Identity en access voelen in veel incidentplannen als technische details. Tijdens ransomware blijken ze vaak de sleutel tot ordelijk of chaotisch herstel.
Waarom accounts het hersteltempo sturen
Een systeem kun je pas veilig herstellen als je weet wie nog toegang heeft, welke beheerderspaden vertrouwd zijn en welke rechten eigenlijk te breed stonden. Zodra die vragen blijven liggen, ga je herstellen op instabiele grond. Dat maakt de kans groter dat je opnieuw risico introduceert of cruciale stappen dubbel moet doen.
Daarom is identity-herstel niet iets voor achteraf. Het is een kernbesluit binnen containment en wederopbouw.
Externe partijen maken het ingewikkelder
MSP’s, cloudbeheerders en andere leveranciers hebben vaak eigen accounts of beheerkanalen. In rustige tijden voelt dat efficiënt. Tijdens een incident maakt het onduidelijk wie waarvoor verantwoordelijk is en welke toegang direct moet worden herzien. Oefenen op leveranciers zonder identity mee te nemen is daarom half werk.
De nuttige vraag is niet alleen wie kan helpen, maar ook via welke accounts, beslispaden en prioriteiten die hulp veilig kan landen.
Waarom deze laag vooraf geoefend moet worden
Omdat je onder druk zelden voor het eerst een nette resetvolgorde of privilege-review gaat ontwerpen. Wie identity vooraf koppelt aan restore, leveranciers en meldplicht, bouwt sneller weer vertrouwen op in de omgeving.
Dat is minder zichtbaar dan een heroïsch herstelverhaal, maar in de praktijk vaak veel belangrijker.
- Lees identity, access en herstelvolgorde
- Open leveranciers en incidentrespons
- Ga naar restore-tests