Welke stappen onderneemt u als Security Officer of IT Manager indien zich een beveiligingsincident voordoet? Van blinde paniek is nog nooit iemand beter geworden, maar wat zijn de stappen die u wél onderneemt? Wij merken dat er bij of na een dergelijk voorval vele wegen naar Rome leiden. Elke organisatie pakt het anders aan, en dat is intrigerend om te zien. Maar wat werkt? En minstens zo belangrijk: wat werkt niet? Vragen waar menig (nieuwe) klant mee worstelt, en waar ON2IT Managed Security Services (MSS) graag bij adviseert. We vinden het belangrijk om dit samen met onze klanten in een vroeg stadium goed op poten te zetten.
Zorg voor maatregelen die proportioneel zijn voor de organisatie
Laten we voorop stellen dat het incident response proces, waarbij het woordje proces voor sommigen al gelijk een connotatie van gigantische proporties met zich meebrengt, moet passen bij de context van de organisatie waarop het van toepassing is. Een telefoonpiramide voor een eenmanszaak heeft geen enkele meerwaarde, dat snapt iedereen. Hoewel het een absurd voorbeeld is gebruik ik het toch; het is namelijk goed om procedures en processen in plaats te hebben, maar het moet wel werkbaar en functioneel blijven. Dit is dan ook gelijk een eerste ‘do’: zorg voor maatregelen die proportioneel zijn voor de organisatie en haar dienstverlening.
Een belangrijk punt is wel dat er van tevoren nagedacht moet worden over hoe te handelen en dat daarover het één en ander gedocumenteerd wordt. U heeft op het moment suprême genoeg andere zaken aan uw hoofd; wie belt u en wanneer? Uiteraard zal er intern geschakeld moeten worden, maar treedt u in contact met externe belanghebbenden zoals klanten of andere partijen die ‘geraakt’ worden? Zo niet, wie is daarvoor dan wel verantwoordelijk? Wat wordt er gemeld? En wie bepaalt dat? En wanneer? Genoeg vragen die al lang niets meer met techniek te maken hebben maar die het voor de meeste organisaties meer dan waard zijn om te overwegen in hun proces.
Breng mensen met relevante kennis en verantwoordelijkheden samen
Het ontbreken van heldere communicatielijnen zorgt er in het beste geval voor dat het u veel extra tijd kost, en tast in een slechter geval uw bedrijfsnaam aan. Aan een kakofonie van mensen die – overigens bijna altijd met de beste bedoelingen – elkaar ongestructureerd overschreeuwen met flarden informatie heeft u niet veel. Breng mensen met relevante kennis en verantwoordelijkheden zo snel mogelijk samen en verdeel de taken. Wat in veel gevallen goed werkt is letterlijk met elkaar in een hokje gaan zitten met de deur op slot. Een conference call kan ook, maar vereist enige discipline.
Bijna clichématig geldt ook: bezint eer ge begint. Bepaal prioriteiten en houd rekening met afhankelijkheden. “Zet alles maar dicht” is een veelgehoord credo tijdens een beveiligingsincident. Vaak kort daarna gevolgd door “nu kunnen we nergens meer bij”. Het fort dichtgooien terwijl er medisch personeel naar binnen moet om de gewonden te verzorgen is niet altijd de beste keuze. En soms ook wel, zolang er maar over maatregel en gevolg wordt nagedacht.
Voorkom dat u wordt afgeleid van zaken die op dat moment belangrijker zijn
Accepteer dat u – zeker in een vroeg stadium – vaak over geen, weinig, onvolledige en/of conflicterende informatie beschikt. Ik kan u op een briefje geven dat u een aantal keren vragen gaat krijgen over ‘de impact’ van een incident. De waarheid is dat u dat soms gewoonweg (nog) niet weet. Dat is dan even niet anders! Dezelfde terugkerende vraag is “wat is de bron”? Natuurlijk zijn dat legitieme vragen en de druk om snel een antwoord te geven is soms ongekend hoog, maar voorkom dat u wordt afgeleid van zaken die op dat moment belangrijker zijn en voorrang verdienen. Ook hier bewijst een reeds uitgedacht proces zijn nut: het vormt een leidraad en creëert hiermee wat rust.
Conclusie: never waste a crisis
Aan alles komt een eind, dus linksom of rechtsom ook aan een beveiligingsincident. Op een bepaald moment is de crisis bezworen, of in elk geval tot voor dat moment acceptabele proporties gereduceerd. Wat dan soms nog wel eens vergeten wordt is dat een ‘debriefing’ aan het einde bijzonder nuttig is. Hieronder versta ik niet noodzakelijkerwijs een ‘root cause analysis’, hoewel het één vaak wel een (deel-)product van het ander is.
Alle personen die nauw betrokken zijn geweest bij het incident hebben vast opmerkingen en observaties. Eigenlijk is de vraag: wat ging er, in de breedste zin van het woord, niet goed in het proces? Het is belangrijk om dit te noteren, te bespreken en op te volgen opdat dit in de (hopelijk verre) toekomst zijn vruchten afwerpt. Zoals een collega van mij altijd zegt: never waste a crisis. En last but nog least: vergeet ook vooral niet te evalueren wat er wél goed ging!
ON2IT MSS assisteert haar klanten al vele jaren in het opzetten of evalueren van hun incident response processen.
