In het geval van bijvoorbeeld een datalek telt iedere seconde. Wie niet snel reageert, loopt het risico dat het cybersecurity incident uitgroeit tot een crisis. Een gedegen en getest incident response plan helpt erger voorkomen. Maar wat moet er in zo’n incident response plan aan bod komen?
Een datalek kost een organisatie gemiddeld 3,86 miljoen dollar. Dit blijkt uit een onderzoek dat het Ponemon Institute uitvoerde onder 524 organisaties die tussen augustus 2019 en april 2020 slachtoffer waren van één of meerdere data breaches. Voor een realistisch beeld ondervroeg Ponemon wereldwijd zowel grote als kleine organisaties uit uiteenlopende sectoren.
Snel ingrijpen bespaart geld
Snel en adequaat ingrijpen na een incident kan een organisatie veel geld besparen, zo blijkt eveneens uit het onderzoek. Zonder een team en een getest plan voor incident response kost een datalek gemiddeld 5,29 miljoen dollar. Mét een team en een plan gemiddeld 3,29 miljoen dollar.
Dit verschil is eenvoudig te verklaren. Als een organisatie door het ontbreken van een incident response plan langer de tijd nodig heeft om weer grip op de situatie te krijgen, betekent dat ook dat criminelen langer de tijd hebben om data te stelen, schade aan te richten en sporen uit te wissen. En dat er meer omzet verloren gaat. Volgens het aangehaalde onderzoek maakt gemiste omzet bijna 40 procent van de gemiddelde totale kosten van een datalek uit.
Wat is incident response?
Incident response is het proces dat beschrijft hoe een organisatie omgaat met een incident en de gevolgen van een incident. Het beschrijft de procedures en de taakverdeling bij een incident. Zo kunnen alle betrokkenen tijdig en juist handelen en weet iedereen precies wat van hem of haar in het heetst van de strijd wordt verwacht.
Een goed incident response plan voorkomt chaos, zorgt voor een tijdige mitigatie van het acute gevaar en verkleint de kans op fouten en misverstanden tijdens de cruciale minuten. Bovendien helpt het bij het nemen van de juiste maatregelen om de kans op herhaling te verkleinen.
Hoe stel je een goed incident response plan op?
Een goed incident response plan omvat 4 fases die in het plan moeten terugkomen:
1. Voorbereiding
In deze fase wordt ervoor gezorgd dat de organisatie klaar is om te reageren op incidenten. Zo wordt er een Computer Security Incident Response Team (CSIRT) opgezet en aan de hand van een risicoanalyse bepaald wanneer dit team direct in actie moet komen. Maar denk ook aan het verzamelen van de benodigde contactgegevens, het aanschaffen van de juiste tools en het opstellen van een communicatieplan. Juist in tijden van crisis moet de communicatie met partners, klanten en misschien zelfs wel de media optimaal zijn.
2. Detectie & analyse
Het is na een incident belangrijk om precies na te gaan wanneer er wat is gebeurd. Bijvoorbeeld wie toegang heeft gehad tot bepaalde accounts, welke data zijn verwerkt, of er sprake is van diefstal van gegevens en om welke gegevens het dan gaat. Dit 'broodkruimelspoor' kan niet alleen leiden naar de mogelijke dader(s), maar maakt ook effectieve maatregelen mogelijk. Deze fase richt zich op het verzamelen van zoveel mogelijk relevante informatie met betrekking tot het security incident en de analyse daarvan. Met als doel een zo effectief mogelijke mitigatiefase.
3. Opsluiten, verwijderen en herstellen
Deze fase is erop gericht om de impact van een incident te beperken door een mitigerende aanpak op te stellen en uit te voeren. Daarnaast worden ook herstelmogelijkheden uitgezocht en ingezet.
4. Activiteiten na afloop
In deze fase worden het incident en de afhandeling daarvan geëvalueerd en de ‘lessons learned’ opgesteld, zodat het proces kan worden geoptimaliseerd en de organisatie maatregelen kan treffen om toekomstige incidenten te voorkomen. Deze laatste stap in het incident response proces wordt vaak overgeslagen of vergeten, maar mag in een incident response plan niet ontbreken.
Specifieke kennis en kunde
Bij het uitstippelen van een incident response plan komt met andere woorden veel kijken. Security incidenten zijn bovendien zeer divers van aard en kunnen zich zeer snel ontwikkelen en complex blijken. Het professioneel en afdoende managen van een dergelijk incident vereist specifieke ervaring, kennis en kunde.
KPN beschikt met zijn CSIRT over deze kennis én heeft jarenlange ervaring met het mitigeren van incidenten. Met de dienst Incident Response van KPN bent u in het geval van een security incident verzekerd van de juiste hulp en ondersteuning, zodat de impact van het incident wordt geminimaliseerd en passende mitigerende maatregelen worden getroffen.
Meer weten over incident response? Neem dan contact op met KPN Security.