Met een ijzersterk security beleid kun je de kans dat je organisatie slachtoffer wordt van een cyberaanval flink verkleinen. Wist je dat het je ook kan helpen om geld te besparen, en het je eindgebruikers productiever maakt? We spreken erover met Pelle Aardewerk, cybersecurity-expert van HP.
Dit is het tweede artikel uit onze reeks over de businesscase van goede security. In het eerste artikel lees je alles over de kansen die security biedt aan de gehele organisatie.
Pelle legt uit dat je bij het beveiligen van je organisatie eigenlijk de principes moet volgen die je thuis ook volgt. Je beschermt je belangrijkste zaken het beste. “Protect your diamond box met een slot op de deur. Zet het kistje in een afgesloten kamer en doe het in een aparte kluis”, legt Pelle uit.
“Als je waardevolle zaken open en bloot laat, kunnen ze gestolen worden. Voorkomen is beter dan genezen. Wanneer je geld uitgeeft aan security, kost dit je minder dan wanneer er iets belangrijks gestolen wordt.”
Security beleid: start met een risicoanalyse
Dit doe je uiteraard niet met elk systeem of datatype. Dat kost veel te veel geld, en maakt het voor medewerkers lastig om hun werk goed te doen. Er zijn dan zo veel securitylagen ingebouwd, dat de productiviteit daalt. Om de juiste focus te kiezen, stel je een helder security beleid op.
Wanneer je aan de slag gaat met een security beleid, is het noodzakelijk om eerst in kaart te brengen wat belangrijkste data en systemen zijn. Gebruik hierbij indicatoren als beschikbaarheid, integriteit, vertrouwelijkheid en vereiste regelgeving. Vervolgens doe je een assessment om te bepalen waar de kwetsbaarheden zitten, en welke impact een aanval zou hebben op dit onderdeel.
Let op: het is belangrijk om bij je risicoanalyse ook te kijken naar je supply chain. Waar zitten daar afhankelijkheden en kwetsbaarheden?
Beveilig je belangrijke systemen
“Dan kun je focussen op extra beveiligingsmaatregelen voor de bedrijfskritische processen, systemen en data”, vertelt Pelle. Welke systemen moeten altijd beschikbaar zijn om het bedrijf overeind te houden, en bij welke is het minder erg als ze een dag of twee offline zijn?
“Zorg voor een basisbeveiliging en daarnaast extra beveiligingsmaatregelen voor je belangrijkste systemen en data. Wellicht is dit laatste slechts 10-20%, waardoor je geld kunt besparen en productiviteitsverlies kunt voorkomen”, stelt Pelle.
De businesscase van goede security: overtuig je directie
Wil je als IT-manager graag genoeg geld en aandacht voor security binnen je bedrijf, maar weet je niet goed hoe je dit aan moet pakken? In dit document lees je hoe je de directie kunt overtuigen met een ijzersterke businesscase.
Welke data moet strenger worden beveiligd?
Het kan lastig zijn om te bepalen welke data streng beveiligd moet worden, en welke niet. Het kan hiervoor handig zijn om data in te delen op verschillende classificaties:
- Publiek
- Gevoelig
- Vertrouwelijk
- Zeer vertrouwelijk
“Publieke data mag vrij beschikbaar zijn, die hoef je dus niet zo streng te beveiligen. De zeer vertrouwelijke data ga je juist extra beveiligen”, legt Pelle uit, om de integriteit en vertrouwelijkheid te waarborgen.
Wanneer het gaat om gevoelige of vertrouwelijke data, krijg je ook te maken met privacywetgeving: de GDPR. “Je moet hiervoor niet alleen beveiligingsmaatregelen nemen, maar dit ook kunnen bewijzen aan inspecteurs.”
Hoe schrijf je een goed security beleid?
Wanneer je een security beleid wilt schrijven, kun je verschillende hulpmiddelen gebruiken, zoals de industry geaccepteerde standaarden NIST en ISO27001:
- NIST
“Met de NIST methode schrijf je jouw security beleid in vijf stappen: “Identify, protect, detect/prevent/monitor, respond en recover. Voor elke stap bepaal je welke volwassenheidsniveau je wilt bereiken en hoe je dit aanpakt. Voor sommige bedrijven zal niveau 3 op veel stappen voldoende zijn, terwijl multinationals en bedrijven in de financiële sector bijvoorbeeld overal naar niveau 5 willen.” - ISO27001
“Dit is een internationale standaard voor informatiebeveiliging. Het bestaat uit best practices voor cybersecurity.”
“Met deze twee frameworks creëer je een goede basis voor je security beleid. Die vul je aan met de maatregelen die passen bij jouw risicoanalyse”, legt Pelle uit. “Je beschrijft vervolgens hoe je jouw beveiliging gaat inrichten met de combinatie van procedures, training en technologie.”
Lees ook
