informatiebeveiligings-incident | Hoe ga je ermee om?
Als echte Beschermheren (en dames) vinden wij het belangrijk om ook de onderbelichte topics binnen IB aan te snijden. Informatiebeveiligings-incidenten wat zijn dat eigenlijk en hoe kunnen we hiervan leren en, bovenal, deze naar de toekomst toe verlagen? Regelmatig lezen we in het nieuws dat bedrijven gegijzeld worden en losgeld moeten betalen zoals van de week bekend werd bij Vleesverwerkingsbedrijf JBS. Ook gameproducent EA is de dupe geworden van een aanval, hierbij ging maar liefst 780 GB aan data verloren. Zij zouden hierbij onder meer de broncode van de voetbalgame FIFA21 in handen hebben gekregen. Voor sommige mensen zeer waardevolle data. Maar hoe ga je nou het best om met een dergelijk incident?
Een veelgehoord tegenargument is dat organisaties geen invloed kunnen uitoefenen op de acties van kwaadwillenden en daardoor enkel lijdzaam toe kunnen kijken. Dit is natuurlijk geen sterk argument want diezelfde organisaties kunnen wel sturen hoe hun eigen medewerkers omgaan met een IB-incident. Door het verkleinen van het aanvalsoppervlakte en het trainen van de medewerkers om het bewustzijn te verhogen kunnen organisaties in ieder geval de impact van incidenten minimaliseren of zelfs voorkomen.
Wat wordt er precies verstaan onder een informatiebeveiligings-incident
Onder incidenten, in deze context, wordt eigenlijk alles verstaan dat ‘mis’ kan gaan. Denk hierbij bijvoorbeeld aan een datalek (EA) of het niet beschikbaar hebben van data (JBS). Een informatiebeveiligingsincident heeft dus voornamelijk invloed op de beschikbaarheid, integriteit en de vertrouwelijkheid van de informatie. En alle drie deze vormen zien we dagelijks voorbijkomen.
- De beschikbaarheid komt bijvoorbeeld in het gedrang wanneer medewerkers geen toegang meer hebben tot een systeem en dus hun werk niet meer kunnen doen;
- Integriteit heeft in deze context allemaal te maken met de juistheid-, of onjuistheid, van informatie;
- De vertrouwelijkheid komt het meeste voor, dat is wanneer data in handen komt van personen voor wie dit absoluut niet bestemd is;
Op het moment dat een medewerker dus perrongeluk een document op de printer laat liggen die niet voor ieders ogen is bedoeld, dan heb je dus een incident m.b.t. de vertrouwelijkheid. Mocht deze persoon dit vervolgens op Social Media plaatsen en delen met vrienden en familie is er sprake van een datalek. Dit moet vervolgens worden gemeld bij de Autoriteit Persoonsgegevens (AP).
Hoe om te gaan met een informatiebeveiligings-incident?
In de praktijk zien wij nog te veel een incoherente aanpak- en mindset. Vaak is er wel een ‘soort van idee’ wat er gedaan moet worden bij een informatiebeveiligings-incident. Dit beperkt zich dan tot het rapporteren bij die ene persoon met wat IB-kennis waarvan niemand verder weet wat hij precies doet. Vervolgens wordt er nooit meer over het incident gesproken. Dit lost natuurlijk vrij weinig op noch zorgt het voor meer bewustwording binnen de organisatie. Een gemiste kans. In aanvulling daarop zien we ook vaak dat wanneer IT is uitbesteed, de incidenten daar gemeld worden. Met als gevolg dat de organisatie geen overzicht meer heeft op wat gemeld wordt, wat er gebeurt met alle meldingen en wat de respons is. Er wordt geen terugkoppeling gegeven naar de melder, proceseigenaren of management waardoor de organisatie niet kan leren van de incidenten. Het uiteindelijke gevolg hiervan is dat de organisatie nog kwetsbaarder is voor aanvallen omdat ze dezelfde fout blijven maken.
Vanuit Beschermheren benaderen wij dit vanuit de PDCA-cyclus. Een model dat continue verbetering nastreeft. Deze PDCA-cyclus ziet er in de context van IB als volgt uit:
- Preventief om incidenten te voorkomen
- Reductief om de dreiging te reduceren
- Detectief om incidenten te detecteren
- Repressief om adequaat op incidenten te kunnen reageren
Deze aanpak zorgt ervoor dat er accurater met incidenten kan worden omgegaan en dat medewerkers kunnen leren hiervan. Dit gebeurt ook aan de hand van een evaluatiemoment na elk incident. Zijn er dingen die anders gedaan moeten worden? Op die manier wordt IB een terugkerend, prominent onderdeel van de organisatie. Naast het beter omgaan met incidenten zorgt dit er ook voor dat medewerkers incidenten beter kunnen melden.
Neem ook leveranciers en andere derde partijen mee in dit proces
Deze zelfde aanpak zou ook moeten gelden bij leveranciers en andere derde partijen. Zijn zij wel op de hoogte van deze informatiebeveiligingsincidenten-beheerprocedure? En in hoeverre zijn ze op de hoogte van waar eventuele meldingen gemaakt moeten worden? Dit zijn belangrijke onderwerpen om te bespreken met leveranciers omdat, wanneer zij kwetsbaar zijn, jij dat ook bent. We zien het vaak genoeg dat er een datalek ontstaat omdat een leverancier kwetsbaar was. Kijk maar naar de recente kaas-aanval of de pizza-hack.
IB-incidenten zullen alleen maar toenemen in aantal en in hoe geavanceerd ze zijn. Dit vraagt dus om een duidelijke en effectieve informatiebeveiligingsincidenten-beheerprocedure. Daarom richten wij vanuit Beschermheren soortgelijke trajecten altijd stapsgewijs in. We zorgen eerst dat de fundering stevig ligt, vervolgens dat de juiste spelers worden opgesteld en daarna dat het plan wordt uitgevoerd en zich blijft verbeteren. Benieuwd hoe wij dit ook bij jouw organisatie kunnen inrichten? Neem dan contact met ons op.
Beschermheren
1101 BS Amsterdam Zuid Oost
T 020 21 70 444
info@beschermheren.nl
Routebeschrijving
A man should look for what is, and not for what he thinks should be.
Albert Einstein