Terug naar het overzicht
Cyber Security

Wat is een Security Framework en hoe gebruik je deze?

Edwin Combrink
Geplaatst op 14 juni 2021

Zelf ben ik nogal fan van afvinklijstjes. Het geeft mij een gevoel van controle en succes als ik weer wat mag afvinken. Zo doe ik zelfs de boodschappen met een vooraf gemaakt lijstje. Binnenkort ga ik verhuizen en ook daarvoor heb ik de nodige lijstjes gemaakt; wat moet ik nog regelen? Wat moet ik nog aanschaffen of verkopen?

Nu kan dat voor jou twee kanten op. Misschien lach je mij nu een beetje uit, omdat je dat zelf nooit doet en toch niet het gevoel van controle mist. Je kan waarschijnlijk prima je werk doen zonder iets te hoeven afvinken. Dat is natuurlijk heel persoonlijk. Zelf kan ik daar jaloers op zijn als anderen zo’n rust kunnen bewaren zonder lijstjes. Of misschien herken je jezelf hier wel in als fervent ‘mede-lijsten-maker’. Welcome to the club!

Security Framework: hét afvinklijstje voor je ICT-beveiliging

Of je nu fan bent van lijstjes maken of niet; soms vragen situaties je om het e.e.a. op papier vast te leggen, zodat je aan een ander kunt laten zien hoe iets precies zit. En dat kunnen ingewikkelde situaties zijn. Je kan namelijk de vraag krijgen hoe je de beveiliging van je ICT geregeld hebt vanuit een audit. Of misschien van je directie die ’s nachts wakker ligt van de risico’s rondom datalekken of hacks. Of misschien wil je het zelf gewoon goed geregeld hebben en zoek je naar antwoorden. Het liefst had je natuurlijk zo’n vraag willen beantwoorden met “het is veilig, het is geregeld”. Punt. Helaas vraagt dat in deze situaties om dat stukje verantwoording in hoe je dit dan geregeld hebt.

Om dan de brug terug te leggen naar afvinklijsten; simpel gezegd zijn die beschikbaar in de vorm van Security Frameworks.

CIS18 controls security framwork

Wat is een Security Framework

Een Security Framework geeft aan welke securitymaatregelen een bedrijf zou moeten nemen afhankelijk van de grootte van het bedrijf en de risico’s die het loopt. Het Framework geeft niet aan hoe je dat moet doen of met wat voor oplossing. Daar kunnen wij je bij helpen, ofwel met pasklare oplossingen, begeleiding of een goed advies. Zo kan je zo’n dergelijke lijst gaan afvinken, zodat je kan vertellen hoe je de beveiliging hebt geregeld.

Welke Frameworks zijn er dan zoal?

Er bestaan veel verschillende soorten Security Frameworks:

Een groot IT-bedrijf als Microsoft kiest bijvoorbeeld voor de zwaarste categorie, de Risk Frameworks (zie het Microsoft Trustcenter). Dit betekent een grote continue investering en dat past ook bij de grootte van een bedrijf als Microsoft en de risico’s die zij lopen.

Het werken met een Risk Framework is voor ons, WSB Solutions, een stap te ver. Wij hebben gekozen om gebruik te maken van een Program Framework; wij voldoen aan de eisen die de bekende beveiligingsnorm ISO27001:2017 stelt. Wij zijn een ICT-bedrijf en lopen daardoor grotere risico’s dan het gemiddelde MKB-bedrijf; voor ons reden om te kiezen voor ISO27001.

Voor de meeste niet-ICT bedrijven gaat ISO27001 te ver. Wij adviseren onze klanten daarom gebruik te maken van CIS18, een Control Framework dat pragmatisch en handzaam is.

cis framework cyber security

Maar regelen jullie dat niet gewoon voor ons?

Ja en nee. Indien je gebruikmaakt van onze dienstverlening kan je een hoop ‘controls’ al direct afvinken. Maar ze zijn niet allemaal puur technisch in te regelen. Een voorbeeld van een control is het up-to-date houden van hard- en software. En indien je hebt gekozen voor het afnemen van werkplekbeheer dan kan je deze ‘control’ direct afvinken. Maar een andere ‘control’ stelt ook dat je je moet inzetten voor het bewust maken van je medewerkers van de risico’s van met name phishing. Uiteraard kan je via ons een awareness programma regelen, maar is een eenmalige actie daarin voldoende of zal je bij nieuwe medewerkers iets dergelijks ook moeten opnemen in een inwerktraject?

Wij dagen je graag uit daarover na te denken en natuurlijk geven we daarin ook graag advies. Het regelen van beveiliging is dan ook een gezamenlijke verantwoordelijkheid. Denk ook aan je applicatieleveranciers, waarmee je in gesprek zal moeten om het gebruik van die specifieke applicatie veilig te houden.

Hoe gebruik ik zo’n Framework?

Welke maatregelen er o.a. binnen het Control Framework van CIS18 worden gevraagd kan je gewoon online vinden. Zie dit vervolgens als jouw afvinklijst. Afhankelijk van de risico’s die je loopt en de middelen die je beschikbaar hebt zou je binnen het Framework van CIS18 zomaar met het invullen van de basis controls al fantastisch bezig zijn.

Wij kunnen aangeven welke controls wij voor jou invullen met de dienstverlening die wij aan jou leveren. En indien je verdere begeleiding nodig hebt, geven we graag advies in welke controls je verder nog zou kunnen invullen met de middelen die je al hebt; denk aan je Microsoft 365 abonnement waar al veel zaken in beschikbaar zijn, maar die mogelijk alleen nog moeten worden aangezet. Zo vinken we samen de zaken af en kun je alle informatie vastleggen in een document dat we jaarlijks of halfjaarlijks opnieuw met elkaar bekijken.

Wil je daar graag met ons mee aan de slag? Neem dan gerust contact met ons op; ook als je nog geen klant van ons bent.

Meer weten?

Laten we eens kennis maken. Neem contact op met Maurice.