Selecteer een pagina
Heb jij de weerbaarheid van je organisatie op orde?
Heb jij de weerbaarheid van je organisatie op orde?

Het Cybersecuritybeeld Nederland (CSBN) was in haar CSBN 2021 conclusie vrij duidelijk door te stellen dat uit incidenten gebleken is dat de weerbaarheid van organisaties onvoldoende op orde is en basismaatregelen veelal ontbreken. Een duidelijke maar ook ontnuchterende conclusie dat zelfs basismaatregelen ontbreken in een tijd waarin cybercriminaliteit meer dan ooit van zich laat spreken.

Wat is er dan nodig om ons te doen beseffen dat juist het treffen van basismaatregelen ons al kan helpen cyberaanvallen tegen te gaan?

De basismaatregelen op een rijtje

  • Hoe is de verantwoordelijkheid voor cybersecurity in een organisatie belegd?
  • Hoe regulier risicomanagement door basismaatregelen wordt ondersteund (maar er niet voor in de plaats komen).
  • Digitaal veilige organisatie: de acht maatregelen die elke organisatie zou moeten nemen.

Hoe is de verantwoordelijkheid voor cybersecurity in een organisatie belegd?

Welke maatregelen er ook worden getroffen, één ding moge duidelijk zijn: de hoogstgeplaatste persoon binnen de organisatie is en blijft verantwoordelijk.

Maar het is niet uitsluitend de uitdaging van de directeur alleen. Het is een uitdaging voor de gehele organisatie, omdat incidenten overal in de organisatie zich kunnen voordoen. Kortom; er is sturing nodig die vanuit de directie gegeven wordt. Dat doet het met het beleggen van eigenaarschap en verantwoordelijkheid voor informatie en processen. Maar evenzo belangrijk is het orgaan dat ook toeziet op de uitvoering ervan.

Al vrij snel wordt vergeten dat informatiesystemen niet meer dan ondersteunende middelen zijn, waarvan de organisatie afhankelijk is. Alleen al vanuit dit laatste oogpunt zou het voor de hand liggend moeten zijn dat het lijnmanagement hierin haar verantwoordelijkheden kent. Het zou het lijnmanagement dienen te zijn die de bij de IT-systemen bijbehorende risico’s inzichtelijk maakt (of laat maken), een eindoordeel geeft over wel of niet accepteren en die toeziet op een juiste implementatie van mitigerende maatregelen.

Verlies daarbij niet uit het oog dat de Chief Information Security Officer (CISO) een adviserende, coördinerende en controlerende rol heeft. Hij heeft geen zelfstandige verantwoordelijkheid voor de cybersecurity van de organisatie, dat het lijnmanagement van de organisatie wel kent. Iets dat maar al te vaak over het hoofd wordt gezien.

Hoe regulier risicomanagement door basismaatregelen wordt ondersteund

Het NSBN adviseert om een eigen risicoanalyse uit te voeren. Met de nadruk op ‘eigen’ risicoanalyse, omdat hiermee inzichtelijk gemaakt kan worden wat de risico’s voor de organisatie zijn en tevens kunnen dan maatregelen op de ingeschatte risico’s worden bepaald. Elke organisatie is namelijk uniek.

Niet alleen ontstaat daarmee maatwerk, maar ook een middel voor een continu proces van risicobeoordelen en het treffen van maatregelen. Vergeet niet dat zowel dreigingen als de te beschermen belangen van een organisatie kunnen veranderen.

Digitaal veilige organisatie: de acht meetregelen die elke organisatie zou moeten nemen

Nu het NSBN in haar conclusie heeft laten weten dat de weerbaarheid van organisaties onvoldoende op orde is en basismaatregelen veelal ontbreken, is het noodzaak om de acht maatregelen die elke organisatie zou moeten nemen te benoemen:

1. Installeer updates

Updates zijn noodzakelijk om programmeerfouten en de daarmee gepaard gaande kwetsbaarheden uit software te verhelpen. Vereiste daarbij is dat je alle software en systemen binnen de organisatie in kaart hebt. Staat software automatisch updaten toe? Maak hiervan gebruik. Uiteraard geldt voor kritieke systemen het advies om de update eerst in een testomgeving uit te voeren.

2. Zorg voor voldoende loginformatie

Helaas kennen we de voorbeelden van de grootscheepse malware aanvallen. Maar wat als tijdens de analyse blijkt dat er onvoldoende loginformatie beschikbaar is? Veel organisaties beseffen niet of te laat dat logbestanden een sleutelrol spelen in het detecteren van aanvallen en het afhandelen van incidenten. Bepaal dus welke logbestanden je nodig hebt.

Maar besteedt ook aandacht aan wie toegang tot logbestanden zou moeten hebben en sla de informatie apart op. Creëer een afgescheiden logcontainer dus. Tot slot maak je natuurlijk de afweging over de bewaartermijn van logbestanden en een bewaartermijn van 2 weken ten behoeve van forensisch bewijs. Daar kun je iets van vinden.

3. Multifactorauthenticatie (MFA) toepassen

Maken medewerkers gebruik van accounts die vanaf het internet bereikbaar zijn? Pas multifactorauthenticatie toe. Ditzelfde geldt natuurlijk ook voor beheeraccounts en accounts voor essentiële systemen.

4. Regelmatige back-ups

Het maken van back-ups lijkt voor de hand liggend, maar wat is hun mate van bruikbaarheid zodra je ze echt nodig hebt? Testen dus.
En overweeg om je back-ups te versleutelen. Met als laatste een beperkte toegang tot de back-ups.

5. Netwerken segmenteren

Zorg dat je het netwerk in meerdere zones verdeelt. Kritieke systemen breng je natuurlijk onder in een eigen netwerkzone. Wees kritisch als je kijkt naar de firewallregels inzake toegang en besef dat een dichtgetimmerd geheel voor verstoringen in de bedrijfsvoering kan zorgen.

6. Bepaal wie toegang heeft tot data en diensten

Functie, rol en taak gerichte toegang tot data en systemen beperkt niet alleen de gevolgen van fouten door medewerkers, maar ook de speelruimte die een aanvaller geboden krijgt. Een maatregel die niet alleen toegang beperkend werkt, maar ook persoonsgebonden zou moeten zijn.

Laat de activering en de-activering onderdeel uitmaken van de indienst, doorstroom en uitstroom processen. En vergeet daarbij een terugkerende controle in naleven van deze processen niet.

7. Maak gebruik van versleutelingstechnieken

Bedrijfsinformatie is uniek en behoort in eigen handen te blijven. Maak dus gebruik van versleutelingstechnieken (encryptie genoemd). Uiteraard zet je daarbij veilige encryptiesoftware in zodra je laptops, mobiele apparaten en usb-sticks die gevoelige informatie bevatten gaat versleutelen.

8. Tref maatregelen om apparaten en diensten die bereikbaar zijn vanaf het internet te beschermen

Denk hierbij aan: het gebruik van firewalls, up-to-date houden van en het uitschakelen van ongebruikte services. En als laatste: pas MFA toe zodra accounts via het internet te gebruiken zijn.

Wat nu?

Uiteraard is het begrijpelijk dat sommige maatregelen als voor de hand liggend mogen overkomen en andere maatregelen je nieuw voorkomen. Ben je op zoek naar een inhoudelijke toelichting? Laat je dan bijpraten door één van onze accountmanagers en raak overtuigd van de kracht van de ITON Baseline voor Informatiebeveiliging (IBI).

Patrick Menkehorst

Patrick Menkehorst

Kwaliteitsmanager

Als eerste op de hoogte

Abonneer op onze nieuwsbrief

Logo-ITON-footer

Contact

> Neem contact op

Werken bij

> Kom bij ons werken

Gegevens

Landjuweel 20
3905 PG Veenendaal

Algemeen
088 070 06 00

Support
088 070 06 25
sd@iton.nl

Socials

     
IBI | ISO27001 | ISAE3402
Share This