Stappenplan bij datalekken: Aanval is de beste verdediging

Sommige organisaties kiezen ervoor om ethical hackers in te huren om fouten en beveiligingsproblemen op te sporen in systemen, netwerken, applicaties en servers om hun data veilig te stellen. Andere organisaties besteden aanzienlijk bedragen aan security awarenesscursussen en trainingen voor hun personeel te faciliteren. Maar datalekken helemaal uitsluiten is niet realistisch. 

Waarom is een stappenplan bij datalekken zo belangrijk? De media besteden steeds vaker aandacht aan datalekken bij bedrijven, het is een onderwerp dat steeds meer begint te leven onder het grote publiek, en het is belangrijk hoe het organisatie reageert op een inbreuk. De schade wordt veelal bepaald door de publieke opinie en perceptie. Hoe organisaties reageren op een inbreuk, kan de positie en het imago beïnvloeden, en bij een beursgenoteerde organisaties zelfs van invloed zijn op de aandelenkoers.

De beste verdediging is een proactieve, offensieve strategie. Hiervoor moeten CISO’s een actieve rol spelen in de voorbereiding op een inbreuk. Er moeten voorbereidingen worden getroffen die verder reiken dan technische risicobeoordelingen of penetratietests die ervoor zorgen dat de IT-systemen, die belangrijke informatie over de organisatie bevatten, veilig gesteld zijn. Vaak wordt deze voorbereiding omschreven in een stappenplan of protocol bij datalekken. Sommige organisaties breiden bestaande processen verder uit met cyberbeveiliging in de vorm van een crisis-management-plan. Welke keuze een organisatie ook maakt, het plan moet worden gedocumenteerd, beoordeeld en vooral worden getest tijdens begeleide oefeningen.

In het datalekken protocol moet onder andere rekening gehouden worden met de volgende zaken:

• Benoem een executive sponsor – Dit moet iemand binnen de organisatie zijn die verantwoordelijk is voor belangrijke kwesties die van invloed zijn op de organisatie. Het advies is om om de COO of een vergelijkbare manager te kiezen omdat een CISO of CIO een inbreuk vaak uitsluitend vanuit technisch oogpunt bekijkt.
• Ken de belangrijkste rollen en verantwoordelijkheden – Dit lijkt misschien eenvoudig, maar dat is het niet. Tijdens een scrisis, moeten werknemers duidelijke en gespecialiseerde rollen hebben. Daarnaast is het van belang om in verschillende situaties een ​​afgevaardigde te aan te wijzen zodat er actie kan worden ondernomen als een iemand met een specifieke rol niet beschikbaar is.
• Gebruik huidige en eerdere dataleks om een ​​strategie te formuleren – Het plan moet een duidelijk doel hebben. Het moet gericht zijn op schade beperking, snel herstel en het snel achterhalen van de gelekte gegevens waarbij wet- en regelgeving wordt gevolgd. Het bestuderen van soortgelijke eerdere schendingen is een goede manier om je aanvalsplan te formuleren. Denk na over de belangrijkste fouten en identificeer acties die vertrouwen en zekerheid bieden aan de publieke opinie.
• Zorg ervoor dat media / PR-teams nauw betrokken zijn – Een groot deel van de reactie op een inbreuk is communicatie met klanten, het bestuur, beleggers en het grote publiek. De CEO is niet per se de meest geschikte woordvoerder; het kan ook de CISO zijn of iemand anders waar mensen vertrouwen in hebben. Vaak is het een combinatie van meerdere managers, afhankelijk van het soort en de omvang van de overtreding.
• Werk samen – Technisch gesproken zou het makkelijk zijn om met een externe partij op retainerbasis samen te werken om het kernteam te vergroten en unieke inzichten te verkrijgen, maar wij adviseren om verder te kijken. Communicatieteams hebben misschien een derde partij nodig die zich bezighoudt met crisismanagement. Cyberteams willen forensisch vermogen. Vaak zijn deze rollen omwille van objectiviteit niet alleen gebaseerd op talent maar ook op vertrouwen.
• Identificeer en versterk de relaties met externe stakeholders als politie en justitie – voordat er een datalek heeft plaatsgevonden. Het is essentieel dat deze stakeholders, die mogelijk erbij worden betrokken, de organisatie van te voren goed kennen, zodat er tijdens het datalek snel kan worden geschakeld.
• Test een datalek ‘exercitie’ minimaal 2x per jaar – zodat er zo weinig mogelijk onaangename verassingen ontstaan als er daadwerkelijk een datalek plaatsvindt.

CISO’s en cyberteams dienen goed na te denken over hun protocol voor datalekken en het stappenplan goed omschrijven. Het hoeft namelijk geen gegeven te zijn dat een datalek en de reactie erop niet goed worden opgevolgd, want uiteindelijk is een goede voorbereiding het halve werk.