Onderdeel van FORTEZZA Groep

  070 327 7281  sales@fortezza-groep.nl

3 onmisbare methoden

voor een effectief cybersecurityprogramma

Veel kleine en middelgrote organisaties hebben moeite met het opzetten van een doeltreffend en efficiënt beveiligingsprogramma. Ze worden geconfronteerd met nieuwe wet- en regelgeving, compliance, en moeten zich ook nog eens beschermen tegen cyberaanvallen zoals ransomware. Hoe moeten ze dit aanpakken?

Het antwoord is simpel: een cybersecurityprogramma gebaseerd op risico’s maakt een organisatie aanzienlijk weerbaarder zónder dat dit buitensporig hoge kosten met zich meebrengt. De basis is een combinatie van drie methodes: riskmanagement voor een afgebakende en gerichte aanpak, een PDCA-cyclus voor adequate sturing, en het Capability Maturity Model (CMM) voor volwassen processen.

Uitgangspunt: risicomanagement

Om de ICT en beveiliging van een bedrijf goed in te richten én aan te sturen, is het nodig om te begrijpen wat de belangrijkste processen zijn. Bij een handelsbedrijf zijn dat bijvoorbeeld inkoop, logistiek en verkoop. Bij een productiebedrijf gaat het om het ontwerpen, de ontwikkeling en de distributie van producten. Als je weet wat de zwakke plekken, bedreigingen en risico’s zijn van deze kernprocessen, dan kun je bepalen welke beveiligingsmaatregelen nodig zijn. Hierbij is het belangrijk om de maatregelen af te stemmen op de risico’s die er zijn, zodat je niet te veel tijd en geld besteedt aan minder belangrijke zaken. Dit is kostenefficiënt en het beginpunt voor een effectief cybersecurityprogramma.

Management Risico

Aanpak risicomanagement met het NIST-framework

Om de risico’s van cyberdreigingen beter te kunnen beheren, gebruiken we het NIST-framework. Dit framework is een internationale standaard ontwikkeld door het National Institute of Standards and Technology (NIST). Het is een set van richtlijnen en best practices op het gebied van cybersecurity.

Het NIST-framework biedt handvatten om de cybersecurityrisico’s voor jouw organisatie te identificeren, te reduceren en te beschermen tegen cyberaanvallen, bestaande uit vijf kernonderdelen: identificatie, bescherming, detectie, respons en herstel. De standaard is toepasbaar voor zowel kleine als grote organisaties. We zetten het framework bij onze klanten in om de cybersecurityrisico’s beter te beheersen en de beveiliging van hun informatiesystemen te verbeteren. Kortom, het NIST-framework is een onmisbaar onderdeel voor een doeltreffend beveiligingsprogramma.

PDCA: sturing voor jouw cybersecurityprogramma

Om jouw digitale beveiliging op een gecontroleerde wijze te verbeteren is, naast risicomanagement, een adequate sturing essentieel. Hierbij kun je gebruikmaken van de PDCA-methode (Plan-Do-Check-Act). De PDCA-cyclus is een krachtige en pragmatische tool die snelle iteraties mogelijk maakt. Het is een flexibele methode die gemakkelijk kan worden aangepast aan verschillende werkomgevingen. Hierbij is het wél van belang om te werken met de juiste datasets, inclusief een holistische benadering die rekening houdt met de organisatie als geheel. Input vanuit alle niveaus binnen de organisatie leidt tot het beste resultaat.

Een voorbeeld van het doorlopen van de PDCA-cyclus:

1 Plan

Het is van belang om verwachtingen zo duidelijk mogelijk te schetsen en doelen helder te hebben. Zo kun jeconcrete stappen zetten om die doelen te realiseren, in plaats van te streven naar vage ambities. Bij het uitvoeren van een risicoanalyse is het belangrijk om te kijken naar het specifieke profiel van de organisatie (een accountant heeft weer te maken met andere risico’s dan een mkb-bedrijf of groothandel) en welke risico’s hieraan verbonden zijn.

2 Do

Als je jouw plannen gedetailleerd hebt uitgewerkt, dan is deze stap eenvoudiger uit te voeren. Houd rekening met voldoende flexibiliteit in het geval van lastminutewijzigingen in de vereisten. Aansluitend op de geïdentificeerde risico’s is het belangrijk om de huidige manier van werken en de processen op orde te hebben. Door te standaardiseren weten alle betrokkenen waar ze aan toe zijn en is het mogelijk om kwaliteit te leveren en risico’s te beperken.

3 Check

Vervolgens is het essentieel om de resultaten te meten om te checken of de beoogde doelen, zoals beschreven in het initiële plan, zijn behaald. Je kunt hiervoor ook oude gegevens uit voorgaande PDCA-cycli raadplegen om jouw voortgang te evalueren. Een gestandaardiseerde manier van werken uit de Do-fase zorgt voor voorspelbaarheid en kwaliteit, wat je kunt meten. Dat is wat je doet in deze fase. Daarbij evalueert u ook de systemen die betrokken zijn bij deze processen, zoals het netwerk, de applicaties en de databases. Door te auditen en te pentesten checkt u hoe het ervoor staat met betrekking tot de cyberrisico’s.

4 Act

In de Do-fase verzamel je zoveel mogelijk data die je in de Check-fase analyseert. Als je te weinig informatie heeft, dan ontstaat er een situatie waarin je geen weloverwogen beslissing kan nemen in deze Act-fase. Als uit de vorige fase blijkt dat er nog een aantal processen niet veilig verloopt of dat mensen niet op de hoogte zijn van het securitybeleid, dan kun je de juiste maatregelen nemen om dit bij te stellen.

Met deze PDCA-aanpak kan je flinke vorderingen maken om jouw processen te optimaliseren, blijvende verbeteringen te realiseren, en jouw veiligheidsniveau verhogen.

Grip op de PDCA-cyclus met het Capability Maturity Model

Bij Fortezza combineren we risicomanagement met het Capability Maturity Model (CMM) om te voorkomen dat een organisatie te ver doorslaat met het verbeteren van processen. Dit model richt zich op het in kaart brengen van processen en het bepalen van de volwassenheid van de organisatie op dit gebied.

 

Het CMM heeft vijf niveaus van volwassenheid als het om processen gaat. Welk niveau je kiest, hangt af van de organisatie (een bank maakt een andere keuze dan een bojouwbedrijf) en welke doelen het management heeft. Niveau 1 is het laagst en niet wenselijk, omdat het betekent dat processen niet goed georganiseerd zijn. Niveau 5 is het hoogst en vaak ook niet wenselijk, omdat het veel tijd en geld kost. Door met het CMM het juiste volwassenheidsniveau te kiezen, wordt de juiste hoeveelheid beveiligingsmaatregelen toegepast op de organisatie.

Een effectief cybersecurityprogramma

Zowel de PDCA-cyclus als de CMM-methodiek richten zich op het verbeteren van processen. Om jouw niveau van cybersecurity up-to-date te houden, vormen risicomanagement, de PDCA-cyclus en het CMM de kern. Deze drie methoden versterken elkaar en dragen bij aan een succesvol cybersecurityprogramma, waarmee je voldoet aan nieuwe wet- en regelgeving, compliant bent én de organisatie beschermt tegen cyberaanvallen.

Andere kennisartikelen

Niejouwe wetgeving Europa

NIS2 Board Room Training: Concrete voordelen voor uw organisatie

NIS2 Board Room Training: Concrete voordelen voor uw organisatie In het snel veranderende digitale landschap is cybersecurity een strategische prioriteit geworden die directe aandacht van het bestuur vereist. De nieuwe NIS2-richtlijn onderstreept dit door specifieke opleidingseisen voor bestuursleden van essentiële en belangrijke entiteiten te introduceren. Onze NIS2 Board Room Training biedt concrete voordelen die uw organisatie helpen om niet alleen te voldoen aan de wettelijke eisen, maar ook om sterker

Lees meer »

Het cruciale belang van een Incident Response Plan

Het cruciale belang van een Incident Response Plan In een tijd waarin digitale infrastructuur een essentieel onderdeel vormt van bijna elk aspect van onze samenleving en bedrijfsleven, wordt de dreiging van cyberaanvallen steeds reëler. Organisaties wereldwijd worden geconfronteerd met de harde realiteit dat het niet langer een kwestie is van “als”, maar eerder “wanneer” ze worden getroffen door een cyberincident. In een dergelijk scenario kan een goed doordacht Incident Response

Lees meer »

Een goede risicoanalyse

Een goede risicoanalyse staat centraal bij Cybersecurity Een goede risicoanalyse staat centraal bij Cybersecurity, Informatiebeveiliging en Business Continuity. In de wereld van beveiliging en continuïteit is een grondige risicoanalyse van essentieel belang. Vooral als je wil investeren in de risico’s die voor jouw organisatie van belang zijn en niet zomaar een lijstje met maatregelen wil afvinken.   Laten we eens dieper ingaan op waarom een goede risicoanalyse cruciaal is en hoe

Lees meer »

Onze cybersecuritydiensten

Je ziet het: we leveren uiteenlopende diensten om jouw digitale beveiliging op orde te krijgen en te houden. Je kunt ons benaderen voor:

CISO as a Service: In het huidige, snel veranderende IT-landschap is het essentieel om de juiste strategische beslissingen te nemen op het gebied van informatiebeveiliging. Onze CISO as a Service biedt jou een ervaren Chief Information Security Officer die jouw organisatie helpt met het ontwikkelen, implementeren en handhaven van een effectieve informatiebeveiligingsstrategie. Deze service is gericht op het beschermen van jouw gevoelige data, het beheren van risico’s en het waarborgen van compliance, zodat jouw organisatie zowel veilig als in lijn met de laatste regelgeving opereert.

Managed Vulnerability Scanning Service: In een wereld waar digitale dreigingen continu evolueren, is het van cruciaal belang om proactief kwetsbaarheden in jouw netwerken, systemen en applicaties op te sporen. Onze Managed Vulnerability Scanning Service biedt jou een uitgebreide en gestructureerde aanpak voor het identificeren en mitigeren van cybersecurity-risico’s. Deze service is ontworpen om moderne organisaties te ondersteunen in het naleven van wet- en regelgeving en biedt best practices op het gebied van cybersecurity. Door regelmatig en systematisch te scannen, helpen we jou de veiligheid van jouw IT-omgeving te waarborgen en te anticiperen op mogelijke beveiligingsuitdagingen.

Vertrouw op onze expertise om jouw digitale beveiliging niet alleen op orde te krijgen, maar ook te houden in een voortdurend veranderende digitale wereld.

Aan de slag met cybersecurity

Je kunt bouwen op ons onafhankelijke advies en onze consultancydiensten en met een gerust hart (een deel van) jouw digitale beveiliging aan ons overlaten. Heb je vragen over wat onze securityspecialisten voor je kunnen betekenen? Neem gerust contact op.