Management

Dit is een bijdrage van Motiv ICT Security
Security
Realiseer een adequate ‘basissecurity’ aan de hand van de Critical Security Controls

Security is geen product, maar een proces

Realiseer een adequate ‘basissecurity’ aan de hand van de Critical Security Controls

30 november 2020
Door: Motiv ICT Security, partner

Realiseer een adequate ‘basissecurity’ aan de hand van de Critical Security Controls

Cybercriminelen zijn continu op zoek naar nieuwe manieren om binnen te komen, en zijn bereid om daar veel geld en tijd in te stoppen. Security is dan ook niet een kwestie van één keer implementeren en af en toe een update doorvoeren. Het is een doorgaand proces dat constante aandacht nodig heeft. Hoe maakt u van security een continu proces?

Eerst het goede nieuws: volgens een onderzoek in opdracht van Motiv onder ruim driehonderd ICT-beslissers nemen de budgetten toe. Bedrijven nemen security dus steeds serieuzer. Dat is terecht. Het dreigingslandschap is diverser dan ooit tevoren, met veel verschillende aanvallen die grote invloed hebben op de continuïteit. Cybercriminelen kunnen bijvoorbeeld ransomware – die grote hoeveelheden data onbereikbaar maakt – op meerdere manieren inbrengen: via phishing, netwerkinbraken, ongepatchte lekken, enzovoorts.

De meeste bedrijven maken zich hier zorgen over, zo blijkt uit hetzelfde onderzoek. Eigenlijk is dat opvallend. De overgrote meerderheid van de genoemde dreigingen is met relatief eenvoudige middelen en een gestructureerde securityaanpak goed onder controle te houden.

Fix the basics
Organisaties hoeven hiervoor het wiel niet opnieuw uit te vinden. Voor het realiseren van een ‘basissecurity’ kunnen ze bijvoorbeeld gebruikmaken van de Critical Security Controls for Effective Cyber Defense van het Center for Internet Security (CIS). Deze twintig CIS Controls zijn best practices die aanvallen helpen blokkeren, of op zijn minst de effecten beperken.

De eerste zes CIS-controls gelden als baseline voor iedere organisatie. Daarmee brengt u de basis op orde. Het gaat om deze controls:

1. Inventarisatie van de hardware-assets – Alle mogelijk kwetsbare apparaten, zoals laptops en smartphones, moeten zichtbaar zijn om ze te kunnen beschermen.

2. Inventarisatie van software-assets – Om verouderde of ongeautoriseerde software te detecteren, moeten de beheerders ook hier volledig zicht over hebben.

3. Doorlopend vulnerabilitymanagement – Continu en automatisch scannen op kwetsbaarheden.

4. Gecontroleerd gebruik van beheerdersrechten – Zodat alle medewerkers alleen de toegang hebben die echt nodig is om hun taken uit te voeren.

5. Veilige configuratie van hardware en software op mobiele apparaten, laptops, werkstations en servers – Betere bescherming door de basisconfiguraties aan te scherpen.

6. Controle van auditlogs – Automatische verzameling van logbestanden, zodat rondneuzende cybercriminelen sneller opgespoord en geblokkeerd worden.

Foundational en Organizational
De zes basismaatregelen zijn een goed begin. Met slechts twintig procent van de inspanningen kunt u toch een weerbaarheid van boven de tachtig procent te realiseren. Maar uiteraard zijn ook de CIS-controls 7 tot en met 20 van belang voor de security van een organisatie.

Controls 7 tot en met 16 heeft het CIS aangemerkt als Foundational, terwijl de laatste vier controles als Organizational te boek staan. Voor de Foundational Controls geldt dat ze specifieke technologische onderdelen van de ICT afdekken. Beveiliging van e-mail en browsers en bescherming tegen virussen en andere malware horen daar bijvoorbeeld bij. De laatste vier controls beschrijven vervolgens maatregelen die de organisatie zelf omvatten: vaardigheden en training, beveiliging van applicaties, reactie op incidenten, en het uitvoeren van penetratietesten.

Verdere procesverbetering
Het hoe van de implementatie van de CIS-controls is sterk afhankelijk van de organisatie en vooral de behoeften. Maar een procesmatige aanpak gaat verder dan het invoeren van deze best practices. Ze dienen continu uitgevoerd te worden, maar het is ook belangrijk dat de securitybehoefte getoetst blijft worden. Organisaties groeien, ICT-omgevingen veranderen. Het proces moet dus een mechanisme hebben om dat mee te nemen.

Een voorbeeld van zo’n methode is de Plan, Do, Check, Act-methodologie. Deze cirkel heeft zich bewezen voor kwaliteitsmanagement en is zeker op een security-aanpak van toepassing. Het begint bij het plannen van een verbetering, inclusief het testen ervan. Vervolgens voert u deze door, eerst op beperkte schaal om te testen. Bekijk de resultaten en analyseer wat anders moet. De aanpassingen worden gemaakt, waarna u weer bij plan uitkomt.

Wat Motiv kan doen
Motiv ondersteunt organisaties bij het invoeren én uitvoeren van procesmatige beveiliging. Door business en technologie met elkaar te verbinden, zijn we in staat iedere organisatie te voorzien van een securityproces dat zich aanpast aan het actuele dreigingsbeeld. Voor meer informatie, download deze whitepaper, en neem contact met ons op voor een health check van uw organisatie.

 

Reactie toevoegen