In English
incidenthantering

Incidenthantering • Artikel

9 tips för att vässa er incidenthantering

De flesta organisationer drabbas förr eller senare av en säkerhetsincident – många har redan drabbats utan att känna till det. När det väl sker och incidenten uppdagas är det väldigt viktigt att ha en process som stöd för att minimera skadeverkan och snabbt kunna återgå till normalläge. Nedan följer nio tips att ta i beaktning innan ni arbetar vidare med er incidenthantering.

Incidenthantering - 9 tips

1. Forma ett incidenthanteringsteam

Steg nummer 1 är att säkerställa att ni har ett team redo att ta sig an de utmaningar en säkerhetsincident medför. Se till att ni har en tydlig ledare för gruppen och att ni formar en grupp med stark IT- och säkerhetskompetens. Saknar ni specifik spetskompetens internt kan det vara lämpligt att ha avtal med en extern part där det går att kalla in någon med kort varsel.

Glöm inte att ett bra incidenthanteringsteam inte bara bör bestå av personer med IT-bakgrund. Det är viktigt att få med personer från olika avdelningar, däribland legal, management, PR och HR.

Säkerställ också att alla medlemmar i teamet är medvetna om deras inblandning och de förväntningar som finns på dem i händelse av en incident. Den ansvarige för teamet bör löpande se över listan med medlemmar av teamet för att verifiera att den är up-to-date.

2. Ta fram en incidenthanteringsplan

Att ha en incidenthanteringsplan på plats är kanske det mest uppenbara tipset, men trots det är det fortfarande många som saknar en plan som kan stötta incidenthanteringsteamet i händelse av en incident.

Incidenthanteringsplanen ska vara ett stöd för er, därför tjänar det ingenting till att skapa ett dokument på 1000 sidor som ingen sedan vare sig orkar uppdatera eller använda. En incidenthanteringsplan ska vara konkret och praktiskt användbar.

För att få till en bra plan är det rekommenderat att man utgår från verifierade säkerhetsstandarder som ISO 27000-serien. Det finns mängder av mallar på nätet som kan hjälpa en att komma igång. Är man osäker på vad man ska tänka på och vilka delar som ska ingå så bör man ta kontakt med extern part med erfarenhet inom området.

En incidenthanteringsplan bör åtminstone innehålla roller och ansvarsområden, utredning, prioritering och minimering av skador, återhämtning och dokumentering.

3. Skapa en förståelse inom organisationen

Snabb och effektiv incidenthantering kan man bara få till om man det finns en förståelse inom organisationen för hur man ska agera vid ett tecken på en incident. Om systemadministratörer, applikationsägare, kundtjänstsmedarbetare och andra informationsägare vet hur de ska agera och rapportera misstänkta fall kan incidenter snabbare identifieras och hanteras.

En incidenthanteringsplan ska inte bara ligga på ett intranät och skräpa, anställda ska faktiskt förhålla sig till den och den som äger dokumentet ska se till att personalen är införstådda kring vad som gäller.

4. Säkra bevis och utred incidenten metodiskt

En säkerhetsincident ökar i regel stressnivån hos berörda på företaget vilket gör att människor kan dra förhastade slutsatser och slarva i utredningsarbetet.

En av de viktigaste delarna i incidenthanteringsprocessen är därför att metodiskt arbeta för att ta reda på hur incidenten kunde ske. Dels för att kunna mitigera och stoppa incidenten, men också för att kunna ta fram åtgärder för att se till att det inte händer igen. Men icke att förglömma, har det begåtts ett brott är det viktigt att säkra bevis på ett sådant sätt som gör att de är giltiga vid en rättslig prövning.

5. Prioritera och minimera skador

När ni hittat orsaken till säkerhetsincidenten övergår arbetet från forensisk utredning till prioritering och minimering av skador. Se över vilka konsekvenser ni riskerar till följd av incidenten och prioritera vilka brister som behöver åtgärdas omedelbart.

Beroende på incidentens komplexitet kan olika typer av åtgärder behövas och koordineras för att ta bort exponerade attackvektorer eller hantera avancerade angrepp mot organisationen. I de fall där komplexitetsgraden är hög är det inte sannolikt att den interna organisationen klarar av att hantera situationen själv utan att involvera spetskompetens utifrån.

Incidenthanteringsplanen bör innehålla information om vilka säkerhetspartners organisationen bör kontakta vid en specifik typ av incident för att underlätta för de som ansvarar för att prioritera och minimera skadorna av säkerhetsincidenten.

6. Minska återhämtningstiden

När incidenten har utretts och orsaken konstaterats gäller det att få igång verksamheten igen. En verksamhet som inte snurrar på alla cylindrar kostar pengar.

Kritiska tjänster och material som har påverkats vid en incident måste återställas så att inte personal och kunder påverkas i för stor utsträckning. Det kan handla om att lyfta bort tillfälliga begränsningar som införts under tiden som utredningen pågår eller återställa filer enligt backup från innan incidenten.

Men icke att förglömma är då att se till att organisationen i sin iver att återgå till det normala missar det som var orsaken till incidenten. Säkerhetsåtgärder kan behöva sättas in innan datorer tas i bruk och behörigheter lyfts.

Målet med återhämtningsprocessen är att återinföra normalitet och verifiera att systemen fungerar som de ska. Tidigare sårbarheter ska vara tätade för att förhindra att något liknande sker igen.

7. Dokumentera från början till slut

Alla incidenter bör dokumenteras enligt instruktion från incidenthanteringsplanen. Avsikten med att dokumentera är dels för att effektivt kunna sprida information om incidenten under tiden arbete med mitigering av denna pågår och dels för att kunna granska historiska incidenter på ett bra sätt i framtiden. Utan dokumentation är det nästintill omöjligt att hålla koll på vad som i själva verket skedde.

Exempel på detaljer som ska framgå i dokumentationen är:

  • Tidpunkt och plats för incidenten
  • Vem hittade och rapporterade incidenten
  • System, material, processer och information som påverkats
  • Omfattande beskrivning av säkerhetsincidenten
  • Åtgärder som har satts in för att hantera incidenten
  • Intressenter som involverats
  • Parter som har informerats om incidenten

Säkerställ att incidentrapporter når ledningen och se till att ledningen även briefas så att de får en helhetsbild av situationen. Ökad kännedom och förståelse från ledningen gör att incidenthanteringsarbete prioriteras i högre grad.

8. Ta fram en kommunikationsstrategi

En allvarligare säkerhetsincident kommer att behöva kommuniceras till olika intressenter. Vilka som behöver informeras beror på typ av incident. Men förutom berörda parter som kunder och leverantörer, kan det bli aktuellt att kommunicera till allmänheten och berörda tillsynsmyndigheter.

Incidenthanteringsplanen bör innehålla riktlinjer för kommunikationsstrategin och information om vilka som ska involveras i kommunikationsarbetet.

9. Träna, träna och träna

Genom en väl utarbetad incidenthanteringsplan har teamet ett adekvat stöd i sitt arbete. Men för att säkerställa att alla vet sina roller och arbetsuppgifter är det av vikt att teamet får möjlighet att träna. Avsätt därför tid för incidenthanteringsteamet att träna, på så vis får ni ett grepp om planen är tillräckligt tydlig och har möjlighet att rätta till identifierade problem som hade inneburit svårigheter vid en verklig incident.

Har ni drabbats av en incident? I så fall kan det vara en bra idé att testa ett liknande scenario igen för att se ifall organisationen har lärt sig från gamla misstag. Genom repetition kommer ni förbättra er incidentberedskap och korta tiderna för alla stegen i incidenthanteringsprocessen.

Vill ni veta mer?

Kontakta oss

Vi erbjuder flera kontaktvägar och återkopplar så snart som möjligt. Har du känslig information ber vi dig att maila krypterat.