Incident Response Plan

Wat is een Incident Response Plan?

In een Incident Response Plan (IRP) wordt het proces beschreven wat een bedrijf of organisatie volgt wanneer het te maken krijgt met een datalek of cyberaanval. Dit plan betracht een effectieve uitvoer van Incident Response te bewerkstelligen. Zo gaat het Incident Response Plan in op de uitwerking van de processtappen, de benodigde resources en de vereiste communicatie- en escalatiepaden.

Naast de beschrijving van procedures, bepaalt het Incident Response Plan ook door welke personen binnen de organisatie dezen opgevolgd dienen te worden. Deze groep personen wordt aangeduid als het Incident Response Team (IRT). Het doel van het IRT is om het incident zo snel mogelijk onder controle te krijgen en de impact van het cyber incident tot een minimum te beperken, zodat de continuïteit van de organisatie niet meer wordt bedreigd.

Welke aspecten zijn onmisbaar in een Incident Response Plan?

1. Een goede voorbereiding

Alvorens je begint aan het opstellen van een Incident Response Plan, is een goede voorbereiding essentieel. Een goede voorbereiding is immers het halve werk. De voorbereidingsfase is dan ook de belangrijkste fase binnen het Incident Response Plan. Gedurende deze fase worden de medewerkers getraind in het herkennen van een incident en worden zij bewust gemaakt van de rol die zij innemen en de verantwoordelijkheden die daarbij horen. Om te voorkomen dat zich in een later stadium grove fouten voordoen, worden dry runs ontwikkeld om vooraf verschillende scenario’s te oefenen. Tot slot worden in de voorbereidingsfase alle onderdelen van het Incident Response Plan goedgekeurd en geborgd.

2. Identificeer information assets

Een information asset verwijst naar elk systeem binnen uw organisatie waar bedrijfsinformatie te vinden is. Denk daarbij aan een cloud omgeving of een back-up. Het identificeren van uw information assets helpt u begrijpen welke informatie beschermd moet worden, waar de informatie zich bevindt, en de wettelijke verplichtingen waaraan u zich moet houden in het geval van een data-inbreuk. Naast information assets heeft uw organisatie verschillende systemen en middelen ter beschikking. Als u eenmaal een inventarisatie hebt gemaakt van uw bedrijfsmiddelen, definieer dan hoe u deze zou gebruiken bij verschillende soorten incidenten. Met een zorgvuldig beheer van de veiligheidsrisico’s van deze middelen kunt u de getroffen systemen en potentiële verliezen tot een minimum beperken.

3. Identificeer potentiële risico's

Voer een risico assessment uit om erachter te komen wat de waarschijnlijkheid is dat een risico voorkomt en wat de ernst van dat risico is.
De specifieke risico’s die uw organisatie loopt, zijn afhankelijk van de huidige systemen. De systemen die u gebruikt veranderen, en zo ook de risico’s
voor uw organisatie. Het is daarom belangrijk om het risico assessment aan te passen aan de huidige stand van zaken. Een voorbeeld van een hoog risico is de
inbreuk op de beveiliging van een geprivilegieerd account met toegang tot gevoelige gegevens. Als de kans op zo een inbreuk hoog is, dan moet hier een specifiek noodplan voor worden gemaakt bij het ontwikkelen van een Incident Response Plan.

4. Samenstellen van een Incident Response Team en andere key stakeholders

De key stakeholders zijn de personen die verantwoordelijk zijn voor de uitvoer en het onderhouden van het Incident Response Plan. De belangrijkste stakeholders zijn de leden van het Incident Response Team. Daarnaast kunt u denken aan de senior manager of de IT-afdeling binnen uw organisatie. Bij het samenstellen van deze key stakeholders kunt u ook onderzoeken aan welke educatieve behoeften zij hebben om hun taak beter uit te kunnen voeren.

5. Ontwikkel en borg passende procedures

Lukraak acties uitvoeren leidt tot ongestructureerd werk. Als organisatie is het belangrijk om te bepalen vanuit welk framework u gaat werken. Een framework is een concept wat structuur aanbrengt in het uitvoeren van het Incident Response Plan en is gebaseerd op standaarden. Een van de veelgebruikte
standaarden zijn afkomstig van de International Organization for Standardization (ISO). Standaarden helpen bij het definiëren, ontwerpen en managen van het Incident Response Plan.

6. Borg het plan binnen de organisatie inclusief goedkeuring van besluitvorming

Voor de meest effectieve implementatie van het Incident Response Plan is een goed begrip van bedrijfsprocessen, technische processen en security processen
van groot belang. Dit zal uiteindelijk leiden tot minder kosten bij een incident. 

Waarom is een Incident Response Plan belangrijk?

Het aantal cyberincidenten neemt toe en dagelijks voeren hackers 2244 aanvallen uit. De gemiddelde kosten die gepaard gaan met een incident zijn geschat op 3.3 miljoen in 2020. Deze aanvallen zijn niet exclusief gericht op grote bedrijven. Namelijk, 43% van de slachtoffers van cybersecurity incidenten in 2020 waren kleine bedrijven. Toch blijkt dat een aanzienlijk deel van de IT en security professionals geen Incident Response Plan heeft. Door het ontbreken of het hebben van een ineffectieve Incident Response Plan kan de impact van een incident ernstig vergroot worden. Het vertraagt namelijk het identificeren van het incident en deze vertraging gaat gepaard met hogere kosten. Tot slot wordt financiële schade vaak opgevolgd door reputatieschade. Het implementeren van een Incident Response Plan beperkt beide vormen van schade tot het minimum.

Tips voor het opstellen van een Incident Response Plan

  • Besteed het ontwerpen en uitvoeren van een Incident Response Plan uit aan professionals. Elke organisatie is gevoelig voor een cyber security incident en om die reden ook gebaat bij een Incident Response Plan. Tegelijkertijd is het goed begrijpelijk dat dit een tijdrovende en ingewikkelde operatie is voor veel organisaties. Het is daarom zeer aan te raden om voor deze belangrijke taak een professionele partij in te schakelen. Voor het schrijven van een effectief en efficiënt Incident Response Plan aangepast op uw organisatie en uw risico’s, kunt u terecht bij Legian. Zij zijn hierin gespecialiseerd en hebben ruime ervaring opgedaan binnen de cyber security wereld. Het NFIR kunt u raadplegen voor de inzet van haar Incident Response Team dat 24/7 bereikbaar is om binnen drie uur bij u op locatie te zijn. Immers, bij een incident is snel en vakkundig handelen van groot belang om oplopende schade zo veel mogelijk te beperken.
  • Werk met een concreet plan. Uit de praktijk is gebleken dat veel Incidente Response plannen een algemene beschrijving kennen en onvoldoende specifiek zijn gemaakt met betrekking tot het incident dat speelt. Als organisatie is het goed om de top risico’s inzichtelijk te hebben en hierop te anticiperen. Houd het Incident Response Plan en alle ondersteunende documentatie up-to-date. Beleidsstukken, contactpersonenlijsten en basisitems zoals CMDB van de assets raken op den duur verouderd. Zeker als er in de tussentijd bijvoorbeeld reorganisaties hebben plaatsgevonden. Om die reden is het belangrijk om het Incident Response Plan altijd actueel te houden.
  • Testen-testen-testen. Het hanteren van een Incident Response Plan omvat meer dan voldoen aan de genoemde vereisten. U zult dit plan regelmatig moeten testen met de werkelijke spelers uit de organisatie om vervolgens aan de praktijk te toetsen. Een niet getoetst Incident Response Plan is louter een vorm van schijnveiligheid.
  • Lessons learned: finentune je Incident Response Plan op basis van evaluatie. Na afloop van een incident waar het Incident Response Plan is toegepast is evaluatie een belangrijke vervolgstap. De punten uit deze evaluatie vormen de basis voor wijzingen in volgende incidenten en dienen meegenomen te worden in testruns.

Beveiligingsincident? Maak kennis met incident response

Ons incident response team is 24/7 beschikbaar om elk cyber incident in kaart te brengen en op te lossen.
  1. Een goede voorbereiding
  2. Identificeer information assets
  3. Identificeer potentiële risico's
  4. Samenstellen van een Incident Response Team en andere key stakeholders
  5. Ontwikkel en borg passende procedures
  6. Borg het plan binnen de organisatie inclusief goedkeuring van besluitvorming

Cyberaanvallen komen steeds vaker voor: hackers voeren dagelijks 2244 aanvallen uit. De gemiddelde kosten van een incident worden geraamd op 3,3 miljoen in 2020. Hoewel hackaanvallen niet uitsluitend gericht zijn op grote bedrijven, waren 43% van de slachtoffers van cyberbeveiligingsincidenten in 2020 kleine bedrijven, volgens een studie van de National Cyber Security Alliance . Het niet hebben of ineffectief zijn van een Incident Response Plan kan de impact van een incident ernstig vergroten; het vertraagt de identificatie van het incident en deze vertraging gaat gepaard met hogere kosten. Financiële schade wordt vaak opgevolgd door reputatieschade wanneer bedrijven het slachtoffer worden van een cyberaanval. Het implementeren van een Incident Response Plan minimaliseert beide soorten schade, evenals de vertragingen die gepaard gaan met het identificeren van een aanval.

  1. Besteed het ontwerpen en uitvoeren van een Incident Response Plan uit aan professionals.
  2. Werk met een concreet plan.
  3. Testen-testen-testen.
  4. Lessons learned: finentune je Incident Response Plan op basis van evaluatie.
  • Triage: deze stap heeft als doel om de bron(nen) en getroffen apparaten en/of systemen in kaart te brengen, aan de hand daarvan prioriteiten te stellen en het plan van aanpak te bepalen voor verder onderzoek. Gelijktijdig worden gegevens op forensisch verantwoorde wijze veiliggesteld voor eventueel nader onderzoek.
  • Containment: dit proces betreft het herstellen van de getroffen apparaten en/of systemen en het verifiëren van de beveiliging, zodat de normale werkzaamheden kunnen worden hervat.
  • Post-incident activiteiten: wanneer het incident is opgelost, wordt een forensisch onderzoeksrapport opgemaakt. In het rapport worden oplossingen aangedragen waarmee een soortgelijke gebeurtenis in de toekomst kan worden voorkomen. Tevens kan NFIR ondersteunen en/of adviseren bij de communicatie richting de Autoriteit Persoonsgegevens, advocaat en andere betrokken partijen.
Scroll naar top