Zo weet u welke security beheersmaatregelen u kunt nemen
Oktober is nationale cybersecurity maand, een jaarlijks initiatief waarbij organisaties zich inzetten om kennis te delen rondom cybersecurity. In #techtalks gaf onze Chief Information Security Officer (CISO) Jurre Horsels daarom een inkijk in onze ‘Security First’-strategie, zodat u als ondernemer daarvan kunt leren. In dit artikel leest u hoe u bepaalt welke beheersmaatregelen u het beste kunt nemen voor uw bedrijf en hoe u het beste in deze maatregelen kunt investeren.
Wat zijn de vijf belangrijke beheersmaatregelen die een bedrijf moet nemen om de cyberveiligheid te vergroten? Jurre Horsels (CISO van VodafoneZiggo) laat zien hoe identificatie, preventie, detectie, respond en recover een plek kunnen krijgen in de security inspanningen van uw bedrijf. Horsels legt het uit in aflevering 2 van de gloednieuwe serie #techtalks van Vodafone Business en Business Insider. Bekijk de #techtalk van Jurre Horsels.
Nulmetingen en self-assessment per categorie
In #techtalks besprak Jurre de 5 categorieën van beheersmaatregelen: 1) Identificatie 2) Preventie 3) Detectie 4) Respond en 5) Recover. Per categorie is het belangrijk om te beginnen met een nulmeting voor uw bedrijf. In de eerste categorie kunt u bijvoorbeeld kijken wat de status is van uw huidige cybersecuritybeleid en of de verschillende rollen en verantwoordelijkheden goed zijn vastgelegd in uw governance. Voor de tweede categorie bestaan pentesten: die penetreren in een deel van uw omgeving (bijvoorbeeld uw website) en legt daarin de kwetsbaarheden bloot.
Weerbaarheid tegen hackers toetsen
Bij de derde categorie kunt u uw weerbaarheid toetsen door hackers uit te nodigen. White hat hackers werken daarin nauw samen met uw bedrijf en ruimen na hun aanvallen alles ook weer netjes op. Red teams gaan daarin een stap verder en opereren onafhankelijker van uw bedrijf. Voor de vierde categorie gebruikt u table-top oefeningen. Dat zijn simulaties van noodsituaties waarin deelnemers bespreken hoe ze zouden reageren. In de laatste categorie gebruikt u recoverytesten die uw herstelprocessen na een verstoring testen.
De nulmetingen kunt u doen aan de hand van een assessment. Deze assessments doet u zelf of als u een stap verder wilt gaan, besteedt u die uit aan een derde partij. Volgens Jurre is dat laatste het beste: 'Vreemde ogen dwingen immers'.
Ambities en 'gaps'
Zodra u aan de hand van een assessment uw nulpunt heeft gedefinieerd, kunt u bepalen wat uw ambitieniveau is. Vervolgens kijkt u welke acties u moet nemen om die 'gap', het gat te dichten. Het ambitieniveau is voor elke organisaties anders en daardoor ook de te ondernemen acties. Acties zijn bijvoorbeeld versleuteling, firewalls, antivirussystemen of training van uw medewerkers.
Een voorbeeld van een ambitie stellen is bijvoorbeeld de click-rate van uw medewerkers op phishing-simulaties. Uw ambitie is bijvoorbeeld dat slechts 7% van hen op een verdachte link klikt, maar de nulmeting laat zien dat dit 15% is. Dan kunt u bepalen welke stappen u verder moet ondernemen om de awareness onder uw medewerkers omhoog te krijgen. In dit geval is dat educatie.
Outsourcing
Uiteindelijk is het bedoeling om een juiste balans te vinden in welke beheersmaatregelen u wilt investeren. Kleine organisaties en MKB-bedrijven kunnen uiteraard niet over een volledige cybersecurityorganisatie beschikken. Het is dus een logische stap om bepaalde zaken te outsourcen als u ondernemer bent van zo’n bedrijf. De juiste samenwerkingspartners zoekt u erbij aan de hand van hun expertise. In #techtalks spreekt Jurre ook over het risicoprofiel van uw bedrijf. Dit profiel bepaalt met wie u het beste kunt samenwerken.
Gespecialiseerde partners
Zo zijn er partners die gespecialiseerd zijn in cloud, consultancy of zeer niche onderwerpen. Het is daarbij essentieel om te kijken wat uw belangrijkste assets (kroonjuwelen) zijn. Heeft u bijvoorbeeld een klein bedrijf maar wel veel intellectual property? Bescherm dan vooral de paar laptops waarop die gegevens staan. Of heeft u bijvoorbeeld een webwinkel met een groot bestand met e-mailadressen? Beveilig dan vooral dit bestand. Uw assets bepalen uiteindelijk welke maatregelen u moet treffen en wie u hierbij inschakelt. Jurre: “Ook dit is echt maatwerk”.
Meer weten over hoe u bepaalt welke beheersmaatregelen u voor uw bedrijf kunt nemen? Bekijk de #techtalk van Jurre Horsels.