3 onmisbare methoden
voor een effectief cybersecurityprogramma
Veel kleine en middelgrote organisaties hebben moeite met het opzetten van een doeltreffend en efficiënt beveiligingsprogramma. Ze worden geconfronteerd met nieuwe wet- en regelgeving, compliance, en moeten zich ook nog eens beschermen tegen cyberaanvallen zoals ransomware. Hoe moeten ze dit aanpakken?
Het antwoord is simpel: een cybersecurityprogramma gebaseerd op risico’s maakt een organisatie aanzienlijk weerbaarder zónder dat dit buitensporig hoge kosten met zich meebrengt. De basis is een combinatie van drie methodes: riskmanagement voor een afgebakende en gerichte aanpak, een PDCA-cyclus voor adequate sturing, en het Capability Maturity Model (CMM) voor volwassen processen.
Meer weten?
Bel met Prewien Baboelal
+31 (0) 655 784 683
Uitgangspunt: risicomanagement
Om de ICT en beveiliging van een bedrijf goed in te richten én aan te sturen, is het nodig om te begrijpen wat de belangrijkste processen zijn. Bij een handelsbedrijf zijn dat bijvoorbeeld inkoop, logistiek en verkoop. Bij een productiebedrijf gaat het om het ontwerpen, de ontwikkeling en de distributie van producten. Als u weet wat de zwakke plekken, bedreigingen en risico’s zijn van deze kernprocessen, dan kunt u bepalen welke beveiligingsmaatregelen nodig zijn. Hierbij is het belangrijk om de maatregelen af te stemmen op de risico’s die er zijn, zodat u niet te veel tijd en geld besteedt aan minder belangrijke zaken. Dit is kostenefficiënt en het beginpunt voor een effectief cybersecurityprogramma.
Aanpak risicomanagement met het NIST-framework
Om de risico’s van cyberdreigingen beter te kunnen beheren, gebruiken we het NIST-framework. Dit framework is een internationale standaard ontwikkeld door het National Institute of Standards and Technology (NIST). Het is een set van richtlijnen en best practices op het gebied van cybersecurity.
Het NIST-framework biedt handvatten om de cybersecurityrisico’s voor uw organisatie te identificeren, te reduceren en te beschermen tegen cyberaanvallen, bestaande uit vijf kernonderdelen: identificatie, bescherming, detectie, respons en herstel. De standaard is toepasbaar voor zowel kleine als grote organisaties. We zetten het framework bij onze klanten in om de cybersecurityrisico’s beter te beheersen en de beveiliging van hun informatiesystemen te verbeteren. Kortom, het NIST-framework is een onmisbaar onderdeel voor een doeltreffend beveiligingsprogramma.
PDCA: sturing voor uw cybersecurityprogramma
Om uw digitale beveiliging op een gecontroleerde wijze te verbeteren is, naast risicomanagement, een adequate sturing essentieel. Hierbij kunt u gebruikmaken van de PDCA-methode (Plan-Do-Check-Act). De PDCA-cyclus is een krachtige en pragmatische tool die snelle iteraties mogelijk maakt. Het is een flexibele methode die gemakkelijk kan worden aangepast aan verschillende werkomgevingen. Hierbij is het wél van belang om te werken met de juiste datasets, inclusief een holistische benadering die rekening houdt met de organisatie als geheel. Input vanuit alle niveaus binnen de organisatie leidt tot het beste resultaat.
Een voorbeeld van het doorlopen van de PDCA-cyclus:
1 Plan
Het is van belang om verwachtingen zo duidelijk mogelijk te schetsen en doelen helder te hebben. Zo kunt u concrete stappen zetten om die doelen te realiseren, in plaats van te streven naar vage ambities. Bij het uitvoeren van een risicoanalyse is het belangrijk om te kijken naar het specifieke profiel van de organisatie (een accountant heeft weer te maken met andere risico’s dan een mkb-bedrijf of groothandel) en welke risico’s hieraan verbonden zijn.
2 Do
Als u uw plannen gedetailleerd hebt uitgewerkt, dan is deze stap eenvoudiger uit te voeren. Houd rekening met voldoende flexibiliteit in het geval van lastminutewijzigingen in de vereisten. Aansluitend op de geïdentificeerde risico’s is het belangrijk om de huidige manier van werken en de processen op orde te hebben. Door te standaardiseren weten alle betrokkenen waar ze aan toe zijn en is het mogelijk om kwaliteit te leveren en risico’s te beperken.
3 Check
Vervolgens is het essentieel om de resultaten te meten om te checken of de beoogde doelen, zoals beschreven in het initiële plan, zijn behaald. U kunt hiervoor ook oude gegevens uit voorgaande PDCA-cycli raadplegen om uw voortgang te evalueren. Een gestandaardiseerde manier van werken uit de Do-fase zorgt voor voorspelbaarheid en kwaliteit, wat u kunt meten. Dat is wat u doet in deze fase. Daarbij evalueert u ook de systemen die betrokken zijn bij deze processen, zoals het netwerk, de applicaties en de databases. Door te auditen en te pentesten checkt u hoe het ervoor staat met betrekking tot de cyberrisico’s.
4 Act
In de Do-fase verzamelt u zoveel mogelijk data die u in de Check-fase analyseert. Als u te weinig informatie heeft, dan ontstaat er een situatie waarin u geen weloverwogen beslissing kan nemen in deze Act-fase. Als uit de vorige fase blijkt dat er nog een aantal processen niet veilig verloopt of dat mensen niet op de hoogte zijn van het securitybeleid, dan kunt u de juiste maatregelen nemen om dit bij te stellen.
Met deze PDCA-aanpak kunt u flinke vorderingen maken om uw processen te optimaliseren, blijvende verbeteringen te realiseren, en uw veiligheidsniveau verhogen.
Grip op de PDCA-cyclus met het Capability Maturity Model
Bij Fortezza combineren we risicomanagement met het Capability Maturity Model (CMM) om te voorkomen dat een organisatie te ver doorslaat met het verbeteren van processen. Dit model richt zich op het in kaart brengen van processen en het bepalen van de volwassenheid van de organisatie op dit gebied.
Het CMM heeft vijf niveaus van volwassenheid als het om processen gaat. Welk niveau u kiest, hangt af van de organisatie (een bank maakt een andere keuze dan een bouwbedrijf) en welke doelen het management heeft. Niveau 1 is het laagst en niet wenselijk, omdat het betekent dat processen niet goed georganiseerd zijn. Niveau 5 is het hoogst en vaak ook niet wenselijk, omdat het veel tijd en geld kost. Door met het CMM het juiste volwassenheidsniveau te kiezen, wordt de juiste hoeveelheid beveiligingsmaatregelen toegepast op de organisatie.
Een effectief cybersecurityprogramma
Zowel de PDCA-cyclus als de CMM-methodiek richten zich op het verbeteren van processen. Om uw niveau van cybersecurity up-to-date te houden, vormen risicomanagement, de PDCA-cyclus en het CMM de kern. Deze drie methoden versterken elkaar en dragen bij aan een succesvol cybersecurityprogramma, waarmee u voldoet aan nieuwe wet- en regelgeving, compliant bent én de organisatie beschermt tegen cyberaanvallen.
Andere cybersecuritydiensten
U ziet het: we leveren uiteenlopende diensten om uw digitale beveiliging op orde te krijgen en te houden. U kunt ons benaderen voor:
- Cybersecurity Consultancy: Alle werkzaamheden die komen kijken bij een analyse, het opstellen van een plan, het treffen van de juiste maatregelen én het monitoren van de ICT-omgeving kunnen nogal overweldigend zijn.
- Managed Cybersecuritydiensten: efficiënt en veilig samenwerken in Microsoft 365, het toewijzen van de juiste rollen en rechten, en het treffen van passende beveiligingsmaatregelen zoals MFA, het 24/7 monitoren om eventuele kwetsbaarheden tijdig te ontdekken. Gelukkig kunt u het hele spectrum rondom digitale beveiliging met een gerust hart toevertrouwen aan onze securityspecialisten.
Aan de slag met cybersecurity
U kunt bouwen op ons onafhankelijke advies en onze consultancydiensten en met een gerust hart (een deel van) uw digitale beveiliging aan ons overlaten. Heeft u vragen over wat onze securityspecialisten voor u kunnen betekenen? Neem gerust contact op.
