Blog

Zo stel je een effectief Incident Response Plan op

Twee collega's werken samen aan een cybersecurity incident response plan voor hun organisatie..

Cyberincidenten: een onvermijdelijke realiteit

Het is in de wereld van IT en cybersecurity een bekende uitspraak: het is niet de vraag of je te maken krijgt met een cyberincident, maar wanneer. Zulke incidenten kunnen uiteenlopen van datalekken en technische storingen, tot gestolen gegevens en in het ergste geval ransomwareaanvallen. De gevolgen hiervan kunnen logischerwijs enorm zijn voor de getroffen organisatie. Het is dus belangrijk om op zulke scenario’s voorbereid te zijn en een goed incident response plan te hebben. Bovendien is het uitvoeren van een risicoanalyse en het nemen van passende maatregelen (zoals een incident response plan) tegenwoordig een vereiste voor de organisaties die onder de NIS2 vallen.

Toch blijkt uit onze ervaring bij crisissimulaties dat de vraag ‘Wat zegt het incident response plan hierover?’ vaak beantwoord wordt met ‘Dat weet ik eigenlijk niet’, ‘Niks’ of soms zelfs met ‘Welk incident response plan?’. Daarom leg ik in deze blog uit waar je aan moet denken bij het opstellen van een incident response plan om jouw organisatie optimaal voor te bereiden op mogelijke incidenten. 

Het maken van een incident response plan

Hoe uitgebreider je incident response plan, hoe beter. Alles wat in dit plan beschreven staat, voorkomt kostbare minuten of onnodige discussies tijdens een serieus incident of crisis. Om dit plan zo volledig mogelijk te maken volg je onderstaande belangrijke stappen.

Risicoanalyse en voorbereiding

De eerste stap bij het opstellen van een goed incident response plan is het in kaart brengen van de grootste risico’s voor je organisatie. Identificeer welke systemen en data van vitaal belang zijn en wat de mogelijke gevolgen kunnen zijn wanneer deze niet meer functioneren. Probeer vervolgens zo veel mogelijk scenario’s te bedenken hoe dit zou kunnen gebeuren. Dit kunnen zowel interne bedreigingen (zoals menselijke fouten) of externe dreigingen (zoals storingen bij leveranciers of gerichte aanvallen van hackers) zijn. Zo krijg je een beeld van de grootste dreigingen voor je organisatie en kan je je hier gericht op voorbereiden.

Hand met potlood naast een rapport met de titel 'Risk Assessment', essentieel in het opstellen van een incident response plan.

Definieer rollen en verantwoordelijkheden 

Een effectief incident response plan specificeert zo precies mogelijk welke mensen binnen de organisatie welke verantwoordelijkheden hebben tijdens een crisissituatie. Het gaat hier dus om vragen als: Wie moeten geïnformeerd of geconsulteerd worden voordat beslissingen genomen kunnen worden? Bij wie ligt het zogenaamde ‘plug mandate’ om alle systemen uit te schakelen? Welke mensen gaan over de interne en externe communicatie? Ook hier geldt: hoe meer beschreven staat, hoe beter. 

De vijf fases van incident response

In het bezweren van een crisis of serieus incident zijn er over het algemeen dezelfde vijf fases die je doorloopt. Het is dus belangrijk dat deze ook uitgebreid beschreven staan in je incident response plan. Deze fases en bijbehorende stappen zijn: 

  1. Detectie
    Welke middelen en maatregelen heb je in stand om mogelijke incidenten tijdig te identificeren?

  2. Beoordeling
    Wat is de omvang en ernst van het incident? Wat zijn de criteria om dit te bepalen? Het is ook belangrijk dat je hier direct begint met het vastleggen van mogelijk bewijsmateriaal

  3. Response
    Welke acties worden ondernomen om het probleem te verhelpen? Hier komt weer het belang van de risicoanalyse en voorbereiding naar voren, omdat je daar al hebt nagedacht over de mogelijke crisisscenario’s die je organisatie kunnen treffen. Zo sta je niet voor verassingen tijdens de response. 

  4. Herstel
    Hoe worden systemen weer operationeel gemaakt? Hier kunnen natuurlijk ook verschillende scenario’s voor beschreven worden, afhankelijk van het incident. Het herstel na een ransomwareaanval is bijvoorbeeld anders dan na een klein datalek. 

  5. Evaluatie
    Wat hebben we geleerd van dit incident? Wat ging er goed, maar belangrijker: wat ging er mis? Dit zijn direct de belangrijkste verbeterpunten, zodat je nog beter voorbereid bent op mogelijke toekomstige incidenten.

    Een team in een vergaderruimte bespreekt de evaluatie van een cybersecurity incident response plan, met focus op verbeterpunten.

Communicatieplan

Definieer hoe en wanneer informatie wordt gedeeld, zowel intern als extern. Welke partijen worden geïnformeerd en in welke volgorde? Zo voorkom je onnodige discussies en verwarring tijdens een incident.


Testen en simuleren

De beste manier om een incident response plan te verbeteren is om het regelmatig te testen. Zo kan je direct je medewerkers trainen op hun rol en verantwoordelijkheid binnen een crisis én komen mogelijke gaten en verbeterpunten in je plan naar voren. Dit kan bijvoorbeeld met een crisissimulatie voor het MT of leden van een crisisteam.

Conclusie 

Een goed incident response plan is cruciaal om snel en effectief te reageren op (cyber)incidenten en crises. Het zorgt voor een snellere reactietijd, beperktere schade tijdens een crisis, betere naleving van wet- en regelgeving en een algemene verbetering van de weerbaarheid van je organisatie.
Contact opnemen

Hulp nodig bij het maken van een incident response plan?

Neem contact op
Foto van Nordin van den Hoogen, Program Manager bij Behaav.
Cyberincidenten zijn onvermijdelijk. Ontdek hoe een Incident Response Plan en risicoanalyse je organisatie beschermen om te voldoen aan de NIS2-regelgeving.