Geplaatst 04-02-22
Als jouw organisatie te maken krijgt met een beveiligingsincident of datalek, is er paniek in de tent. Met een goede procedure voor het herkennen, melden en afhandelen van incidenten verhoog je de cyber-weerbaarheid van je medewerkers en van de organisatie als geheel.
Wij geven je vier tips voor een effectief datalekkenprotocol.
1. Maak het makkelijk om incidenten en datalekken te melden
Voor de medewerkers in jouw organisatie is het herkennen en melden van beveiligingsincidenten en datalekken niet hun primaire taak. Maak het daarom zo eenvoudig mogelijk om melding te doen van een vermoedelijk incident of datalek. Richt een centraal systeem in of kies een algemeen e-mailadres dat makkelijk te onthouden is.
Wanneer je kiest voor een centraal meldformulier, bijvoorbeeld via servicedesk-software of op het intranet, zorg er dan voor dat het formulier laagdrempelig is. Beperk het aantal vragen/velden en verplicht alleen de velden die echt noodzakelijk zijn.
Als het systeem of e-mailadres beschikbaar is, moet je er uiteraard ook voor zorgen dat het bekend is bij medewerkers. Communiceer regelmatig over het meldpunt en op verschillende manieren, bijvoorbeeld digitaal via het intranet, of met een poster aan de muur.
Meldingen van datalekken door leveranciers of verwerkers
Ook een datalek bij een leverancier of verwerker kan (grote) gevolgen hebben voor jouw organisatie. Zorg er daarom voor dat je duidelijke afspraken maakt met leveranciers en verwerkers over de manier waarop zij datalekken moeten melden en binnen hoeveel uur na ontdekking dit moet gebeuren.
Aanvullend: Coordinated Vulnerability Disclosure (CVD)
In sommige gevallen wordt een kwetsbaarheid of datalek gevonden door iemand buiten de organisatie, bijvoorbeeld door een klant of door een ethische hacker. Voor zulke gevallen is het raadzaam om een zogenaamde Coordinated Vulnerability Disclosure-verklaring (ook wel Responsible Disclosure genoemd) op je website te zetten. In die verklaring geef je aan hoe je omgaat met meldingen van derden. Meer over dit onderwerp vind je op de website van het NCSC.
Effectief privacymanagement?
Lees over onze aanpak voor het eenvoudig en snel opzetten van een beheersysteem voor AVG en Toezicht.
2. Zorg voor eigenaarschap en structuur
Wanneer een ernstig datalek of incident wordt gemeld, moet er snel gehandeld kunnen worden. Het helpt dan enorm als je kan terugvallen op een gestructureerd afhandelingsproces. Zorg voor een toegankelijke, stapsgewijze beschrijving van het proces. “Toegankelijk” betekent in dit geval óók dat het document beschikbaar is als het documentmanagementsysteem uit de lucht is.
Neem in de beschrijving op wie verantwoordelijk is voor welke stap en wat daarbij van hem of haar wordt verwacht. Het is bovendien van belang om ervoor te zorgen dat ieder incident wordt toegewezen aan een eigenaar, die de afhandeling overziet en ervoor zorgt dat alle vereiste stappen worden doorlopen. Bij voorkeur ligt het eigenaarschap bij degene die ook eigenaar is van het betreffende proces of de getroffen applicatie.
Vaak start het proces via een algemeen taaksysteem, zoals Topdesk. Daarna wordt de melding opgevolgd door de verantwoordelijke medewerker. Het afhandelingsproces kan er als volgt uitzien:
- Start van de melding via het centrale meldpunt
- Toewijzen van de melding aan een eigenaar
- Onderzoeken en Corrigeren
- Indien nodig: snel reageren om het lek te dichten
- Let op: vraag de FG om advies
- Indien nodig: snel reageren om het lek te dichten
- Beoordelen van het incident
- Communiceren met de juiste personen en instanties
- Intern
- Extern
- Toezichthouder
- Betrokkenen
- Evalueren om toekomstige incidenten te voorkomen
- Rapporteren zodat de juiste personen over de juiste kennis beschikken om de bescherming te verbeteren
3. Evalueer en leer!
Het afhandelen van een informatiebeveiligingsincident, zeker als het een datalek is, is vaak een hectisch proces. Neem na het uitvoeren van de noodzakelijke handelingen de tijd om stil te staan bij wat gedaan kan worden om toekomstige incidenten te voorkomen.
Een belangrijk onderdeel van de evaluatie is de oorzaakanalyse (Engels: “root cause analysis”). Een veelgebruikte methode voor de oorzaakanalyse is “5x waarom”: als je 5x achter elkaar een ‘waarom’-vraag stelt, kom je stap voor stap tot de kern van je probleem. Zo kun je laag voor laag de symptomen “afpellen” die je het zicht op het echte probleem ontnemen.
Na het onder woorden brengen van de oorzaak van een incident kunnen passende maatregelen worden getroffen en een eventueel behandelplan worden opgesteld. Afhankelijk van je organisatie kun je hierbij aansluiten op standaarden als ISO 27001, NEN7510 of de BIO. Zo zorg je ervoor dat verbeteringen worden geïntegreerd in het ISMS van je organisatie.
Tenslotte: informeer de melder van het incident of datalek over de manier waarop je zijn melding hebt opgevolgd. Dit versterkt de betrokkenheid en zorgt ervoor dat hij of zij nieuwe incidenten ook weer zal melden.
4. Maak bewustwording rond datalekken vanzelfsprekend
In de waan van de dag is het lastig om blijvend aandacht te krijgen voor informatiebeveiliging en het melden van incidenten en datalekken. Voor het gros van de mensen op de werkvloer heeft het onderwerp nou eenmaal niet de hoogste prioriteit en zo zijn er altijd zaken prangender dan het bijwonen van die saaie awareness-training.
Daarom doe je er goed aan om bewustwording te integreren in bestaande processen en overlegstructuren, zodat het een vanzelfsprekend onderdeel wordt van het functioneren van de organisatie. Dat begint bij de indiensttreding van nieuwe medewerkers (onboarding). Zorg ervoor dat nieuwe medewerkers als onderdeel van hun inwerktraject worden gewezen op het beleid rond informatiebeveiliging (gebruik van laptop, telefoon, USB-sticks, wachtwoorden, etc.) en natuurlijk op het datalekkenprotocol.
Het onderwerp "beveiligingsincidenten en datalekken" kun je bovendien standaard meenemen in periodieke team-overleggen. Tijdens het overleg is er dan aanleiding om (kort) stil te staan bij eventuele incidenten of datalekken die zich in de voorgaande periode hebben voorgedaan. Om de discussie op gang te brengen, kun je bijvoorbeeld de vraag stellen: “Zijn er situaties geweest, waarbij je twijfel had over het wel of niet melden van een mogelijk incident?”
Door op deze manier onderwerpen van informatiebeveiliging en gegevensbescherming (AVG en privacy) te integreren in bestaande processen, wordt ook het melden van incidenten en datalekken een vanzelfsprekend onderdeel van de bedrijfsvoering. Daarmee wordt de weerbaarheid van de organisatie vergroot en verlaag je het risico op schade door datalekken.
TrustBound GRC maakt het opvolgen van beveiligingsincidenten en datalekken makkelijker en effectiever. Wil je weten hoe? Start vandaag nog je gratis proefabonnement. Of schrijf je vrijblijvend in voor een webinar en we laten je persoonlijk zien waarom anderen zo laaiend enthousiast zijn over onze GRC-tool.