In een eerdere blog hebben we je handvatten geboden voor het samenstellen van je Cyber Incident Response Plan. Dit plan is van onschatbare waarde tijdens een incident, maar het opzetten van een effectieve incident respons vereist meer dan alleen dit plan. Ideaal gezien, doorloop je de volgende 5 fasen en documenteer je deze ook in je plan.
Fase 1: Voorbereiding
In de meeste gevallen draait je onderneming zoals het hoort en zijn er geen lopende incidenten.
Toch is deze fase cruciaal. Je treft voorbereidingen voor een mogelijk incident en hebt medewerkers die zich bezighouden met het monitoren van de IT-omgevingen. Je stelt een team samen dat optreedt als er sprake is van een cyberincident en je maakt een Cyber Incident Response Plan. Je traint het team, legt processen vast en zorgt dat deze geborgd worden.
Fase 2: Identificatie en analyse
In geval van een incident is dit de fase waarin een incident wordt gesignaleerd en gemeld. Op dat moment ga je informatie verzamelen om inzicht te krijgen in het incident. Wanneer is wat gebeurd? Wie heeft waar toegang verkregen? Is er logging aanwezig? In sommige gevallen kan dit als bewijslast gelden, dus het is belangrijk om dit goed te doen.
Fase 3: Beperken en oplossen
Nadat je hebt ontdekt dat er een incident is, is het tijd voor actie om de schade te beperken en te herstellen. Wat je in deze fase doet, is volledig afhankelijk van het type incident. In geval van een hack kan het bijvoorbeeld gaan om het verwijderen van de schadelijke software. Bij een datalek om het dichtzetten van de systemen en het doen van een melding bij de Autoriteit Persoonsgegevens. Bij een storing zal dit vooral gaan om het herstellen van de apparatuur of het in gebruik nemen van een back-up. Wanneer het een criminele activiteit – zoals een aanval – betreft, is het belangrijk te zorgen dat de aanvaller niet bij belangrijke informatie kan.
Fase 4: Herstel en testen
Na het incident herstel je de systemen. Het is belangrijk om goed te testen. Kijk hierbij of er nog abnormaal gedrag plaatsvindt en wat hiervan de oorzaak is. Zorg ervoor dat je in je Incident Response Plan ook vast legt, hoelang je dit nog extra moet monitoren.
Fase 5: Evaluatie
Evalueer met je team het incident en het handelen hierop. Zijn alle zaken opgelost? Wat ging er mis en kunnen we in de toekomst beter doen? Update je plan met deze nieuwe inzichten. Evalueer het incident en de incident response. Is er kordaat gehandeld? Had het incident voorkomen kunnen worden? Dit kan worden meegenomen voor een mogelijk volgend incident.
Zorg dat je voorbereid bent op een cyberaanval
Het opstellen van een Cyber Incident Response Plan is een essentiële stap voor de veiligheid en bescherming van je bedrijf. Heb je hulp nodig hebben bij het opstellen van dit plan? Aarzel niet om contact met ons op te nemen. We staan klaar om je te helpen en je te voorzien van advies op maat. Zorg ervoor dat je organisatie klaar is om cyberincidenten te detecteren, te rapporteren en te reageren.
