Incidenthantering för säkerhet och regulatoriska krav – del 1

Share this post:

Den ökande mängden IT-säkerhetshot och regulatoriska krav på senare tid har tydliggjort vikten av att ha en fungerande incidenthanteringsprocess i alla typer av organisationer. Medan många hittills fokuserat på preventiva åtgärder och detektering av säkerhetsintrång lyfter allt fler organisationer fram just incidenthantering som ett område att förbättra och förstärka.

I två blogginlägg kommer jag att lyfta fram svårigheterna med och behovet av en fungerande incidenthanteringsprocess, utifrån  de nya utmaningar som finns inom säkerhet och regulatoriska krav.

Vad är incidenthantering?

Incidenthantering kan kortfattat beskrivas som den process som krävs för att hantera incidenter som inträffar. Det är därför viktigt att tydligt definiera vad en incident är, hur man kan bekräfta att en incident skett och hur man sen kan åtgärda incidenten. I detta blogginlägg kommer jag att fokusera på IT-säkerhetsincidenter, exempelvis dataintrång. Målet med incidenthantering är att ha rätt processer och förberedelser på plats så att man, när en IT-säkerhetincident inträffar, kan avvärja den så snabbt som möjligt och minimera skadan.

Hur ser incidenthantering ut idag?

SANS institut uppger i sin enkät för 2017 att 87% av respondenterna haft minst en IT-säkerhetsincident under 2017. Samtidigt uppger 39% att de har en säkerhetsorganisation som inte är tränad nog för att upptäcka incidenter, varför man kan anta att det finns en mörkertal. Respondenterna i enkäten pekar på utmaningar som resursbrist, svårt att hitta kompetent personal, odefinierade processer och svårigheten att få översikt i sin IT-miljö. 84% av respondenterna uppger att de idag har minst en person som är dedikerade till incidenthantering, och säger också att  detta fortfarande är för lite och att man ofta är beroende av personal från andra delar av organisationen för att hantera en incident. Sammanfattningsvis kan man säga att det finns ett stort behov av att stärka och förbättra incidenthanteringen i många organisationer, både när det gäller tekniska möjligheter att identifiera incidenter och för att få rätt processer och rutiner på plats.

Även i Sverige har incidenthantering varit i fokus, bland annat genom myndigheten för samhällsskydd och beredskaps (MSB) incidentrapporteringskrav för statliga myndigheter. MSB har också fattat beslut att inrätta ”Avdelningen för cybersäkerhet och skydd av samhällsviktig verksamhet” med start den 1 januari 2018 enligt Richard Oehme, tidigare verksamhetschef vid MSB. Regeringen har också varit aktiv i frågan och tagit fram en säkerhetsstrategi som presenterades i juni 2017. I strategin ingår bland annat att stärka Sveriges förmåga att förebygga, upptäcka och hantera cyberattacker och IT-incidenter.

Regulatoriska direktiv och förordningar ställer också också nya krav på incidentrapportering, där exempel som NIS, GDPR och PSD2 kan nämnas. Det gäller då att ha god förståelse för de olika lagstiftningarnas krav och intentioner så att rätt åtgärder tas när en incident, som har påverkan på ett eller flera regulatoriska krav, inträffar.

Varför behöver man se över sin incidenthantering?

Utifrån de exempel vi sett så finns det ett behov att förbättra incidenthanteringsprocessen så att organisationer kan hantera både den ökade mängd av komplexa regulatoriska krav och utmaningarna inom IT- och informationssäkerhet. I nästa inlägg här på THINK-bloggen kommer jag att ta upp hur man kan etablera en process för att hantera dessa utmaningar och ge exempel från fältet.

Hur hanterar ni incidenter i er organisation och vilka bra eller mindre bra exempel har ni sett?
Dela gärna med dig dina erfarenheter antingen här på bloggen eller via LinkedIn!

/Marcus