Hoe kan uw organisatie zich voorbereiden op een cyberincident?
De media komt dagelijks met nieuws over cyber aanvallen, datalekken of door vermoedelijk cyber aanvallen veroorzaakte ICT-storingen. Het blijkt dat organisaties vaak slecht voorbereid zijn op zo’n cyberincident. Dit is onverstandig, omdat zulke incidenten enorme verstoringen kunnen veroorzaken. Vandaag de dag kan iedere organisatie slachtoffer worden van een cyber aanval als gevolg van misbruikte kwetsbaarheden in het eigen netwerk of in die van software leveranciers. Deze zijn meestal niet specifiek gericht op uw organisatie, maar in een aantal gevallen zijn de aanvallen wel gericht op een specifieke organisatie.
Voorkomen is natuurlijk altijd beter, maar de praktijk leert dat de dreiging zo’n gevarieerd karakter heeft dat je er als organisatie goed aan doet om ook over de volle breedte op alle mogelijke scenario’s voorbereid te zijn. Hoe zorgt u er als directeur of CEO voor dat uw organisatie goed voorbereid is op een cybersecurity incident? Door het ontwikkelen van een Incident Response strategie en plan.
Wat is Incident Response?
Incident Response is het proces dat een organisatie gebruikt om met een IT-Security incident en de gevolgen ervan om te gaan. Vier fundamentele stappen van Incident Response zijn:
- Stap 1: Technische voorbereiding inrichten
- Stap 2: Incident Response team formeren
- Stap 3: Incident Response plan opstellen
- Stap 4: Trainen, oefenen en leren
Stap 1: Technische voorbereiding inrichten
Stap 2: Incident Response team formeren
Stap 3: Incident Response plan opstellen
Stap 4: Trainen, oefenen en leren
Zorg ervoor dat de plannen veilig worden bewaard (liefst op papier), maar wel toegankelijk zijn voor wie erbij moet kunnen in geval van een cyberincident. Train de medewerkers van het Incident Response team goed in alle aspecten van hun taak. Dit kan bijvoorbeeld met de Incident Readiness training van NFIR . Daarnaast is het van groot belang om op realistische wijze incidenten te oefenen, zodat de teamleden echt als team gaan functioneren. Deze crisissimulaties trainen het team in adequaat reageren op incidenten. Dit kan bij NFIR bijvoorbeeld met een Incident Response Dry run (simulatie met “injects” van een geslaagde ransomware aanval).
Communiceren is belangrijk
Effectieve communicatie is cruciaal bij een cyberincident. Dit geldt voor interne én externe communicatie.
Intern
Wanneer een medewerker vermoedt dat een incident plaatsvindt of sprake van een dreiging is, moet deze persoon snel alarm kunnen slaan. Zorg ervoor dat uw medewerkers weten hoe, en regel goed dat er 24/7 kan worden gemeld. Zorg ook dat het duidelijk is wie er communiceert met externe partijen (zoals een ICT-leverancier, cloudleverancier, de Autoriteit Persoonsgegevens of indien nodig een Computer Emergency Response Team). Zorg dat medewerkers op de hoogte zijn van het meldpunt, de scenario’s en eventuele andere contactpersonen. Als medewerkers weten dat het plan bestaat, wat het inhoudt en hoe ze incidenten kunnen melden, kan snel worden gehandeld. Regelmatige updates aan uw medewerkers over een cyberincident en de voortgang zijn ook belangrijk.
Extern
Tot slot is goede externe woordvoering over een cyberincident essentieel. Elke organisatie heeft stakeholders zoals leveranciers, klanten en partners die er recht op hebben om tijdig en goed te worden geïnformeerd over de eventuele gevolgen van een datalek en de bedrijf continuïteit voor hen. Waar mogelijk biedt uw organisatie handelingsperspectief aan de betrokken van het IT-Security Incident.
Woont in Almelo, Merijn Roosjen is een senior editor bij InternetBlabla.nl. Voorheen heeft hij werk uitgevoerd voor verschillende media bedrijven zoals Sanoma en DPG. Merijn is afgestudeerd in bedrijfs economie en heeft een bijzondere interesse in security awareness en de impact van cyber security op bedrijven.
