Incident Response Management

Beheer van beveiligingsincidenten is het proces van het in realtime identificeren, beheren, vastleggen en analyseren van beveiligingsbedreigingen of -incidenten. Het is bedoeld om een robuust en alomvattend beeld te geven van alle beveiligingsproblemen binnen een IT-infrastructuur. Een beveiligingsincident kan van alles zijn, van een actieve dreiging tot een poging tot inbraak tot een succesvol compromis of een datalek. Beleidsschendingen en ongeoorloofde toegang tot gegevens zoals gezondheids-, financiële, burgerservicenummers en persoonlijk identificeerbare gegevens zijn allemaal voorbeelden van beveiligingsincidenten.

Het Cyber Security Incident Beheerproces

Terwijl cyberbeveiligingsbedreigingen in omvang en verfijning blijven groeien, passen organisaties praktijken toe die hen in staat stellen om dit soort incidenten snel te identificeren, erop te reageren en te verminderen, terwijl ze veerkrachtiger worden en bescherming bieden tegen toekomstige incidenten.

Beheer van beveiligingsincidenten maakt gebruik van een combinatie van apparaten, softwaresystemen en door mensen aangestuurd onderzoek en analyse. Het proces voor het beheer van beveiligingsincidenten begint doorgaans met een waarschuwing dat er een incident heeft plaatsgevonden en de betrokkenheid van het incidentresponsteam. Van daaruit zullen incidentresponders het incident onderzoeken en analyseren om de omvang ervan te bepalen, de schade te beoordelen en een plan voor mitigatie te ontwikkelen.

Dit betekent dat er een veelzijdige strategie voor het beheer van beveiligingsincidenten moet worden geïmplementeerd om ervoor te zorgen dat de IT-omgeving echt veilig is. De ISO/IEC-norm 27035 schetst een proces in vijf stappen voor het beheer van beveiligingsincidenten, waaronder:

  1. Bereid je voor op het afhandelen van incidenten.
  2. Identificeer potentiële beveiligingsincidenten door alle incidenten te monitoren en te rapporteren.
  3. Evalueer geïdentificeerde incidenten om de juiste volgende stappen te bepalen om het risico te verminderen.
  4. Reageer op het incident door het in te dammen, te onderzoeken en op te lossen (op basis van de uitkomst van stap 3).
  5. Leer en documenteer de belangrijkste punten van elk incident.

Hoe Veiligheidsincidentbeheer werkt

Hoewel maatregelen voor incidentrespons kunnen variëren, afhankelijk van de organisatie en gerelateerde bedrijfsfuncties, zijn er algemene stappen die vaak worden genomen om bedreigingen te beheersen. De eerste stap kan beginnen met een volledig onderzoek van een afwijkend systeem of een onregelmatigheid binnen het systeem, de gegevens of het gebruikersgedrag.

Een team voor het beheer van beveiligingsincidenten kan bijvoorbeeld een server identificeren die langzamer werkt dan normaal. Van daaruit zal het team het probleem beoordelen om te bepalen of het gedrag het gevolg is van een beveiligingsincident. Als dat het geval blijkt te zijn, wordt het incident nader geanalyseerd; informatie wordt verzameld en gedocumenteerd om de reikwijdte van het incident en de vereiste stappen voor de oplossing te achterhalen, en er wordt een gedetailleerd rapport geschreven van het beveiligingsincident.
Indien nodig kan de politie worden ingeschakeld. Als het incident betrekking heeft op blootstelling of diefstal van gevoelige klantgegevens, kan een openbare aankondiging worden gedaan met de betrokkenheid van het uitvoerend management en een PR-team.

Goede uitvoering Beheer van Beveiligingsincident

Organisaties van alle soorten en maten moeten plannen voor het beheerproces voor beveiligingsincidenten. Implementeer deze best practices om een uitgebreid plan voor het beheer van beveiligingsincidenten te ontwikkelen:

  • Ontwikkel een beheerplan voor beveiligingsincidenten en ondersteunend beleid met richtlijnen over hoe incidenten worden gedetecteerd, gerapporteerd, beoordeeld en beantwoord. Houd een checklist klaar voor een reeks acties op basis van de dreiging. Werk de procedures voor het beheer van beveiligingsincidenten continu bij als dat nodig is, met name op basis van lessen die zijn getrokken uit eerdere incidenten.
  • Stel een incidentresponsteam op (ook wel een CSIRT genoemd) met duidelijk omschreven rollen en verantwoordelijkheden. Uw incidentresponsteam moet functionele rollen binnen de IT-/beveiligingsafdeling bevatten, evenals vertegenwoordiging voor andere afdelingen, zoals juridische zaken, communicatie, financiën en bedrijfsbeheer of operaties.
  • Ontwikkel een uitgebreid trainingsprogramma voor elke activiteit die nodig is binnen de reeks procedures voor het beheer van beveiligingsincidenten. Oefen uw plan voor het beheer van beveiligingsincidenten met testscenario’s op een consistente basis en breng indien nodig verfijningen aan.
  • Voer na elk beveiligingsincident een post-incidentanalyse uit om te leren van uw successen en mislukkingen en breng waar nodig aanpassingen aan in uw beveiligingsprogramma en incidentbeheerproces.

Heb ik de juiste maatregelen genomen om mijn data te beschermen?

Hoe zorg ik ervoor dat ik na een cyberincident zo snel mogelijk weer aan het werk kan? Is mijn onderneming voldoende weerbaar tegen cyberaanvallen? Hoe weet ik of een grote verandering binnen mijn organisatie mijn cyberweerbaarheid heeft aangetast? Allemaal legitieme vragen als u bedenkt dat cyberincidenten een keer zullen gaan voorkomen. U wilt dan door kunnen werken en de schade beperken. Met effectieve bescherming én een snelle goede reactie als u toch wordt gehackt, heeft u een stevig antwoord klaar.

zicht-op-risicos-geod-beveiligingniveau-incident-draaiboek_jpg.jpg

Een realistisch inzicht

Met onze Cyber protection and incident response diensten werkt u direct aan de verbetering van uw cyberweerbaarheid. Met concrete aanbevelingen kunt u het IT-beveiligingsniveau verbeteren. Onze ethische hackers kijken waar de zwakke plekken bij uw onderneming zitten. Niet alleen in de IT-beveiliging, maar zij checken ook of er ingangen zijn door menselijk handelen – net als echte hackers. Zijn uw medewerkers zich bewust van cyberrisico’s? En voorkomen ze die dus zorgvuldig? Met de uitkomsten kijken wij samen met u wat passende maatregelen zijn en helpen wij met de implementatie. Dreigingen zijn continue in ontwikkeling daarom is het verstandig om zo’n hacktest periodiek uit te voeren. Voor de zekerheid.

Om uw cyberweerbaarheid te verhogen kunnen wij onder andere de volgende acties uitvoeren:

  • penetratie test;
  • randsomware readiness test;
  • phishing campagne;
  • red teaming test;
  • advies security architectuur.

Ook zorgen we ervoor dat u een cyberincident-draaiboek specifiek voor uw onderneming in huis heeft: als het mis gaat weten uw mensen hoe te handelen. U heeft uw antwoord klaar! Wij richten ons in zo’n situatie op het onderzoeken van het incident, het beperken van de schade en zorgen we ervoor dat de downtime van uw onderneming zo klein mogelijk is. Ook nemen we samen met u maatregelen die ervoor zorgen dat een vergelijkbaar incident niet nogmaals voorkomt.

 

Wat levert het op?

  • Realistisch inzicht in de cyberweerbaarheid van uw organisatie.
  • Concreet advies waarmee u verbetering aan kan brengen op gebied van cyberweerbaarheid.
  • U bespaart kosten: voorkomen kost minder dan ‘genezen’.
  • Professionele assistentie bij een cyber noodsituatie.
  • Zo snel mogelijk weer aan het werk na een cyber incident.

Kaders die maatregelen voor incidentrespons schetsen en vereisen

Incidentresponsplanning is verplicht als onderdeel van alle belangrijke cyberbeveiligingsregimes, direct of indirect. De volgende normen vereisen maatregelen voor reactie op incidenten:
  • ISO 27001, de internationale norm voor een ISMS (informatiebeveiligingsbeheersysteem)
  • ISO 22301, de internationale norm voor een BCMS (Business Continuity Management System)
  • PCI DSS (Payment Card Industry Data Security Standard)
  • NEN7510