Blog
Dat je je ICT-beveiliging op orde moet hebben, is een no-brainer, volgens Martijn Baars. Veel meer is er te vertellen over hoe je dat aanpakt. Martijn Baars, Sales Manager, en DevOps Engineer Jelmer Steenhuis van Cyso bespreken verschillende invalshoeken.
“Dat je je ICT-beveiliging op orde moet hebben, is een no-brainer”, begint Martijn. “Veel meer is er te vertellen over hoe je dat aanpakt.”
Er zijn verschillende uitgangspunten om de beveiliging van je infra te benaderen. Bijvoorbeeld vanuit wetgeving of certificeringen, vanuit risicomanagement of vanuit een risicoanalyse. “Waar je voor kiest verschilt per bedrijf, organisatie en sector. In de praktijk zie ik dat organisaties vaak eerst kijken naar wet- en regelgeving.”
Wet- en regelgeving is een van de meest gangbare uitgangspunten om de beveiliging van je infrastructuur te benaderen. Bijna elke organisatie committeert zich tegenwoordig aan richtlijnen of een veiligheidsstandaard waarin veel passende beveiligingsmaatregelen al zijn beschreven.
Denk aan de NEN7510-informatiebeveiliging voor de zorg, PCI-DSS (Payment Card Industry Data Security Standard) in het betalingsverkeer of de BIO (Baseline Informatiebeveiliging Overheid) voor overheidsinstellingen.
“NEN7510 kent bijvoorbeeld zeer strenge eisen voor hoe organisaties omgaan met wie er toegang krijgt tot elektronische patiëntendossiers en hoe dat wordt opgeslagen. Zo mogen er op een testomgeving geen ‘echte’ medische gegevens staan, en mag een developer deze op een productieomgeving niet inzien.”
“Bij PCI-DSS is er vaak sprake van het opslaan van creditcardgegevens en betalingstransacties. Je kunt je voorstellen dat de (versleutelde) opslag daarvan aan strenge eisen moet voldoen. Denk aan sterke wachtwoorden – dus niet de standaard systeemwachtwoorden. Maar ook het gebruik van alleen de noodzakelijke diensten, protocollen, daemons, enz. die vereist zijn om goed te functioneren of de versleuteling van alle toegang van buiten met sterke cryptografie”, aldus Martijn.
Wetgeving is er ook. In oktober 2022 is de nieuwe Europese NIS2-richtlijn aangenomen. Voor Nederland betekent dit dat de huidige Wet beveiliging netwerk- en informatiesystemen (Wbni) uiterlijk eind 2024 aangepast moet zijn. Met nieuwe, strengere veiligheidseisen voor cybersecurity, die een blauwdruk zijn voor beveiligingsmaatregelen bij bedrijven.
Maatregelen waaraan bedrijven minimaal moeten voldoen volgens art. 21 lid 2 in de Richtlijn (zie hieronder) zijn bijvoorbeeld een meerlaagse beveiligingsstrategie met firewalls, encryptie en inlogbeveiliging, back-up beheer op een veilige locatie, wachtwoordbeheer en tweestapsverificatie, beveiligingsaudits en bewustwording en training van medewerkers over cyberveiligheid.
Uit: NIS 2-Richtlijn, Art 21 Maatregelen voor het beheer van cyberbeveiligingsrisico’s, Lid 2
Een ander uitgangspunt voor de beveiliging van ICT-infra is het NIST Cybersecurity Framework. “De basis van een veilige infrastructuur is weten waar je risico’s zitten en welke maatregelen je moet nemen om daarmee om te gaan. Risicomanagement dus. Het NIST Framework geeft hiervoor houvast”, zegt Martijn.
NIST gaat uit van het principe ‘één is geen’. Daarom biedt het een complete set aan maatregelen over alle fasen in de beveiliging van een infrastructuur heen. NIST onderscheidt er vijf:
“Het NIST Framework helpt je om de juiste technische securitymaatregelen te nemen. Specifiek voor jouw oplossing en jouw organisatie”, zegt Martijn.
Waar NIST ingaat op de technische maatregelen, kun je de beveiliging van je infrastructuur ook puur benaderen vanuit een risicoanalyse.
100% zekerheid – of in dit geval 100% veiligheid – bestaat niet, weet Jelmer. “Het is een glijdende schaal. Het gaat erom welk risico je wilt en kunt lopen en wat de gevolgen zijn. De balans tussen optimale beveiliging van de infra en kosten/beheersbaarheid.”
Hier bestaat een mooie formule voor: risico = kans x impact. Is de kans klein, maar de impact enorm, dan is de risicokwalificatie heel hoog. Andersom: is de kans groot, maar de impact te verwaarlozen, dan is het risico laag.
Jelmer legt het uit. “De centrale vraag is: welke assets draai ik op mijn omgeving en hoe belangrijk/vitaal zijn ze voor mijn bedrijfsvoering? En wat is de impact voor klanten (of patiënten, cliënten, inwoners, etc.) als er een incident is? Welke maatregelen moet ik nemen om dat te voorkomen?”.
Een van de tools om op deze manier het beleid rondom informatiebeveiliging te bepalen is de BIV-classificatie. Een BIV-classificatie helpt om data en processen te classificeren op risico’s wat betreft:
Kortweg BIV.
Voor elke categorie zijn er drie impactniveaus: normaal, hoog en kritiek. Soms nog een vierde, als er geen of nauwelijks impact is.
Bij elke score horen passende maatregelen. Bijvoorbeeld het gebruik van tweestapsverificatie bij hoge vertrouwelijkheid of geavanceerde monitoring bij hoge beschikbaarheid.
Met BIV zorg je ervoor dat je de juiste beveiligingsmaatregelen neemt om gegevens te beschermen tegen bedreigingen en de vertrouwelijkheid, integriteit en beschikbaarheid van de gegevens te waarborgen. Welke stappen neem je daarin?
Het zal duidelijk zijn: een veilige infrastructuur begint niet bij de maatregelen, componenten of applicaties. Daar gaat eerst wat aan vooraf. “Veiligheid begint bij het bepalen van de risico’s. Hoe wil of moet je die oplossen? En waar word je toe verplicht? Dit definieert het uitgangspunt. Daarna ga je kijken hoe je dat technisch oplost”, aldus Jelmer.
Oké. Het huiswerk is gedaan. Vanuit wet- of regelgeving, NIST of BIV heb je een helder beeld van de risico’s en hun impact.
Hoe maak je dan de vertaalslag naar de praktijk, naar je eigen infrastructuur? Welke (technische) oplossingen kies je voor een veilig platform?
Dat doe je met een cloud security assessment. Een scan van je ICT-landschap van buitenaf, zoals Jelmer het noemt. “Waar zitten de kwetsbaarheden, wat is allemaal bereikbaar? Geregeld komen we diensten of processen tegen die ongewenst openstaan. Vaak zelfs onbewust.”
Een security assessment geeft inzicht in de kwetsbaarheden binnen de infrastructuur van jouw organisatie. Je krijgt helder antwoord op vragen als:
Maar de securityscan gaat verder dan alleen beveiliging. We zagen al dat risico, kans en impact elkaar beïnvloeden.
Daarom gaat een assessment ook in op beheersbaarheid, schaalbaarheid, de status, oftewel de gezondheid van je infrastructuur – denk aan patchmanagement en legacy – en natuurlijk op (cloud)kosten.
Een security assessment zet daarmee risico’s om in praktische maatregelen. Of je die nu hebt geïnventariseerd uit wet- en regelgeving, NIST, BIV of een ander framework. Zo zorg je voor een optimale beveiliging en houd je ongewenst cyberbezoek buiten de deur.
Wil je meer weten over de beveiliging van je ICT-infrastructuur en je online dienstverlening? Een keer sparren met Martijn of Jelmer over mogelijke risico’s of meteen een cloud security assessment aanvragen? Laat het ons weten; we helpen je graag.