Niet alleen onze organisatie, maar ook onze leveranciers en klanten zijn dag in dag uit bezig met cybersecurity. We lezen erover in de krant, horen het op het nieuws, werken operationeel met beveiligingsoplossingen als multi-factor authenticatie en ervaren dagelijks quasi-onschuldige dreigingen. Een mooi voorbeeld is de phishingpogingen via telefoon, sms en e-mail. Onze digitale weerbaarheid is dus belangrijker dan ooit. Stefan Pagels - productmanager en consultant cybersecurity bij Acknowledge – deelt zijn blik op cybersecurity anno nu.
Digitale weerbaarheid
Op basisscholen onderwijzen we de nieuwe generatie naast fysieke en psychische weerbaarheid inmiddels in digitale weerbaarheid als derde pijler. Mijn generatie is opgegroeid zonder computer en met guldens en Lego. Wij benaderen ICT vooral functioneel en zien het als automatisering van een taak. Het is dan ook fantastisch te zien dat de aankomende generatie wordt voorbereid op omgang met een digitaal leven. Sterker nog: op digitale weerbaarheid! Daarmee geven we aan dat inbreuk op je digitale veiligheid onvermijdelijk is en dat het vooral gaat om hoe je hiermee omgaat. Waarom is het niet slim om foto’s van jezelf op social media te delen? Wat is online pesten? En hoezo is het handig een goed wachtwoord te gebruiken? Met andere woorden: wie ben ik online, wat is er van mij te vinden, wat wil ik dat van mij privé blijft en welke bewuste keuze moet ik daarin maken?
Voldoen aan normen
Supertof om dit te zien op de basisschool van mijn dochters. Hoe simpel ook, het is dezelfde denkwijze die we ons eigen moeten maken in onze organisaties en sectoren. Waar ligt ons bedrijfsrisico? Wat willen we beschermen? Hoe willen we functioneel werken en hoe doen we dat veilig? Gelukkig staan we hier niet alleen voor en zijn er legio specialisten die hierin adviseren, implementeren en mitigeren. Daarnaast is er een enorme compliancygolf aan de gang waarin we moeten voldoen aan NEN, BIO, NIS(2) en normenkaders die gecontroleerd worden in audits. En we willen zelf voldoen aan ISO(27001)-normeringen om aan te tonen dat we bewust nadenken over onze processen en werkwijze. Tot nu toe klinkt het logisch, maar te algemeen. Het allermooiste is dat een goede invulling van cybersecurity jouw eigen keuze is en dat de inrichting heel goed specifiek te maken is wanneer je werkt vanuit een basis.
Definitie volgens NCSC
Laten we beginnen bij de definitie volgens het Nationaal Cyber Security Centrum (NCSC): alle beveiligingsmaatregelen die men neemt om schade te voorkomen door een storing, uitval of misbruik van een informatiesysteem of computer. Van oudsher – en voor veel organisatie nog steeds – ligt op het gebied van cybersecurity de focus op hard- en software (technology). Toch zien we dat beleid, risicoafweging (process) en veilig werken (people) minimaal zo belangrijk zijn om tot een toekomstvaste oplossing te komen. Kortom alle facetten om onze organisatie, medewerkers, leveranciers, klanten en cliënten veilig te houden. Nu we de definitie en het spectrum hebben bepaald kunnen we samen kijken naar de basis om digitaal weerbaar te worden. Deze basis wordt als leidraad voor iedereen – ongeacht grootte of sector – gratis weggegeven door het NCSC en bestaat uit vijf principes.
De vijf basisprincipes
Wanneer je bewust en geleidelijk invulling gaat geven aan deze principes met technologie, beleid en liefde voor de gebruiker komt digitale weerbaarheid vanzelf dichterbij. Zo creëren we een digitale werk- en leefomgeving waar de nieuwe generatie zich in thuis voelt en op kan bouwen. Om de kansen en mogelijkheden van digitalisering optimaal te benutten is digitale weerbaarheid een belangrijke voorwaarde. De realiteit is dat grote en kleine organisaties dagelijks te maken hebben met digitale dreigingen. Deze dreigingen kunnen leiden tot een datalek of bijvoorbeeld uitval van de productieomgeving. De impact kan hoog zijn, denk aan reputatieschade of zelfs het in gevaar komen van de bedrijfscontinuïteit. Organisaties moeten zich daarom weren tegen deze dreigingen door werk te maken van hun digitale weerbaarheid.
- Breng risico’s in kaart: krijg en behoud zicht op risico’s waaraan je bloot kan worden gesteld. Oude servers en openstaande netwerkpoort kunnen leiden tot incidenten met verstrekkende gevolgen.
- Bevorder veilig gedrag: bij het merendeel van de cyberincidenten zijn mensen betrokken, zoals bij phishingmails of het achterlaten van een geïnfecteerde USB-stick. Soms veroorzaken we zelfs zonder tussenkomst van kwaadwillenden onbedoeld een datalek.
- Bescherm systemen, applicaties en apparaten: leveranciers rusten software, computer- en netwerkapparatuur vaak uit met standaardinstellingen die doorgaans meer functionaliteiten bevatten dan nodig, wat aanvallers onnodig meer ruimte geeft.
- Beheer toegang tot data en diensten: om de kans op ongelukken en misbruik zo klein mogelijk te maken is het belangrijk dat medewerkers (intern) en relaties (extern) alleen de toegang hebben die past bij hun werkzaamheden.
- Bereid je voor op incidenten: besteed aandacht aan bedrijfscontinuïteit, uitwijk- en herstelplannen, incidentresponsplannen en back-upstrategieën en test regelmatig.
Geen one size fits all
Veel digitale incidenten vinden hun oorzaak in het niet op orde hebben van basisbeveiligingsmaatregelen. Dat is jammer, want vaak is met relatief eenvoudige stappen je organisatie een stuk digitaal weerbaarder te maken. Tegelijkertijd zijn organisaties verschillend, waardoor er geen one-size-fits-all-set van maatregelen te geven is. Met de vijf basisprincipes van digitale weerbaarheid geven we je handvatten voor het ontwikkelen van een gezonde en degelijke cyberbeveiligingsstrategie. De principes zijn zo opgesteld dat iedere organisatie ermee uit de voeten kan, of je nu veel stappen hebt gezet in het digitaal weerbaar maken van je organisatie of nog weinig. Zelfstandigen en mkb’ers vinden meer informatie bij het Digital Trust Center. Grotere ondernemingen en organisaties die onder de NIS2 vallen kunnen bij het NCSC terecht.
Hoe zit het met jouw organisatie?
Vindt jouw organisatie het lastig om een gedegen plan voor de digitale weerbaarheid te bereiken? Daar helpen wij je graag bij! Onze consultants denken mee over de bewuste keuzes, compliancy, ethisch hacken en voorzien in een veilige en vooral fijne werkplek.