Een IR-retainer afsluiten met een externe partij, slim?

Een IR-retainer is geen abonnement op security-checks, het is een SLA dat een ervaren team binnen vier uur kan beginnen op jouw incident. Voor MKB met klant-data of regulering vaak de moeite waard, voor klein-en-simpel via cyberverzekering meestal voldoende.

Probeer dit eerst zelf

1. 1Bepaal de echte vraag: wil je iemand die binnen 4 uur reageert op een ransomware (retainer), of wil je iemand die jaarlijks een audit doet (consultancy)? Twee verschillende contracten.
2. 2Vraag bij minstens drie partijen offertes met SLA: respons-tijd, beschikbaarheid (24x7?), inbegrepen uren per jaar, tarieven boven dat aantal, en hoe de uren vervallen bij niet-gebruik.
3. 3Check of de retainer-partij ervaring heeft met jullie stack: Microsoft 365, Defender, jullie ERP, de cloud-provider. Een Linux-on-prem-IR-team is leuk maar nutteloos als jullie volledig in M365 zitten.
4. 4Combineer met cyberverzekering. Sommige verzekeraars accepteren je eigen retainer als preferred partner, anderen sturen je naar hun vaste partij. Vraag voor je tekent.
5. 5Onboard de retainer fysiek: ze hebben een naam, gezicht, en een bestaand technisch overzicht voordat het misgaat. Een retainer die voor het eerst inlogt tijdens een ransomware-incident verliest de eerste 4 uur aan kennismaking.

Past het bovenstaande niet?

Beschrijf je situatie hieronder. We sturen jouw input plus de stappen die je al zag naar onze AI en geven gericht vervolg-advies. Als het te risicovol is om zelf te doen, zeggen we dat ook.