Abonneer
Abonneer
Abonneer
Abonneer
Cyber Security

100% beveiliging bestaat niet: hoe past MDR in jouw organisatie?

Geschreven door Eward Driehuis
6 min leestijd
31-okt-2023 13:55:26

Wanneer je een huis bouwt, start je niet met de dakkapellen, deuren en de dakpannen. Het fundament is letterlijk het fundament, want het huis moet stevig staan. Pas wanneer dat goed staat, kijk je verder naar de volgende onderdelen van jouw nieuwe huis. Cybersecurity-expert Eward Driehuis ziet dezelfde vergelijking in de security: “Pas als de basis van je cybersecurity staat, kun je verder kijken naar uitbreidingen op je cybersecurity zoals Managed Detection and Response (MDR).” MDR is de volgende stap na het fundament. In deze blog legt Eward uit wat MDR inhoudt, voor welke organisaties dit relevant is en hoe je ermee start. 

Wat is Managed Detection & Response?

Met MDR zet je geavanceerde technologie en menselijke analyse in om cyberdreigingen op te sporen, te detecteren en te verhelpen. Het is een proactieve aanpak waarbij je gebruik maakt van Endpoint Detection and Response-tools, bedreigingsinformatie en beveiligingsanalisten. Zo houd je het risico op beveiligingsinbreuken zo laag mogelijk. 

Voor wie is MDR interessant?

Het hangt erg van de organisatie af of het interessant is om MDR als dienst af te nemen. Eward legt uit: “Voor de meeste organisaties hangt de keuze voor MDR af van het risico dat ze bereid zijn te lopen. Als organisatie moet je daarom eerst een keuze maken hoeveel cyberrisico je wilt lopen. Natuurlijk start je altijd met het fundament: de bescherming van de werkplek.” 

Of MDR voor jou interessant is, hangt maar van één ding af. Hoe veel risico wil je lopen? Eward verduidelijkt: “Je fundament, de bescherming van de werkplek, staat altijd voorop. Maar 100% beveiliging bestaat niet. Wil je dus nóg minder risico lopen, dan is MDR wat voor jou.” Eward geeft toe dat de afweging niet altijd gemakkelijk is. “MDR zorgt ervoor dat aanvallen, die het fundament niet kan tegenhouden, toch worden afgevangen. Je risico wordt dus nog lager. Voor de één brengt de investering voldoende risicoverlaging. Voor de ander niet. Het is dus vooral een financiële keuze.”

 Kosten en risico als afweging

“De basis houd je veilig door maatregelen als multifactor authentication (MFA), continu patchen en updaten, firewalls en investering in de cyberhygiëne. Voor veel organisaties is investeren in het fundament voldoende. Denk aan MKB-organisaties met enkele tientallen medewerkers. Naast dat zij vaak niet voldoende budget hebben voor een investering in MDR, hebben ze vaak zo’n risicoverlaging simpelweg niet nodig.” 

Een goede overweging, volgens Eward. Bij grotere organisaties zit het vaak anders. “Grotere organisaties hebben geen zin om continu brandjes te blussen en willen wel degelijk hun risico verlagen. Dan heb je detectie nodig, omdat je gelijk actie kunt ondernemen wanneer een cybercrimineel ‘inbreekt’. 

Met MDR maak je de impact van de aanval niet per se kleiner, maar wel verlaag je de kans dat een cybercrimineel binnenkomt aanzienlijk. Je verlaagt daarmee het risico en waarschijnlijk verlaag je ook de kosten die je anders spendeert aan incidenten oplossen.

Hoe eerder je bij het incident bent, hoe goedkoper het is. In de ideale situatie voorkom je alle incidenten doordat je een goed fundament hebt. Dat is gewoon de goedkoopste manier. De realiteit is dat je niet alle incidenten kunt voorkomen. Met detectie heb je weliswaar meer kosten dan wanneer je alleen investeert in je fundament, maar de hoogste kosten betaal je wanneer ze echt in je ict-omgeving inbreken. Dan moet je een duur noodscenario uitlopen, wat vaak veel duurder is dan jarenlang voor MDR betalen.”

Wetten en regelgeving

Naast kosten en risico-overwegingen, bestaat er voor sommige organisaties regelgeving waardoor ze niet onder MDR uitkomen. Eward: “Dat geldt voor de overheid. Organisaties moeten volgens de BIO een detectieproces paraat hebben. In principe is dat nog steeds niet verplicht, maar je moet wel een heel goed verhaal hebben waarom je dat niet doet. En financiële organisaties hebben bijvoorbeeld te maken met de regels van DORA en De Nederlandse Bank (DNB). Ook in de maakindustrie zijn er voorschriften die MDR voorschrijven. Het gaat hier om Europese richtlijnen. Voor veel organisaties is het dus min of meer verplicht.”

Is MDR wat voor jouw organisatie? Ontdek het met dit stappenplan

1. Snap wat de risico’s zijn

Met risico-inventarisatie moet je eruit komen of je voor MDR gaat of niet. Met de stap ‘identify’ uit het NIST-model stel je vast wat je wilt beschermen en waarom. Je vraagt je bij deze stap af wat belangrijk voor jouw bedrijf is. 

Eward: “Deze stap is essentieel, want doe je geen risico-inventarisatie, dan kom je voor verrassingen te staan, geef je te veel geld uit aan beveiliging of beveilig je de verkeerde dingen. Naast een goede risico-inventarisatie is een overzicht van assets belangrijk. Hoeveel accounts en computers heb je? Hoeveel rechten deel je uit? Zijn de functies van je medewerkers goed gedefinieerd?”

2. Bescherm je assets zo goed mogelijk 

Wanneer je de risico’s hebt vastgesteld, kijk je naar hoe je de risico’s wilt verminderen. Het kan ook zijn dat je erachter komt dat je de risico’s niet wilt verminderen, omdat er te hoge kosten aan verbonden zitten. Dat heet ‘risico’s accepteren’. In tegenstelling tot wat veel mensen denken, hoef je echt niet alle risico's te verminderen.

Je richt ‘protect’-maatregelen in. Denk aan het inrichten van firewalls, het uitvoeren van patches, het managen van rechten en het uitfaseren van rechten van mensen die uit dienst gaan. Het is goed om de maatregelen af te stemmen op de risico’s. Bedenk wel bij dit alles: houd de juiste balans tussen werkbaarheid en veiligheid. Het moet leuk blijven voor je medewerkers.

Volgens Eward is het goed om te beseffen dat er niet één tool is die alles voor jou regelt. “Er is geen magische software die jouw organisatie van 100% veiligheid kan garanderen. Echte goede beveiliging betekent continu hard werken.” 

“Echte goede beveiliging betekent continu hard werken.” – Eward Driehuis

3. Werk aan de veiligheid van het fundament maar accepteer dat het niet voor 100% beschermt

Hoe hard je ook werkt om de veiligheid van je organisatie te garanderen, je zult nooit voor 100% beschermd zijn. Veel cyberincidenten kun je ondervangen met patching, maar er zijn ook zero day vulnerabilities (kwetsbaarheden waar geen oplossing voor is), trage processen en menselijke fouten. Accepteer dat bescherming nooit voor 100% kan zijn. Dan pas kun je de volgende stap zetten. 

Een goed fundament zorgt voor minder problemen in de volgende fase van een cyberincident. Eward geeft een voorbeeld: “Bij een woning kun je ervoor kiezen om beveiligde ramen te installeren. Mocht er een indringer binnenkomen, dan gaat er een alarm af. Je wilt ook dat er in de gang camera’s hangen zodat je de criminelen door de gang ziet lopen. Binnen de ict heeft MDR deze functie.

Je kan niet preventiemaatregelen blijven toevoegen en verwachten dat de beveiliging dan 100% is. Dus op den duur moet je nadenken: hebben we nu alles gedaan wat we redelijkerwijs hadden kunnen doen? Als we meer gaan doen wordt het heel vervelend voor onze gebruikers. En dan ga je zien dat het onze productiviteit eraan gaat. Het gaat om het vermijden van financiële verliezen. Als je op dat punt uit komt moet je naar de volgende laag.” 

4. Detecteer en zorg dat MDR en beheer goed op elkaar aansluiten 

Hier ben je erachter gekomen of je MDR aan je fundament wilt toevoegen. Er zijn verschillende detectiedienstverleningen, maar MDR is wel de meest toegankelijke. Hier wordt goed gekeken naar de werkplek, waar 80% van de incidenten gebeurt. Maar de rest van je ict, de cloud, servers en applicaties kun je met MDR ook beschermen.

Een centraal team focust zich op de mogelijke incidenten en signaleert, maar zorgt ook voor een oplossing. Goede communicatie tussen MDR en beheer is onmisbaar. Eward: “Je wilt natuurlijk geen melding krijgen van een incident en er vervolgens niks aan doen. MDR gooit daarom niet alleen dingen over de muur maar moet ook kijken met het beheer wat de oplossing is. Het weten alleen is niet genoeg, actie ondernemen is het belangrijkste.”

Meer weten?

Investeren in cybersecurity kost tijd en geld. Het start met investeren in het fundament. De volgende stap is om te kijken naar detectiemogelijkheden als MDR. Hierin is het belangrijk dat je een afweging maakt tussen de kosten en de risico’s. Wil je meer weten over het onderwerp cybersecurity? 

Lees dan deze whitepaper waarin onze experts uitleggen waarom security aan het fundament van je ict moet staan. Je vindt in deze whitepaper:

  • een kort overzicht van de huidige staat van cybersecurity in Nederland;
  • een uitgebreide uitleg over waarom security aan de basis van je ict zou moeten staan;
  • handvatten voor een praktische uitvoering met een checklist;
  • voorbeelden van organisaties die security als basis van hun ict implementeerden.

Cybersecurity whitepaper
Vorige verhaal
← 5 redenen waarom de inzet van tijdelijke ict-professionals jouw projecten wél laten slagen
Volgende verhaal
Je cloudmigratie aanpakken met het 6R-model: zo doe je dat →
9 KPI’s voor het beveiligen van de werkplek
de belangrijkste kpi's voor een veilige werkplek monitoren van de cyber security devices
Cyber Security

9 KPI’s voor het beveiligen van de werkplek

26-okt-2022 17:10:03 6 min leestijd
Waarom MFA en zero trust zo belangrijk zijn voor je cybersecurity
cybersecurity versterken met multifactor authenticatie en zero trust
Cyber Security

Waarom MFA en zero trust zo belangrijk zijn voor je cybersecurity

25-okt-2021 11:58:18 4 min leestijd
Help, een cyberaanval in het nieuws | een stappenplan voor elke ict-manager
Cyber Security

Help, een cyberaanval in het nieuws | een stappenplan voor elke ict-manager

25-jul-2022 17:29:40 8 min leestijd

Ontvang email updates