Snel handelen in het geval van een cyberaanval is cruciaal. Hoe je dat als grote organisatie aanpakt bespreken we in dit artikel.
Als je als organisatie snel en adequaat handelt tijdens een cyberincident heb je de kans om de aanval in de kiem te smoren. Zo voorkom je een hoop potentiële schade en kosten; niet alleen voor het oplossen van een cybersecurity incident of van een productie of dienstverlening die je stil moet leggen, maar ook reputatieschade.
Maar hoe doe je dat – snel en adequaat handelen wanneer je wordt aangevallen door cybercriminelen? Dat valt en staat met een goede voorbereiding. Hoe je dat aanpakt vertellen we in dit artikel.
Voorbereiden op een cyberincident
Zorg dat je als organisatie goed voorbereid bent op een cyberincident. Dit is de meest betrouwbare (en misschien wel de enige) methode om de snelheid van je reactie te beïnvloeden.
Een goede voorbereiding begint met het maken van een plan op papier. Dit doe je natuurlijk niet wanneer een situatie al gaande is, maar in alle rust zodat je de huidige cybersecurity status kunt analyseren en in kaart kunt brengen waar potentiële risico’s liggen.
Een belangrijk onderdeel hiervan is dat de organisatie te allen tijde in staat wordt om een cyberaanval te detecteren. Immers, hoe sneller je kunt detecteren, hoe meer tijd je hebt om te reageren en de infiltratie van de cybercrimineel op het netwerk te voorkomen. Zo zijn er bijvoorbeeld systemen die detecteren als een medewerker wel op een phishing link klikt. Op deze manier kun je direct ingrijpen voordat de cybercrimineel de kans krijgt om schade aan te richten.
Trainen en controleren
Het melden en oplossen van cybersecurity-incidenten kan niet simpelweg een beleidsstuk zijn; het moet actief getraind en gecontroleerd worden. Je zou het niet verwachten, maar uit onze ervaring blijkt dat medewerkers van IT-afdelingen bij uitstek vaak zelf het slachtoffer zijn van cyberaanvallen. Tijdens het onderzoek naar een securitymelding klikken ze bijvoorbeeld zelf op een malafide link om te controleren of het inderdaad phishing is of niet. Dat onderzoek is essentieel, maar het moet natuurlijk wel in een afgeschermde omgeving gebeuren – en dat moet je blijven trainen en controleren als organisatie.
Calamiteitenplan
Als er wel een doorbraak is in de cybersecurity, dan heb je een calimiteitenplan nodig om snel en adequaat te handelen. In een eerder artikel beschreven we de 5 stappen voor het opstellen van een ransomware incident respons plan.
Hierin staan de acties uitgedacht en zijn deze bij de juiste persoon ondergebracht. Ook zet je erin hoe je het plan uitvoert als de systemen uitvallen en hoe je blijft communiceren onderling en eventueel met stakeholders en autoriteiten. Dat laatste is niet alleen belangrijk om tot een oplossing te komen, maar ook om reputatieschade te voorkomen.
Ook beschrijf je welke technische maatregelen je neemt. Bijvoorbeeld bepaalde systemen of netwerken zoals intranet die je afsluit zodra een cybercrimineel binnen is. Belangrijk is om te bepalen wie zo’n besluit maakt en welke afweging daarbij hoort (denk aan bepaalde activiteiten of teams die afhankelijk zijn van deze systemen). Daarbij is het goed om je af te vragen hoe je überhaupt omgaat met toegang verlenen tot je systemen.
Oefenen
Zodra een cybersecurity-calamiteit gaande is, wordt het snel een emotionele kwestie. Daardoor wordt het steeds lastiger om de juiste keuzes te maken, zelfs als deze vastgelegd zijn in een plan. Daarom is het essentieel om je plan te oefenen, zodat het tijdens een calamiteit niet de eerste keer is dat het plan wordt doorlopen. Bovendien geeft het oefenen van een plan de kans om het plan zelf te evalueren en iteratief te verbeteren.
Ben je op zoek naar handvatten om de organisatie voor te bereiden op een cyberincident, of voor het opstellen van een calamiteitenplan? Neem dan vrijblijvend contact met ons op – wij denken graag met je mee!