security

Vijf tips voor het managen van een cybercrisis

08 augustus 2017 - 12:337 minuten leestijdOpinieSecurity & Awareness
Hans Rattink
Hans Rattink

Een datalek is dé uitdaging voor de security-specialisten van een organisatie. Op geen enkel moment worden ze meer op de proef gesteld en in geen ander geval lopen ze meer risico om het vertrouwen van het management te verliezen. In de nasleep van de wereldwijde recente ransomware-aanvallen blijft dit onderwerp hoog op de agenda staan en de druk loopt alleen maar verder op.

Het is daarom goed om te beseffen, dat de security-specialisten die niet vooruitkijken en bij een breach deze alleen proberen te ‘overleven’, een aardig risico lopen om hun invloed te verliezen en misschien zelfs hun baan. Daarentegen worden specialisten die de zaak op orde hebben, tijdens een incident vaak gezien als onderdeel van de oplossing en niet als slachtoffer.

SecureWorks wordt jaarlijks bij honderden cyberaanvallen (meer dan zevenhonderd in 2016) om hulp gevraagd. We zien daarbij dat alle security-leiders van klanten die hun organisatie succesvol door een crisissituatie leiden een aantal gemeenschappelijke eigenschappen hebben. Het is niet verrassend dat hun succes veel te maken had met de basis die ze eerder hadden gelegd. Als we dit overzien dan zijn er vijf adviezen die ik met je kan delen. Deze adviezen helpen je om de crisis niet alleen voor te zijn, maar ook om tijdens de crisis in control te blijven.

#1 Manage de verwachtingen in de bestuurskamer

Het management kijkt na incidenten vaak terug op de communicatie tijdens de crisis, om te bepalen in hoeverre de (security-)specialisten aan de verwachtingen van het bedrijf hebben voldaan. Ga daarom nu al aan de slag om consensus te bereiken over de grootste zakelijke risico’s. Denk aan vragen als: ‘Wat zou er met ons gebeuren ‘als’…’, en ‘in hoeverre kunnen wij bepaalde risico’s aan?” Dit plaatst jouw beveiligingsprioriteiten in de context van de bedrijfsstrategie, een taal die iedereen aan tafel kan begrijpen. Security-medewerkers die meer geloofwaardigheid bij het management verwerven, maken ook vaak gebruik van onafhankelijke evaluaties om hun prioriteiten vast te leggen. Sommigen zullen een roadmap met het management delen om de voortgang te bevorderen. De meesten houden het management op de hoogte van naderende risico’s en plaatsen deze in de context van de zakelijke impact.

Tot slot verdien je meer vertrouwen als je informatie kunt verstrekken die het management helpt om de ontwikkeling van de risico’s te begrijpen en in de gaten te houden. Net als met financiële risico’s wil het bestuur weten hoe goed een cyberveiligheidsrisico wordt beheerd. Niet alleen op een bepaald tijdstip, maar ook op de lange termijn.

#2 Zorg voor goede partnerschappen en houd ze paraat

Praat met iedereen die voor hete vuren heeft gestaan en je hoort steeds hetzelfde: ‘Het laatste dat je wilt is tijdens een crisis nog een partij te moeten zoeken die je gaat helpen. Om nog maar te zwijgen over de administratieve rompslomp die daar ook nog een keer bijkomt.’ Als puntje bij paaltje komt, is het veel makkelijker om mensen te mobiliseren die jezelf, jouw bedrijfsrisico’s en jouw strategie kennen en begrijpen. Koester daarom drie soorten partners, zodat ze ‘klaar staan’ wanneer het onverwachte gebeurt:

  • Security- en it-partners: overweeg alle scenario’s, niet alleen digitaal forensisch onderzoek. Heb je bijvoorbeeld ook nagedacht over het offline halen van phishing-sites? Vervanging van apparaten? Informatie over bedreigingen?
  • Externe partners: denk aan de grootste zakelijke risico’s. Staat de kredietbescherming onder een sneltoets op je telefoon? Het is ook verstandig om vooraf relaties op te bouwen met rechtshandhavingsinstanties, externe experts voor privacyproblemen, cyberverzekering, callcenters en crisis-/reputatiemanagement.
  • Partners in het managementteam: vind vandaag nog een sponsor in de top van jouw bedrijf en bouw daarmee een relatie op. Een dergelijk partnerschap is van onschatbare waarde. Het geeft je het voordeel van de twijfel in het geval van uitdagingen. Door inzichten in de risico’s met elkaar uit te wisselen worden beide partners er beter van.

#3 Dring aan op een dynamisch plan

Het is niet voldoende om een plan klaar te hebben waarmee je de controle houdt als een incident uitgroeit tot een crisis. Plannen moeten dynamisch zijn, zij moeten aanpasbaar zijn aan de behoeften van de business. Je spreekt van een dynamisch plan:

  • Als het de hele organisatie betrekt: als niet elk onderdeel van de organisatie zich betrokken voelt is het onwaarschijnlijk dat een plan wordt uitgevoerd zoals gepland. Waarborg daarom dat elke medewerker haar of zijn rol begrijpt.
  • Als de communicatie en bevoegdheden in oefeningen worden getest: een van de grootste fouten in geval van crisis is een gebrek aan communicatie, vooral tussen het it-team en het crisismanagement-team. Testen moeten bevestigen of individuen hun rol hebben begrepen en kunnen uitvoeren.
  • Als gewaarborgd is dat het plan zich aanpast aan de ontwikkeling van de organisatie: het plan moet worden aangepast als er veranderingen plaatsvinden in de strategie of het personeel. Ook bedreigingen ontwikkelen zich. Voer dus regelmatig analyses van de bedreigingen door en test de meest waarschijnlijke scenario’s.
  • Als er voldoende hulpmiddelen beschikbaar zijn: als een plan niet kan worden uitgevoerd, is het geen plan. Het is dan alleen maar een idee.

#4 Leid de crisis met ‘het juiste’ (informatie, mensen en het juiste moment)

In een crisis moet het security-team in staat zijn om de feiten zo snel en zo accuraat mogelijk te achterhalen. Zo kan het van begin af aan de controle houden over de berichtgeving, timing en de bevoegdheden. Wat de security-specialisten communiceren en wanneer, kan (voor hen) jarenlang gevolgen hebben. De juiste balans moet gevonden worden. Aan de ene kant moet je voorkomen een incident te vroeg te escaleren (voordat je over voldoende feiten beschikt om de situatie te beheren). Aan de andere kant kan het ernstige gevolgen hebben als een incident te laat escaleert. Stel je voor dat een manager voor het eerst via het nieuws over een databreuk hoort…

Om de feiten goed op een rijtje te krijgen in geval van een crisis, moet je onder meer de volgende dingen goed op orde hebben:

  • kennis van het aanvalspatroon en de oorsprong;
  • zicht op de end points die zijn geraakt;
  • zicht op de centrale logging en storage;
  • het vastleggen van bewijzen en forensisch onderzoek.

Als je deze dingen goed voor elkaar hebt, is het waarschijnlijker dat je de stap kunt maken van ‘wij vermoeden’ naar ‘wij weten’. Op die manier kun je voorkomen dat je steeds aangepaste statements naar buiten moet brengen, zoals veel organisaties in de afgelopen crisissituaties. Graag wijs ik hier op het gezegde: ‘Aanname is de moeder van alle vergissingen’.

#5 Leer van het verleden

Wat we leren maakt ons sterker. Het is een teken van echt leiderschap wanneer een security-specialist in staat is om intern toe te passen wat een bedrijf heeft geleerd van een security-incident zoals een datalek of een geval van ransomware. Als van de lessen geleerd wordt, dan zullen ze helpen om de beveiligingsoperaties, processen en plannen te optimaliseren om beter gewapend te zijn voor het volgende incident. Stel daarom deze drie vragen aan jezelf, je team en de partnerschappen:

  • Wat hebben we geleerd?
  • Hoe gebruiken we deze lessen om risico’s te verminderen?
  • Hoe communiceren we dit naar het management en de medewerkers?

De security-specialist zit altijd op ‘hete kolen’ wanneer er een ncident plaatsvindt. Maar degenen die zowel qua zakelijk leiderschap als cybersecurity management in control zijn, zullen zowel hun organisatie als de eigen carrière het beste helpen.

    Whitepapers

    Computable.nl

    Slimme connectiviteit: de toekomst van bouwen

    Hoe stoom jij jouw organisatie in de bouw en installatie sector klaar voor de digitale toekomst?

    Computable.nl

    De weg van dataverzameling naar impact

    Iedere organisatie heeft data, maar niet iedereen weet hoe je het goed gebruikt. Hoe zet je waardevolle informatie om in actie?

    Computable.nl

    Beveiliging en IT samen sterk tegen bedreigingen

    Deze paper geeft concrete strategieën en handvatten om IT en Security effectiever te integreren.

    Meer lezen

    Geef een reactie

    Footer