Hoe digitaal kwetsbaar is uw organisatie?
U laat periodiek uw CV-ketel controleren om er in de winter warm bij te zitten. U gaat tweemaal per jaar naar de tandarts om uw gebit gezond te houden. Laat ook regelmatig uw IT-infrastructuur controleren op kwetsbaarheden.
Van onze collega’s bij Stadswerk Magazine.
Wet- en regelgeving
Kwetsbaarheden, beveiligingslekken, geslaagde ransomeware en hackaanvallen komen veelvuldig voor en halen het journaal. Het negatieve effect van deze calamiteiten uit zich in imagoschade, verontruste burgers en bestuurders, verlies van vertrouwen, en het mogelijk niet voldoen aan wet- en regelgeving. Uiteindelijk betaalt iedereen voor beveiliging. Vooraf of, bij opgelopen schade, achteraf de hoofdprijs…
Volgens de huidige wet- en regelgeving hebben organisaties de plicht om te zorgen voor een adequate digitale beveiliging. Volgens de Cyber Security Raad (CSR) doen organisaties echter te weinig aan digitale veiligheid.
Mocht zich een incident voordoen, dan hebben zij de plicht de gevolgen ervan te beperken en verdere incidenten te voorkomen. De CSR heeft het Kabinet hierover geadviseerd en op haar website een handreiking gepubliceerd met een overzicht van de belangrijkste handvatten om deze plichten te vervullen.
Regelmatige controle
Zelfs als een organisatie adequate maatregelen heeft genomen ter beveiliging van haar product of dienst, kan het voorkomen dat de ICT-toepassing op een later moment niet langer veilig is. Dit kan worden veroorzaakt door voortschrijdend inzicht of door de ontwikkeling van de techniek. Uw organisatie dient daarom regelmatig te controleren of de cybersecurity nog steeds in orde is. Het is raadzaam om dit te laten doen door een externe partij, dus niet uw interne ICT’er, en u te laten adviseren.
Herkenbare aanpak
Uiteraard is het geen probleem om periodiek de beveiliging door een externe partij te laten valideren. Door het uitvoeren van een pentest (penetratietest) worden ICT-systemen gecontroleerd op kwetsbaarheden. Een pentest vindt met toestemming van de organisatie plaats en betekent dat een beveiligingsexpert probeert ‘binnen te komen in uw ICT-systemen’. Uiteindelijk worden de risico’s, kwetsbaarheden en verbeteringen in een rapport vastgelegd. Met dit rapport kan een organisatie aan de slag om alle verbeteringen door te voeren. Dit kan met eigen medewerkers, extern ingehuurde specialisten en de partij die de pentest heeft uitgevoerd. Door voortschrijdend inzicht en nieuwe technieken komen nieuwe risico’s en kwetsbaarheden boven tafel die het wenselijk maken de pentest met regelmaat uit te voeren. Met als consequentie dat de organisatie in een continu proces van het doorvoeren van verbeteringen zit. Dit vraagt veel van mensen en middelen. Elke week, elke maand nieuwe lijsten met risico’s en kwetsbaarheden met als gevolg veel repeterend en ad hoc werk.
De ‘begin bij het begin’ aanpak
Om verrassingen tijdens de officiële audit te minimaliseren, is BlueMesa groot voorstander van een aanpak die
aan het begin van het security-proces begint. Dat betekent: niet periodiek een pentest uitvoeren, de gevolgen
daarvan accepteren en het probleem oplossen, maar het proces van continue veiligheid en beheer inregelen. De
resultaten van de pentest zijn dan uiteindelijk de beloning van een goed technisch georganiseerd securitybeleid.
De eerste fase is een inventarisatie van alle ICT-componenten. Voor elke organisatie is het altijd een verrassing
hoeveel en welke ICT-componenten er aanwezig zijn én dus kwetsbaarheden kunnen bevatten en een risico
vormen. Na het initieel inregelen van de inventarisatie, vindt deze hierna volautomatisch elk moment plaats.
De tweede fase is het bepalen en prioriteren van het gewenste beveiligingsniveau van de ICT-componenten. De derde fase is het wegnemen van de kwetsbaarheden. Denk hierbij aan volautomatische updates tot het eenmalig handmatig aanpassen van één uniek systeem. En soms het niet kunnen aanpassen van een ICT-component
omdat dit bedrijfskritisch is en er eerst andere stappen moeten worden genomen.
De vierde fase is een scan met rapportage. Het grootste voordeel van fase één tot en met vier is dat veel is geautomatiseerd. Verder is veel op voorhand bekend en goed in te regelen. Bij een consequente aanpak wordt het rapport met de maand korter. En met minder risico’s van het niveau ‘high priority’. Na deze vier stappen kan de pentest worden uitgevoerd. Wetende dat de organisatie zijn technische securitybeleid goed heeft ingeregeld, zijn de verrassingen minimaal.
Minder tijdbesteding, snelle certificatie, weinig onrust, tegen lage financiële kosten, met als resultaat geen veiligheidscalamiteiten en een goed imago. Na een succesvolle geslaagde pentest gaat het geautomatiseerde proces onder fase één tot en met vier verder. Tot de volgende pentest.
