Hoe je een Incident Management Playbook gebruikt in je organisatie

Abonneer je gratis op Techzine!

De kans dat je organisatie een datalek krijgt is tegenwoordig 1 op 4.

2021 was tot nu toe een jaar met een opeenvolging van datalekken en privacy-incidenten in verschillende sectoren en bedrijven. Deze haalden vaak ook de voorpagina’s van de dagbladen en hebben ervoor gezorgd dat consumenten ongeruster zijn geworden over het verzamelen van hun persoonlijke gegevens. Er is tevens ook meer gehandhaafd, onder andere door middel van boetes.

Een datalek lijkt inmiddels vrijwel onvermijdelijk. Toch denken de meeste organisaties verrassend genoeg niet na over hoe ze moeten omgaan met incidenten wanneer deze zich voordoen. Dat zouden ze wel moeten doen. Vraag dat maar aan een bedrijf dat al eens te maken heeft gehad met een datalek. Dan krijg je ook meteen een idee van de uitdagingen van dit soort incidenten.

Om compliant te blijven bij een datalek moet je de in de regelgeving vereiste acties binnen de vereiste tijd uitvoeren. Het lokaliseren, coördineren en communiceren met alle betrokken partijen – beveiliging, IT, logistiek, marketing en leidinggevenden – kan de grootste hindernis zijn bij het bereiken van deze compliance.

Om dit worst-case-scenario te vermijden, moet een moderne privacy-eindverantwoordelijke binnen organisaties zoveel mogelijk van de respons automatiseren. Dit kun je doen door een zogeheten Incident Management Playbook, in het Nederlands een draaiboek voor incidentenbeheer, te maken.

Download het Incident Management Playbook

Een Incident Management Playbook maken

Een solide plan van aanpak is essentieel als je te maken krijgt met een datalek.

Een Incident Management Playbook fungeert als trainingshandleiding voor het omgaan met datalekken en als checklist voor incident response (IR). In die handleiding moet elk type incident worden opgenomen waarmee uw organisatie te maken kan krijgen. Ook moet erin staan welke teamleden verantwoordelijk zijn voor welke taken en welke stappen er nodig zijn om te voldoen aan de meldingsvereisten die gelden binnen alle rechtsgebieden en voorschriften die van toepassing zijn op een organisatie.

Een Incident Management Playbook is in essentie een praktische handleiding voor het melden van incidenten. Daarnaast stelt het vast wat de wat de verantwoordelijkheden zijn en wat de procedures zijn met betrekking tot respons. Je gebruikt het om:

  • Een duidelijk overzicht te geven van de incidentstatus binnen de organisatie.
  • Grondige, op regelgeving en onderzoek gebaseerde respons op datalekken uit te voeren.
  • Aangepaste workflows te creëren om het onderzoek te automatiseren.
  • Risico’s en incidenten traceren om een volledige audit trail te creëren.
  • Data en leveranciers te koppelen aan incidenten om de getroffen data inzichtelijk te maken.

Wil je een Incident Management Playbook optimaal inzetten, dan moeten de volgende zes stappen erin staan. 

Stap 1: Voorbereiden

De eerste stap is het voorbereiden op een datalek door een Incident Response Team (IRT) op te richten. In dit gedeelte van het Incident Management Playbook moeten de rollen, doelstellingen en doelen voor elk IRT-lid worden gedefinieerd. Ook moeten de responsplannen en tijdschema’s voor specifieke soorten incidenten worden beschreven. Het doel van deze sectie is om het IRT te helpen om de verantwoordelijkheden en verplichtingen van de IRT-leden te begrijpen op het moment dat zich een incident voordoet.

Stap 2: Onderzoeken

Het tweede deel van het Incident Management Playbook gaat over de eerste stappen die het IRT moet nemen als een incident zich voordoet. Dit onderdeel draait om het bepalen welke soorten data er bij het incident betrokken zijn, het valideren van de verstrekte informatie, en het vaststellen of er persoonlijke gegevens over het hoofd zijn gezien. Bij deze fase moet je ook vaststellen om welke rechtsgebieden en wet- en regelgeving het gaat. Als andere teams of personen bij de oplossing moeten worden betrokken, is dit het moment om dat te doen.

Stap 3: Beoordelen

Zodra het IRT heeft vastgesteld of de data die risico loopt wordt beschermd door wetgeving, treedt de beoordelingsstap van het Incident Management Playbook in werking. In deze stap bepaal je de zogeheten severity oftewel ernst van het incident en neem je een beslissing over hoe je het gaat herstellen. Dit is ook de stap waarin je de juiste personen, regelgevende instanties, klanten en leveranciers inlicht over het datalek.

Stap 4: Herstellen

In de vorige stap heb je een herstelplan gekozen. In deze stap van het Incident Management Playbook ga je dat plan uitvoeren. Een onderdeel hiervan is een strategie om schade aan resources binnen je bedrijf zoveel mogelijk te beperken. Verzamel in deze fase van de IR al het bewijs dat je kunt vinden. Als het datalek het resultaat is van criminele activiteiten, heb je dit bewijs nodig. Zorg er ook voor dat je elektronisch bewijsmateriaal goed documenteert in een helder en herhaalbaar proces. Het laatste onderdeel van deze stap is het uitvoeren van een technische analyse, om te zien wat er mis is gegaan en wat het incident heeft veroorzaakt.

Stap 5: Informeren

De laatste stap bij het oplossen van het incident is het informeren van de betrokken partijen waarmee je samenwerkt in de markt en die niet rechtstreeks met het incident te maken hebben. Die heb je in stap 3 van het Incident Management Playbook al ingelicht. Belangrijk voor deze stap in het Incident Management Playbook is dat het een communicatie- en meldingsstrategie bevat. Niet alleen richting externe doelgroepen maar ook richting interne stakeholders. Maak sjablonen die het IRT kan gebruiken om snel communicatie en rapporten op te stellen voor externe organisaties en instanties.

Stap 6: Leer van het incident en de afhandeling ervan

Een Incident Management Playbook is een levend document, dus onderhevig aan veranderingen. Na een incident moet het worden bijgewerkt met nieuwe processen of procedures. De basis voor deze aanpassingen zijn de ervaringen die opgedaan zijn tijdens de afhandeling van een incident. Deze laatste stap bestaat uit het uitvoeren van een post-mortem. Bepaal de hoofdoorzaak van het incident en identificeer tactieken die de besluitvorming en reactie zouden hebben verbeterd.

Download het Incident Management Playbook

Conclusie: IR in de helft van de tijd

Zonder IR is privacybeheer onmogelijk. Een Incident Management Playbook kan organisaties hierbij helpen. Het kan risico’s beperken en wettelijke verplichtingen helpen nakomen. Dit door het in werking stellen van een consistent, betrouwbaar en geautomatiseerd plan.

Een platform voor het beoordelen van risico’s kan ook de tijd die het IRT nodig heeft om op een incident te reageren halveren. Technologie als deze stelt het team in staat om accurate en tijdige beslissingen te nemen als er meldingen binnenkomen. In een steeds complexer wordend landschap van datalekken is dat vanzelfsprekend belangrijker dan ooit.

OneTrust Incident Management is ontworpen om incidenten centraal te beheren, taken te automatiseren en records bij te houden voor compliance en het melden van incidenten. In combinatie met OneTrust DataGuidance, kun je context-bewuste, geautomatiseerde workflows bouwen om te reageren op incidenten, op basis van de van toepassing zijnde regelgeving. Deze tools helpen privacy-eindverantwoordelijken om de kloof tussen privacy en beveiliging te overbruggen. Dit is mogelijk door het automatiseren van incidentmeldingen en het opslaan van de audit trails die nodig zijn voor compliance.

Wil je meer te weten komen over Incident Management? Sluit dan 25 november aan bij het OneTrust webinar over dit onderwerp. Deelname is gratis en je ontvangt er 1 CPE credit voor. Klik hier om je in te schrijven. Ook door op onderstaande afbeelding te klikken kom je op de webinarpagina terecht.