Cyber Response Team
3.8 Upgrade medewerkers die instaan voor kritieke processen
- Raf Geuns (Unlicensed)
In de eerdere fases werd het Incident Response Team voorzien van de nodige middelen en instrumenten om hun taken binnen de crisiswerking zo goed als mogelijk uit te voeren. Zodra de remediërings- en herstelfase ingezet wordt, dient diezelfde oefening uitgevoerd te worden voor medewerkers die instaan voor tijdskritieke processen en dienstverlening. Later kan deze stap natuurlijk ook uitgebreid worden naar andere diensten en medewerkers.Â
Enkele zaken die mogelijk van pas kunnen komen zijn:Â
Laptops met 4G-verbinding (via toestel of routers)
Printers (met USB-kabels)
USB-sticks en harde schijven voor het opvragen van informatie: belangrijk is hierbij wel dat deze na elke update van informatie volledig gescand worden
Cloudopslag met strenge beveiliging (bijvoorbeeld via OO-drive of TresorIT)
Daarnaast kan het ook nuttig zijn om een reeks emailadressen te activeren op een maildomein voor noodzakelijk werkgerelateerd verkeer.
Â
Verdieping: Wat met de heropstart van het gebruikersbeheer?
Na de heropstart van servers, indien afgeschakeld, kan ingegaan worden op het gebruikersbeheer via de domeincontrollers. Net als bij servers, is het hier wijselijk om gefaseerd te werk te gaan, zodat voldoende controles kunnen ingebouwd worden.
Dit proces ziet er als volgt uit:
De gebruikers worden in fases terug in dienst gezet:
IT-administratoren
Leden van het Incident Response Team
Medewerkers die instaan voor kritieke processen
Medewerkers wiens dienstverlening in mindere mate afhankelijk is van vastgelegde tijdsordes
Vooraleer een gebruiker zich terug mag aanmelden in het domein, moet het wachtwoord eerst gereset worden. Dit wordt best ook rechtstreeks naar de respectievelijke gebruikers gecommuniceerd.
Indien nodig kan een éénmalige code gegeven worden die bij de eerste inlogpoging meteen gewijzigd moet worden.
Dit is een document voor publiek gebruik.