Incident Management
Risicomanagement kan inzicht verschaffen in potentiële bedreigingen en maatregelen ter voorkoming en beperken van incidenten. Het continue meten en monitoren van de beveiligingssituatie zorgt voor alertheid bij optredende afwijkingen of het terugzakken van het beveiligingsniveau.
Wanneer echter een beveiligingsincident optreedt, dan is het zaak te weten hoe men de situatie kan beheersen en de schade kan beperken.
Het inrichten van een Incidentmanagementproces zorgt o.a. voor adequate incidentresponse. Dit betekent dat de nodige plannen up-to-date zijn voor zo’n situatie, dat een response- of crisisteam direct aan het werk kan, en dat de nodige acties in de juiste volgorde worden opgepakt.
Dit alles met het doel de bedrijfsschade te beperken, zo snel mogelijk de normale situatie te herstellen en herhaling te voorkomen.
Het nemen van de juiste stappen zodra een incident zich voordoet is gebaseerd op een aantal analyses en plannen die al vooraf gedefinieerd kunnen worden zoals bijvoorbeeld:
-
BIA: of Business Impact Analysis
Wat zijn de mogelijke gevolgen voor de bedrijfsvoering bij verschillende soorten incidenten?
-
BCP: of Business Continuity Plan
Hoe kan de organisatie zijn kritieke diensten blijven leveren op een vooraf bepaald aanvaardbaar niveau binnen een bepaalde tijd?
-
DRP: Data Recovery Plan
Hoe kan de organisatie de informatie die nodig is voor kritische bedrijfsprocessen identificeren, beveiligen en zorgen dat die binnen een zo kort mogelijke tijd weer beschikbaar komt na een incident?
Verder zijn preventief beschikbaar te maken (niet uitputtend):
-
een incident procedure protocol wat beschrijft hoe te handelen bij een incident.
-
de samenstelling van een Incident Response Team met verantwoordelijkheden en rollen.
-
incident classificatiesysteem;
-
één of meerdere geselecteerde vendoren die men kan inschakelen voor incident response;
-
trainingen;
-
tools voor forensische analyse en herstel;
-
een communicatieplan.
Na afloop en analyse van het incident is een evaluatie nodig met aanbevelingen ter voorkoming en verbetering van het incidentmanagementproces en van de ICT inrichting en beheerprocessen waarin het incident heeft plaatsgevonden. Ook zal dit veelal aanleiding zijn tot het herzien of verbeteren van de informatiebeveiliging.
Het incident management proces dient natuurlijk ook periodiek aangepast te worden aan de bedrijfssituatie, bijvoorbeeld in de PDCA cyclus.
Wij, als Roadmap-ICT hebben de nodige ervaring met het onrichten van een incidentmanagementproces, en met het voeren van regie bij een optredend incident.