...en je wilt inbreken in jullie IT-omgeving. Hoeveel kans geef je jezelf? Ben je binnen mum van tijd binnen, of besluit je na wat rondgekeken te hebben het bij je buren te gaan proberen?
Het is goed om je dit serieus af te vragen, want het geeft een goed beeld of je je ICT-beveiliging goed geregeld hebt of niet. Het risico op een cyberaanval is een stuk groter dan een bijvoorbeeld een brand. Ieder bedrijf heeft brandblussers en brandmelders om het risico op een brand te verlagen.
Maar het nemen van securitymaatregelen is voor veel ondernemers lastig. En dat is begrijpelijk, want wat moet je nu wel en niet doen om je ICT-beveiliging te verbeteren?
Van klanten krijgen we steeds vaker vragen over hun ICT-beveiliging. Deze vragen worden trouwens ook steeds concreter: ‘Hoe is mijn ICT-beveiliging geregeld, want mijn accountant vraagt ernaar?’.
Zou het niet mooi zijn als je je beveiligingsrisico’s op een objectieve en systematische manier in kaart kunt brengen én ook gelijk weet welke specifieke maatregelen jullie bedrijf moet nemen om die risico’s te verlagen? Dat kan! Met het CIS 18 Security Framework.
Het CIS Security Framework maakt op een objectieve(!) manier duidelijk:
✔ hoe je ICT-beveiliging ervoor staat;
✔ of je bepaalde zaken moet verbeteren;
✔ en wat je moet verbeteren.
Het is een systematiek om je cyber security aantoonbaar(!) op orde te krijgen.
Klinkt goed, maar vraagt om een korte toelichting:
Het CIS Security Framework is opgezet door het non-profit Center for Internet Security en wordt wereldwijd toegepast en erkend. Het is een lijst met 18 praktische “controls” (=maatregelen). Afhankelijk van je bedrijf en de risico’s zijn er meer of minder van die 18 controls van toepassing.
Vaak wordt bij cyber securitymaatregelen alleen gedacht aan technische oplossingen waarmee je je beveiliging op orde brengt. Door het gebruik van de CIS Controls wordt duidelijk dat de juiste tools van groot belang zijn, maar dat het net zo belangrijk is dat je kijkt naar:
1. je processen,
2. het gedrag van je medewerkers,
3. en het beheer van je IT-omgeving.
Met het CIS framework hoef je niet meer zelf het wiel uit te vinden, maar baseer je je op best practices die door ervaren security experts opgesteld zijn.
Maar voordat je verder leest eerst een waarschuwing!
Hieronder volgt een uitgebreide beschrijving van de vertaling van de CIS controls naar de praktijk.
ICT-beveiliging is soms best complex, dus kost het wat tekst om het een en ander toe te lichten, want we willen het wel goed duidelijk maken. En simpel houden.
Kijk je liever video dan dat je leest, bekijk dan onderstaande video.
Kijk je liever video dan dat je leest, bekijk dan bovenstaande video. Hij is zeker de moeite waard.
We weten nu dat de CIS Controls aangeven wat de belangrijkste beveiligingsrisico’s zijn die je loopt en welke maatregelen je zou moeten nemen om deze risico’s te minimaliseren. Dan nu de vertaling naar de praktijk.
Want je wilt weten welke oplossingen en diensten je nodig hebt om de van toepassing zijnde maatregelen concreet in te vullen. En dat daarbij rekening wordt gehouden met het feit dat deze oplossingen bij je organisatie en in je budget moeten passen.
Hiervoor hebben wij een aanpak die uit 5 stappen bestaat:
Stap 1 is het uitvoeren van een Cyber Security Assessment. Deze stap is bedoeld om in kaart te brengen waar je op dit moment staat qua ICT-beveiliging.
De Cyber Security Assessment voeren we uit met onze CSAT-tool die gebaseerd is op het CIS Framework. Je krijgt een uitgebreid rapport dat precies, per CIS Control, aangeeft waar je nu staat plus welke concrete maatregelen je zou moeten nemen om je beveiliging te verbeteren.
Het goed inrichten van het beheer van je IT-omgeving is het fundament onder je ICT-beveiliging.
Veel bedrijven beschikken niet over een IT-afdeling die het beheer kan uitvoeren en besteden dit daarom uit. Voor ruim 100 organisaties verzorgen wij het beheer van hun IT-omgeving en de support aan eindgebruikers.
Belangrijk is ook een herstelplan; wat doe je als je IT-omgeving door een calamiteit, bijvoorbeeld een ransomware aanval, niet beschikbaar is? Hoe kun je je IT-omgeving dan weer snel in de lucht krijgen?
In stap 3 van ons stappenplan draait het om het nemen van de maatregelen waarmee je het beveiligingsniveau dat voor jouw organisatie passend is, goed inricht.
Om het onze klanten makkelijker te maken hebben we 3 Security Levels gedefinieerd. Ieder Security Level bestaat uit een set van beveiligingsmaatregelen.
Bij het inrichten van ICT-beveiliging is veel aandacht voor het nemen van technische beveiligingsmaatregelen, maar vaak blijkt “de mens” de zwakste schakel in de beveiligingsketen. 9 op de 10 datalekken is het resultaat van menselijk handelen. Cybercriminelen weten precies hoe kwetsbaar medewerkers zijn, en wanneer.
In stap 4 zorg je er met een security awareness programma voor dat je medewerkers phishing mails leren herkennen, het belang zien van het gebruik van sterke wachtwoorden, etcetera.
Bij stap 5 zorg je dat je IT-omgeving niet alleen goed is beveiligd, maar dit ook goed beveiligd blíjft.
Het komt in de praktijk neer op het volgende:
• Hoe zorg je dat hackpogingen, aanvallen en andere incidenten tijdig opgemerkt worden?
• En als je een probleem ontdekt, hoe los je het dan op?
Hiervoor is het belangrijk dat je IT-omgeving continu wordt gemonitord om beveiligingsincidenten snel te kunnen ontdekken en aanpakken. Daar hebben we een speciale Monitoring, Dectection & Response dienst voor.
Omdat zowel je IT-omgeving als ook cyberdreigingen telkens veranderen, is het van belang om je cyber security status periodiek opnieuw te beoordelen. De beste en meest objectieve manier om dat te doen is de Cyber Security Assessment van stap 1 regelmatig te herhalen. Bij voorkeur 1 keer per jaar.