Under 2024 behöver många svenska verksamheter stärka sin beredskap mot cyberhot – och att ha planer och processer för incidenthantering på plats är ett av kraven.
Det är ett komplext arbete med många fallgropar – Cisco Talos ger råd kring hur man undviker dem.
När NIS2-direktivet blir svensk lag i oktober nästa år, kommer det att påverka arbetet för många svenska arbetsgivare, både inom näringsliv och offentlig sektor – minst 10 000 organisationer beräknas påverkas.
Flera av kraven handlar om hur man hanterar säkerhetsincidenter, där direktivet slår fast vilka konkreta handlingsplaner, processer och policies verksamheter måste ha på plats.
På grund av ämnets komplexitet och de många olika formerna av cyberhot finns det många utmaningar när man som företag ska forma en plan för incidenthantering, särskilt om man börjar från början utan att ha en befintlig grund att bygga vidare på.
Cisco Talos, Ciscos avdelning för cyberhotforskning och analys, har samlat de vanligaste misstagen och konkreta råd för att undvika dem under det intensiva cybersäkerhetsarbete som väntar de kommande månaderna.
- Inte se sammanhangen
En plan blir mindre effektiv och genomförbar om den inte tar hänsyn till vad som redan finns. Även om man inte har en formell plan sedan tidigare, har nästan alla företag regler och arbetssätt som stärker cybersäkerheten redan idag. Dessa olika regler kan ses som pusselbitar som tillsammans formar en bild. De behöver inte upprepa sig men behöver hänga ihop – och ha det strategiska och det taktiska på rätt plats.
”Om man inte har en klar och tydlig dokumenthierarki att förhålla sig till löper man risk att överbelasta planen med specifika taktiska handlingar som hör hemma längre ner i hierarkin, och det blir svårare för de som ska hantera incidenterna att hitta den viktigaste informationen”, konstaterar rapportförfattarna.
Ett annat vanligt misstag är att inte inkludera alla som har ansvar för delar av verksamheten som påverkas av planen – inklusive delar av organisationen som ligger utanför IT. Det innebär både att man missar möjliga sammanhang som redan finns, och att det finns risk för att vissa åtgärder stör eller försvårar arbetet på sätt man inte hade tänkt på. Det finns oftast sätt att komma runt sådana problem – men bara om man lyssnar på varandra.
- Titta för närsynt – eller för långsynt
En plan kan både vara för generell och för specifik. För att undvika det, tänk så här: Planen ska besvara vilka personer eller roller som har ansvar för olika delar av incidenthanteringen, en övergripande beskrivning vad som ska göras, när de viktigaste handlingarna ska utföras och hur de olika säkerhetsverktygen man har till hands ska användas. Den ska inte vara alltför detaljerad när det gäller specifika scenarion – däremot kan detaljerade taktiska planer utformas utifrån den.
- Inte provköra – eller uppdatera
Att ha en incidenthanteringsplan på plats är bara första delen av arbetet. Hotlandskapet är dynamiskt och i ständig utveckling, och den andra sidan är både uppfinningsrik och resursstark. Därför är det viktigt att uppdatera planen regelbundet – helst åtminstone en gång per år, för att den ska fortsätta vara ett effektivt dokument.
Det är också viktigt att faktiskt testa planen och verktygen regelbundet för att säkerställa att både beslutsprocesser, informationskedjor och väsentliga skyddssystem fungerar som de ska.
Ett bra sätt att göra det är genom krisspel, att åtminstone en gång om året samla de som berörs av säkerhetsplanen och genomföra en simulerad incident.
”Om de genomförs på ett rätt sätt blir det en möjlighet för alla involverade att se planen med nya ögon, och få insikt både i hur kraftfull en välskriven och väl uppdaterad plan är, och identifiera områden som behöver förbättras”, skriver rapportförfattarna.
