Bij een geslaagde cyberaanval, maar ook bij een verdenking ervan, is een tijdige en gestructureerde reactie van belang. Dit organiseer je door van tevoren Incident Security Processen vast te leggen. Die hebben als doel om de impact van een incident zo klein mogelijk te houden en liefst tot nul te reduceren.
Incident Security Processen (of: informatiebeveiligingsincidentprocessen) zijn procedures waarmee organisaties beveiligingsincidenten snel en effectief kunnen detecteren, beoordelen, beheersen en oplossen. Ze vormen een cruciaal onderdeel van een breder cybersecuritybeleid.
Belangrijke onderdelen van incident security processen:
- Detectie: het tijdig opmerken van ongebruikelijke of verdachte activiteiten, zoals inbraakpogingen of datalekken.
- Melding: interne of externe melding van het incident, bijvoorbeeld aan een CISO, het management of de Autoriteit Persoonsgegevens (bij datalekken).
- Beoordeling: inschatting van de impact en urgentie van het incident.
- Reactie: directe actie om schade te beperken – denk aan het afsluiten van systemen, resetten van wachtwoorden of isoleren van netwerken.
- Oplossing: het verhelpen van de oorzaak en herstel van de normale situatie.
- Evaluatie: analyse van het incident om herhaling te voorkomen en het proces te verbeteren (lessons learned).
Waarom zijn ze belangrijk?
Zonder goed incidentproces kunnen kleine incidenten snel uitgroeien tot grote verstoringen met schade voor financiën, reputatie en continuïteit – zeker in sectoren als zorg of overheid.
Kernaspecten
- Directieverantwoordelijkheden en procedures dienen te worden vastgesteld zodat snel, doeltreffend en ordelijk gereageerd kan worden.
- Rapportage van incidenten behoort zo te zijn ingericht dat zo snel mogelijk via de juiste leidinggevende niveaus kan worden gereageerd.
- Medewerkers en contractanten die gebruikmaken van informatiesystemen en -diensten zijn verplicht zwakke plekken te rapporteren
- Het toegewezen contactpunt behoort bij elke informatiebeveiligingsgebeurtenis te beoordelen of er sprake is van een informatiebeveiligingsincident.
- Respons dient uitgevoerd te worden zoals overeengekomen in de gedocumenteerde procedures van stap 1. Het eerste doel is altijd om het normale beveiligingsniveau te hervatten en herstel te initiëren.
- Lering uit incidenten voor de toekomst: kennis die is verkregen door informatiebeveiligingsincidenten te analyseren en op te lossen, behoort te worden gebruikt om de waarschijnlijkheid of impact van toekomstige incidenten te verkleinen.
- Verkrijgen en bewaren van informatie om als bewijs te dienen.
Schakel een expert in
Het opstellen van Incident Security Processen is een expertisegebied van Innervate waarvan ook jullie organisatie veel voordeel kan hebben. Er komt veel kijken bij het opstellen van deze processen. Een ervaren security consultant is hierbij geen overbodige luxe.
