Lessen uit de praktijk

Achtergrond: een betrouwbaar incident management plan

redactie
Hoe groot je bedrijf ook is om goed te functioneren moet je IT op orde zijn. Of het nu gaat om mobiele apparaten, emailservers of cloud-based applicaties, een ongeluk zit in een klein hoekje. Hierdoor kan er veel belangrijke data verloren gaan.

Volgens een onderzoek van EMC verliezen Nederlandse bedrijven gemiddeld 517.000 euro per jaar. Voor sommige bedrijven kan dit net het extra zetje zijn om ten onder te gaan!

Om dataverlies te voorkomen is het voor een organisatie belangrijk om naast een disaster recovery plan ook een incident management plan op de plank te hebben liggen. Een incident management plan is bedoelt om op de juiste manier te reageren op situaties die kunnen leiden tot dataverlies. Wanneer er een dergelijke situatie zich voordoet is het belangrijk dat er zo snel mogelijk wordt achterhaald wat de oorzaak is en hoe deze kan worden opgelost.

Kroll Ontrack beschrijft vijf scenario’s met tips die in de praktijk vaak over het hoofd worden gezien bij het ontwikkelen van een incident management plan:

1. Consequenties

Een incident kan leiden tot grote (financiële) consequenties omdat de organisatie meestal volledig stil staat. Bovendien vinden incidenten vaak ’s nachts of in het weekend plaats waardoor de vertraging nog verder kan oplopen. De IT-afdeling staat hierdoor onder zeer hoge druk omdat er direct beslissingen genomen moeten worden. Het is daarom belangrijk dat IT-afdelingen de nodige voorbereidingen treffen om ook onder hoge druk snel en accuraat te handelen.

Zorg dat er altijd en overal toegang is tot alle contactgegevens:

  1. Ontwikkel een lijst met contactgegevens van beslissers en mogelijke budgetten / limietwaarden voor geautoriseerde leveranciers;
  2. Controleer en werk de contactlijst bij gedurende iedere herziening van het incident management plan;
  3. Contactgegevens van het vooraf vastgestelde geautoriseerde data recovery bedrijf moeten zijn opgenomen;
  4. Onderhouds- en ondersteuningsovereenkomsten van alle hardware- en softwareleveranciers moeten beschikbaar zijn.

Breng iedereen binnen de organisatie op de hoogte, stel vragen en informeer naar de verschillende behoeften:

  1. Vraag aan het management hoe snel ze weer toegang moeten hebben tot de data na een incident;
  2. Ga na of er budget is voor incident management en hoeveel dit is;
  3. Brengt de tijdseisen van collega’s, klanten en partners in kaart;
  4. Informeer iedereen die verantwoordelijk is voor de storage en cloud systemen over het incident management plan.

Schep orde bij eventuele datachaos:

  1. Breng alle data binnen de organisatie goed in kaart en geef aan binnen welke hardware- en datacategorie de data valt. Op deze manier is het duidelijk waar de data precies staat;
  2. Ontwikkel een prioriteitenschema voor iedere datacategorie zodat er snel besloten kan worden welke data als eerste herstelt dient te worden. Ervaring leert dat email vaak nummer 1 is.

2. Privacy

Bij een organisatie was de data herstelt, echter kreeg het voltallige personeel toegang tot alle privacygevoelige en confidentiële informatie. Om ervoor te zorgen dat data niet bij de verkeerde personen terecht komt zullen organisaties extra maatregelen moeten nemen.

Tips:

  1. In het incident management plan moet een handleiding staan over hoe om te gaan met persoonlijke data;
  2. De regels voor het managen van confidentiële data moeten zijn opgenomen in het incident management plan;
  3. Ga na hoe bij encryptie de uitwisseling van sleutels is geregeld.

3. Dataverlies

Een personeelslid was zijn data kwijt en besloot voor een doe-het-zelf methode. Hierdoor raakte de betreffende organisatie zijn data voorgoed kwijt. Om dit soort situaties te voorkomen is het belangrijk dat iedereen binnen de organisatie weet wat er mogelijk is om een incident op te lossen en wat juist beter is om niet te doen.

Tips:

Data recovery software:

  1. Breng de data recovery tools van de organisatie in kaart;
  2. Zet in het incident management plan wie er binnen de organisatie om kan gaan met deze tools;
  3. Geef aan welke soort data ze mogen herstellen met de tools;
  4. Geef aan hoeveel tijd u zelf nodig heeft gehad om de data te herstellen.

Hoe om te gaan met defecte opslagmedia:

  1. Beschadigde opslagmedia zoals RAID systemen en harde schijven moeten in het pand van de organisatie blijven tot het incident is opgelost of worden opgestuurd naar een data recovery bedrijf;
  2. Wanneer de verloren data is herstelt moet de beschadigde opslagmedia worden gewist door een professional.
  3. Restore geen backup op het originele systeem als je niet 100% zeker weet dat de backup goed is.

4. Documentatie

Een bedrijf was vergeten alle stappen, die waren genomen gedurende het incident, te documenteren. Hierdoor kon er geen evaluatie plaatsvinden en eventuele verbeteringen worden doorgevoerd. Een paar maanden later vond een soortgelijk incident plaats. Het bedrijf had dit waarschijnlijk kunnen voorkomen dankzij een goede rapportage.

Tips:

  1. Beschrijf hoe het dataverlies tot stand is gekomen en wat voor consequenties dit heeft meegebracht;
  2. Verzamel de tijdsstippen wanneer de data bijna verloren is gegaan (near misses);
  3. Zorg ervoor dat ieder incident wordt gerapporteerd aan degene die verantwoordelijk is voor het incident management plan.

5. Bewijs

De directie had nadat de data was herstelt sterke vermoedens dat er sprake was geweest van opzet of sabotage. De eventuele sporen waren jammer genoeg niet meer voorhanden om de dader op te sporen en bewijsmateriaal veilig te stellen.

Tips:

  1. Controleer op verdachte sporen en houdt altijd in je achterhoofd dat er sprake kan zijn van opzet.
  2. Logs en backups zijn belangrijk bewijsmateriaal indien er sprake is van strafrechtelijk onderzoek.