När det inträffat en säkerhetshändelse
Så inträffade det där som vi inte ville skulle inträffa, den så osannolika säkerhetshändelsen som vi var helt övertygade om aldrig skulle inträffa.
Bloggpost #11 ⎸ När det inträffat en säkerhetshändelse
Författare: Mattias Niemi, Informationssäkerhetskonsult
Trots att vi följt råd och rekommendationer där vi har implementerat en rad olika säkerhetsåtgärder och dessutom efter bästa förmåga arbetat systematiskt och riskbaserat för att identifiera sårbarheter och risker så inträffade den ändå. Sanningen är den att även om man har koll på sina risker genom riskbedömningar där olika scenarios av oönskade händelser har adresserats är det väldigt svårt att ändå förutspå alla möjliga kombinationer av hot och sårbarheter.
Att etablera förmågan att hantera det oväntade
“In preparing for battle I have always found that plans are useless, but planning is indispensable.”
― Dwight D. Eisenhower
Den som drabbas av en allvarlig säkerhändelse når snabbt insikten att utöver att vidta en rad olika tekniska och administrativa säkerhetsåtgärder, är det också absolut nödvändigt att redan i förväg ha planerat för att kunna hantera det oväntade när saker går fel. Att ha förmågan att hantera det oväntade är något som förväntas inte minst från lagar som ställer krav på förmågan att förebygga, upptäcka, hantera och rapportera incidenter.
Men utöver lagkrav har kunder, medborgare, leverantörer och partners, beroende på offentlig eller privat sektor, också en förväntan på att man har förmågan att hantera och skydda information och it-miljön. De delar med sig av sin information och kanske även sin IT-miljö och blir i så fall en del av leveranskedjan. I slutändan handlar det om förtroende och det finns därför väldigt goda argument att vara förberedd då de negativa konsekvenserna av oförmåga lär bli långtgående.
Grunden för att etablera förmågan ligger i att ha ett strukturerat och dokumenterat arbetssätt på plats. Det omfattar en process och en plan tillsammans med rutiner för att hantera incidenter som gör att alla i organisationen vet vad som ska göras om något går fel.
Processen ska se till att verksamheten påverkas så lite möjligt av säkerhetshändelser och återgång till det normala ska gå så snabbt som möjligt. Planen ska hjälpa de som arbetar med incidenten att följa processen. Rutinerna syftar till att ge detaljerat stöd steg för steg i hanteringen av incidenten. När processen, planen och rutinerna är på plats är det viktigt att de testas och används i övningar.
Genom att se till att processer och styrande dokument revideras och systemdokumentation uppdateras regelbundet ger man sig själv ett bättre slagläge när saker flyger in i fläkten. Att dessa styrande dokument dessutom tydligt uttrycker roller, ansvar och mandat samt hur eskalering av säkerhetshändelser ska ske kan inte nog understrykas.
Bristande förmåga kan leda till problem
Brister i förmågan leder bland annat till att man lätt hamnar snett och gör felaktiga prioriteringar för att man inte vet vilka system och vilken del av verksamheten som måste prioriteras. Otydlig och bristfällig kommunikation kan skapa förvirring när flera personer inom en organisation har olika uppfattningar om vad som har inträffat och kommunicerar genom olika kanaler både inom och utanför organisationen. Det är lätt att på så sätt skapa en incident i incidenten som också behöver hanteras.
Själva hanteringen av händelsen löper stor risk att försenas på grund av att incidenten inte upptäcks eller tas om hand på ett korrekt sätt. Det är dessutom lätt att man bara kör på och inte tänker på att personalen som hanterar incidenten behöver äta, sova och ganska snabbt skiftplaneras. Slutligen kan otydlig ledning av incidenten samt ledning av de delar av verksamheten som berörs leda till en ineffektiv incidenthantering.
Tips och råd
När det kommer till incidenter är tid, tydlighet i kommunikation och agerande av största vikt. Att vara snabbt på bollen och inleda hanteringen där någon leder arbetet, en så kallad incidentledare rekommenderas. Incidentledaren kan sedan samla de resurser som behövs och snabbt vidta åtgärder. Att samtliga medarbetare vet att och hur säkerhetshändelser ska rapporteras är vitalt för att få en effektiv incidenthantering.
För att snabbt samla rätt resurser är det en god idé att etablera en speciell gruppering för att hantera säkerhetshändelser en så kallad incidenthanteringsgrupp. Hur en sådan bör bemannas ser olika ut men förutom teknisk kompetens behövs kompetens inom kommunikation och media. Det kommer tämligen säkert att finnas behov av att kommunicera såväl internt som externt inom organisationen och med media.
Ganska snart i incidenthanteringen kommer bemanning och uthållighet hos personalen att bli aktuellt. Hur säkerställs mat, sömn och bemanning i skift för att få dygnsvila och uthållighet om incidenten drar ut på tiden? Om ni hamnar i en situation där era egna resurser inte räcker till och ni behöver hjälp har ni har etablerade kontaktytor till aktörer som kan stödja er vid hantering av incidenter?
Pröva och öva
För att kunna säkerhetsställa att förmågan upprätthålls är det viktigt att processer, planer och rutiner testas och revideras löpande. Det är också viktigt att på olika sätt förbereda organisationen genom att regelbundet träna och öva på olika scenarion med deltagare från ledningsgruppen ned till vanliga användare. Glöm inte heller att lära av säkerhetshändelser och återföra insikter och lärdomar för att ständigt förbättra arbetet med att hantera säkerhetshändelser.
Läs mer om hur Atea kan stötta er organisation med just den här rekommenderade åtgärden på sidan CIS - Ramverk för cybersäkerhet under kontroll 11 och 17.
Vill du veta hur ni säkerställer god informationssäkerhet och hur just din verksamhet bör tänka säkert? Tveka inte att höra av dig till Johan Nylén, säkerhetsspecialist.
Så länge..
...Tänk säkert och skydda era tillgångar