Cybersecurity. Waar moet ik beginnen?
Ja, je weet het. Je moet aan de slag met cybersecurity. Maar waar moet je beginnen? In deze blog delen we de belangrijkste aandachtspunten.
1. Maak cybersecurity een businessfeestje
In veel gevallen wordt cybersecurity gezien als een IT-feestje. Dit is een groot misverstand. Beveiliging is een verantwoordelijkheid van de business. Immers, de businessowners weten het best welke IT-componenten cruciaal zijn. Zij weten wat het kost – qua geld en reputatie – als een bedrijfsproces uitvalt. Veel organisaties hebben één of enkele superbelangrijke IT-componenten. Vaak is dat een ERP- of planningssysteem. Als dat niet meer functioneert, kunnen er geen vliegtuigen vliegen, geen vrachtwagens rijden en – inderdaad – geen treinen meer worden ingepland. Van verrassend veel organisaties horen wij nog: ‘Dat overkomt ons niet, het gaat al jaren goed en ik ga echt niet zo veel geld uitgeven aan iets dat niet gebeurt.’ Maar geloof ons, als het gebeurt, weet je dat het het geld dubbel en dwars waard was geweest.
2. Zorg dat je weet wat je moet beveiligen
Als je je bedrijfsnetwerk gaat beveiligen, moet je eerst inzicht hebben in wat er allemaal toegang heeft tot dat netwerk. Vaak zijn er heel wat apparaten op je netwerk waar je het bestaan niet van weet. En wat je niet ziet, kan je niet beveiligen. Zo komt het bijvoorbeeld vandaag de dag steeds vaker voor dat iemand een privé-laptop meeneemt naar de zaak. Voor je het weet zit er een netwerkkabel in die laptop. Je kunt wel heel wijs een gastenwifi-verbinding hebben verzorgd, maar zo’n kabeltje werkt toch net even sneller. Als het apparaat besmet is, is dus in no time ook je hele netwerk besmet.
3. Kies hoe je beveiligt
Als je weet wat je moet beveiligen, moet je vervolgens kiezen hoe je het gaat beveiligen. Een veel gehanteerde methode is het Amerikaanse NIST Cybersecurity Framework . Maatregelen worden in dit framework opgedeeld in vijf categorieën: Identify, Protect, Detect, Respond en Recover. Je kunt natuurlijk je hele netwerk beveiligen. Vergelijk het met een stevige omheining om je huis. Maar de moderne IT-omgeving van vandaag de dag is niet meer zo eenvoudig, denk maar aan het voorbeeld van het eerdergenoemde kabeltje. Ga je iedereen die zich meldt om naar binnen te gaan (identify) door een bewaker laten fouilleren (protect) of laat je iedereen binnen en ga je alleen verder onderzoeken als ze zich binnen gek gedragen (detect). Of kom je er achter dat er iets gestolen is en spreek je de verzekering aan (respond) om de gestolen waar te vervangen (recover).
Hoe doet jouw organisatie het op het gebied van informatiebeveiliging?
Met bovengenoemde drie stappen kom je al een heel eind. Maar hoe krijg je het management zo ver dat ze de noodzaak inzien van een goede IT-security? Met de SPRING-methode – Security Posture RatING – druk je het securityniveau van je organisatie uit in een rapportcijfer. Maar daar blijft het niet bij. Deze methode helpt je vervolgens bij het maken van een cybersecurityroadmap. Welke set van maatregelen is het meest effectief bij het verlagen van je risico’s? SPRING is gebaseerd op het Cyber Security Framework van NIST en geeft je praktische handvatten. Zo helpt het jou als securityofficer de beveiliging van je organisatie stap voor stap op te krikken naar een dikke voldoende.
Meer weten?
Nieuwsgierig hoe je de beveiliging van jouw bedrijf het best naar het volgende niveau kunt tillen? Neem gerust vrijblijvend contact met ons op. We leren je graag kennen.