1. Groepssessie 1 (*): Kick Off - Identificeren kritische bedrijfsprocessen en data en eerste stap in het opstellen van een IRP.

Deel 1: Introductie cybersecurity begrippen, inzichten en bouwstenen die nodig zijn bij het opmaken van een IRP

• Voorstelling en einddoelstelling van het lerend netwerk
• Een IRP opmaken als onderdeel van een business continuïty plan (DRP)
• Het incident response plan: een belangrijke bouwsteen binnen het groter geheel van CS maatregelen
• Aelke soorten bescherming - maatregelen - CS maturiteit:
  • Technische CS maatregelen,
  • Beheersprocedures implementeren,
  • Kennis en het bewustzijn
• Introductie cybersecurity begrippen, frameworks en aanpak binnen context van het opstellen IRP:
  • Soorten bedreigingen
  • Introductie CS frameworks: NIST 1.1 (2.0), ENISA, ISO2700X,...
  • Relevantie en impact van: GDPR, NIS2, Cyber Resilience Act
  • Kritische bedrijfsprocessen- en data als mogelijk doelwit identificeren
  • Cyberaanvallen detecteren (via bv. continue monitoring van veiligheidsrisico's)
• IT vs. business verwachtingen
• Toelichting van 2 types bedrijven
  • OT-IT bedrijf: productiebedrijven, maakindustrie: o.a. machinebouwers
  • Bedrijf of organisatie met enkel IT: dienstenbedrijven
• Cybersecurity: is mijn organisatie een aantrekkelijk doelwit voor criminelen? Waarom wel, waarom niet
• Wat als mijn organisatie getroffen wordt door een CS aanval?
  • Hoe weet ik of mijn bedrijf of organisatie aangevallen werd?
  • Wat nu?
• Begrippenkader:
  • Cyberveiligheidsincident
  • Cyberveiligheidsevent
  • Beheer van cyberveiligheidsincidenten
• Waarom is een incident response plan (IRP) nodig?
• Wie is verantwoordelijk voor een IRP?
• Bestaat er 'één type model IRP' onder de gedachten van 'one size fits all' of is dit maatwerk?
• Wat zijn de assets in uw organisatie?

Deel 2: Groepsopdracht 1: Hoe voorbereiden op een CS Incident?

Deel 3: Individuele opdracht 1: Identificeren en inventariseren van kritische bedrijfsprocessen en -data en eerste stap in het opstellen van een IRP

2. Groepssessie 1bis (**): Identificeren kritische bedrijfsprocessen en data en eerste stap in het opstellen van een IRP in een industrieel netwerk (OT).

Deel1: Introductie cybersecurity begrippen, concepten, architectuur: prioriteiten industrieel netwerk (OT netwerk) en eerste stap in het opstellen van een IRP in een OT-IT omgeving (uitbreiding op groepssessie 1)

• Hoe ziet een typische IT-OT architectuur eruit?
• Security prioriteiten van een OT-omgeving vs. IT-omgeving
• voorbeeld van een high-level secure OT-IT netwerktopologie
• Het Purdue model
• Hoe ziet de topologie (functionele omschrijving componenten en oplossingen) van secure OT-IT omgeving eruit?
• Security Standard voor OT: IEC 62433 (-3-3): een leidraad voor een doordachte aanpak
• OT-IT security best practices

Deel 2: Groepsopdracht 1bis: hoe voorbereiden op een CS-incident in een OT-IT omgeving?

Deel 3: Individuele opdracht 1bis: Identificeren en inventariseren van kritische bedrijfsprocessen en -data en eerste stap in het opstellen van een IRP.

3. Optionele individuele begeleiding 1(*): begeleiding opdracht 1 (en 1bis) komende uit groepssessie 1 (en 1bis)

Datum: Per bedrijf af te spreken tussen bedrijf en CS Expert

4. Groepssessie 2 (*):  Risico’s bepalen, acties koppelen en Incident response team samenstellen.

Reflectie opdracht 1 (en 1bis) en best practices uitwisselen

Deel 1: Risico's bepalen en CERT samenstellen

• Risico's en gekoppelde acties
  • Wat zijn risico's?
  • Methodieken om risico's te bepalen en de prioriteiten
  • Hoe en welke acties koppelen aan de verschillende risico's
• Hoe een Incident Response Team (IRT of ook CERT) samenstellen?
  • Wat is doel van IRT/CERT?
  • Hoe samenstellen?
  • Rollen en verantwoordelijkheden toekennen

Deel 2: Groepsopdracht 2: Samenstellen van een IR team in de praktijk

Deel 3: Individuele opdracht 2: Risico's bepalen, acties koppelen en Incident Reponse Team samenstellen

5. Optionele individuele begeleiding 2 (*): begeleiding opdracht 2 komende uit groepssessie 2

Datum: Per bedrijf af te spreken tussen bedrijf en CS Expert

6. Groepssessie 3 (*): Technische, organisatorische maatregelen, opstellen communicatieflow bij een incident.

Reflectie: opdracht 2 en best practices uitwisselen

Deel 1: Technische, organisatorische maatregelen, communicatieflow bij een incident en risico-appetijt

• Technisch: systeemherstel: hersteltijd, hoeveelheid gegevensverlies vs. kosten (RPO-RTO)
• Organisatorisch: IR procedures - event
• Playbook opstellen voor bepaalde types incidenten: Ransomware playbook opmaken
• Communicatieflow: hoe een communicatie (intern en extern) plan opmaken? Wie betrekken?
• Nut van het verzekeren van een restrisico? Hoe bepalen van het restrisico?

Deel 2: Groepsopdracht 3: Uitwerken van een communicatieflow i.f.v. type incident

Deel 3: Individuele opdracht 3: opmaken van IR communicatieflow/plan in relatie tot elk incident. Op maat opmaken van een Ransomware playbook en integratie in IRP. Finaliseren van Incident Response Plan (IRP) en uittesten.

7. Optionele individuele begeleiding 3 (*): begeleiding opdracht 3 komende uit groepssessie 3

Datum: Per bedrijf af te spreken tussen bedrijf en CS Expert

8. Groepssessie 4(*)(***): Afsluitende sessie: Voorstelling IRP plannen – Best practices - Hoe IRP dynamisch maken en actueel houden?

Reflectie: opdracht 3 en best practices uitwisselen

Deel 1: Hoe een IRP levendig, actueel en dynamisch maken?

• Hoe een IRP dynamisch maken?
• Belangrijke bronnen, templates
• Hoe ertoe komen dat men IRP daadwerkelijk nodig heeft minimaliseren? Terugkoppelen naar de frameworks en standaarden

Deel 2: Voorstelling van IRP Plannen

Deel 3: Slotconclusies - best practices en take-aways

Overzicht van het bredere CS aanbod opleiding en diensten:

• blikopener hogescholen: eerstelijnsadvies, oplossingen zoeken voor een concreet probleem,...
• proeftuin innovatieve cyberbeveiliging voor industrie 4.0 (of OT netwerken, maak- of productieomgeving)
• Cybersecurity-bites: delen van CS kennis tussen academische wereld en bedrijfswereld
• CS verbeteringstrajecten voor kmo: 8 geselecteerde dienstverleners begeleiden kmo's via het op maat opstellen van een cyberscurity plan
• VLAIO bedrijfsadviseurs: advies over cyberveiligheid bij digitaliseringsplannen
• experten uit het VLAIO netwerk
• technische opleidingen: Ethical Hacker, Penetration Tester, Forensics Investigator,...
• Technische infosessies

• CISO
• IT (security) manager/expert
• Cybersecurity expert
• Teamlead incident handling
• Productieverantwoordelijke (enkel van toepassing voor type 2 bedrijven: aanwezigheid aanbevolen tijdens groepssessie 1.BIS, zie tabblad &, 39;Hoe ziet het programma van deze opleiding eruit?&, 39;)

Omwille van confidentialiteit wordt er aan alle betrokkenen (deelnemers, docenten, consultants) gevraagd om aan het begin van deze opleiding een NDA te ondertekenen!