Home

hændelsesrespons

Hændelsesrespons er den systematiske tilgang til at opdage, analysere og håndtere informationsteknologiske hændelser og andre kritiske forstyrrelser i en organisation. Målet er at begrænse skader, nedetid og tab af data gennem veldefinerede processer, ressourcer og teknologier. Hændelsesrespons kræver koordinering mellem it-sikkerhed, drift, juridisk afdeling og ledelsen samt klare kommunikationskanaler til interne og eksterne interessenter.

Livscyklussen for hændelsesrespons består typisk af fem faser: forberedelse, detektion og analyse, inddæmpning, udryddelse og gendannelse,

Roller og governance involverer et hændelsesrespons-team eller CSIRT, understøttet af it-drift, sikkerhedsoperationer, juridisk afdeling og kommunikation,

Rammeværk og standarder inkluderer NIST SP 800-61 og ISO/IEC 27035, suppleret af gældende lovgivning og rapporteringskrav,

samt
efteranalyse
og
forbedring.
Forberedelse
omfatter
politikker,
træning,
runbooks
og
opbygning
af
et
hændelsesrespons-team.
Detektion
og
analyse
fokuserer
på
hurtig
identifikation,
vurdering
af
omfang
og
indkredsnning
af
relevante
aktører
og
konsekvenser.
Inddæmpning
begrænser
spredning
og
stabiliserer
driften;
udryddelse
fjerner
årsager
og
kompromitterende
komponenter;
gendannelse
får
systemer
tilbage
i
normal
tilstand
og
bekræfter
sikkerheden.
Efteranalysen
dokumenterer
årsager,
konsekvenser
og
svarets
effektivitet
samt
identificerer
forbedringsmuligheder.
med
ledelsen
som
beslutningstager.
Mange
organisationer
bruger
playbooks
og
forensics
til
evidensindsamling
og
bevarsel
af
kæde
og
dokumentation.
eksempelvis
databeskyttelsesregler.
Effektiv
hændelsesrespons
fører
til
læring,
forbedringer
af
kontroller
og
processer
samt
reduceret
risiko
for
gentagelse.