Leestijd: 7 minuten

Security incident response: zo bouw je een meldproces voor informatie-beveiligingsincidenten

Een goed meldproces rondom security incidenten is cruciaal! In dit blog geven we je een handig stappenplan voor het opzetten van een dergelijk proces.

Security incident response stappenplan
CAN - Portretfoto - Bradley
Bradley Luijten
Adviseur

Bradley Luijten is adviseur bij CertificeringsAdvies Nederland. "Als Adviseur Informatiebeveiliging met een bedrijfskundige achtergrond, beschik ik over gevarieerde kennis van zowel technische als zakelijke aspecten".

bradley@certificeringsadvies.nl

Hoe bouw je een sterk meldproces voor informatiebeveiligingsincidenten? Of het nu draait om kleine ‘foutjes’ of serieuze cyberaanvallen: een goed meldproces is cruciaal! Uiteraard, voorkomen is beter dan genezen, maar als er dan toch incidenten plaatsvinden kun je er maar beter goed op voorbereid zijn. Een security incident proces biedt structuur, helpt incidenten snel te detecteren, effectief te melden en adequaat te reageren en borgen. Maar hoe richt je een dergelijk proces in? In dit artikel nemen we je stap voor stap mee in het opzetten ervan. Zo maak je jouw organisatie weerbaar voor (cyber)aanvallen, minimaliseer je risico’s en zet je in op continue verbetering.

Wat is een incident?

Wat is een incident? Om antwoord op deze vraag te geven leggen we de focus op informatiebeveiligingsincidenten. Dit is een ongewenste of onverwachte gebeurtenis welke een negatieve impact kan hebben op de BIV (beschikbaarheid, integriteit, vertrouwelijkheid) van informatie, systemen of IT-diensten. Een incident kan een klein voorval zijn, zoals het niet locken van een computerscherm, tot aan een cyberaanval met alle gevolgen van dien. Informatiebeveiligingsincidenten, zeker wanneer deze van grotere omvang zijn, vragen om snelle actie/reactie om gevolgen te beperken en herhaling te voorkomen.

Voorbeelden van informatiebeveiligingsincidenten:

  • Een e-mail met gevoelige informatie wordt per ongeluk naar een verkeerd mailadres gezonden;
  • Een laptop of mobiele telefoon met daarop bedrijfsgegevens wordt ontvreemd;
  • Een cyberaanval in de vorm van ransomware of malware;
  • Een klik op een phishingmail waarbij persoonlijk gegevens worden bemachtigd door kwaadwillenden;
  • Een persoon die toegang krijgt tot vertrouwelijke gegevens, zonder dat dit de bedoeling was (ongeautoriseerd);
  • Uitval van een systeem, zoals een server of toegang tot een netwerk.

Incident response plan

Een proces waarin staat hoe de organisatie omgaat met een incident en de gevolgen van een incident wordt ook wel een incident response plan genoemd. Met behulp van een dergelijk plan kan een organisatie gestructureerd actie ondernemen zodra er een incident plaatsvindt.

Het is als het ware een set instructies om de organisatie en de bijbehorende medewerkers te helpen met detectie, melding en reactie op informatiebeveiligingsincidenten. Onderstaande onderwerpen neem je zoal op in een incident response plan:

  • Beleid
  • Verantwoordelijkheden
  • Bewustwording
  • Het meldproces
  • Het meldpunt/-systeem
  • Uitgewerkte scenario’s
  • Escalatiepaden
  • Een combinatie met een risicoanalyse (al dan niet in het kader van ISO 27001)
  • Etc.

Hieronder leggen we voor een aantal van deze onderwerpen uit hoe je dit in kunt vullen.

Beleid

Een beleid is een goede basis. Beschrijf in een beleidsdocument hoe je als organisatie omgaat met informatiebeveiligingsincidenten.

Bewustwording

Je kunt een beleid maken, een security incident proces opstellen en alle tools aanreiken om hier goed mee om te gaan. Het gaat echter niet werken als de mensen binnen je organisatie er niet naar handelen. Ze moeten zich bewust zijn van incidenten, getraind worden om incidenten te herkennen en vooral begrijpen waarom incidenten melden van groot belang is.

Hoe maak je medewerkers bewust van incidenten herkennen en ernaar handelen? Dat kan op allerlei manieren:

  • E-learnings
  • Workshops
  • Simulaties (zoals Phishing simulatie)
  • Etc.

Melden incidenten

Om een security incident te kunnen melden en het security incident proces goed te doorlopen, is het allereerst van belang dat een medewerker van je organisatie een incident herkent. Is het een phishingmail, een datalek, ongeautoriseerde toegang? Vervolgens moeten ze weten hoe ze een dergelijk incident kunnen melden en dus ook het vertrouwen hebben dat ze dit veilig kunnen doen.

Wanneer een medewerker een incident herkent heeft, dan moet hij/zij dit incident melden. Dat betekent dat er een meldpunt moet zijn. En dat er een security incident proces moet worden opgetuigd. Eerst het meldpunt; je stelt hiervoor een middel of tool beschikbaar die je geschikt maakt voor het registreren van incidenten. Denk daarbij aan:

  • Een speciaal e-mailadres inrichten waar medewerkers hun incident naartoe kunnen mailen;
  • Het inrichten van een digitaal formulier, bijvoorbeeld via Microsoft Forms of Google Forms, waarbij je medewerkers een aantal (verplichte) velden laat invullen;
  • Een portal beschikbaar stellen, bijvoorbeeld via je software systeem, of een incident response platform inrichten;
  • Andere opties zijn ook mogelijk.

Denk bij het inrichten van een meldpunt/tool ook na over de informatie die geregistreerd dient te worden bij het melden van een incident, zoals:

  • Een beschrijving van het incident;
  • Wanneer het incident is voorgevallen;
  • Waar het incident betrekking op heeft (scope, systemen etc.);
  • Wat de in gang gezette acties of oplossingen tot nu toe zijn;
  • Eventuele gevolgen;
  • Etc.
Security Officer inhuren

Security incident proces

Als de mensen zijn geïnstrueerd/getraind op het herkennen van een incident en het meldpunt is ingericht, kan er een security incident proces aan gekoppeld worden. Dit is een soort stappenplan dat gevolgd moet worden zodra er een incident plaatsvindt. Per stap in het stappenplan/proces, staat benoemd wie er verantwoordelijk is en wat de vereiste handelingen zijn qua opvolging. Hieronder een aantal aandachtspunten om rekening mee te houden:

  • Maak duidelijk wie de eigenaar is het van proces. Dit kan bijvoorbeeld de Security Officer zijn;
  • Leg heel concreet vast welke stappen iedere verantwoordelijke in het proces dient te nemen;
  • Bepaal ook, naar omvang van het incident, hoe communicatie plaatsvindt naar betrokkenen, de rest van de organisatie en andere stakeholders. Werk hier eventueel scenario’s voor uit (bijv. bij een groot datalek, wat zijn dan de te ondernemen stappen). Denk daarbij ook aan melding maken bij de Autoriteit Persoonsgegevens;
  • Test je meldproces regelmatig en werk eventuele escalatiepaden uit. Stel dat er een zeer ernstig datalek plaatsvindt, vorm je dan een crisisteam? Etc.;
  • Zorg dat het security incident proces wordt gekoppeld aan een verbeterplan. Op die manier borg je dat corrigerende maatregelen worden doorgevoerd. Wanneer je bijv. ISO 27001 gecertificeerd bent, kun je dit security incident proces opnemen in je Information Security Management System (ISMS) en koppelen aan je verbetercyclus.
  • Koppel aan je security incident proces, al dan niet in het licht van ISO 27001 of andere normen wetten, een rapportage- en analysemethode.
  • Vergeet niet je beleid weer aan te scherpen als er bepaalde corrigerende maatregelen zijn doorgevoerd;
  • Denk ook aan het periodiek uitvoeren van bewustwordingstraining onder medewerkers en aan het invoeren van eventuele extra technische maatregelen.

Essentie van dit alles: denk het hele proces vooraf uit, inclusief scenario’s en escalatiepaden, koppel verantwoordelijken en verantwoordelijkheden aan alle stappen en test regelmatig je proces.

Incident melden en ISO 27001

Wanneer je werkt conform ISO 27001, of een ISO 27001 gecertificeerde organisatie bent of wilt worden, dan is het zaak dat het meldproces incidenten past binnen het Information Security Management System (ISMS) van ISO 27001. Dat houdt in dat:

  • Er een formeel proces is voor incidentbeheer;
  • Incidenten worden geregistreerd, geanalyseerd en er op wordt geanticipeerd;
  • Het proces regelmatig wordt getest en er regelmatig audits plaatsvinden.

Meer weten over ISO 27001?

Bekijk onze ISO 27001informatiepagina.

NIS2 incident melden, hoe werkt dat?

De NIS2, welke in Nederland bekend zal zijn als de Cyberbeveiligingswet, verplicht organisaties om ‘significante incidenten’ binnen 24 uur te melden bij de toezichthouder en het eigen Computer Security Incident Response Team (CSIRT). De kaders/richtlijnen hiervoor worden momenteel verder uitgewerkt. Organisaties hebben overigens ook de mogelijkheid om incidenten vrijwillig te melden bij de CSIRT’s.

Aan de slag met security incident response?

Wil je aan de slag met het optuigen van een meldproces en alle bijbehorende facetten, al dan niet in het kader van een ISO 27001 certificering? Bij CertificeringsAdvies helpen we je kundig en snel op weg. Neem gerust contact met ons op!

Vraag vrijblijvend de demo e-learning informatiebeveiliging aan

CAN - Portretfoto - Bradley
Bradley Luijten
Adviseur

Bradley Luijten is adviseur bij CertificeringsAdvies Nederland. "Als Adviseur Informatiebeveiliging met een bedrijfskundige achtergrond, beschik ik over gevarieerde kennis van zowel technische als zakelijke aspecten".

bradley@certificeringsadvies.nl

Bestel de e-learning security awareness

Maak je medewerkers bewust van de risico's!

  • Leren op ieder moment
  • Inclusief monitoringtool
  • Prijs op aanvraag

Maandelijks op de hoogte blijven?

Wil jij op de hoogte blijven van het laatste nieuws uit jouw branche en de nieuwste ontwikkelingen rondom (bedrijfs)normen en groeimogelijkheden voor jouw organisatie? Schrijf je dan in voor de nieuwsbrief en ontvang maandelijks een flinke dosis inspiratie met o.a.:

  • Handige kennisartikelen en praktische tips voor jouw organisatie
  • Actuele updates rondom normen en certificeringen
  • Ontwikkelingen in wet- en regelgeving
  • Interessante acties & events
  • Relevante trainingen en opleidingen

Schrijf je in voor de nieuwsbrief

Schrijf jezelf in voor onze maandelijkse nieuwsbrief door het formulier in te vullen!

"*" indicates required fields