Hoe te starten met het opstellen van een incident response plan?

Stap 1: Verantwoordelijkheden

Incident response is het proces waarmee een organisatie omgaat met een incident en de gevolgen van een incident. Het is een (gestructureerde) aanpak op alle niveaus: operationeel, tactisch en strategisch. Lees hier ook wanneer spreken wij van een cyber incident.

Stap 2: Doe een risicoanalyse

Incident response is het proces waarmee een organisatie omgaat met een incident en de gevolgen van een incident. Het is een (gestructureerde) aanpak op alle niveaus: operationeel, tactisch en strategisch. Lees hier ook wanneer spreken wij van een cyber incident.

Stap 3: Omschrijf scenario's

Incident response is het proces waarmee een organisatie omgaat met een incident en de gevolgen van een incident. Het is een (gestructureerde) aanpak op alle niveaus: operationeel, tactisch en strategisch. Lees hier ook wanneer spreken wij van een cyber incident.

Stap 4: Zet een meldpunt op

Incident response is het proces waarmee een organisatie omgaat met een incident en de gevolgen van een incident. Het is een (gestructureerde) aanpak op alle niveaus: operationeel, tactisch en strategisch. Lees hier ook wanneer spreken wij van een cyber incident.

Stap 5: Communiceer de plannen

Zorg dat medewerkers op de hoogte zijn van het meldpunt, de scenario's en de eventuele andere contactpersonen. Als medewerkers weten dat het plan bestaat en hoe zij melding kunnen doen, kan er snel gehandeld worden.

Stap 6: Borgen, oefenen en leren

Zorg dat de plannen goed geborgd en veilig bewaard worden. Zorg echter wel dat de plannen toegankelijk zijn voor iedereen in het geval van een incident. Daarnaast is het belangrijk om incidenten te blijven oefenen zodat dit een natuurlijke handeling wordt en er geleerd kan worden van fouten en belemmeringen.
> Oefen een ransomware-aanval met je crisisteam

Stap 7: Hoe zorg je voor effectieve incident response?

Wanneer er daadwerkelijk een incident plaatsvindt, is het belangrijk dat de volgende fases doorlopen worden. Deze fases leg je ook vast in het incident response plan.

1. In de meeste gevallen draait je onderneming zoals het hoort en zijn er geen lopende incidenten. Je zit in een 'business-as-usual'-fase. Tijdens deze fase ben je echter wel bezig met incident response. Je treft voorbereidingen voor een mogelijk incident en hebt medewerkers die zich bezighouden met het monitoren van de IT-omgevingen.
2. Wanneer er een incident ontdekt wordt, zit je in een analysefase. Je analyseert wat er gebeurd is, wat de omvang en de ernst van het incident is en je verzamelt gegevens over het incident. In sommige gevallen kan dit als bewijsmateriaal gelden, dus is het van belang dit accuraat te doen.
3. Na het ontdekken en identificeren van het incident is het noodzaak het incident te verhelpen en schade te beperken. De acties die hierbij genomen worden, zijn volledig afhankelijk van het incident. Bij een storing zal dit vooral gaan om het herstellen van de apparatuur of het in gebruik nemen van een back-up. Wanneer het een criminele activiteit - zoals een aanval - betreft, is het belangrijk te zorgen dat de aanvaller niet bij belangrijke informatie kan.
4. Na het incident kunnen de systemen hersteld worden. Kijk hierbij of er nog abnormaal gedrag plaatsvindt en wat hiervan de oorzaak is. Test of alles naar behoren werkt.
5. Evalueer het incident en de incident response. Is er kordaat gehandeld? Had het incident voorkomen kunnen worden? Dit kan worden meegenomen voor een mogelijk volgend incident.