt en hoe ze incidenten kunnen melden, kan snel worden gehandeld. Regelmatige updates aan uw medewerkers over een cyberincident en de voortgang zijn ook belangrijk.

Extern
Tot slot is goede externe woordvoering over een cyberincident essentieel. Elke organisatie heeft stakeholders zoals leveranciers, klanten en partners die er recht op hebben om tijdig en goed te worden geïnformeerd over de eventuele gevolgen van een datalek en de bedrijf continuïteit voor hen. Waar mogelijk biedt uw organisatie handelingsperspectief aan de betrokkenen van het IT-Security Incident.

Scroll naar top

Maak een afspraak met een consultant over Managed Detection and Response

Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.