nld

Hoe cyberbeveiliging het gezicht van incidentbeheer verandert

Cybercriminelen zijn overal. Helaas, als ze eenmaal in uw netwerk zijn, krijgen ze genoeg tijd om hun vuile werk te doen, want het duurt bijna twee maanden (50 dagen) gemiddeld voor IT-teams om vast te stellen dat er een inbreuk heeft plaatsgevonden.

En de kosten lopen snel op. Volgens de Studie van het Ponemon Institute over de kosten van een datalek in 2019, de gemiddelde kosten van herstel per incident is $3,92 miljoen.

Om deze risico's te beperken, moet u beschikken over een responsplan voor cyberincidenten. Hiermee kunt u de schade en de kosten minimaliseren wanneer - niet als - u wordt aangevallen.

Maar hoe past cyberbeveiliging - en een snelle reactie op incidenten - in uw gevestigde (en vermoedelijk goed geoliede) IT-machine voor incidentenbeheer?

De IT-infrastructuurbibliotheek (ITIL®) is de standaard geworden voor de manier waarop veel organisaties hun IT-infrastructuur beheren. Maar hoewel ITIL - of variaties daarop - bedrijven goed helpt bij het organiseren en beheren van hun IT-services, schiet het tekort op het gebied van beveiliging. Vertrouwen op ITIL kan u in de steek laten wanneer de cybercriminelen achter u aan komen.

In deze blog bespreken we hoe beveiliging en IT-incidentbeheer zich in veel organisaties in verschillende silo's bevinden. We onderzoeken waarom dit een probleem is en stellen manieren voor om dit te verhelpen, zodat elk incident dat gevolgen heeft voor IT-diensten - of het nu gaat om cyberbeveiliging, IT-infrastructuur of andere kwesties - snel en effectief wordt aangepakt en opgelost.

Incidentenbeheer en cyberbeveiliging: afzonderlijk, maar even belangrijk

Uw IT-incidentenbeheer (IM)-team is een essentieel onderdeel van IT service management (ITSM). Het team heeft als taak om na een onderbreking de dienstverlening weer snel op gang te brengen. Hun doel is om de invloed van het probleem op de gebruikers - en het bedrijf - tot een minimum te beperken. Operationeel betekent dit het beperken van de duur en de ernst van de onderbrekingen als gevolg van onverwachte vertragingen of uitval van hardware, software en netwerken.

Het IM-team komt in actie wanneer iemand of iets - een gebruiker of IT-medewerker, of misschien een geautomatiseerd waarschuwingssysteem - signaleert dat zich een gebeurtenis heeft voorgedaan. Misschien is het netwerk trager geworden, of reageert een applicatie niet. De IM-medewerkers beperken eerst het incident om te voorkomen dat het andere diensten beïnvloedt. Vervolgens vinden ze meestal een tijdelijke workaround, implementeren ze de fix, herstellen ze het systeem en zetten ze dat systeem weer in productie. Het IT-personeel voert vervolgens (indien nodig) een root-cause analyse uit om de reden van het probleem te bepalen, registreert het incident voor toekomstig gebruik en betrekt indien nodig de juiste mensen om aan een permanente oplossing te werken.

Veel bedrijven hebben ook solide cyberbeveiligingsteams opgebouwd. Deze incident response (IR)-teams hebben van oudsher een vergelijkbaar, zij het parallel, pad gevolgd om problemen op te lossen als het IM-team. Het verschil: hun charter is gewijd aan het reageren op beveiligingsincidenten. Het soort gebeurtenissen dat het cyberbeveiligingsteam ertoe aanzet te reageren, zijn onder meer:

  • Malware
  • Geslaagde of onsuccesvolle hackeraanval
  • Een alarm dat wordt gegeven door een inbraakdetectiesysteem
  • Ongeoorloofde toegang tot gevoelige informatie
  • Ongeoorloofde wijziging van informatie
  • Ongeoorloofde toegang tot gerubriceerde of anderszins gevoelige gegevens
  • Compromittering van systeem/server integriteit
  • Ontzegging van dienst (DoS) of gedistribueerde DoS

Cyberbeveiligingsteams en IM-teams werkten van oudsher onafhankelijk van elkaar. Maar de wereld is aan het veranderen. De technologie ontwikkelt zich snel, en organisaties zijn er steeds afhankelijker van. Dit betekent dat systemen altijd aan moeten staan, anders heeft dit nadelige gevolgen voor het bedrijf. De complexiteit van de huidige IT-omgevingen en de sluwheid van cybercriminelen - die beveiligingsprofessionals helaas altijd een stap voor lijken te zijn - betekenen dat bedrijven als het uwe een nieuwe relatie tussen de teams moeten smeden. Dit betekent dat de mensen, processen en technologieën van beide activiteiten moeten worden geanalyseerd en dat moet worden bekeken hoe ze naadlozer met elkaar kunnen samenwerken.

De uitdagingen van IM-IR integratie

Vandaag de dag worden ondernemingen geconfronteerd met vragen als: wanneer wordt een IT IM-probleem een beveiligingsprobleem en vice versa? Wie - of welke geautomatiseerde systemen - maken die beslissing? En wat gebeurt er dan? Helaas gaat ITIL niet direct in op deze en andere kwesties. Hoewel het informeert wat te doen op een hoog niveau, is het operationeel niet erg behulpzaam.

"De oude 'IT'-manier van reageren op beveiligingsincidenten met de CIO die over je schouder staat en vraagt: 'Is het al opgelost?' is allang voorbij," schreef Robert Herjavecvoorzitter van de Herjavec Groep, een adviesbureau gevestigd in Los Angeles.

Deze nieuwe complexiteit brengt tal van uitdagingen met zich mee. De belangrijkste daarvan: IM- en IR-teams worden tegenwoordig overspoeld met waarschuwingen en gegevens uit een toenemend portfolio van silo-puntoplossingen, voor het beheer van zowel infrastructuur- als beveiligingsverstoringen. Maar de gegevens over deze incidenten en kwetsbaarheden missen vaak een zakelijke context, waardoor het moeilijk is om te weten welke de grootste bedreiging voor de organisatie vormen, en wie het beste met de verstoring kan omgaan. Handmatige processen en teamoverkoepelende overdrachten belemmeren het proces nog meer.

Een nieuwe aanpak

We zien nu al een drastische verandering in de manier waarop ondernemingen tegenwoordig spreken over IR voor cyberbeveiliging. De taal die wordt gebruikt is afkomstig van hulpverleners zoals eerstehulpverleners en militaire teams: termen als ontdekking, insluiting, uitroeiingen herstel worden vaak gehoord in combinatie met IR over cyberbeveiliging.

Toonaangevende organisaties hebben ook de organisatiestructuren van professionals in noodsituaties door de hiërarchie van teamleden een "incident command" team te noemen, compleet met een incident commander, de leider die de lakens uitdeelt tijdens wat vaak zeer ernstige cyberbeveiligingsincidenten zijn.

Als u deze termen nog niet hebt gehoord wanneer u IM en IT-incidentbeheer op elkaar probeert af te stemmen, beschikt u waarschijnlijk niet over het juiste team om een noodsituatie op het gebied van cyberbeveiliging aan te pakken. Hier volgt de gebruikelijke levenscyclus voor het IT-team voor cyberbeveiliging:

  1. Voorbereiding: Een risicobeoordeling van de organisatie maken en een veiligheidsbeleid vaststellen
  2. Ontdekking: Vaststellen wanneer een potentiële inbreuk heeft plaatsgevonden
  3. Insluiting: Voorkomen dat de indringers (of de infectie) zich verspreiden
  4. Uitroeiing: Ontdoe je van het probleem
  5. Herstel: Systemen en operaties terug naar normaal
  6. Geleerde lessen: Doe een grondige "post mortem" om voorbereid te zijn voor de volgende keer

Eerste stappen

Om deze levenscyclus te implementeren, moet u eerst een proces vaststellen om te bepalen welke gebeurtenissen met beveiliging te maken hebben - in tegenstelling tot gebeurtenissen die bij het IM-team thuishoren. Soms is dat duidelijk. Uw inbraak- of SIEM-systeem kan bijvoorbeeld een DDOS-aanval detecteren. Het zou dan natuurlijk een waarschuwing sturen naar het IR-beveiligingsteam. Maar soms kost het enige tijd om een gebeurtenis te onderzoeken voordat u zich realiseert dat het in feite een beveiligingskwestie is.

Een eerste stap is uw helpdesk en ander IT IM-personeel te trainen in het herkennen van beveiligingsincidenten, wat wordt gedefinieerd als elke IT-gebeurtenis die de beschikbaarheid, privacy, vertrouwelijkheid of integriteit van een IT-service schaadt of probeert te schaden.

Zoals bij alle incidenten is het gebruik van specifieke vraagtechnieken aan het begin van een incident en het vermogen om de informatie op te splitsen van cruciaal belang om beveiligingsincidenten in een vroeg stadium aan het licht te brengen en specifieke acties te ondernemen. Met name de stap die wij "Separate & Clarify" noemen, is essentieel voor het beschrijven van de symptomen en impact op een niveau dat granulair genoeg is om te zien "wat er onderhuids aan de hand is". Dit vergroot de kans dat een IM team een waarschijnlijk beveiligingsincident identificeert en het IR Team zo vroeg mogelijk in het proces betrekt en de schade minimaliseert.

Dit werkt alleen als organisaties, ten minste gedeeltelijk, IM integreren met de respons op cyberbeveiligingsincidenten. Een rapport van Enterprise Management Associates' "Next-Generation IT Service Management: Changing the Future of IT", blijkt dat een van de top twee strategische prioriteiten voor IT IM-professionals - na het verbeteren van de gebruikerservaring - "geïntegreerde cross-silo ondersteuning voor beveiliging" is. Deze en andere strategische prioriteiten die door respondenten in de enquête werden genoemd, bieden sterke, voortdurende stimulansen voor verandering en groei bij IT IM-teams van ondernemingen om cyberbeveiliging te omvatten.

De RESILIA richtlijnen die AXELOS in 2019 heeft uitgebracht, is een andere plek om uw reis te beginnen. RESILIA is een portfolio van training, leren en certificering dat wordt ondersteund door de RESILIA Cyber Resilience Best Practices Guide. Het stemt cyberbeveiligingsrichtlijnen af op ITIL, waardoor beveiliging kan worden geïntegreerd in uw bestaande IM-processen.

Wat geldt voor grote (P1) incidenten, geldt natuurlijk ook voor het beheer van veiligheidsincidenten, die bijna per definitie meestal "groot" zijn. Ze moeten anders worden beheerd dan gewone incidenten, zodra ze zijn ontdekt. Dit omvat speciale middelen en incidentmanagers die de technische expertise combineren met het vermogen om teams van grote incidenten te faciliteren en ze tot een oplossing te brengen door middel van uitstekende probleemoplossing, besluitvorming en risicobeheer.

Wat nu te doen?

Beveiligingsevenementen kunnen stressvol zijn, vooral omdat ze buiten de comfortzone van veel van uw IM-personeel liggen. Dit is vooral het geval bij complexe incidenten waarbij professionals van andere afdelingen, zoals HR, juridische zaken, compliance of de directie moeten worden betrokken. Deze professionals zijn gewend om op een meer gestructureerde manier te werken, en hebben waarschijnlijk nog maar weinig te maken gehad met IR-processen op het gebied van cyberbeveiliging. Dit maakt het werk van het IM-team nog kritischer. Als IM-praktijken en -richtlijnen buiten het IR-proces voor cyberbeveiliging worden gehouden, kan het herstelproces namelijk veel minder efficiënt en effectief zijn, met meer financiële en reputatieschade tot gevolg. Daarom is uw IM-team belangrijker dan ooit in deze tijd van voortdurende, chronische cyberbeveiligingsrisico's.

Over Kepner-Tregoe

Kepner-Tregoe heeft duizenden bedrijven in staat gesteld miljoenen problemen op te lossen. KT biedt een datagestuurde, consistente, schaalbare aanpak voor klanten in Operations, Manufacturing, IT Service Management, Technical Support, en Learning & Development. Wij stellen u in staat om problemen op te lossen. KT biedt een unieke combinatie van vaardighedenontwikkeling en adviesdiensten, speciaal ontworpen om de hoofdoorzaak van problemen aan het licht te brengen en organisatorische uitdagingen blijvend aan te pakken. Onze benadering van het oplossen van problemen zal meetbare resultaten opleveren voor elk bedrijf dat op zoek is naar verbetering van kwaliteit en effectiviteit en tegelijkertijd de totale kosten wil verlagen.

Blog afbeelding 1
Incidenten en problemen - keerzijden van dezelfde munt
Blog afbeelding 1
Beste praktijken voor evaluatie na incidenten verbeteren respons op incidenten drastisch
Blog afbeelding 1
Incidenten oplossen of problemen oplossen - kies uw gif
Blog afbeelding 1
Hoe word je een Incident & Problem Management Superster

Neem contact met ons op

Voor vragen, details, of een voorstel!