Incidenthantering • Artikel
29 mars, 2021
9 tips för att vässa er incidenthantering
De flesta organisationer drabbas förr eller senare av en säkerhetsincident – många har redan drabbats utan att känna till det. När det väl sker och incidenten uppdagas är det väldigt viktigt att ha en process som stöd för att minimera skadeverkan och snabbt kunna återgå till normalläge. Nedan följer nio tips att ta i beaktning innan ni arbetar vidare med er incidenthantering.
Incidenthantering - 9 tips
1. Forma ett incidenthanteringsteam
Steg nummer ett är att säkerställa att ni har ett team redo att ta sig an de utmaningar en säkerhetsincident medför. Se till att det finns en tydlig ledare för gruppen och att den har en samlad stark IT- och säkerhetskompetens. Saknar ni specifik spetskompetens internt kan det vara lämpligt att ha ett avtal med en extern part på plats där det går att kalla in någon med kort varsel.
Glöm inte att ett bra incidenthanteringsteam inte bara bör bestå av personer med IT-bakgrund. Det är viktigt att få med personer från olika avdelningar, däribland legal, management, PR och HR.
Säkerställ även att alla medlemmar i teamet är medvetna om deras inblandning och de förväntningar som finns på dem i händelse av en incident. Teamets ansvarige bör löpande se över medlemslistan för att verifiera att den är up-to-date.
2. Ta fram en incidenthanteringsplan
Att ha en incidenthanteringsplan på plats är kanske det mest uppenbara tipset, men trots det saknar fortfarande många organisationer en plan som kan stötta incidenthanteringsteamet i händelse av en incident.
Incidenthanteringsplanen ska vara ett stöd för er, därför tjänar det ingenting till att skapa ett dokument på tusen sidor som ingen vare sig orkar uppdatera eller använda. En incidenthanteringsplan ska vara konkret och praktiskt användbar.
För att få till en bra plan är rekommendationen att utgå från verifierade säkerhetsstandarder, såsom ISO 27000-serien. Det finns mängder av mallar på nätet som kan användas som utgångspunkt för att komma igång. Vid osäkerhet kring vad man ska tänka på och vilka delar som bör ingå kan hjälp från en extern part med erfarenhet inom området underlätta arbetet.
Kortfattat bör en incidenthanteringsplan åtminstone innehålla roller och ansvarsområden, utredning, prioritering och minimering av skador, återhämtning och dokumentering.
3. Skapa en förståelse inom organisationen
Snabb och effektiv incidenthantering kan endast uppnås när det finns en förståelse inom organisationen kring hur man ska agera vid tecken på en incident. Om systemadministratörer, applikationsägare, kundtjänstsmedarbetare och andra informationsägare vet hur de ska agera och rapportera misstänkta fall kan incidenter snabbare identifieras och hanteras.
En incidenthanteringsplan ska heller inte bara ligga på ett intranät och skräpa. Anställda ska förhålla sig till den, och dokumentets ägare ska se till att personalen är införstådda kring vad som gäller.
4. Säkra bevis och utred incidenten metodiskt
En säkerhetsincident ökar i regel stressnivån hos berörda på företaget, vilket medför att människor tenderar att dra förhastade slutsatser och slarva i utredningsarbetet. En av de viktigaste delarna i incidenthanteringsprocessen är därför att metodiskt arbeta för att ta reda på hur incidenten kunde ske från första början. Dels för att kunna mitigera och stoppa incidenten, men också för att kunna ta fram åtgärder för att se till att det inte händer igen. Har det begåtts ett brott är det även viktigt att säkra bevis på ett sådant sätt som gör att de är giltiga vid en rättslig prövning.
5. Prioritera och minimera skador
När ni hittat orsaken till säkerhetsincidenten övergår arbetet från forensisk utredning till prioritering och minimering av skador. Se över vilka konsekvenser incidenten kan leda till och prioritera vilka brister som behöver åtgärdas omedelbart.
Beroende på incidentens komplexitet kan olika typer av åtgärder krävas och sedan koordineras för att ta bort exponerade attackvektorer eller hantera avancerade angrepp mot organisationen. I de fall där komplexitetsgraden är hög är det inte sannolikt att den interna organisationen klarar av att hantera situationen utan att involvera spetskompetens utifrån.
Incidenthanteringsplanen bör innehålla information om vilka säkerhetspartners organisationen bör kontakta vid en specifik typ av incident för att underlätta för de som ansvarar för att prioritera och minimera skadorna av säkerhetsincidenten.
6. Minska återhämtningstiden
När incidenten har utretts och orsaken konstaterats gäller det att få igång verksamheten igen – en verksamhet som inte snurrar på alla cylindrar kostar pengar.
Kritiska tjänster och material som har påverkats vid en incident måste återställas så att inte personal och kunder påverkas i för stor utsträckning. Det kan handla om att lyfta bort tillfälliga begränsningar som införts under tiden som utredningen pågår, eller återställa filer från säkerhetsbackuper.
I ivern att återgå till det normala är det dock viktigt att inte missa det som var orsaken till incidenten. Säkerhetsåtgärder kan behöva sättas in innan datorer tas i bruk och behörigheter lyfts.
Målet med återhämtningsprocessen är att återinföra normalitet och verifiera att systemen fungerar som de ska. Tidigare sårbarheter ska vara tätade för att förhindra att något liknande sker igen.
7. Dokumentera från början till slut
Alla incidenter bör dokumenteras enligt instruktion från incidenthanteringsplanen. Avsikten med att dokumentera är dels att effektivt kunna sprida information om incidenten under tiden arbete med att mitigera den pågår, men även för att kunna granska historiska incidenter i framtiden. Utan dokumentation är det nästintill omöjligt att hålla koll på vad som i själva verket skedde.
Exempel på detaljer som ska framgå i dokumentationen är:
- Tidpunkt och plats för incidenten
- Vem hittade och rapporterade incidenten
- System, material, processer och information som påverkats
- Omfattande beskrivning av säkerhetsincidenten
- Åtgärder som har satts in för att hantera incidenten
- Intressenter som involverats
- Parter som har informerats om incidenten
Säkerställ att incidentrapporten når ledningen och att de har en helhetsbild av situationen. Ökad kännedom och förståelse från ledningen gör att incidenthanteringsarbete prioriteras i högre grad.
8. Ta fram en kommunikationsstrategi
En allvarligare säkerhetsincident kommer att behöva kommuniceras till olika intressenter. Vilka som behöver informeras beror på typ av incident, men utöver berörda parter som kunder och leverantörer kan det även bli aktuellt att kommunicera till allmänheten och berörda tillsynsmyndigheter.
Incidenthanteringsplanen bör innehålla riktlinjer för kommunikationsstrategin och information om vilka som ska involveras i kommunikationsarbetet.
9. Träna, träna och träna
Genom en väl utarbetad incidenthanteringsplan har teamet ett adekvat stöd i sitt arbete. Men för att säkerställa att alla vet sina roller och arbetsuppgifter är det viktigt att teamet får möjlighet att träna. Avsätt därför tid för incidenthanteringsteamet att träna, föreslagsvis på ett fiktigt scenario. På så vis får ni ett grepp om planen är tillräckligt tydlig och har möjlighet att rätta till identifierade problem som hade inneburit svårigheter vid en verklig incident.
Har ni drabbats av en incident? I så fall kan det vara en bra idé att testa ett liknande scenario igen för att se ifall organisationen har lärt sig från gamla misstag. Genom repetition kommer ni förbättra er incidentberedskap och korta tiderna för alla stegen i incidenthanteringsprocessen.
Vill du veta mer?
Kontakta oss
Vi erbjuder flera kontaktvägar och återkopplar så snart som möjligt. Har du känslig information ber vi dig att maila krypterat.
08-545 333 00
Vi svarar dygnet runtinfo@sentor.se
För generella förfrågningarsoc@sentorsecurity.com
Använd vår PGP-nyckel