Zo stel je een effectief Incident Response Plan op

Cyberincidenten: een onvermijdelijke realiteit

Het is in de wereld van IT en cybersecurity een bekende uitspraak: het is niet de vraag of je te maken krijgt met een cyberincident, maar wanneer. Zulke incidenten kunnen uiteenlopen van datalekken en technische storingen, tot gestolen gegevens en in het ergste geval ransomwareaanvallen. De gevolgen hiervan kunnen logischerwijs enorm zijn voor de getroffen organisatie. Het is dus belangrijk om op zulke scenario’s voorbereid te zijn en een goed incident response plan te hebben. Bovendien is het uitvoeren van een risicoanalyse en het nemen van passende maatregelen (zoals een incident response plan) tegenwoordig een vereiste voor de organisaties die onder de NIS2 vallen.

Toch blijkt uit onze ervaring bij crisissimulaties dat de vraag ‘Wat zegt het incident response plan hierover?’ vaak beantwoord wordt met ‘Dat weet ik eigenlijk niet’, ‘Niks’ of soms zelfs met ‘Welk incident response plan?’. Daarom leg ik in deze blog uit waar je aan moet denken bij het opstellen van een incident response plan om jouw organisatie optimaal voor te bereiden op mogelijke incidenten. 

Het maken van een incident response plan

Hoe uitgebreider je incident response plan, hoe beter. Alles wat in dit plan beschreven staat, voorkomt kostbare minuten of onnodige discussies tijdens een serieus incident of crisis. Om dit plan zo volledig mogelijk te maken volg je onderstaande belangrijke stappen.

Risicoanalyse en voorbereiding

De eerste stap bij het opstellen van een goed incident response plan is het in kaart brengen van de grootste risico’s voor je organisatie. Identificeer welke systemen en data van vitaal belang zijn en wat de mogelijke gevolgen kunnen zijn wanneer deze niet meer functioneren. Probeer vervolgens zo veel mogelijk scenario’s te bedenken hoe dit zou kunnen gebeuren. Dit kunnen zowel interne bedreigingen (zoals menselijke fouten) of externe dreigingen (zoals storingen bij leveranciers of gerichte aanvallen van hackers) zijn. Zo krijg je een beeld van de grootste dreigingen voor je organisatie en kan je je hier gericht op voorbereiden.

Definieer rollen en verantwoordelijkheden 

De vijf fases van incident response

In het bezweren van een crisis of serieus incident zijn er over het algemeen dezelfde vijf fases die je doorloopt. Het is dus belangrijk dat deze ook uitgebreid beschreven staan in je incident response plan. Deze fases en bijbehorende stappen zijn: 

1. Detectie
   Welke middelen en maatregelen heb je in stand om mogelijke incidenten tijdig te identificeren?
   
   
2. Beoordeling
   Wat is de omvang en ernst van het incident? Wat zijn de criteria om dit te bepalen? Het is ook belangrijk dat je hier direct begint met het vastleggen van mogelijk bewijsmateriaal
   
   
3. Response
   Welke acties worden ondernomen om het probleem te verhelpen? Hier komt weer het belang van de risicoanalyse en voorbereiding naar voren, omdat je daar al hebt nagedacht over de mogelijke crisisscenario’s die je organisatie kunnen treffen. Zo sta je niet voor verassingen tijdens de response. 
   
   
4. Herstel
   Hoe worden systemen weer operationeel gemaakt? Hier kunnen natuurlijk ook verschillende scenario’s voor beschreven worden, afhankelijk van het incident. Het herstel na een ransomwareaanval is bijvoorbeeld anders dan na een klein datalek. 
   
   
5. Evaluatie
   Wat hebben we geleerd van dit incident? Wat ging er goed, maar belangrijker: wat ging er mis? Dit zijn direct de belangrijkste verbeterpunten, zodat je nog beter voorbereid bent op mogelijke toekomstige incidenten.
   
   
   

Communicatieplan

Definieer hoe en wanneer informatie wordt gedeeld, zowel intern als extern. Welke partijen worden geïnformeerd en in welke volgorde? Zo voorkom je onnodige discussies en verwarring tijdens een incident.

Testen en simuleren

Conclusie