Incident response plan: wat verwacht een auditor en hoe stel je het op?

Een incident response plan (IRP) beschrijft hoe een organisatie reageert op beveiligingsincidenten. Het is een van de meest getoetste controls bij IT-audits en wordt vereist door vrijwel elk framework: SOC 2, ISO 27001, NIS2, DORA en de AVG stellen allen eisen aan de incidentrespons van organisaties.

De noodzaak van een IRP is evident. Wanneer een beveiligingsincident plaatsvindt, is er geen tijd om procedures te bedenken. Elk uur telt: bij ransomware verspreidt de versleuteling zich, bij een datalek worden meer gegevens gecompromitteerd, en toezichthouders verwachten snelle melding. Een vooraf opgesteld en geoefend plan is essentieel.

De structuur van een effectief IRP begint met definities. Wat beschouwt de organisatie als een beveiligingsincident? Welke classificatieniveaus worden gehanteerd? Een incident wordt doorgaans ingedeeld in niveaus van ernst, van een phishingpoging op één medewerker tot een volledig gecompromitteerd netwerk.

Rollen en verantwoordelijkheden vormen het hart van het plan. Wie leidt het incident response team? Wie communiceert naar het management, naar klanten, naar toezichthouders? Wie neemt technische maatregelen? De auditor controleert of deze rollen zijn vastgelegd, of de betrokkenen hun rol kennen, en of er plaatsvervangers zijn aangewezen.

De incidentrespons verloopt in fasen. Detectie en analyse: hoe worden incidenten geïdentificeerd en hoe wordt de ernst vastgesteld? Inperking: welke maatregelen worden genomen om de impact te beperken? Eradicatie: hoe wordt de oorzaak verwijderd? Herstel: hoe worden systemen hersteld naar normale operatie? Evaluatie: wat zijn de lessen en hoe worden deze vertaald naar verbeteringen?

Communicatie verdient bijzondere aandacht. De AVG vereist melding bij de Autoriteit Persoonsgegevens binnen 72 uur bij een datalek. NIS2 stelt vergelijkbare eisen voor significante incidenten. DORA vereist melding bij de financiële toezichthouder. Het IRP moet communicatiesjablonen en escalatiepaden bevatten voor elk scenario.

Testen is het onderdeel dat vaak ontbreekt en waar auditors kritisch naar kijken. Een plan dat nooit is geoefend biedt schijnveiligheid. De auditor verwacht dat het IRP periodiek wordt getest door middel van tabletop-oefeningen, simulaties of in het beste geval volledige incident-simulaties. Testresultaten moeten worden gedocumenteerd en lessen moeten leiden tot aanpassingen van het plan.

Secure Audit beoordeelt incident response plannen als standaard onderdeel van IT-audits en kan adviseren over het opstellen of verbeteren van uw IRP. Neem contact op voor advies.