Alle vil før eller siden oppleve en uønsket hendelse knyttet til sine digitale enheter eller systemer. Da er det viktig å ha tenkt gjennom hvordan man skal håndtere slike hendelser. De som har en strukturert tilnærming til hendelseshåndtering kommer raskere tilbake til normaltilstand, og får redusert konsekvensene av hendelsen sammenlignet med andre.
Hva er en sikkerhetshendelse
En sikkerhetshendelse er en aktivitet eller situasjon som har forårsaket skade på eller truer personell, informasjon eller andre verdier.
Forberedelser
Bedriftens verdivurdering og risikovurdering er sentrale når man skal forberede og planlegge hendelseshåndtering. Verdivurderinger vil fortelle noe om hva som er essensielt for å holde virksomheten i gang, mens risikovurderinger kan blant annet fortelle noe om sikkerhetstiltak som er vurdert men ikke iverksatt.
Ledelsen bør utpeke ut en fra ledergruppen som skal stå ansvarlig for å lede håndteringen av hendelser. Denne personen må bli gitt nødvendige fullmakter til å håndter hendelsen, og rapporterer direkte til ledelsen.
I tillegg bør det utpekes en gruppe med sentrale personer som når det blir nødvendig står til disposisjon for den som skal lede håndteringen av hendelsen.
Det bør bekjentgjøres og informeres til alle ansatte om hvem disse personene er.
Virksomheten bør utarbeide beredskapsplaner som beskriver:
- varslingsrutiner
- varslingslister
- ansvarsforhold, herunder hvem som skal lede håndteringen
- hvem som er utpekt til å bistå i hendelseshåndtering og hvor de skal møte
- hvilke systemer som er prioritert (basert på bedriftens verdivurdering)
- prosedyrer for å opprettholde den mest nødvendige driften om det verste skulle inntreffe.
- hvilke umiddelbare tiltak som kan være aktuelle ved ulike hendelser
- informasjons- og kommunikasjonsplan
Øv hele eller deler av beredskapsplanene jevnlig, minimum en gang pr år. Pass på at alle ansatte, og spesielt de som skal delta i hendelseshåndteringen, blir øvd. Erfaringsrapporter etter øvelser med anbefalte tiltak sendes til ledelsen.
Vurder å knytte virksomheten til et eksternt responsmiljø som for eksempel et CERT (Computer emergency respons team). Det er opprettet slike miljøer i flere sektorer.
Varsling
Den som oppdager en sikkerhetshendelse skal umiddelbart varsle nærmeste leder.
Varsler som kommer fra eksterne rutes direkte til ledelsen, evt til nærmeste leder.
Videre varsling skjer i henhold til virksomhetens varslingsplan.
Berører hendelsen eksterne, som foreksempel kunder eller leverandører, må disse også varsles.
Håndtering
Ved mottak av varsel, samle kjernegruppen for å håndtere hendelsen. Vurder hendelsens alvorlighet.
Kartlegg omfanget
- hvem (personer/ansatte) er berørt
- hvilke deler av virksomheten er berørt
- hvilke IT-systemer er berørt
Iverksett umiddelbare tiltak dersom det er nødvendig. Fokuser på å stanse hendelsen og begrense skadeomfanget.
Samle all tilgjengelig informasjon som kan være relevant. Sikre eventuelle tekniske spor.
Vurder behov og tilkall eventuell støtte fra eksterne responsmiljøer eller kompetansemiljøer.
Rapporter framdrift fortløpende til ledelsen.
Informer berørte både innad i bedriften og eksterne.
Etterarbeid
Legg inn nødvendig data fra sikkerhetskopi.
Oppdater programvare og operativsystem. Lukk eventuelle sårbarheter som er blitt utnyttet.
Anbefal nye sikkerhetstiltak eller justering av eksisterende tiltak.
Gjør en evaluering av hvordan håndteringen ble gjennomført. Dokumenter erfaringspunkter og foreslå forbedringer i en rapport til ledelsen.
Mistenker man at hendelsen skyldes et lovbrudd bør dette alltid anmeldes til Politiet fra daglig leder.