Cybersecurity voor bedrijven krijgt de laatste jaren een steeds grotere rol. Maar hoe kan je als bedrijf starten met cybersecurity zonder jezelf onder te dompelen in het schrijven van procedures, en er vervolgens niks mee doet? In deze blog leggen we de basis uit van het managen van cybersecurity met diverse voorbeelden, zodat je een beter beeld hebt hoe jij aan de slag kan met cybersecurity in jouw organisatie.
Gemunt op bedrijven
Cybercriminelen hebben doorgekregen dat ze meer geld afhandig kunnen maken van bedrijven dan van consumenten. Een veelgebruikt middel hiervoor is gijzelsoftware, ook wel ransomware genoemd. Hierbij worden bedrijfssystemen gebruikt voor productie versleuteld en kan je deze pas weer gebruiken nadat je voor een paar ton de sleutel terugkoopt, veelal via bitcoin. Of wat te denken van vele datalekken, waarvan de Autoriteit Persoonsgegevens (AP) al 24.000 meldingen in 2020 zag binnenkomen?
Bestaande standaarden
Ongeacht de gevolgen is het belangrijk om als bedrijf te weten hoe je cybersecurity kan inrichten. Als je zelf op zoek gaat kom je wellicht termen tegen als ISO27001-certificatie of de BIO (Baseline Informatiebeveiliging Overheid). Je kan het zo uitgebreid maken als je wilt en zoveel maatregelen implementeren als mogelijk.
De meest genoemde informatiebeveiligings-standaard is ISO27001. ISO heeft talloze standaarden in zijn beheer, waaronder over cybersecurity. ISO27001 legt de basis van een systeem waarmee je cybersecurity kan managen, terwijl ISO27002 specifieker ingaat welke maatregelen je kan nemen. Veel bedrijven certificeren zich met enkel ISO27001. Je hoeft daarna niet perse ISO27002 te gebruiken: als jij als bedrijf andere maatregelen wilt treffen om cybersecurity te beheersen, dan mag dit ook. De BIO kan hier o.a. van pas komen.
Hoe te beginnen met cybersecurity
Het systematisch aanpakken van cybersecurity is cruciaal voor elke organisatie. Een methodiek die ISO27001 hanteert is die van een Information Security Management System, ofwel een ISMS. Dit is een systeem binnen je gehele bedrijf om periodiek informatiebeveiliging te managen.
Het ISMS werkt in de basis vanuit risico’s: je bepaalt d.m.v. van een risicoanalyse wat een risico is en vervolgens neem je hier maatregelen op om dit risico te verkleinen. Hiermee zorg je ervoor dat je maatregelen neemt die bij jouw organisatie passen. Voor je passende maatregelen kan inzetten moet er eerst een aantal stappen worden voltooid, waaronder:
- Het opzetten van een cybersecurity-team
- Het betrekken van al je werknemers (b.v. door trainingen of een personeelshandboek)
- Het in kaart brengen van je bedrijfs-assets
- Het uitvoeren van een risicoanalyse a.d.h.v. een eventuele impact op je belangrijkste assets
- Bepalen welke risico’s je wilt aanpakken
- Welke controls je wilt aanbrengen om deze risico’s te beperken
Vervolgens evalueer je na een bepaalde vastgestelde periode wat de resterende / nieuwe risico’s zijn en ga opnieuw nummer 3 tot en met 6 langs. Deze cyclus wordt ook wel Plan-Do-Check-Act genoemd: plan wat je gaat doen, voer het uit, check of dit naar tevredenheid is gegaan en acteer hier weer op voor de volgende cyclus.
Risico’s in organisaties
De risico’s kunnen van allerlei aspecten komen: werknemers, technische kwetsbaarheden (zoals oude software), toegang tot kantoor, leveranciers, wettelijke verplichtingen zoals AVG, etc. Via het ISMS maak je een document waarin je bijhoudt welke aspecten van toepassing zijn voor jouw organisatie. Deze besluiten komen in een bestand genaamd de Verklaring van Toepassing (VvT). Met dit bestand kan je, in combinatie met je certificatie, aan externe partijen aantonen dat je goed hebt nagedacht over je informatiebeveiliging.
Moet ik nu in een keer mijn hele organisatie aanpassen?
Nee, dat hoeft niet. ISO27001 beschrijft niet specifiek welke maatregelen je moet nemen, maar welke je kan nemen. Zolang je beschrijft waarom je een bepaalde keuze maakt (of juist niet) dan is dit afdoende voor certificatie.
Een voorbeeld: werknemers gebruiken onveilige wachtwoorden waardoor het risico op ongeoorloofd toegang tot bedrijfssystemen hoog is. Dit risico documenteer je in het zogenoemde risicoregister. Vervolgens ga je maatregelen invoeren: je bepaalt een wachtwoordpolicy hoe werknemers met wachtwoorden om moeten gaan. Je kan hier beschrijven hoe per direct iedereen veilige wachtwoorden moet gebruiken (b.v. hoe langer het wachtwoord, hoe veiliger) en je schrijft dat binnen een 6 maanden tweestapsauthenticatie is ingeschakeld, en dat binnen een jaar alle werknemers een wachtwoordenmanager moeten gebruiken.
Hulp van Mitopics
Bij een ISMS ben je niet gebonden aan (technische) maatregelen of, maar redeneer je vanuit risico’s. Hier kan je dus ook je bestaande maatregelen aan toetsen of deze wel adequaat zijn.
Bij Mitopics kunnen we je desgewenst helpen en begeleiden bij het opzetten van een cybersecuritystrategie: van het opzetten en uitvoeren van risicoanalyses, het opzetten van dergelijke en juridische dichtgetimmerde Service Level Agreements met leveranciers, tot het evalueren van bestaande (technische) maatregelen in verhouding met het ISMS. Mitopics neemt momenteel (desgewenst) cybersecurity al mee in pakketselecties en contractering.
Certificeren
Mocht je interesse hebben in een complete certificatie, dan zijn er lichtere vormen dan ISO27001, zoals Security Verified. Security Verified is een open standaard van ICT Institute, een netwerkpartner van ons. De eisen van Security Verified zijn openbaar, in tegenstelling tot ISO27001 of 27002. Daarnaast borduurt Security Verified voort op de filosofie van ISO27001, namelijk het inrichten van een ISMS, en bij certificatie van Security Verified wordt een onafhankelijke auditor ingezet die checkt of je alle documentatie wel op orde hebt.
Heb je vragen over cybersecurity, hoe je dit als organisatie professioneel maar ook pragmatisch kunt oppakken, of hoe je dit bij pakketselectie, aanbesteding en contractering mee kan nemen, neem dan gerust even contact op met Laurence Arnold.