Cyber Recovery

Cyber Recovery: wat moet je echt herstellen en wat niet?

In eerdere blogs stonden we stil bij het belang van kunnen herstellen na een cyberaanval. Maar: hoe bepaal je wat je moet herstellen en wat minder urgent is? Moet je alles herstellen of richt je je op de belangrijkste onderdelen? Wat zijn eigenlijk de belangrijkste onderdelen? En: hoe bepaal je dat? Dit zijn enkele cruciale vragen die organisaties zichzelf moeten stellen wanneer ze een Cyber Recovery-plan opstellen.

Uiteindelijk komt het neer op het maken van doordachte keuzes op basis van functionele en technische inzichten. Echter, uit onderzoek blijkt dat veel organisaties nog onvoldoende overzicht in hebben in wat hun kritieke functies zijn. Sterker nog, onderzoek bevestigt ook dat veel organisaties überhaupt het overzicht missen in welke activiteiten zij uitvoeren, in welke mate deze bijdragen aan de organisatiedoelstellingen en welke IT daarin (en in welke mate) een rol speelt*.

Alles herstelbaar maken dan maar? Vanuit kosten perspectief is dat op de lange termijn wellicht ook niet handig: heb je een of meerdere (cloud)datacenters beschikbaar waarin alles hersteld kan worden? En, o ja, die datacenters moet je eigenlijk nooit hoeven te gebruiken.

Kortom: het lijkt erop dat het maken van doordachte keuzes in wat wel en niet hersteld moet worden de beste / meest langdurige oplossing is. Maar waar moet ik aan denken? Laten we dat verkennen aan de hand van een gestructureerde aanpak, waarbij we kijken naar kritieke functies, afhankelijkheden en hoe je prioriteiten stelt in je herstelstrategie.

Hoe bepaal je wat je moet herstellen?

Een van de grootste uitdagingen in Cyber Recovery is het bepalen van wat je echt nodig hebt om snel weer operationeel te zijn. De meeste organisaties werken met een Business Impact Analysis (BIA) om te bepalen welke functies en systemen prioriteit hebben. De BIA helpt bij het classificeren van activiteiten en tooling die cruciaal zijn voor je bedrijfsvoering. Maar hoe gedetailleerd is dat inzicht werkelijk? Vaak blijft het beperkt tot de tools die worden gebruikt en missen we een duidelijk beeld van de afhankelijkheden tussen systemen en (bedrijfs)activiteiten. Behalve dat dit laatste wat mij betreft cruciaal is om een BIA goed uit te kunnen voeren, mist er nog iets. Waar de BIA meestal is gericht op de afhankelijkheden van IT voor de continuïteit van de organisatie, mist vaak (terecht) in de BIA de afhankelijkheden van IT om de IT te continueren. Bijvoorbeeld: de BIA maakt (hopelijk) een verbinding tussen bedrijfsvoering en ondersteunende applicaties en andere IT-systemen. Echter, de IT-systemen die in de BIA zijn opgenomen, zijn op hun beurt ook weer afhankelijk van allerlei elementen. Denk aan certificaten, wachtwoordkluizen waarin wachtwoorden van beheeraccounts staan, besturingssystemen met bepaalde instellingen en ga zo maar door. Om goed te kunnen herstellen is ook dit inzicht een must.

Kortom, om te bepalen wat kritiek is, is inzicht nodig in:

1. De bedrijfsactiviteiten, in welke mate deze van belang zijn voor de continuïteit van de organisatie en welke (soort) informatie gebruikt/verwerkt wordt in die activiteiten;
2. De applicaties en andere IT-systemen die de bedrijfsactiviteiten ondersteunen en in welke mate dat ze dat doen;
3. De afhankelijkheden die de IT-systemen kennen om te kunnen functioneren.

Zonder deze inzichten herstel je niet de belangrijkste zaken en/of duurt herstel mogelijk (veel) langer dan nodig. Het mooie? De meeste organisaties zijn al zo ingericht dat deze drie inzichten opgehaald kunnen worden bij verschillende afdelingen:

Voor inzicht #1 en #2 zijn het de mensen op de werkvloer en/of management die de inzichten zou moeten kunnen geven:

• Het hebben van een dataclassificatiemodel, waarin ten minste classificaties ten aanzien van de beschikbaarheid, integriteit en vertrouwelijkheid van data wordt stilgestaan, helpt bij het bepalen van het bepalen van belang van activiteiten. Tegelijkertijd kan op basis van gestructureerde analyses en onderbouwingen er best wel eens een scheef beeld ontstaan over wat belangrijk is en wat minder. Daarom is het goed om ongeacht wat de modellen als uitkomst bieden altijd de resultaten onderling te vergelijken van activiteit tot activiteit en desnoods het gehanteerde model te overrulen.

Voor #3 moet je bij IT zijn:

• Een goed CMDB kan het gemakkelijk maken om het inzicht snel te bieden.
• Is beheer van je IT uitbesteed? Nog mooier, dan is het meestal aan de IT-dienstverlener om dit inzicht te hebben en is het aan jou om goede afspraken te maken over beschikbaar maken van IT na een cyberaanval.

Maar wat als je je vergist?

Hoewel automatisering van bovenstaande absoluut kan helpen, is er altijd een kans dat je wat zaken mist of verkeerd hebt opgenomen in de gevraagde inzichten. Er is immers in ieder van de uit te voeren activiteiten sprake van enige mate van afhankelijkheid van mensen. En waar mensen werken, worden fouten gemaakt.

Wat dus als die fouten zijn gemaakt bij het maken van die inzichten? Je zult het in deze reeks nog wel een paar keer lezen: testen, testen, testen. De enige manier om er echt achter te komen is door te gaan testen. Hoe en wat te testen, dat komt later nog wel eens aan bod.

Cyber Recovery-plan in kaart brengen

Veel organisaties hebben hun recovery-plannen nog niet volledig in kaart, vooral als het gaat om het bepalen van prioriteiten en afhankelijkheden. Zonder gedegen inzicht in wat er hersteld moet worden en in welke volgorde, loop je het risico op onnodige vertragingen en extra schade. Het is tijd om je herstelstrategie tegen het licht te houden: Heb jij helder wat er hersteld moet worden na een aanval?

Neem contact op om te ontdekken hoe we jouw Cyber Recovery-plan kunnen optimaliseren. Samen zorgen we ervoor dat je snel en effectief herstelt, zonder dat je iets over het hoofd ziet. Afspraak maken voor een vrijblijvend gesprek? Bel me op 06 417 731 52 of mail naar toine@arcpeople.nl.

* Kanttekening: wat dat betreft ligt er voldoende uitdaging om te gaan voldoen aan DORA en in iets mindere mate NIS2.