Incidentmanagement. Dat woord alleen al schrikt veel MKB’ers af. Het klinkt groot, formeel en alsof je er een dikke map, een consultant en een certificaat voor nodig hebt. Goed nieuws: dat hoeft allemaal niet. Incidentmanagement kan ook gewoon praktisch, laagdrempelig en passend bij de realiteit van een jouw organisatie. En juist dán voegt het waarde toe.
Laten we eerst even terug gaan naar de basis.
Wat is een incident (en wat niet)?
In de context van informatiebeveiliging is een incident eigenlijk heel simpel: iets gebeurt wat niet zou moeten gebeuren en wat mogelijk impact heeft op je bedrijfsvoering.
Dat kan groot zijn (een ransomware-aanval), maar ook klein:
- een medewerker mailt per ongeluk een bestand met klantgegevens naar de verkeerde persoon
- een laptop wordt gestolen uit een auto
- een systeem ligt een paar uur plat door een mislukte update
Belangrijk: een incident hoeft niet meteen een ramp te zijn. Het gaat er vooral om dat je doorhebt dat er iets misgaat, en weet wat je dan doet.
Waarom zou je hier als MKB’er iets mee moeten?
“Dat lossen we wel op als het gebeurt”hoor ik vaak. En eerlijk is eerlijk: dat doen de meeste MKB’ers ook. Alleen… zonder afspraken kost dat op zo’n moment:
- extra tijd
- extra stress
- en vaak onnodig extra schade
Incidentmanagement gaat dus niet over het voorkomen van álles (dat lukt niemand), maar over sneller en rustiger reageren als het misgaat. Net als een brandblusser: je hoopt hem nooit nodig te hebben, maar je wilt wél weten waar hij hangt.
Hou het bewust klein
Een veelgemaakte fout is dat incidentmanagement meteen groots wordt aangepakt. Procedures van twintig pagina’s, ingewikkelde classificaties, rollen en verantwoordelijkheden waar niemand zich in herkent. Voor het MKB is dat meestal overkill.
Mijn advies: begin met drie simpele vragen.
1. Wanneer noemen wij iets een incident?
Maak dit concreet. Bijvoorbeeld:
- datalekken (of vermoeden daarvan)
- uitval van kritieke systemen langer dan X uur
- diefstal of verlies van apparatuur met bedrijfsdata
Schrijf dit op in normale mensentaal. Als een medewerker twijfelt: “Is dit een incident?” dan is het antwoord meestal: ja, melden.
2. Wie moet je bellen of appen?
Dit is misschien wel het belangrijkste onderdeel.Leg vast:
- wie het eerste aanspreekpunt is
- wie beslist wat er gebeurt
- wie eventueel extern wordt ingeschakeld (IT-leverancier, jurist, accountant, verzekeraar)
Voor veel MKB’ers is dat gewoon:
“Bel Piet. En als Piet er niet is: bel Anna.”
Dat is prima. Zolang iedereen dat maar weet.
3. Wat is de eerste actie?
Niet het hele draaiboek, maar de eerste stap. Bijvoorbeeld:
- niets verwijderen of ‘even snel oplossen’
- screenshots maken
- systeem loskoppelen van internet
- incident vastleggen (wat, wanneer, wie)
Die eerste actie voorkomt vaak dat een klein incident groter wordt.
Vastleggen zonder bureaucratie
Je hoeft geen ingewikkeld ticketsysteem. Een simpel document of spreadsheet is vaak genoeg waarin je noteert:
- datum
- wat er gebeurde
- wat de impact was
- wat je gedaan hebt
Waarom?Niet (alleen) voor auditors of regels, maar voor jezelf. Zodat je patronen ziet. En zodat je bij een volgend incident niet opnieuw het wiel hoeft uit te vinden.
Oefenen zonder paniek
Je hoeft geen crisisoefeningen met sirenes. Maar loop het eens rustig door:
“Stel: morgenochtend zijn al onze bestanden versleuteld. Wie belt wie?”
Dat gesprek van een half uurtje levert vaak meer op dan tien pagina’s beleid.
Tot slot
Incidentmanagement in het MKB hoeft niet perfect. Het hoeft alleen werkbaar te zijn. Iets wat past bij hoe jullie écht werken. Begin klein, maak het concreet en accepteer dat je het onderweg bijschaaft.
Want incidenten ga je niet altijd voorkomen.Maar verrast worden door je eigen chaos? Dat kun je wél voorkomen.