Incident response plan

De gevolgen van een verstoring, datalek of cyberaanval kunnen ernstig zijn. Daarom is het belangrijk dat er in het geval van een incident adequaat gereageerd wordt om negatieve gevolgen te beperken. Incident response kan je hiermee helpen.

 

Wat is incident response?

Incident response is het proces waarmee een organisatie omgaat met een incident en de gevolgen van een incident. Het is raadzaam om een plan te hebben zodat er gecoördineerd actie genomen kan worden wanneer een incident plaatsvindt: een Incident Response Plan.

Een incident response plan kan worden omschreven als een set instructies om medewerkers te helpen om beveiligingsincidenten te detecteren, hierop te reageren en mogelijke schade te herstellen. Bijvoorbeeld in het geval van een verstoring, een datalek of een digitale aanval. Het doel is om snel, kalm en adequaat te kunnen reageren om schade te beperken en herstelwerkzaamheden te minimaliseren.

 

Hoe zorg je voor een effectief incident response plan?

  • Verantwoordelijkheden
    Om zo effectief mogelijk te kunnen handelen in het geval van een incident is het belangrijk om medewerkers te hebben om diverse taken uit te voeren. Denk hierbij aan analyseren en monitoren van dreigingen, maar ook mensen die kunnen coördineren in het geval van een incident. Het opstellen van een incident response team kan hierbij helpen. Zorg dat duidelijk is wie de leden van dit team zijn, welke verantwoordelijkheden zij hebben en dat zij getraind zijn.
  • Doe een risicoanalyse
    Welke risico's hebben in het verleden plaatsgevonden, welke dreigingen bestaan er, wat zijn kwetsbare systemen, welke dreigingen zijn het meest waarschijnlijk? Dit zijn allemaal vragen die je kunnen helpen voor te bereiden op een mogelijk incident. Het maken van een risicoanalyse biedt handvatten om effectief te kunnen monitoren op incidenten en acties te ondernemen om risico's te verminderen.
  • Omschrijf scenario's
    Nu je weet waar de grootste risico’s liggen, kun je deze risico’s uitwerken. Maak een duidelijk stappenplan waarin je omschrijft welk incident plaatsvindt, welke stappen er ondernemen moeten worden en welke personen en partijen er betrokken of geïnformeerd moeten worden. Een dergelijk plan zorgt voor duidelijkheid in het geval van een incident.
  • Zet een meldpunt op
    Wanneer iemand vermoedt dat er een incident of dreiging plaatsvindt, moet deze persoon snel aan de bel kunnen trekken. Zorg daarom dat het duidelijk is hoe een incident gemeld kan worden en wanneer dit mogelijk is (bij voorkeur 24/7). Zorg dat het ook duidelijk is wie communicatie naar externe partijen (zoals een IT-leverancier, cloudleverancier of zelfs de nooddiensten) doet.
    > Voorbeeld van een bellijst voor noodsituaties
  • Communiceer de plannen
    Zorg dat medewerkers op de hoogte zijn van het meldpunt, de scenario's en de eventuele andere contactpersonen. Als medewerkers weten dat het plan bestaat en hoe zij melding kunnen doen, kan er snel gehandeld worden.
  • Borgen, oefenen en leren
    Zorg dat de plannen goed geborgd en veilig bewaard worden. Zorg echter wel dat de plannen toegankelijk zijn voor iedereen in het geval van een incident. Daarnaast is het belangrijk om incidenten te blijven oefenen zodat dit een natuurlijke handeling wordt en er geleerd kan worden van fouten en belemmeringen.
    > Oefen een ransomware-aanval met je crisisteam
  • Hoe zorg je voor effectieve incident response?
    Wanneer er daadwerkelijk een incident plaatsvindt, is het belangrijk dat de volgende fases doorlopen worden. Deze fases leg je ook vast in het incident response plan.
    1. In de meeste gevallen draait je onderneming zoals het hoort en zijn er geen lopende incidenten. Je zit in een 'business-as-usual'-fase. Tijdens deze fase ben je echter wel bezig met incident response. Je treft voorbereidingen voor een mogelijk incident en hebt medewerkers die zich bezighouden met het monitoren van de IT-omgevingen.
    2. Wanneer er een incident ontdekt wordt, zit je in een analysefase. Je analyseert wat er gebeurd is, wat de omvang en de ernst van het incident is en je verzamelt gegevens over het incident. In sommige gevallen kan dit als bewijsmateriaal gelden, dus is het van belang dit accuraat te doen.
    3. Na het ontdekken en identificeren van het incident is het noodzaak het incident te verhelpen en schade te beperken. De acties die hierbij genomen worden, zijn volledig afhankelijk van het incident. Bij een storing zal dit vooral gaan om het herstellen van de apparatuur of het in gebruik nemen van een back-up. Wanneer het een criminele activiteit - zoals een aanval - betreft, is het belangrijk te zorgen dat de aanvaller niet bij belangrijke informatie kan.
    4. Na het incident kunnen de systemen hersteld worden. Kijk hierbij of er nog abnormaal gedrag plaatsvindt en wat hiervan de oorzaak is. Test of alles naar behoren werkt.
    5. Evalueer het incident en de incident response. Is er kordaat gehandeld? Had het incident voorkomen kunnen worden? Dit kan worden meegenomen voor een mogelijk volgend incident.

Aan de slag met "Incidentresponsplan Ransomware"

Een ransomware-aanval op je bedrijf is heel ingrijpend. Onder de druk van zo'n aanval is het lastig om planmatig te werken. Wat zijn de essentiële stappen die je moet nemen? Bereid je bedrijf voor op een ransomware-aanval met het Incidentresponsplan Ransomware van het Nationaal Cyber Security Centrum (NCSC). Elk incident en elke organisatie is natuurlijk anders. Het incidentresponsplan biedt daarom geen pasklare oplossing voor alle mogelijke situaties, het is meer een inspiratiebron om snel mee aan de slag te gaan.

Print een bellijst voor noodsituaties

Als je IT-systemen niet meer werken, is een printje van een bellijst van onschatbare waarde! Vul daarom meteen even deze interactieve bellijst in, dat scheelt je straks veel (reactie)tijd en stress.