Stel, u heeft thuis een goed slot op elke buitendeur, een hond en een beveiligingssysteem. Hoeft u zich dan geen zorgen meer te maken over inbraak? Dat hangt er maar net van af … Waar staat uw huis, welke waardevolle spullen heeft u? Ondanks de genomen maatregelen is er toch altijd nog een kans dat er wordt ingebroken.
Met cybersecurity is het niet anders. Maatregelen als firewalls, backups en het gebruik van multi-factorauthenticatie zijn de basis. U kunt simpelweg niet zonder. Maar is die basis eenmaal op orde, dan komt de vraag wat er verder nog nodig is om úw informatie te beveiligen. En het antwoord op die vraag verschilt per bedrijf.
Cybersecurity vraagt dus om weloverwogen risicomanagement. En dat is een probleem. Want volgens recente rapporten van Agentschap Telecom en NCTV pakken organisaties hun informatiebeveiliging nog niet gestructureerd en afgemeten genoeg aan. In Europa wordt er daarom hard gewerkt aan de implementatie van NIS2. Deze update van de bestaande NIS-richtlijn heeft als doel om organisaties in de Europese Unie weerbaarder te maken tegen cyberaanvallen. Nederland heeft tot 17 oktober 2024 de tijd om de richtlijn in nationale wet- en regelgeving te implementeren. Het is daarom belangrijk om nu al werk te maken van risicomanagement.
Een gebrek aan weloverwogen risicomanagement kan dus leiden tot onnodige risico’s. Maar ook tot onnodige uitgaven: sommige maatregelen zijn voor uw bedrijf misschien niet eens nodig.
Frameworks
U staat dus voor een viertal vragen.
- Wat moet er worden beschermd?
- Waartegen?
- Welke maatregelen passen daarbij?
- Hoe moeten die worden geïmplementeerd en uitgevoerd?
U bent niet de eerste die voor die vragen staat. Daarom zijn er frameworks ontwikkeld waarmee u de cybersecurity gestructureerd vorm kunt geven.
Als u leiding geeft binnen een grote organisatie, dan gebruikt u waarschijnlijk al een ISO-framework. Al dan niet verpakt in een Nederlands jasje, zoals in de zorg en bij de overheid. Voor informatiebeveiliging is er ISO/IEC 27001/2: die standaard vertelt wat voor ‘controls’ er nodig kunnen zijn om uw data goed te beschermen. Probleem is alleen: ISO/IEC 27001/2 vertelt u niet hoe die controls technisch en organisatorisch moeten worden ingevuld. De frameworks en standaarden vertellen alleen wat u moet inregelen en niet hoe.
Dichttimmeren
Gelukkig zijn er andere standaarden voor informatiebeveiliging die de technische kant beter uitwerken. Bijvoorbeeld de CIS-controls: die zijn veel handiger en concreter. IT-afdelingen zullen er prima mee uit de voeten kunnen.
CIS geeft zelfs controls op drie niveaus. U kunt dus gemakkelijk prioriteiten stellen, op basis van uw risicoanalyse. En dan geleidelijk doorgroeien, om de last van de implementatie te spreiden. Of om te zorgen dat alles goed landt in de organisatie.
Maar ook CIS heeft nadelen, want de controls dekken werkelijk alle mogelijke vormen van beveiliging. Ze vertellen niet wat úw organisatie nodig heeft. En de IT-afdeling zal dat ook niet precies weten, want daarvoor hebben ze over het algemeen te weinig zicht op de business. Als u niet uitkijkt, timmeren de IT’ers met CIS alles dicht. Dan wordt de security een probleem omdat mensen eromheen gaan werken.
Aanvullen
Het is dus geen wonder dat informatiebeveiliging voor veel organisaties een pijnpunt is. Maar misschien hoeft u helemaal niet te kiezen tussen ISO en CIS! Alle frameworks hebben hun beperkingen, maar ze kunnen elkaar ook aanvullen.
ISO 27001 is namelijk prima geschikt om helder te krijgen wát er precies beschermd moet worden. En processen te implementeren waarmee u gevaren binnen de perken houdt.
Zodra het vervolgens technisch wordt, kunnen uw IT’ers aan de slag met CIS. Daarbij kunnen ze goed aansluiten bij uw opzet, want er bestaan ‘vertaallijstjes’ om de beide frameworks aan elkaar te koppelen. Voor 80% dekken ze dezelfde dingen, zo blijkt uit onderzoek.
Zo kunt u een goede en realistische roadmap uitzetten voor uw informatiebeveiliging.
Kroonjuwelen
De aanpak is dan duidelijk. Allereerst kijkt u naar de omgeving: zijn er regels en standaarden die uw organisatie moet volgen? Ook standaarden die uw leveranciers hanteren, kunt u daarbij meenemen.
Vervolgens kiest u een framework. Daarmee gaat u aan de slag. Allereerst op strategisch niveau, met een business-impactanalyse.
Daarna schat u de risico’s in. Wat zijn de ‘kroonjuwelen’ van uw organisatie? Wat zijn de essentiële processen? Waardoor worden die bedreigd?
Zij moeten zowel procesmatig als met IT-voorzieningen beschermd worden. Desgewenst kunt u andere frameworks gebruiken om het technische (maar ook het procedurele) niveau nader in te vullen. Of kunt u handreikingen, zoals van de vereniging Nederlandse gemeenten gericht op BIO en whitepapers, zoals die van NIST gaan inzetten. Deze bevatten concrete aanwijzingen en templates.
Zorg dat u alle stakeholders binnen de organisatie actief betrekt bij dit traject, want informatiebeveiliging blijft vooral mensenwerk. U kunt hierbij kiezen voor certificering met ISO/IEC 27001 of voor een branchegerichte norm als NEN 7510, maar dat is op zich niet noodzakelijk.
Consultancy
Natuurlijk is dit alles niet simpel. Voor een klein bedrijf is het volledig inregelen van alle maatregelen vanuit een raamwerk onbegonnen werk. In een kort traject met een externe consultant kan gekeken worden hoe dit te rationaliseren is. Op die manier past u wel een raamwerk toe, maar krijgt u assistentie om deze maatregelen pragmatisch in te vullen.
En ook een groot bedrijf kan veel tijd en moeite besparen door bij risicoanalyses een externe organisatie als Tesorion in te zetten. Want elk bedrijf is anders, maar niet iedereen hoeft het wiel zelf uit te vinden.