Crisismanagement in cybersecurity? Maak een incident response plan
Organisaties zijn steeds vaker het doelwit van cyberaanvallen. En die aanvallen komen altijd onverwacht. Denk aan de Log4J-kwetsbaarheid vorig jaar; op vrijdagmiddag ontstaat een crisis en moet je handelen. Snel én op de juiste manier. Hoe zorg je dat je op zo’n moment de juiste informatie bij de juiste mensen krijgt? Wat moet je allemaal regelen om snel te kunnen reageren? Hoe voorkom je dat mensen in paniek raken en fouten maken?
Cybersecurity binnen TOPdesk
In het crisismanagementteam van TOPdesk zijn we continu bezig met dit soort vragen om problemen voor te zijn. Mijn ervaring in dit team heeft me geleerd dat het afhandelen van een (cyber)incident zonder vooraf opgesteld plan lastig is. Mensen zijn in paniek, hebben nú informatie nodig en zijn snel het overzicht kwijt. Je moet vooraf weten hoe jouw organisatie handelt en reageert op een crisis.
Dát is het doel van een incident response plan: bekend maken wat nog onbekend is. In zo’n incident response plan staat de procedure beschreven die je moet volgen als er bijvoorbeeld een datalek is. Ligt er in jouw organisatie al een crisisplan klaar? In veel organisaties niet. Het wordt echter tijd dat dit plan er komt. In deze blog leg ik je uit waarom het nodig is én hoe je een incident response plan opstelt.
Datalek? Geen tijd te verliezen
Zodra je een melding krijgt van een incident, bijvoorbeeld een ransomware-aanval, begint de stopwatch te lopen. Sowieso ben je als organisatie wettelijk verplicht om bij een datalek binnen 72 uur melding te doen bij de Autoriteit Persoonsgegevens. Dit gaat echter nog sneller voorbij dan je denkt; de teller loopt in het weekend gewoon door!
Daarnaast heb je deze uren ook hard nodig om de scope van de aanval vast te stellen, om systemen af te sluiten, logfiles te bewaren, de organisatie in te lichten, enzovoorts. Dat is waarom je een vooraf bedachte aanpak nodig hebt. Oftewel: een incident response plan.
Een goed incident response plan scheelt een hoop paniek
In een incident response plan staat de handelsprocedure voor incidenten stap voor stap beschreven. Hoe je het plan verder vormgeeft, is aan jou. Zolang het maar past bij de organisatie. Je kunt er bijvoorbeeld criteria in opnemen waarmee je het type incident vaststelt of er kant-en-klare e-mailtemplates aan toevoegen waarin je de organisatie of klanten informeert over het incident en de eventuele gevolgen.
Zorg dat het bruikbaar en compleet is, zodat je tot in de puntjes voorbereid bent op een incident. Of dit nu plaatsvindt op maandagochtend of op oudejaarsavond.
Met één druk op deze knop roep je hulp in: ons crisismanagementteam krijgt automatisch een melding in Microsoft Teams en bij urgentie per SMS.
Opstellen van het incident response plan
Maar waar begin je met het opstellen van zo’n plan? Bij TOPdesk hebben we de nodige ervaring opgedaan. Ik deel graag mijn tips en tricks met je.
Eén team, één taak
Begin met het samenstellen van een crisismanagementteam. Je wilt namelijk niet dat als medewerkers een incident melden, ze van het kastje naar de muur worden gestuurd. Zoek dus mensen die de organisatie kennen, het hoofd koel houden én goed bereikbaar zijn. Zorg er bijvoorbeeld voor dat de leden van je crisismanagementteam niet allemaal tijdens dezelfde (school) vakanties afwezig zijn. Dan hebben medewerkers in jouw organisatie altijd iemand op wie ze kunnen terugvallen.
Door dit vooraf al te regelen, heb je de tijd om de meest geschikte mensen te verzamelen, afdeling overstijgend te zoeken en trainingen te organiseren zodat dit team bekend wordt met de procedures. Binnen TOPdesk hebben we een tienkoppig multidisciplinair team aangesteld dat elk halfjaar oefent met een hypothetische crisissituatie. Op deze manier zijn zij altijd voorbereid om te handelen als er vermoedens zijn van een incident.
TOPdesk to the rescue
Nu je een team hebt, moet je ervoor zorgen dat iedereen dit team kan bereiken. Wist je dat je dit kunt ondersteunen in jouw TOPdesk-omgeving? Onder meer met een paniekknop. Bij TOPdesk hebben we een paniekknop geïntroduceerd op de startpagina van ons Self Service Portaal. Deze knop is goed zichtbaar en beschikbaar voor al onze medewerkers. Is er paniek? Heeft iemand een fout(je) gemaakt, op een verkeerde link geklikt bijvoorbeeld, of hulp nodig?
Met één druk op deze knop roep je hulp in: ons crisismanagementteam krijgt automatisch een melding in Microsoft Teams en bij urgentie per SMS. Zo wordt er direct naar de melding gekeken en staan onze medewerkers er niet alleen voor. En wat wij kunnen, kun jij ook! Installeer dus ook zo’n knop in jouw TOPdesk-omgeving.
Benieuwd naar hoe dit precies is ingericht? We bespreken het in deze webinar.
Met het major incident bundel je alle vragen over een onderwerp en bereik je snel alle betrokkenen.
Een ander belangrijk punt is hoe je betrokkenen inlicht. Ook dit kun je ondersteunen in TOPdesk. Want elk uur een update sturen per e-mail is gedoe. Zeker als je in meerdere landen actief bent en daarom berichten moet vertalen. Wat doe je bijvoorbeeld als je direct na zo’n e-mail nieuwe, belangrijke informatie vindt? En hoe reageer je op vragen die al in een eerder bericht beantwoord zijn?
Bij TOPdesk maken we daarom bij een crisissituatie altijd een major incident en een kennisitem aan. Met het major incident bundel je alle vragen over een onderwerp en bereik je snel alle betrokkenen. Door in je communicatie te verwijzen naar een kennisitem kan iedereen op elk moment de laatste informatie terugvinden en heb je zelfs de vertalingen snel geregeld.
Van A tot Z geregeld
Het crisisteam aanwijzen en de paniekknop installeren is één. Maar het echte afhandelen van een crisis begint daarna pas. Communicatie is key. Je wilt bij jouw medewerkers geen extra paniek zaaien of je eigen helpdesk begraven onder vragen. Maar het afstemmen van de juiste communicatie tijdens een crisis kost veel te veel tijd. Doe dit dus vooraf en sla voorbeeldteksten op in je incident response plan.
Hetzelfde geldt voor het regelen van toestemming. Stel je voor dat Outlook of een ander kritiek systeem geïnfecteerd is met malware. Je moet dan wellicht besluiten om het programma (tijdelijk) af te sluiten. Wie neemt dat besluit? Ook het regelen van autorisaties kun je perfect vooraf doen en toevoegen aan je incident response plan. Sterker nog, dat móet je vooraf regelen. Want als het incident eenmaal plaatsvindt heb je daar geen tijd voor.
Een team effort
Bij TOPdesk vinden we dat het afhandelen van incidenten een team effort moet zijn. Daarom helpen we je graag om jouw omgeving zo in te richten dat jouw organisatie incidenten voortaan gezamenlijk, snel en adequaat oplost.
Laat jouw TOPdesk voor je werken en pak op tijd de controle, bijvoorbeeld met een paniekknop en goede procedures daarachter. Daarbij helpt een incident response plan enorm. Als dat op de plank ligt, weet je zeker dat je voorbereid bent op incidenten én paniek voorkomt.
Ben je geïnspireerd om werk te maken van een veiligere data-omgeving? En wil je bijvoorbeeld hulp bij het opstellen van je incident response plan? Het Nationaal Cyber Security Centrum helpt je op weg met hun Incidentresponsplan Ransomware. Uiteraard kun je ook ons eigen incident response plan bekijken.
Inspireer anderen, deel deze blog