Cybersecurity duur? Probeer eens een incident

Denk aan een werknemer die op een verkeerde link klikt, volgens schattingen overkomt dit één op de vijf medewerkers. En zelfs als de firewall optimaal functioneert en alle systemen regelmatig geüpdatet worden, kan een nog niet bekende bedreiging een organisatie volledig lam leggen. Honderd procent veiligheidsgarantie krijg je alleen door je computer in een kluis te stoppen.

Draaiboek voorkomt ondoordachte beslissingen

Een incident kan tot zeer hoge kosten voor organisaties leiden. Denk aan boetes of de expertise die een organisatie moet inhuren op technisch, projectmanagement- en juridisch gebied. Het verlies van productie, de reputatieschade of de tijd die het management kwijt is, zijn hierbij nog niet eens meegerekend. Kortom, het proberen te voorkomen van een incident is goedkoper. Om dat helder te krijgen moet elke organisatie de financiële bril opzetten en bekijken wat het risico is bij een incident, wat de kosten zijn van de benodigde maatregelen en bepalen of dit tegen elkaar opweegt. 

Wat iedere organisatie nodig heeft, is een draaiboek met de te nemen stappen als het misgaat; een incident response plan. Hierin staat wat er moet gebeuren, wie dat moet doen en wie de eindbeslissing neemt. Scenario’s schetsen mogelijke situaties waar je in terecht kunt komen. Zonder zo’n plan denkt een organisatie te laat na over dit soort vragen, namelijk als het incident al daar is. De gevolgen: chaos, ondoordachte beslissingen, genomen onder grote druk of zonder kennis van zaken.  

Plan opstellen is geen serieuze kostenpost

Toch komen we maar weinig organisaties tegen die goed voorbereid zijn. Een incident response plan behoort helaas niet tot de standaard ‘uitrusting’ op dit gebied. Terwijl het opstellen van zo’n plan helemaal geen serieuze kostenpost hoeft te zijn. Een verkeerde beslissing na een incident kan dat heel eenvoudig wel worden.

Het probleem is gewenning. Organisaties zijn over het algemeen niet ingericht op omgaan met incidenten. Zelf heb ik zes jaar in Rusland gewoond. Daar was iedereen er op voorbereid dat iedere winter de stroom een paar dagen uitviel. In Nederland gebeurt dit vrijwel nooit, dus houden we daar geen rekening mee. Maar door de toegenomen risico’s op het gebied van cybersecurity is het onoverkomelijk dat organisaties zich meer met mogelijke incidenten bezig gaan houden.

Kloof tussen weten en echt begrijpen

Voorlopig geldt nog het welbekende cliché over het kalf en de nog niet gedempte put. Tussen weten en echt begrijpen gaapt nog een flinke kloof. Iedereen weet dat er grote cyberrisico’s zijn. Maar nog niet iedereen begrijpt wat het betekent als bedrijfsprocessen volledig stil liggen door een incident. Er is nog een aantal flinke rampen nodig, voordat het belang van goede voorbereiding echt door gaat dringen.  

Ludo Block is director Forensic & Dispute services bij Grant Thornton

Wat moet minimaal in een incident response plan staan:
1. Uit wie bestaat het incident response team? Dit moeten beslissingsbevoegde medewerkers zijn met kennis van zaken.
2. Wie doet wat, wie neemt welke beslissingen en welke (externe) specialisten kunnen gebeld worden als er assistentie nodig is.
3. Welke informatie moet verzameld worden, door wie en hoe worden beslissingen vastgelegd. Welke stakeholders worden geïnformeerd door wie.
4. Wie meldt een datalek indien relevant?
5. Hoe wordt het incident geëvalueerd en voorkomen
dat dit nogmaals gebeurt?
6. Hoe is de vervanging geregeld? Wie vervangt de IT-manager wanneer hij met vakantie is, etc.|

Meer lezen: download de whitepaper 'Wat is de waarde van uw data?'

Wat gebeurt er tijdens een cyberincident? Lees hier de eerdere blog van Ludo Block. 
Lees ook: "Maak business verantwoordelijk voor data"