De overheid heeft oktober uitgeroepen tot cybersecuritymaand. En dat is maar goed ook, want het tempo waarin cybercriminelen professionaliseren is bijna niet meer bij te houden. Je hoeft de krant maar open te slaan en er staat wel een artikel in over de gevolgen van cybercriminaliteit. Zo werden onlangs nog de gegevens van toegangspassen van de Tweede Kamer gehackt. De dreiging van cybercriminelen, en daarmee het belang van beveiliging en awareness, worden steeds groter. Maar hoe krijg je nu inzicht in en direct grip op jouw specifieke cyberrisico’s? UNO kan je als strategische IT-partner helpen. Onze directeur Mark-Peter van Rijn geeft je in deze blogreeks aan de hand van een stappenplan concrete handvatten hoe je jouw specifieke securityrisico’s kan aanpakken.
Onder de naam “Stap voor stap grip op je cybersecurity van jouw organisatie” publiceren we de volgende drie delen:
Deel 1: Direct grip op je cyberrisico’s; zorg dat de basis op orde is! klik hier
Deel 2: Creëer inzicht met een cyberrisicoanalyse
Deel 3: Bescherm, beveilig en bewaak! Dat doe je met Microsoft Zero trust en een cybersecurity-roadmap
Deel 2: Creëer inzicht met een cyberrisicoanalyse
Het thema security loopt als een rode draad door alles wat we doen bij UNO. Dat ik het leuk vind om erover te praten en schrijven, is niet zo belangrijk. Security is vooral keihard nodig. Ik kom regelmatig bij organisaties die wel beseffen dat deze onderwerpen op de MT agenda moeten, maar vaak niet weten waar ze moeten beginnen. De basis op orde brengen lukt vaak nog wel, maar dan… In deze blog kijken we naar een systematische aanpak om te bepalen waar je risico’s zitten en hoe deze dan aan te pakken. In deel 3 gaan we vervolgens in op de effectieve inzet van de juiste tooling, via het Zero Trust Framework en de wijze waarop Microsoft dit heeft geïmplementeerd in haar oplossingen.
Basis op orde, volgende stap
Oké. Dus je hebt dat wijze besluit genomen: de IT-security moet structureel naar een hoger volwassenheidsniveau. De redenen om dit serieus te nemen zijn overtuigend en urgent. De eerste stap is gemaakt, je hebt vastgesteld dat de ‘basis op orde’ is (zie blog deel 1) en je bent klaar om aan de slag te gaan. Maar wat ga je doen? En in welke volgorde?
Voor je direct in de actiemodus schiet, is het goed om als organisatie stil te staan bij jullie specifieke situatie. Wat zijn voor jouw organisatie waardevolle data en waar zitten de kwetsbaarheden? Bij de oplossingen is geen sprake van one size fits all. Aanbieders van securityoplossingen doen je dat wel vaak geloven. Hun producten zijn (volgens hen) natuurlijk allemaal noodzakelijk om je te wapenen tegen al het kwaad. Dit zien we in de praktijk dan ook vaak gebeuren. Met goed doordachte marketingcampagnes bestoken de verschillende aanbieders IT Managers met hun beste oplossingen. Je gaat in gesprek en voor je het weet heb je óf een lappendeken aan oplossingen óf zie je door de bomen het bos niet meer.
Hoe bepaal je welke risico’s relevant zijn?
Voordat je aan de slag kunt is het van belang om stil te staan bij welke risico’s voor jou relevant zijn om aan te pakken. Het DTC (Digital Trust Center) heeft een goed stappenplan voor het in kaart brengen van je cyberrisico’s. In 4 stappen bepaal je waar je risico’s zitten en of er actie nodig is. Deze stappen zijn redelijk voor de hand liggend, maar ik wil ze toch even noemen.
- Stap 1 – Bepaal wat je wil beschermen
- Stap 2 – Identificeer de risico’s
- Stap 3 – Analyseer de gevonden risico’s
- Stap 4 – Besluit wat je gaat doen
Voordat je kunt bepalen wat je wilt beschermen, is het belangrijk om een helder beeld te hebben van jouw IT-landschap. De kern van wat je wilt beschermen, draait meestal om data. Om deze in kaart te krijgen, bekijk je dit vanuit onderstaande invalshoeken. Om dit geautomatiseerd in kaart te brengen, is het verstandig om gebruik te maken van tooling.
– hardware (servers, computers, netwerkapparatuur, telefoons, gegevensdragers waar data op staan);
– software (zowel op eigen systemen als in datacenters en SaaS);
– diensten (die jouw data verwerken);
– en connectiviteit (over welke verbindingen gaat deze data).
In het beoordelen van cyberrisico’s wil je een zo compleet mogelijk plaatje. Maar je wilt niet vastlopen in details. De focus moet liggen op de kroonjuwelen in jouw organisatie. Dat zijn vaak data en toepassingen. Maar denk hierbij ook aan de identiteiten waarmee je toegang krijgt. En ook aan mogelijke imagoschade.
BIV-model
Als je weet wat je wilt beschermen, kun je daaraan risico’s koppelen. Dit kun je doen aan de hand van het BIV-model. Dit staat voor Beschikbaarheid, Integriteit en Vertrouwelijkheid van informatie. In de ISO27001 norm maar ook in de BIO vind je een bruikbare categorisering van mogelijke risico’s. Het analyseren van de in kaart gebrachte risico’s kun je op twee manieren aanpakken; kwalitatief of kwantitatief:
– Bij kwalitatief kijk je naar kans x impact. Elk risico geef je de kwalificatie laag, middel of hoog.
– Bij de kwantitatieve methode voeg je hier een schadebedrag aan toe.
Als je al deze data bij elkaar hebt, moet je voor elke risico een keuze maken. 
Wanneer uit de analyse blijkt dat de kans en impact beide erg laag zijn, dan kun je ervoor kiezen het risico te accepteren. Wanneer zowel de kans als de gevolgen erg hoog zijn, dan kun je er voor kiezen om deze activiteit te stoppen. Dat is natuurlijk niet altijd mogelijk. Dan blijven er nog twee mogelijkheden over. Of je draagt het risico over naar een derde partij door het bijvoorbeeld te verzekeren. Of je lost het op.
Die laatst vereist dat je, meestal in samenspraak met je IT-partner, iets anders gaat doen dan je tot nu toe deed. Meestal betreft dat een aanpassing van een combinatie van technologie en proces. Voor het in kaart brengen en analyseren van de risico’s kun je natuurlijk allerlei prachtige tools inzetten. In de praktijk zien we dat een eenvoudige Excel-lijst ruim voldoende is. Zorg er wél voor dat je het tot een repeterend proces maakt. Deze exercitie doe je periodiek (start met 1x per jaar).
Wat wordt je aanpak bij het tegengaan en beperken van deze risico’s?
De risico’s zijn helder. Tijd om te bepalen wat je gaat doen om het risico tegen te gaan. Ik wil niet dat deze blog een soort hoorcollege voor securitymodellen wordt, maar ik ontkom er niet helemaal aan. Er zijn allerlei instanties die hier namelijk goed over nagedacht hebben en ik breng simpelweg deze kennis samen in deze blogreeks.
In de Verenigde Statten heeft het NIST (een kennisinstituut dat standaarden opzet en beheert) een sterk model opgezet dat je helpt bij het proces om informatiesystemen veilig te maken. Dat is het Cybersecurity Framework. In dit Framework komen alle aandachtsgebieden aan bod die relevant zijn in het beveiligen en veilig houden van IT-omgevingen.
Deels heeft dit overlap met het voorgaande proces (namelijk het in kaart brengen van de risico’s).
De gedachte achter dit raamwerk is:
– dat je bij elk risico bekijkt wat je nodig hebt om goed in kaart te hebben wat er beschermd moet worden (Identify);
– wat die bescherming dan is (Protect);
– dat je een systeem of proces hebt waarin duidelijk is wanneer er iets gebeurt dat niet de bedoeling is (Detect);
– een systeem of proces voor de opvolging bestaat (Respond);
– en duidelijk is wat te doen om van eventuele gevolgen te herstellen (Recover).
De eerste stap in dit raamwerk is identificeren wat je gaat beschermen. Dat hebben we net al in kaart gebracht bij het bepalen van de risico’s. Maar nu we weten wat de risico’s zijn kun je aan de slag met het beschermen ervan (Protect). Het beschermen is pas zinvol wanneer je ook iets doet met afwijkingen (Detect) en daar opvolging aan geeft (Respond). Uiteraard is niet alles waterdicht te krijgen. Wanneer een risico daadwerkelijk leidt tot verlies van data, dan moet je ook in staat zijn deze data weer te herstellen (Recover). Als je een van deze stappen overslaat of uit het oog verliest, loop je als organisatie gevaar wanneer een van de risico’s zich daadwerkelijk voordoet. Het NIST CSF is dan ook het raamwerk dat we gebruiken wanneer we een project optuigen of een cybersecurity-roadmap maken met een klant.
Over het nut en de aanpak rondom een cybersecurity-roadmap schrijf ik in het laatste deel van deze blog meer. Ook ga ik dan dieper in op de Zero Trust aanpak met behulp van Microsoft-oplossingen. Daarin zie je de vertaling van de keuzes die je in bovenstaande stappen hebt gemaakt. Met het inzetten van deze technologie aan de hand van een heldere roadmap zorg je dat je de cybercriminelen en andere bedreigingen voor blijft!
Heb je behoefte om te sparren of zoek je een partner die je volledig kan ondersteunen bij een cyberrisicoanalyse? We helpen je graag. Wij focussen daarbij niet alleen op het ontwikkelen van de juiste beveiliging, maar zorgen er ook voor dat je medewerkers er op een verantwoorde manier mee omgaan. Wil je weten waar jouw organisatie staat op het gebied van beveiliging?
Heb je behoefte om te sparren of zoek je een partner die je volledig kan ondersteunen bij een cyberrisicoanalyse? We helpen je graag. Wij focussen daarbij niet alleen op het ontwikkelen van de juiste beveiliging, maar zorgen er ook voor dat je medewerkers er op een verantwoorde manier mee omgaan. Wil je weten waar jouw organisatie staat op het gebied van beveiliging? Neem contact met ons op of mail mij op mrijn@uno.nl of bel naar 070-3300010.
Mark-Peter van Rijn
Directeur bij UNO
