Syftet med bra incidenthantering är att testa ditt företags möjlighet att stå upp mot ett säkerhetshot. Det slutgiltiga målet är att kunna hantera händelsen så den inte skadar bolaget. Samtidigt ska planen se till att allting fungera som det ska så snabbt som möjligt och till så liten kostnad som möjligt.

Tyvärr är det inte alltid så det ser ut. I de fall där bolagen har rutiner fastslagna är de inte sällan bristfälliga skriver IDG News. De kan vara allt för vaga och innehåller inte information från andra affärsområden än informationssäkerhet och it. De håller kort och gott inte måttet. Så här följer några goda råd för att landa rätt.

1. Omvärldsanalys och rollfördelning

Enligt en amerikansk studie saknar ett av tre bolag rutiner för att incidenthantering. För de som faktiskt har en plan saknar den alltför ofta kritisk information och inkluderar inte rätt personer. Dåligt uppdaterade, inte särskilt användbara samt allt för allmänt vedertagna – så lyder konsultbolaget McKinseys dom. Att börjar om från ruta ett, kartlägga strukturer och de anställdas roller är därför ofta bästa sättet att gå till väga.

Läs också: Efter kritiken: Så ska regeringen stärka Sveriges it-säkerhet

Första rådet är således att tidigt i processen involvera rätt människor, de som äger, hanterar och underhåller dokumentationen. Det underlättar att hanteringen går från ett specifikt initiativ till något som finns med i de vardagliga rutinerna. Andra delar som också bör vara med är nyckelkomponenter som identifierar och avhjälper attacker samt ramverk för dataklassificering.

Viktigt är att planen för incidenthantering går i linje med vad som är centralt och viktigt för företaget och dess verksamhet, företagets kultur och hur de ska möta upp mot hot utifrån, säger Sloane Menkes, säkerhetsexpert på PWC.

2. Identifiera relevanta affärsområden och involvera dem

Som med de flesta säkerhetsproblem fallerar ofta svaga och otestade planer för incidenthantering för att de fastnat i it-säkerhetsavdelningens silo-struktur. En välfungerande plan kräver samarbete mellan olika avdelningar, inte minst för att om eller när en sådan attack sker måste samarbetet redan vara på plats för att snabbt hindra ytterligare skada.

Om en återförsäljare har hackats och blivit av med kundernas kreditkortsuppgifter måste ett flertal avdelningar vara med i räddningsaktionen. Pr- och marknadsavdelningen måste informera kunderna, webbutvecklarna måste hitta och lösa mjukvarufel, it-driften måste undersöka nätverket.

Så vilka ska vara med?

– Utanför den typiska it-säkerhetsgruppen och andra stödfunktioner på it-avdelningen bör varje organisation ta fram en list över vilka de tycker ska vara med i incidenthanteringen. Företagsledningen, kritiska affärsgrupper, analytiker, hr-avdelningen, jurister, pr-avdelningen. Men också polismyndigheter, säkerhetskonsulter och återförsäljare är lämpliga att ha på listan, säger Sean Mason, ansvarig för incidenthantering på Cisco.

3. Identifiera kpi:er för att analysera händelsen

Exakt vad som är en bra säkerhetsplan är troligen subjektivt, det finns ingen lösning som passar alla. Men det finns några faktorer, kpi:er, som av experter kan indikera vad som är en lyckad incidenthantering. Faktorer som kan vara både kvalitativa och kvantitativa.

Till de faktorer som kan mätas kvantitivt räknas tid till att ett angrepp upptäckts, hur snabbt det rapporterats – något som är särskilt viktigt i och med de skärpta kraven i gdrp – prioriteringar och undersökningar. Kpi:er av mer kvalitativ art kan vara sådana faktorer som antalet falska positiv, typ av attack och vilket verktyg det var som upptäckte händelsen.

– Personalen som har hand om incidentrapportering borde inte vara rädda för kpi:er eller statistik. De är helt enkelt där som mått för hanteringen. Förstå hur de fungerar och du kan kommunicera direkt med ledningen. Företag använder kpi för att mäta prestanda och svarstider, så genom att välja rätt mått kan teamet få tillgång till mer resurser och bättre stöd från organisationen, säger Steve Armstrong, SANS-instruktör.

Läs också: Notan efter cyberattackerna: Wannacry och Petya har kostat 69 miljarder kronor

4. Testa, testa och testa igen

Ett återkommande problem är att företag inte stresstestar sin incidenthantering tillräckligt. En slags brandövning där alla berörd parter deltar. Det har till och med visat sig att företag inte ens vet hur en sådan övning ska gå till.

Att testa planen mot ett verkligt scenario, som en cyberattack, gör att rutinerna hela tiden är uppdaterade och anpassade för de hot som är aktuella just nu. Samtidigt som man också får hjälp att identifiera svagheter i den egna organisationen. Samt ger en inblick i vad en attack kan kosta företaget.

– Det är viktigt att förstå att många företag tar fram planer, men de testas inte. Tester kan vara en logistisk mardröm och tar ofta en hel dag i anspråk, om inte fler. De största hindren som ligger i vägen är relaterade till tid, koordinering och engagemang från ledningen. Tester kräver också att cheferna diskuterar problem som inte specifikt påverkar den dagliga verksamheten, och som därmed måste se som mindre känsliga, säger Neal Pollard, chef för cybersäkerhetsprodukter på Pwc.

5. Utvärdera, hela tiden

Incidenthantering måste ständigt ses över. Och aldrig är det så viktigt som när ett företag växer.

– En IR-plan måste vara robust nog att ge ett bra ramverk att verka inom, men flexibelt nog att hantera vad man än kastar på den. Flexibilitet betyder här hur lätt planen kan uppdateras. Den borde utvärderas och uppdateras på en hyfsat regelbunden basis, säger Sean Mason från Cisco.

6. Avgör vad en händelse faktiskt är

När ni tagit reda på vilka mått en händelse ska mätas efter är det också bra att enas om vad som ska räknas som en händelse. När ska larmet gå? Genom att förtydliga detta, gemensamt, kommer ni kunna lista ut vad ni ska agera på, och vad som kan lämnas därhän. Samtidigt ser ni till att säkerhetsteamet faktiskt bara jobbar med de mest allvarliga problemen.

För att nämna några exempel: är det en attack eller en incident, måste attacken ha fungerat för att åtgärder ska sättas in. När de definitionerna är på plats bör företaget genomföra en granskning där de går igenom hot, risker och potentiella fallgropar utifrån de mått de tagit fram.

7. Bygg ett stabilt team

Team som jobbar med incidenthantering analyserar rapporter om säkerhetsintrång och hot för att utveckla organisationens rutiner och strategi. De här grupperna kan se ut på olika sätt och bestå av olika funktioner. Medlemmarna kan vara den egna personalen eller externa aktörer, eller en kombination.

Läs också: Microsoft kräver att världens regeringar skyddar civila från cyberattacker

Vanligtvis består de här grupperna av personer som representerar en lång lista av nödvändiga egenskaper, säger Steve Armstrong. Det handlar om personer som är bra på att testa systemen, bra på analys, personer som är grymma it-forensiker. Men glöm inte bort chefen. En person som förstår tekniken, men som också kan prata med ledningen – det är enhörning ni letar efter säger Armstrong.

8. Implementera rätt verktyg

En bra plan för incidenthantering kretar kring transparens och förståelse för nätverket, möjligheten att upptäcka attacker, lämpliga larmsystem, säkra kommunikationsvägar och goda kopplingar till resten av företaget.

Bra underrättelseuppgifter kommer ge transparens och förståelse för angriparnas aktivitet, och goda kommunikationer kommer låta IR-teamet förklara hur angreppet gått till för resten av företaget så de kan planera rätt insatser, säger Steve Armstrong.

9. Slå fast en kommunikationsstrategi

Nyckel i all form av incidenthantering är kommunikation. Och det är särskilt viktigt att en strategi är på plats som säger hur tredje part ska informeras om något händer. Eller även grupper internt då det är lämpligt. Polisen tillhör en av de som bör kontaktas