De inhoud van je incident response plan 

Een beveiligingsincident kan de reputatie en de inkomsten van je bedrijf in korte tijd flinke schade toebrengen. Zoals de miljardair Warren Buffet ooit zei: “Het duurt 20 jaar om een goede reputatie te ontwikkelen en vijf minuten om deze te ruïneren”. Met deze gedachte in het achterhoofd is het dus geen overbodige luxe om een incident response plan op te stellen voordat er een beveiligingsincident of beveiligingslek plaatsvindt. 

Een incident response plan is een reeks instructies die bedoeld zijn om medewerkers te helpen om beveiligingsincidenten te detecteren. Waarna ze hier snel op kunnen reageren en mogelijke schade kunnen herstellen. Bijvoorbeeld in het geval van een cyberaanval, datalek of bij gegevensverlies. Het hebben van een incident response plan draagt bij aan de ontwikkeling van cyberbeveiliging en daardoor aan de algehele weerbaarheid van de onderneming. 

Aangezien de meeste MKB-bedrijven over beperkte (financiële) middelen beschikken, wordt er minder vaak aandacht besteed aan de risico’s van en het reageren op beveiligingsincidenten. Niet snel en effectief reageren op een beveiligingsincident zoals een cyberaanval kan echter veel meer kosten dan het opzetten van een incident response plan.

Essentiële elementen van een incident response plan 

Elk incident response plan moet de volgende vijf kernelementen bevatten om de organisatie met succes te kunnen laten reageren op een breed scala van beveiligingsproblemen die op kunnen treden: 

Identificatie van incidenten en snelle reactie 

Het is van cruciaal belang de dreiging effectief te evalueren en te beslissen of het incident response plan moet worden uitgevoerd. Hiervoor zijn twee voorwaarden nodig: 

• Een gemachtigde persoon om het plan in werking te stellen 
• Een online/offline plaats voor het incident response team om te vergaderen en te bespreken 

Hoe sneller het incident wordt ontdekt en aangepakt, hoe minder ernstig de gevolgen kunnen zijn.  

Middelen

In het geval van een cyberincident heeft een Incident Response Team meestal de beschikking over de volgende middelen om het incident te helpen doorstaan: 

• Hulpmiddelen om alle machines offline te halen na afloop van forensische analyse 
• Oplossingen om de toegang tot de IT-omgeving van de organisatie te reguleren en hackers buiten het netwerk te houden 
• Maatregelen om stand-by machines in te zetten om de operationele continuïteit te waarborgen 

Rollen en verantwoordelijkheden 

Een incident kan zich midden in de nacht of op een ander onverwacht tijdstip voordoen. Daarom is het van cruciaal belang om de taken en verantwoordelijkheden van de leden van je Incident Response Team vast te leggen. Zij kunnen op elk moment worden opgeroepen. Er moet ook een reserveteam zijn voor het geval een van de primaire contactpersonen niet beschikbaar is. 

In het geval van een cyberincident is tijd van cruciaal belang en moet iedereen weten wat hij moet doen. 

Opsporing en analyse 

Dit is zonder twijfel een van de meest cruciale elementen van een incident response plan. Het legt de nadruk op het documenteren van alles. Van hoe een incident wordt gedetecteerd tot hoe de bedreiging wordt gerapporteerd, geanalyseerd en ingedamd. Het doel is een draaiboek op te stellen met benaderingen voor het detecteren en analyseren van een breed scala aan risico’s. 

Een van de eerste stappen bij het maken van een incident response plan is het maken van een risicoanalyse. Een risicoanalyse brengt alle mogelijk risico’s in kaart en biedt handvatten om effectief te kunnen monitoren op incidenten en acties te ondernemen om risico’s te verminderen. Na het maken van een risicoanalyse is het mogelijk om scenario’s uit te werken. In deze scenario’s omschrijf je welk incident er plaats kan vinden, welke stappen er ondernomen moeten worden en welke personen er moeten worden geïnformeerd.  

Zorg ervoor dat alle medewerkers op de hoogte zijn van het incident response plan en meldpunt. Zodat ze snel en effectief kunnen reageren bij een incident. Bewaar het plan op een veilige plek, zorg er echter wel voor dat de plannen voor iedereen toegankelijk zijn in het geval van een incident. Het beste is om naast een online-versie ook een versie op papier te hebben. Zorg ervoor dat het plan actueel blijft en je medewerkers het plan regelmatig oefenen.  

Inperking, eliminatie en herstel 

Inperking specificeert de methoden om de reikwijdte van het incident te beperken. Een ransomware-aanval, bijvoorbeeld, moet heel anders worden aangepakt dan een dreiging van binnenuit.   

Bij eliminatie gaat het om technieken om een bedreiging uit alle getroffen systemen te elimineren.  

Omdat incidenten niet altijd kunnen worden voorkomen, zijn de herstelinspanningen erop gericht de potentiële schade te beperken. Zodat je bedrijf zo snel mogelijk de activiteiten kunnen hervatten.

Overwegingen voor een incident response plan

Een incident response plan moet inspelen op alle problemen die voortkomen uit een steeds evoluerende omgeving van (cyber)bedreigingen. Voordat je begint met het opstellen van jouw plan moet je een aantal zaken in overweging nemen, waaronder: 

• Het opstellen van een je plan mag geen eenmalige oefening zijn. Het plan moet regelmatig worden herzien om ervoor te zorgen dat het rekening houdt met de meest recente technische en omgevingsveranderingen die van invloed kunnen zijn op jouw bedrijf. 
• Het team dat aan het plan werkt, moet worden gesteund en geleid door de directie.
• Het is van cruciaal belang dat er een duidelijk meldpunt is in het geval van een incident. Zorg ervoor dat alle medewerkers hiervan op de hoogte zijn en bewaar contactgegevens op een veilige en bereikbare plek.
• Iedereen in het Incident Response Team moet verantwoordelijk blijven.
• Zet passende oplossingen in om de doeltreffendheid van je plan te verbeteren.
• Je cyberbeveiliging, back-up procedures en compliance maatregelen moeten allemaal evenveel aandacht krijgen.

We leven in een tijdperk waarin alleen weerbare ondernemingen in staat zijn zich staande te houden tegen alle uitdagingen die de technologische vooruitgang en andere onverwachte externe invloeden met zich meebrengen. Daarom is het hebben van een incident response plan essentieel.

Een incident response plan proberen te ontwikkelen en implementeren kan een ingewikkeld proces zijn. Zonder expertise zie je mogelijk cruciale punten over het hoofd. Door samen te werken met een MSP partner weet je zeker dat je zeker dat je incident response plan actueel is. Neem vandaag nog contact met ons op voor een gratis adviesgesprek.