5 belangrijke tips om je organisatie voor te bereiden op datalekken en andere beveiligingsincidenten

Volgens het Cost of a Data Breach Report van het Ponemon Institute kost een datalek gemiddeld 3,92 miljoen dollar. Het herstellen van verloren gegevens vormt echter slechts een deel van het kostenplaatje. Met elk uur aan downtime stijgt de financiële schade. Bovendien kan het maanden of zelfs jaren duren om het klantenvertrouwen en de bedrijfsreputatie te herstellen. Gelukkig kan een goede voorbereiding de kosten van een datalek fors terugdringen en verwarring in noodsituaties vermijden. Denk daarbij aan de volgende vijf belangrijke pijlers voor het opstellen van een plan voor incidentrespons binnen je organisatie.

1. Voorbereidingen treffen voor datalekken en beveiligingsincidenten

De eerste stap is het samenstellen van een incidentresponsteam. Dit team bestaat niet alleen uit IT-medewerkers en beveiligingsconsultants, maar ook uit managers, medewerkers van de juridische en communicatieafdeling, vertegenwoordigers van de politie enzovoort. Elk teamlid moet kennis hebben van diens functie en verantwoordelijkheden om beslissingen te kunnen nemen.

Naast het aanstellen van een kundig responsteam maken het detecteren van datalekken en het identificeren van de nodige security-appliances deel uit van een grondige voorbereiding. Veel van deze hardware-oplossingen moeten buiten het netwerk worden ingezet, zodat de integriteit ervan niet kan worden aangetast door een ransomware-besmetting of vergelijkbare aanval. Het is ook belangrijk om regelmatig externe back-ups te maken en het herstellen van data te oefenen, zodat het reactiveren van systemen na een incident vlekkeloos verloopt.

Het is belangrijk om het herstellen van data te oefenen.

Filip Savat, Country Manager Belux Fortinet

Om vast te stellen welke technologie nodig is, moet je inzicht hebben in de typen data en de informatiestromen binnen je IT-omgeving. Daarnaast moet je bedrijfskritische processen en de IT-systemen die daaraan ten grondslag liggen identificeren. Focus op de belangrijkste zaken en ga na of data onder een bepaalde regelgeving vallen. Dit is belangrijk aangezien gereguleerde organisaties officiële processen voor het documenteren en melden van een datalek in hun strategie moeten opnemen.

2. Detectie en analyse van datalekken

Om afwijkend gedrag te detecteren is er nood aan geïntegreerde beveiligingstools en een centraal systeem dat gegevens analyseert en met elkaar in verband brengt. Waar mogelijk moeten network operation center (NOC)- en security operation center (SOC)-activiteiten hecht met elkaar worden geïntegreerd. De beveiligingssystemen kunnen netwerkgegevens op die manier effectiever in realtime analyseren op verdacht gedrag.

In ieder geval moet je incidentresponsteam de volgende voorbereidingen treffen:

  • Identificeer de getroffen data. Bepaal zo spoedig mogelijk de betrokken bedrijfskritische processen. Controleer alle systemen, logbestanden en transacties op indicators of compromise (IOCs).
  • Breng de eisen van de wet- en regelgeving in kaart voor compliance. Bewaar bijvoorbeeld alle bedrijfskritische data en logbestanden minimaal een jaar lang op een externe offline locatie.
  • Waarschuw autoriteiten tijdig. Bepaal of het nodig is om de autoriteiten in te schakelen, zoals de politie en toezichthouders. Voorkom boetes omwille van GDPR als organisatie in een gereguleerde sector door een datalek tijdig te melden.
  • Bewaar bewijsmateriaal. Betrek de politie bijvoorbeeld bij de voorbereidingen zodat het in stand houden van de digitale plaats delict al deel uitmaakt van je incidentrespons. Dat maakt het bewijsmateriaal toelaatbaar voor de rechtbank.
  • Plaats besmette systemen in quarantaine. Gehackte systemen moeten worden geïsoleerd om verdere verspreiding te voorkomen. Zorg voor beschikbare redundante systemen zodat er forensische analyses kunnen worden uitgevoerd op de getroffen systemen.
  • Breng de aanvalsketen in kaart. Stel tools beschikbaar om het aanvalstraject naar het oorspronkelijke ingangskanaal te herleiden. Zo leg je ook de gebruikte malware en de duur van de aanval vast. Analyseer elk betrokken apparaat grondig.
  • Train je werknemers. Ook werknemers zonder IT- of security-functie moeten cyber awareness-training krijgen. Op die manier weten zij hoe ze op juiste wijze met beveiligingsincidenten moeten omgaan en hoe ze die kunnen helpen voorkomen.

3. Van het indammen tot het herstel

Het probleem indammen kan door middel van het principe van zero trust-toegang en door gebruik te maken van intent-based segmentatie. Dat laatste houdt in dat je een logische scheiding aanbrengt tussen systemen, apparaten en data in aansluiting op de specifieke beveiligingsbehoeften van je organisatie, en verhindert de verdere verspreiding van de cyberaanval.

Om een nieuwe besmetting of hacking te voorkomen zijn maatregelen voor een snelle indamming van bedreigingen nodig. Met de bedreigingsinformatie als uitgangspunt is het mogelijk om de problemen die tot het beveiligingsincident leidden snel te verhelpen, bijvoorbeeld door apparatuur opnieuw te configureren of gelekte wachtwoorden te resetten.

lees ook

Van VPN naar zero trust: het verschil en de voordelen

Zodra een beveiligingsincident onder controle is, moet herstel plaatsvinden op basis van schone back-ups. Omdat het lastig kan zijn om ingebedde bedreigingen volledig uit te roeien, is het verstandig om enkele weken na het herstel intensiever te monitoren op afwijkend gedrag.

4. Nazorg

Voorkomen dat een beveiligingsincident zich herhaalt omvat een langdurig proces. De lessen die uit het incident worden getrokken moeten hun neerslag vinden in beveiligingsregels. Dat betekent dat je naast je beveiligingsoplossingen ook je mensen en processen kritisch onder de loep moet nemen.

Zo is het belangrijk om de lessen die uit beveiligingsincidenten zijn getrokken op te nemen in de security awareness-training voor uiteenlopende groepen medewerkers. Als een datalek bijvoorbeeld ontstaat als gevolg van een kwetsbaarheid in een in eigen beheer ontwikkelde applicatie, kan dit resulteren in training voor je DevOps-teams in best practices voor de beveiliging.

5. Reageren op toekomstige datalekken begint meteen

Vaak vraagt het bovenstaande om een verandering in denkwijze. Een goede eerste stap is om ervan uit te gaan dat je organisatie al is gehackt of malware besmet en een kritische positie aan te nemen ten opzichte van je eigen organisatie. Als er bijzondere aandacht wordt gespendeerd aan regelmatige wargames, oefeningen in incidentrespons, evaluaties van de aanwezige beveiligingsmechanismen en voortdurende training dan kunnen de gevolgen van een onvermijdelijk beveiligingsincident tot een minimum worden beperkt.


Dit is een ingezonden bijdrage door Filip Savat, Country Manager Belux bij Fortinet.

nieuwsbrief

Abonneer je gratis op ITdaily !

  • This field is for validation purposes and should be left unchanged.