Målet med prinsippet: Virksomheten håndterer hendelser korrekt og med riktige ressurser slik at spredning og konsekvenser minimeres og normaltilstand opprettholdes eller gjenopprettes effektivt.
Hvorfor er dette viktig?
Når en hendelse inntreffer er det fort gjort å slå full alarm. Man bør beholde roen og samtidig varsle og involvere de riktige personene hurtig. Dersom virksomheten ikke forstår omfanget av et dataangrep, hvilke deler av IKT-infrastrukturen som er rammet og ikke håndterer dette riktig, kan konsekvensene bli katastrofale.
Følg fastsatte prosedyrer basert på klassifisering av hendelsen og involver personell med spesialkompetanse på IKT-systemet og den daglige driften. Uansett type hendelse vil det være en del felles prinsipper som skal gjelde. Undersøk utbredelse og skadepotensiale. Hendelsesdata og situasjonsbildet bør holdes så oppdatert som mulig gjennom hele håndteringen. Man må være forberedt på eventuell eskalering og nye, samtidige hendelser og sørge for god kommunikasjonsflyt mellom involverte parter.
Reaktive tiltak bør settes i gang så snart man har nok informasjon. Alle aktiviteter og avgjørelser bør logges slik at man i etterkant kan vurdere hendelsesforløpet. Interne og eksterne som er berørt av hendelsen bør, så langt det lar seg gjøre, holdes oppdatert om situasjonen. Når en hendelse har oppstått vil tillit til tjenester, systemer og IKT-infrastruktur naturlig nok svekkes. Effektiv hendelseshåndtering vil bidra til å gjenopprette denne.
Tilhørende tiltak
Utdypende informasjon
Handlingsmønsteret ditt vil avhenge av type hendelse. Det er for eksempel forskjell på om en hendelse akkurat har oppstått og eskalerer i omfang eller om en hendelse har pågått over lengre tid, og er i en «stabil» fase:
- Scenario 1: Ved omfattende spredning av skadevare som selvspredende kryptovirus – kast deg rundt og stopp angrepet!
- Scenario 2: Dersom «noen» har fått fotfeste i virksomheten over en lengre periode – vent, observer, forstå, handle. Er virksomheten utsatt for en avansert trusselaktør med godt fotfeste kan feil handling føre til at aktøren går i dvale eller benytter mindre synlige angrepsmetoder. Dette vil gjøre det vanskeligere å avklare skadeomfang, sikre bevis og fjerne aktøren.
En tommelfingerregel er at man har 2 timer fra «noe» skjer i Europa til man må ta en beslutning i egen virksomhet på hvordan man skal agere.