For det første finnes det flere standarder (f.eks. ISO 27035 og RFC 2350) som dekker området. Det finnes også organisasjoner som har utviklet kontrollordninger og kravstillingsmekanismer.
Ser ikke på tjenestene som leveres
De to store organisasjonene som driver med denne aktiviteten er FIRST (Forum for Incident Response and Security Teams) og Trusted Introducer. For å kunne bli medlem i disse, må man gå gjennom en kontrollprosess der modenhetsnivå og tjenesteleveranse blir vurdert.
Det fokuseres ikke på hvilket sett tjenester som blir levert, men på at søker har et bevisst forhold til leveransen. Grunnen til at det sistnevnte er viktig, er at hendelseshåndtering vil fortone seg svært forskjellig ut fra blant annet:
- Størrelse på målgruppen/kundegruppe
- Modenhetsnivå på digital sikkerhet hos målgruppen,
- Type organisasjoner eller personer som er i målgruppen
- Målgruppens kritikalitet
Kan benytte eksisterende ordninger
Noen grupper er koordinerende, andre opererer inne hos selskapene i målgruppen (f.eks. MSSPer). Det aller viktigste er at et team skal levere de tjenestene de annonserer og at det er godt kommunisert. Settet med tjenester bør ikke være statisk, da målgruppens behov endrer seg i takt med forretningsmessige behov, tekniske endringer i samfunnet og med et trusselbilde under stadig utvikling.
Norge er et lite land, og som det ble nevnt i Lysne-rapporten: vi må prøve å dele på ressursene. Det er viktig å kunne bistå hverandre på tvers av sektorer og ikke føle at det er nødvendig å bygge opp identiske miljø for de forskjellige sektorene.
Det er også snevert å kun samarbeide nasjonalt, det finnes gode samarbeidspartnere internasjonalt som ser et svært likt trusselbilde. Jeg er enig i at det bør stilles krav, men det kan gjøres ved å benytte eksisterende mekanismer og ordninger.
(*)CSIRT, IRT, SIRT, CERT osv. er begrep som beskriver samme type funksjon: et hendelseshåndteringsteam.
