We kunnen de verantwoordelijke voor incident-respons enigszins vergelijken met een brandweerman. Wanneer er een brandmelding binnenkomt, moet hij snel en effectief optreden om te voorkomen dat er slachtoffers vallen en de schade zoveel mogelijk beperken. Daarvoor heeft die brandweerman essentiële informatie nodig, bijvoorbeeld:

- Waar is de brand precies?

- Wat brandt er?

- Kunnen er gevaarlijke stoffen vrijkomen?

- Bevinden er zich mensen in het gebouw?

- Waar zijn de dichtstbijzijnde waterpunten?

- Etc.

Beveiligingsrisico's identificeren

Bij IT-beveiligingsincidenten is in feite dezelfde soort informatie nodig om effectief te kunnen reageren:

- Waar zitten het lek of de besmetting precies?

- Wat voor soort systemen zijn getroffen?

- Welke informatie of toepassingen lopen gevaar?

- Welke systemen/toepassingen/informatie hebben/heeft prioriteit?

- Welke middelen heb ik tot mijn beschikking om de aanval of besmetting af te slaan?

- Etc.

Wie hier niet van tevoren over heeft nagedacht, zal dit soort vragen niet of nauwelijks kunnen beantwoorden als er een incident plaatsvindt. En dat betekent dat er niet tijdig en adequaat kan worden gereageerd, met alle gevolgen van dien. Eén van de eerste en belangrijkste zaken die zou moeten gebeuren, is het vooraf in kaart brengen van de risico’s. Belangrijk is om deze risico’s goed te evalueren en daar prioriteiten aan toe te kennen. Want als u alle mogelijke risico's tegelijkertijd zou willen aanpakken, wordt de security een taak die simpelweg niet meer te overzien is. Om nog maar te zwijgen over het benodigde budget.

TIP - Leg de nadruk op risico's die een onmiddellijke en grote bedreiging vormen voor gegevens en systemen die essentieel zijn om producten of diensten te leveren. Focus hier op de beveiligingsinspanningen, de overige risico’s kunnen in later stadium worden aangepakt.

Kosten en baten van IT-beveiliging

Net als bij brandpreventie is het verstandig om security-experts in te schakelen. Die weten precies wat voor soort informatie nodig is om adequaat op een incident te reageren. Zij kunnen ook potentiële problemen of zwakheden in de beveiliging identificeren en advies geven om deze te voorkomen of te verhelpen. Een externe expert betekent natuurlijk een investering. Maar het is vaak veel goedkoper om vooraf een deskundige consultant in te schakelen en in samenwerking een goed stappenplan op te stellen, dan dit tijdens een incident halsoverkop te moeten doen. Daar komt bij dat een snelle respons op basis van een kant-en-klaar stappenplan ertoe kan bijdragen dat een incident of aanval eerder en effectiever wordt tegengehouden. Zo kan de schade worden beperkt.

TIP - Bepaal per afdeling de Maximaal Toelaatbare Downtime (MTD). Deze is ontleend aan risico-management en heeft directe invloed op een incident-responsstrategie. Voor sommige afdelingen zal de maximaal toelaatbare downtime bijna nul zijn, afhankelijk van de impact als die afdeling stil komt te liggen. Voor afdelingen die niet direct cruciaal zijn voor de bedrijfsvoering kan deze tijd langer zijn. De vraag moet daarin zijn: hoe lang kan een bepaalde dienst uitvallen voordat de verkoopcijfers worden beïnvloed? Baseer uw beveiligingsstrategie hierop.

Tot besluit, zes aanvullende tips voor een goede beveiligingsstrategie:

1. Identificeer de types incidenten - ransomware, phishing, een DDoS-aanval, etc. - waarop de organisatie zich wil voorbereiden;

2. Zorg ervoor dat de directie het beveiligingsplan ondersteunt. Ondersteuning is meestal makkelijker te verkrijgen als aanvallen de media hebben gehaald, bijvoorbeeld Petya en Wannacry. De urgentie zal dan duidelijker zijn;

3. Beoordeel bestaande beveiligingsconcepten en controleer of ze kunnen worden aangepast aan wat er in punt 1 is geïdentificeerd;

4. Bekijk of bestaande security-systemen en -processen nog effectief zijn. Let wel: “pappen en nathouden” kost geld en is op den duur niet effectief;

5. Wees kritisch over de informatie die uw medewerkers tijdens de inventarisatie geven en maak duidelijk dat het ontwikkelen van het beveiligingsplan geen prestatiebeoordeling is;

6. Vraag gedetailleerde offertes aan van bedrijven die zich specialiseren in Incident Response en Handling. Maak een keuze en bouw een duurzame relatie op met dat bedrijf. Een goede security-partner waarop u kunt bouwen bespaart u veel ellende!

(Bovenstaande bijdrage kwam tot stand in samenwerking met G DATA Software Belgium B.V.B.A. (Groot-Bijgaarden)).

Meer info: 070/350.129 of www.gdata.be.