Incidenthantering för säkerhet och regulatoriska krav – del 2

Share this post:

De senaste årens IT-säkerhetshot och ökade regulatoriska krav har tydliggjort behovet av att ha en fungerande incidenthanteringsprocess. Många organisationer har hittills koncentrerat sig på preventiva åtgärder och detektering av säkerhetsintrång men incidenthantering lyfts fram som ett område som behöver förbättras, bland annat i SANS instituts enkät från 2017.

Idag kommer jag att diskutera hur man kan arbeta med incidenthantering utifrån säkerhet och regulatoriska krav.

Hur etablerar man en incidenthanteringsprocess?

Även om alla organisationer har olika förutsättningar, lagar att förhålla sig till och grundnivå när det gäller IT- och informationssäkerhet finns det ett antal gemensamma faktorer för incidenthantering att belysa och ta hänsyn till. Här listar jag dem:

• Klargör syfte, definitioner och omfattning

Det mest grundläggande med en incidenthantering är att tydliggöra skälet till varför man finns till och vilka problem man ska lösa åt verksamheten. Här är det viktigt att veta vilka regulatoriska krav man måste uppfylla och vilka säkerhetsincidenter man ska kunna hantera inom ramen för sitt uppdrag. Man behöver också definiera vad en incident är och vilka åtgärder som krävs beroende på typ av incident. Incidentteamet måste kanske kunna hantera störningar i mjuk- och hårdvara, enligt MSBs krav på incidentrapportering för statliga myndigheter, eller så är deras uppgift att hantera dataintrång av personuppgifter inom ramen för GDPR.

• Tillse att du kan mäta och styra arbetet med incidenthantering

Det är viktigt att kunna mäta och följa upp arbetet som incidentteamet gör och det resultat de levererar. Doug Drinkwater skriver i sin artikel ”10 steps for a successful incident response plan” att sättet att mäta kan vara både kvantitativt; till exempel tiden det tog att hantera en viss typ av incident, och kvalitativt; såsom vilka attacker man haft och hur man upptäckt dem. Syftet är dels att ge incidentteamet underlag till förbättringsarbete, dels att visa nyttan av teamets arbete för den övriga organisationen.

• Rätt organisation och kompetens i ditt incidenthanteringsteam

Nästa steg blir att bygga själva incidentteamet och här är det viktigt att gruppen har rätt kompetenser för att klara av de uppgifter som krävs. Personerna bör dels ha rätt tekniska kompetenser; såsom nätverk, databas, server eller andra tekniska områden. De behöver också ha förståelse för verksamheten och de regulatoriska krav som verksamheten omfattas av. Vissa organisationer väljer att ha virtuella team, där man kopplar in personer från olika områden när en incident väl har inträffat, medan andra har team som har arbetar med incidenthantering på heltid. Slutligen behöver teamet ha rätt förankring uppåt i organisationen så att de har mandat att involvera andra grupper internt. Vilka dessa grupper är måste definieras i god tid  – det skulle kunna handla om exempelvis IT, personalavdelning, kommunikationsavdelning och jurister.

• Etablera effektiva processer och rutiner

När teamet är på plats så måste man etablera de processer och rutiner som krävs för att lösa de incidenter som uppstår och de aktiviteter som behöver ske under och efter en incident. Detta behöver göras utifrån ett säkerhetsperspektiv, genom att exempelvis använda standarder från organisationer som NIST och SANS. Det måste också göras  utifrån de lagkrav som organisationen måste leva upp till; som GDPR, LEK, PCI-DSS eller NIS. Här blir det viktigt att man skapar gemensamma processer som incidentteamet kan följa så att incidenten hanteras både utifrån säkerhets- och lagkrav. För exempelvis GDPR krävs en särskild rapportering till Datainspektionen inom 72 timmar från det att incidenten upptäckts. Sist men inte minst måste processerna dokumenteras och underhållas så att de är aktuella och verkligen utgör en standard som incidentteamet kan följa.

• Tillse att teamet har tillgång till tekniska hjälpmedel och research

När en incident väl upptäcks måste de tekniska förutsättningarna finnas på plats för att lösa den. Från orkestreringsverktyg där teamet gemensamt kan registrera och följa upp hanteringen av incidenter till tekniska plattformar för analys och åtgärd. Systemen måste också möjliggöra samarbete med andra delar av organisationen om det behövs. Kräver incidenten att exempelvis en enhet tas bort från nätverket så är det bra om den tekniska plattformen möjliggör samarbete med IT-avdelningen eller annan berörd enhet. Utöver att integrera och orkestrera de interna tekniska systemen pekar många på vikten av att använda extern research som threat och security intelligence för att bättre förstå och analysera de incidenter man upptäcker.

Hur underhåller vi vår incidenthantering?

När så allting är på plats och teamet kan börja hantera incidenter som inträffar kommer uppföljningen in på arenan. Det handlar om att kontrollera att man gjort rätt och om att underhålla sin incidenthantering. Först och främst är det viktigt att man tydligt kan visa att man löser de incidenter man har i uppdrag att hantera, genom rätt definition och mätverktyg. Har inte syftet med incidenthanteringsprogrammet uppfyllts så blir det väldigt svårt att få mandat att fortsätta.

I takt med att lagar och regler samt säkerhetshot ändras är det viktigt att incidentteamet följer med i utvecklingen och planerar därefter. Oavsett hur väl man förbereder sig kommer det alltid kunna inträffa saker som man inte förutsett eller har otur med. Men genom att förbereda sig och träna rätt inför så får man också bättre förutsättningar för att lyckas och som en välkänd skidåkare sa:

”Jag vet ingenting om tur. Bara att ju mer jag tränar desto mer tur har jag”
-Ingemar Stenmark

Vill dela med dig av dina erfarenheter av incidenthantering eller bara samtala om ämnet, får du väldigt gärna kontakta mig här på bloggen, eller på LinkedIn.

/Marcus

Mer läsning:

Jag vill gärna rekommendera dessa tre white papers, från tre aktörer i min bransch, för den intresserade läsaren.

• Six Steps for Building a Robust Incident Response Function
• Ten Ways to Prepare for Incident Response
• Security Analytics and More –  Putting Together an Effective Incident Response Plan