In het artikel incidenten- en calamiteitenmanagement heeft u al kunnen lezen dat een incidentenprocedure een belangrijk onderdeel is van het incidenten- en calamiteitenmanagement. In dit artikel gaan we dieper in uit welke stappen een incidentprocedure bestaat en waar uw organisatie aan moet denken.

Een incidentenprocedure bestaat uit vijf vaste stappen, namelijk uit identificatie, schade indammen, remediatie en herstel, kennisgeving aan betrokkenen en rapportage en evaluatie. Elke stap is een onderdeel van de procedure die ervoor zorgt dat een incident herkend en adequaat verholpen kan worden.

Identificatie

Een incidentenprocedure gaat van start zodra er een incident is. Incidenten vinden plaats als de beschikbaarheid, integriteit en vertrouwelijkheid van informatie wordt verstoord. Voor het melden van een incident is uw organisatie niet alleen afhankelijk van die ene informatiebeveiliger, maar ook van de overige medewerkers. Maar weten uw medewerkers incidenten te herkennen? En weten ze waar ze deze moeten melden? Bij het ontwikkelen van de incidentprocedure gaat dan ook de meeste tijd zitten in het bewust maken van uw medewerkers. Hoeveel medewerkers denken wel niet, zodra informatie niet beschikbaar, dat ze het later nog eens proberen?

Zorg ervoor dat medewerkers incidenten herkennen en een meldpunt hebben waar ze de incidenten kunnen melden. Denk goed na over welke informatie nodig is om een incident te beoordelen en hou een logboek bij. Dit helpt bij het verdere onderzoek én bij de evaluatie.

Schade indammen

Zodra een incident gemeld is, is het van belang om de schade zoveel mogelijk te beperken. Is het verlies eenmalig of is het incident nog steeds gaande? Sluit niet zomaar alles af, dit om de mogelijkheden voor eventueel forensisch onderzoek zo groot mogelijk te houden. Verbreek bijvoorbeeld alleen de netwerkverbinding in plaats van alle devices af te sluiten.

Remediatie en herstel

Als de eerste stappen zijn gezet, dan is het van belang om het incident te onderzoeken en na te denken over stappen voor het herstel van het incident. Bij het onderzoek en herstel zijn een aantal afwegingen essentieel om te maken: Zijn er persoonsgegevens betrokken bij het incident en is er kans dat het een datalek is? Is er een externe partij nodig om het incident te onderzoeken? Bedenk van tevoren goed welke partijen u waarvoor moet laten aanschakelen. Denk hierbij aan ICT, bedrijfsvoering, directie, functionaris gegevensbescherming, privacy– en/of security officer, communicatie en eventuele derde partijen.

Kennisgeving aan betrokkenen

Daarnaast is het aan te raden om goed te communiceren over incidenten. Niet alleen intern, maar ook naar eventuele betrokkenen en externe stakeholders. Als het incident een datalek betreft, dan is de mogelijkheid aanwezig dat het gemeld moet worden aan betrokkenen.

Rapportage en evaluatie

Nadat alles afgehandeld is en de bedrijfsvoering weer loopt is het belangrijk om de gang van zaken te evalueren en te rapporteren. Dankzij het logboek dat opgezet is bij de identificatie is het proces goed gedocumenteerd en kunnen eventuele leermomenten toegevoegd worden in de procedure. Bewaar alle informatie goed en loop periodiek alle incidenten na. Rapporteer de bevindingen aan de directie of stakeholders.

Als uw organisatie de incidentprocedure beschreven heeft en voor iedereen duidelijk is wat er gedaan moet worden bij een incident, dan is uw organisatie goed op weg om incidenten vroegtijdig te herkennen en deze adequaat op te volgen.

Is het toch nog niet helemaal duidelijk en wilt u hier hulp bij? Neem dan contact met ons op. Wij komen graag bij u langs voor een kopje koffie.