Document toolboxDocument toolbox


Cyber Response Team


5.2 Evalueer de crisisaanpak

Ongetwijfeld doen alle interne en actoren hun uiterste best om de crisissituatie zo goed als mogelijk te verhelpen, maar dit wil niet zeggen dat het niet de moeite loont om achteraf te kijken wat goed liep en wat beter zou kunnen. De dreiging van cybercriminaliteit zal enkel toenemen in de komende jaren. Door de crisissituatie als leermoment aan te grijpen, kan je je lokaal bestuur nog beter klaarstomen voor mogelijke incidenten in de toekomst. 

Ongeveer 2 tot 6 weken nadat de crisiswerking werd afgebouwd, is het dan ook een goed idee om het Incident Response Team samen te roepen om het logboek te overlopen, de genomen acties te beoordelen en te kijken naar bredere lessen die relevant kunnen zijn voor nieuwe crisissituaties. Naast een evaluatie met de gehanteerde crisisstructuur, is het echter ook wenselijk om alle medewerkers binnen het lokaal bestuur te bevragen. De kans is groot dat zij evenzeer belangrijke inspanningen hebben moeten leveren om de werking draaiende te houden en het incident onder controle te krijgen. Het is dan ook niet meer dan logisch dat zij ook gehoord worden tijdens deze oefening. Vertrek bij de evaluatie ook steeds vanuit een constructieve insteek, mogelijks had het incident vermeden kunnen worden, maar het gaat hier nog steeds over een criminele actie en een complexe problematiek. 

Hoe de evaluatie er concreet uit moet zien, zal sterk afhankelijk zijn van de aanwezige kanalen en het incident zelf. Desondanks zijn er enkele vragen die idealiter zeker aan bod komen: 

  • Werden de aanpak en de procedures voor cyberveiligheidsincidenten gevolgd?

  • Bleken de gehanteerde aanpak en procedures geschikt om de crisissituatie onder controle te krijgen?

  • Moeten bestaande plannen - zoals het business continuïteitsplan (BCP) of crisiscommunicatieplan - aangepast worden?

  • Verliep de informatiedoorstroming naar behoren, zowel intern als extern? Of had deze sneller kunnen verlopen via een andere aanpak?

  • Zijn er acties of beslissingen die het herstel mogelijk verhinderd hebben op de een of andere manier?

  • Had het cyberveiligheidsincident op de een of andere manier vermeden kunnen worden?

  • Hadden de aanwezige data - en dan zeker persoonsgegevens - beter beveiligd kunnen worden?

  • Zijn bijkomende middelen nodig om toekomstige cyberveiligheidsincidenten beter te detecteren, analyseren en bestrijden?

  • Welke oplossingen of maatregelen kunnen soortgelijke incidenten in de toekomst voorkomen? Voor inspiratie kan je beroep doen op de CCB-cyberguide.

  • Is er voldoende interne capaciteit om toekomstige cyberveiligheidsincidenten te detecteren, analyseren en bestrijden? Indien niet kan het nodig zijn om bijkomend aan te werven of externe hulp in te schakelen.

  • Zijn er voortekens of indicatoren die het lokaal bestuur kan monitoren om incidenten makkelijker op te sporen in de toekomst?

  • Was de gekozen samenstelling van het Incident Response Team geschikt om het cyberveiligheidsincident correct en efficiënt aan te pakken? 

Dit is een document voor publiek gebruik.