Incident Response

Når du skal etablere eller efterse virksomhedens Incident Response evner, er det vigtigt at undersøge, om virksomheden har kompetencer og ressourcer på plads (People). Typisk skal man spørge sig selv, om virksomheden har både de nødvendige kompetencer og tilstrækkelige ressourcer til at reagere effektivt på en hændelse, hvis den rammer.

Herunder er nogle af de spørgsmål, du bør stille dig selv angående People:

• Ved vi, hvilke medarbejdere, der skal håndtere en hændelse?
  • Ved medarbejderne selv, at de har den rolle og funktion, og ved resten af organisationen det?
• Har medarbejderne de rette kompetencer?
  • Bliver deres viden opdateret løbende?
• Er de rette værktøjer stillet til rådighed?
  • Har medarbejdere tid til at vedligeholde deres kompetencer –herunder træning af kompetencer og brug af værktøjer?
• Har medarbejderne adgang til viden omkring Threat Intelligence? Threat intelligence omfatter viden, der øger medarbejdernes indsigt i cybertrusler og kendskab til metoder og værktøjer, der kan benyttes som forsvar.
  • Er der tilstrækkeligt med medarbejdere til rådighed til at kunne håndtere en hændelse 24/7 i en længere periode?

For at virksomheden kommer godt igennem en cyberhændelse, er det bl.a. afgørende, at virksomheden har etableret klare procedurer, der gør, at man er i stand til at handle hurtigt og effektivt på cyberhændelsen. Som ledelse skal man sikre, at Incident Response-processerne er på plads, kendte og afprøvede. Det involverer identifikation, registrering, respons og genetablering af drift efter et cyberangreb. I tilfælde af et cyberangreb skal Incident Response-processen understøtte en effektiv håndtering af hændelsen, identificere og afhjælpe de negative konsekvenser. Hændelseshåndtering kan også involvere kommunikation med interessenter og offentligheden i tilfælde af større hændelser.

Her er de kernespørgsmål, du bør stille dig selv vedrørende Process:

• Har vi et beredskab, og er den kendt af organisationen og testet/ evalueret? 
• Hvordan er processerne for håndtering af Incident Response? 
  • Identifikation, registrering, eskalering, respons og genetablering. Er der kommunikationsplaner? 
• Har vi planer for krisehåndtering og nøddrift af forretningen? 
• Har vi planer for genetablering efter kompromittering?

Læs eventuelt også afsnittet “Beredskabsplanlægning” i denne guide for en uddybende gennemgang

Ligesom det langt hen ad vejen er den teknologiske udvikling, der muliggør cyberangreb, er teknologien også en væsentlig del af løsningen. Det er afgørende at have en teknologisk infrastruktur på plads, der kan beskytte mod de komplekse og varierende trusler, som en virksomhed kan stå overfor. Derfor er det vigtigt, at ledelsen har investeret i og implementeret de relevante teknologier og værktøjer, der kan opdage og efterforske en hændelse på en hurtig og effektiv måde. Har man ikke ressourcerne til at implementere sådanne teknologier, er det en god idé at inddrage en ekstern partner, som hjælper med at drifte og monitorere, fx som en Managed Service.

Her er de kernespørgsmål, du bør stille dig selv vedrørende Technology:

• Hvordan er det eksisterende tekniske forsvar? 
• Har vi de rette værktøjer til at identificere trusler og risici? 
• Hvad er teknologiens muligheder og begrænsninger? 
• Hvad er behovet for yderligere sikring? 
• Har vi prioriteret investeringer i et teknologisk forsvar for virksomhedens mest sårbare aktiver?

Læs eventuelt også afsnittet "Teknologivalg" i denne guide for en uddybende gennemgang.