Het maken van keuzes is voor veel mensen een moment van stress. Variërend van wat ga ik eten, wat trek ik vandaag aan en hoe houd ik grip op mijn budget? Tot de meer ingrijpende keuze hoe houd ik mijn organisatie veilig. Om je te helpen met het maken van keuzes op het gebied van cybersecurity gaan we je in een serie van drie blogs een aantal handvatten bieden.
Dat je actie moet ondernemen om je organisatie cyberveilig te houden is niet bepaald nieuw. Maar welke actie neem je? Met wat hulp van je favoriete zoekmachine kom je fantastische afkortingen tegen waarbij de ene nog hipper klinkt dan de andere. Maar moet je nou een SOC, NGFW, SIEM, SASE, WAF, EDR of wat anders hebben? Er is een zee, misschien wel een oceaan, aan mogelijkheden en dat maakt de keuze niet makkelijker.
Welke oplossing in jouw situatie voor jouw bedrijf in deze fase het beste past is een vraag die in dit artikel (helaas) niet beantwoord wordt. Wel geven we je handvatten om je te helpen met het bepalen van de juiste richting.
Vooropgesteld: Welke richting je ook kiest, 100% beveiliging bestaat niet. Dat betekent dat het verstandig is om hier vooraf over na te denken. Dus als het een keer misgaat, zorg dat je iets achter de hand hebt om je bedrijfsvoering te herstellen, zoals een CERT.
Niveau 1: de minimale vereisten
Om het verhaal overzichtelijk te houden hebben we drie niveaus gedefinieerd. Niveau één beschrijft de minimale vereisten. Die zaken waarbij we er in de overige niveaus van uitgaan dat deze ook daadwerkelijk geregeld zijn. Het is allesbehalve hogere wiskunde, het is meer het gebruik van gezond verstand. Zie het als goed huisvaderschap voor de digitale componenten van je bedrijfsvoering. Deze maatregelen hebben tot doel om je bedrijfsvoering geen onnodig risico te laten lopen.
Systemen en software
Om je organisatie te beschermen tegen aanvallen vanaf het internet heb je naar alle waarschijnlijkheid een firewall ingericht. Hiermee zorg je ervoor dat verkeersstromen naar en vanaf het internet beperkt worden tot datgene wat noodzakelijk is. Een camerasysteem moet bijvoorbeeld kunnen verbinden met een video-managementsysteem om de opnames te kunnen bewaren. Er is geen enkele noodzaak dat die camera kan verbinden met bijvoorbeeld de website van de ANWB.
Vanaf clients kunnen echter ook dreigingen ontstaan. Voorbeelden van deze dreigingen zijn onder andere: besmette USB sticks, downloads of zelfs downloadprogramma’s die malware bevatten (ken je Kazaa nog?) en drive-by-downloads. Om de apparatuur van je medewerkers te beschermen heb je daarom een endpoint protection oplossing nodig. Deze moet minimaal als regulier antivirusprogramma acteren.
Om te zorgen dat hackers een kleinere succeskans hebben draag je bovendien zorg voor een gedegen patchbeleid, zodat de gebruikte apparatuur en programmatuur up-to-date is en blijft. Het overeenkomen van een vast patchwindow maakt het leven als beheerder makkelijker. Het vergt alleen de nodige interne afstemming over het tijdsslot en de daarmee gepaarde downtime.
Naast het doorvoeren van patches is het structureel controleren van je bestaande beveiligingsmaatregelen ook verstandig. Zie het als een soort APK-keuring waarbij je beoordeelt of alles nog in orde is. Omdat het selecteren, implementeren en beheren van cybersecuritymaatregelen complex kan zijn loont het om te overwegen of je dit zelf wilt doen, of dat je hier een partij voor zoekt die je ondersteunt.
Medewerkers
E-mail is nog steeds de meest gebruikte aanvalsvector. Het is de makkelijkste manier om door de beveiliging te komen, omdat tegenwoordig elke medewerker e-mail bijna als eerste (digitale) levensbehoefte ziet. Malafide mails richten zich op het misleiden van je medewerkers. Ongerichte mails vang je af met een SPAM-filter, maar de betere phishingmails laten zich daar niet door vangen. Daarom is het ook van belang om je medewerkers te informeren. Dan weten ze wat ze moeten doen als ze een verdachte mail ontvangen of als ze onverhoopt op de linkjes in deze mails geklikt hebben. Mocht je je medewerkers willen helpen met het herkennen van malafide e-mails dan zijn er gratis middelen beschikbaar om bewustwording te creëren of om je medewerkers te informeren dat externe e-mails een hoger dreigingsniveau kennen.
Niveau 1 heeft alles te maken met het inrichten van systemen, processen en het creëren van cybersecuritybewustzijn bij medewerkers. Met bovenstaande maatregelen maak je medewerkers (meer) zelfredzaam, bescherm je hun werkplekken en zorg je dat de toegang tot het bedrijfsnetwerk niet meer is dan noodzakelijk.
In de tweede blog uit deze serie gaan we een stap verder. Dan gaan we in op een aantal basismaatregelen die je als organisatie kan overwegen om te komen tot een hogere mate van cybersecurity.