Vind je cybersecurity ook zo complex? Begrijpelijk. Het organiseren van weerbaarheid tegen aanvallen, datalekken en kwetsbaarheden, het naleven van de wet- en regelgeving, het controleren van maatregelen en het omgaan met incidenten… het is niet eenvoudig. Maar het is geen optie om het niet te doen.
Met het stellen van prioriteiten maak je al een mooie stap. Dat is makkelijker gezegd dan gedaan. Waar begin je en hoe doen cybersecurity-experts dat? Gelukkig is kennis delen voor de cybersecurity-gemeenschap een tweede natuur. Er zijn namelijk prachtige raamwerken die je kunt raadplegen.
Bij OGD gebruiken wij het NIST Cybersecurity Framework (NIST CSF) voor onze eigen beveiliging en ook voor ons portfolio. Een raamwerk is een leidraad: je kunt ermee vaststellen waar je staat en waar je heen wilt.
In deze blog vertel ik over het NIST-raamwerk: wat kan het raamwerk voor jou betekenen en hoe helpen wij onze klanten hiermee? Ik beantwoord de 8 belangrijkste vragen rondom dit security-raamwerk:
1. Waarom een raamwerk voor security?
2. Wat is NIST CSF?
3. Hoe werkt het NIST-model?
4. Waarom zou je NIST gebruiken?
5. Hoe ziet NIST eruit?
6. Waar begin je met het NIST-raamwerk?
7. Hoe gebruik je het NIST-raamwerk?
8. In welke NIST-onderdelen is het belangrijk om te investeren en waarom?
Een raamwerk helpt je bij het investeren in security en bij het maken van keuzes tussen verschillende security-acties. Of dat nu gaat om end-point bescherming (antivirussoftware), netwerkmonitoring, verzekeren of security-awareness voor je medewerkers. Een raamwerk biedt een gemeenschappelijke ‘taal’ en is een leidraad voor risicogestuurd cybersecurity-management.
Bij risicogestuurd cybersecurity-management gaat het erom dat je weet wat je bedrijfsprocessen inhouden. In deze processen spelen cyberrisico’s een rol. Bij de aanpak van de risico’s draait het om prioriteiten stellen. Je organisatie weerbaarder maken begint met weten waar je staat, weten waar je heen wilt, en bepalen hoe je dat doet.
Zie een security-raamwerk als een meetlat. Een raamwerk schept overzicht in je bedrijfsprocessen en prioriteiten, voorkomt dat je maatregelen vergeet en helpt je om zwakke plekken te identificeren.
Het NIST-model is gemaakt door het Amerikaanse National Institute of Standards and Technology. Veel cybersecurity-experts zien het NIST-model als het beste security-raamwerk.
Je kunt veel ict- en cybersecurity-oplossingen, -diensten en -producten projecteren (mappen) op NIST. Je gebruikt NIST om projecten te definiëren, voortgang te monitoren en de resultaten te rapporteren aan stakeholders.
NIST refereert ook aan andere raamwerken en standaarden, zoals COBIT, ISO27000 en de CIS Critical Security Controls.
Het NIST werkt op de volgende manier:
Er zijn een aantal goede redenen om NIST als security-raamwerk te gebruiken:
Het NIST-raamwerk gaat uit van vijf verschillende functies:
Maak een lijst van alle assets, datastromen en systemen die je organisatie gebruikt. Pas wanneer dat duidelijk is, kun je cyberbeveiligingsrisico’s in kaart brengen en beheren.
Voorkom incidenten door de juiste inzet van technologie, het trainen van je medewerkers, beveiligingstests en het opstellen van procedures binnen je organisatie. Deze maatregelen en procedures zijn nodig om de risico’s op incidenten tot een minimum te beperken.
Controleer je apparaten op verdacht gedrag en afwijkingen. Ontwikkel en pas de juiste maatregelen toe om afwijkingen en verdachte activiteiten op tijd op te sporen en te identificeren.
Wees voorbereid op incidenten. Zorg dat je een noodplan klaar hebt staan voor klanten, werknemers en bedrijfsactiviteiten als er een aanval plaatsvindt.
Ontwikkel en implementeer de juiste procedures en maatregelen om in geval van een cyberincident te herstellen naar een normale bedrijfsvoering. Repareer de getroffen apparatuur en delen van je netwerk en stel je medewerkers en klanten op de hoogte van je herstelactiviteiten.
Zie deze vijf functies als de basispilaren voor je security. Let op: achter deze functies zit een enorm detailniveau aan categorieën en subcategorieën: van risicomanagement tot crisisoefeningen.
Je hoeft dus zeker niet al deze vijf functies stap voor stap te doorlopen. Het ligt eraan hoe ver jouw organisatie is op security-vlak. Daarnaast speelt mee welk type organisatie het is.
Een voorbeeld: Een bedrijf met intellectueel eigendom prioriteert andere zaken dan een machinefabriek. Want bij een bedrijf met intellectueel eigendom is data veilig houden voor spionage dé prioriteit. Bij de machinefabriek is dat continuïteit van productieprocessen.
Let op: Heeft jouw organisatie nog niks in kaart gebracht? Dan is het belangrijk dat je start bij de functie ‘identify’. Deze functie is van vitaal belang in de andere functies. Heb je deze functie niet op orde? Dan heeft het weinig zin om stevig in andere functies te investeren. Stappen die horen bij de functie ‘identify’:
Er is dus geen standaard stappenplan dat je direct laat inzien welke securitymaatregelen je moet nemen. Het hangt af van je organisatie en je doelen.
Dat blijkt ook uit een onderzoek wat wij uitvoerden. Wij vroegen tien van onze klanten in welke onderdelen van NIST zij het afgelopen jaar hebben geïnvesteerd. Dit is de uitkomst:
Klanten vertelden ons het volgende:
Hoe komt het dat de focus op ‘protect’ en ‘detect’ dan toch het grootste is? Oorzaken hiervoor zouden kunnen zijn:
Bij OGD gebruiken we het NIST-raamwerk voor onze eigen beveiliging en ons portfolio en onze klanten. Het is de rode draad binnen onze securitystrategie. Wil je hier meer over te weten komen en waarom dit nuttig kan zijn voor jouw organisatie, bekijk dan onze volgende content:
En download onze whitepaper over cybersecurity, waar onze experts uitleggen waarom cybersecurity onderdeel van je ict-fundament moet zijn.
OGD haalt al meer dan 35 jaar het maximale uit ict voor mensen en organisaties. Als strategisch partner bedenkt, bouwt en beheert OGD fullservice ict-oplossingen die de bedrijfsdoelen en medewerkers optimaal ondersteunen. Hierin neemt OGD de uitdagingen van alle afdelingen en medewerkers mee, vanuit het idee dat organisaties alleen zo duurzaam succes bereiken.
© 2023 OGD ict-diensten.
Algemene voorwaarden | Algemene inkoopvoorwaarden | Privacyverklaring
Nog geen reacties
Reageer als eerste