Blog

3 Uitgangspunten voor een veilige ICT-infrastructuur

Dat je je ICT-beveiliging op orde moet hebben, is een no-brainer, volgens Martijn Baars. Veel meer is er te vertellen over hoe je dat aanpakt. Martijn Baars, Sales Manager, en DevOps Engineer Jelmer Steenhuis van Cyso bespreken verschillende invalshoeken.

 

Hoe bescherm je je kwetsbare ICT-infrastructuur? 

“Dat je je ICT-beveiliging op orde moet hebben, is een no-brainer”, begint Martijn. “Veel meer is er te vertellen over hoe je dat aanpakt.”

Er zijn verschillende uitgangspunten om de beveiliging van je infra te benaderen. Bijvoorbeeld vanuit wetgeving of certificeringen, vanuit risicomanagement of vanuit een risicoanalyse. “Waar je voor kiest verschilt per bedrijf, organisatie en sector. In de praktijk zie ik dat organisaties vaak eerst kijken naar wet- en regelgeving.”

Wil jij weten wat de best practices zijn op gebied van Cyber Security?

1. Compliance met wet- en regelgeving als basis voor securitybeleid

Wet- en regelgeving is een van de meest gangbare uitgangspunten om de beveiliging van je infrastructuur te benaderen. Bijna elke organisatie committeert zich tegenwoordig aan richtlijnen of een veiligheidsstandaard waarin veel passende beveiligingsmaatregelen al zijn beschreven.

Denk aan de NEN7510-informatiebeveiliging voor de zorg, PCI-DSS (Payment Card Industry Data Security Standard) in het betalingsverkeer of de BIO (Baseline Informatiebeveiliging Overheid) voor overheidsinstellingen.

“NEN7510 kent bijvoorbeeld zeer strenge eisen voor hoe organisaties omgaan met wie er toegang krijgt tot elektronische patiëntendossiers en hoe dat wordt opgeslagen. Zo mogen er op een testomgeving geen ‘echte’ medische gegevens staan, en mag een developer deze op een productieomgeving niet inzien.”

“Bij PCI-DSS is er vaak sprake van het opslaan van creditcardgegevens en betalingstransacties. Je kunt je voorstellen dat de (versleutelde) opslag daarvan aan strenge eisen moet voldoen. Denk aan sterke wachtwoorden – dus niet de standaard systeemwachtwoorden. Maar ook het gebruik van alleen de noodzakelijke diensten, protocollen, daemons, enz. die vereist zijn om goed te functioneren of de versleuteling van alle toegang van buiten met sterke cryptografie”, aldus Martijn.

Wetgeving is er ook. In oktober 2022 is de nieuwe Europese NIS2-richtlijn aangenomen. Voor Nederland betekent dit dat de huidige Wet beveiliging netwerk- en informatiesystemen (Wbni) uiterlijk eind 2024 aangepast moet zijn. Met nieuwe, strengere veiligheidseisen voor cybersecurity, die een blauwdruk zijn voor beveiligingsmaatregelen bij bedrijven.

Maatregelen waaraan bedrijven minimaal moeten voldoen volgens art. 21 lid 2 in de Richtlijn (zie hieronder) zijn bijvoorbeeld een meerlaagse beveiligingsstrategie met firewalls, encryptie en inlogbeveiliging, back-up beheer op een veilige locatie, wachtwoordbeheer en tweestapsverificatie, beveiligingsaudits en bewustwording en training van medewerkers over cyberveiligheid.

Uit: NIS 2-Richtlijn, Art 21 Maatregelen voor het beheer van cyberbeveiligingsrisico’s, Lid 2

2. De 5 fasen van het NIST Cybersecurity Framework

Een ander uitgangspunt voor de beveiliging van ICT-infra is het NIST Cybersecurity Framework. “De basis van een veilige infrastructuur is weten waar je risico’s zitten en welke maatregelen je moet nemen om daarmee om te gaan. Risicomanagement dus. Het NIST Framework geeft hiervoor houvast”, zegt Martijn.

NIST gaat uit van het principe ‘één is geen’. Daarom biedt het een complete set aan maatregelen over alle fasen in de beveiliging van een infrastructuur heen. NIST onderscheidt er vijf:

  1. Identify: weet wat je assets zijn en hoe het access-management is geregeld; krijg inzicht met vulnerability-management.
  2. Protect: neem maatregelen om je assets te beschermen. Firewall, VPN, encryptie, DDoS-beveiliging, intrusion/detection preventie en meer.
  3. Detect: houd de vinger aan de pols en analyseer risico’s met monitoring, logs, analyses, Security Information and Event Management, oftewel SIEM.
  4. Respond: reageer en onderneem actie met 24/7 managed services.
  5. Recover: herstel met back-to-back disaster recovery en ga zo snel mogelijk weer verder waar je was voor het incident.

“Het NIST Framework helpt je om de juiste technische securitymaatregelen te nemen. Specifiek voor jouw oplossing en jouw organisatie”, zegt Martijn.

 

3. Risicoanalyse met de BIV-classificatie

Waar NIST ingaat op de technische maatregelen, kun je de beveiliging van je infrastructuur ook puur benaderen vanuit een risicoanalyse.

100% zekerheid – of in dit geval 100% veiligheid – bestaat niet, weet Jelmer. “Het is een glijdende schaal. Het gaat erom welk risico je wilt en kunt lopen en wat de gevolgen zijn. De balans tussen optimale beveiliging van de infra en kosten/beheersbaarheid.”


Risico = kans x impact

Hier bestaat een mooie formule voor: risico = kans x impact. Is de kans klein, maar de impact enorm, dan is de risicokwalificatie heel hoog. Andersom: is de kans groot, maar de impact te verwaarlozen, dan is het risico laag.

Jelmer legt het uit. “De centrale vraag is: welke assets draai ik op mijn omgeving en hoe belangrijk/vitaal zijn ze voor mijn bedrijfsvoering? En wat is de impact voor klanten (of patiënten, cliënten, inwoners, etc.) als er een incident is? Welke maatregelen moet ik nemen om dat te voorkomen?”.


BIV-classificatie

Een van de tools om op deze manier het beleid rondom informatiebeveiliging te bepalen is de BIV-classificatie. Een BIV-classificatie helpt om data en processen te classificeren op risico’s wat betreft:

  • Beschikbaarheid
  • Integriteit
  • Vertrouwelijkheid

Kortweg BIV.

Voor elke categorie zijn er drie impactniveaus: normaal, hoog en kritiek. Soms nog een vierde, als er geen of nauwelijks impact is.

Bij elke score horen passende maatregelen. Bijvoorbeeld het gebruik van tweestapsverificatie bij hoge vertrouwelijkheid of geavanceerde monitoring bij hoge beschikbaarheid.

Classificeren op BIV in 4 stappen

Met BIV zorg je ervoor dat je de juiste beveiligingsmaatregelen neemt om gegevens te beschermen tegen bedreigingen en de vertrouwelijkheid, integriteit en beschikbaarheid van de gegevens te waarborgen. Welke stappen neem je daarin?

  1. Identificeer de gegevens: bepaal welke gegevens de applicatie verwerkt en hoe belangrijk deze gegevens zijn voor de organisatie op basis van hun vertrouwelijkheidsniveau, gevoeligheid en kritische impact.
  2. Identificeer de potentiële bedreigingen: denk aan interne en externe bedreigingen, zoals cyberaanvallen, menselijke fouten en natuurrampen.
  3. Classificeer de applicatie op basis van stap 1 en 2: bepaal het beschermingsniveau voor elke applicatie.
  4. Bepaal de benodigde beveiligingsmaatregelen: bijvoorbeeld encryptie, toegangscontrole, back-up en herstelprocedures, en regelmatige beoordelingen van de applicatiebeveiliging.

Eerst denken dan doen

Het zal duidelijk zijn: een veilige infrastructuur begint niet bij de maatregelen, componenten of applicaties. Daar gaat eerst wat aan vooraf. “Veiligheid begint bij het bepalen van de risico’s. Hoe wil of moet je die oplossen? En waar word je toe verplicht? Dit definieert het uitgangspunt. Daarna ga je kijken hoe je dat technisch oplost”, aldus Jelmer.


Securityscan: van weten naar meten

Oké. Het huiswerk is gedaan. Vanuit wet- of regelgeving, NIST of BIV heb je een helder beeld van de risico’s en hun impact.

Hoe maak je dan de vertaalslag naar de praktijk, naar je eigen infrastructuur? Welke (technische) oplossingen kies je voor een veilig platform?

Dat doe je met een cloud security assessment. Een scan van je ICT-landschap van buitenaf, zoals Jelmer het noemt. “Waar zitten de kwetsbaarheden, wat is allemaal bereikbaar? Geregeld komen we diensten of processen tegen die ongewenst openstaan. Vaak zelfs onbewust.”

Een security assessment geeft inzicht in de kwetsbaarheden binnen de infrastructuur van jouw organisatie. Je krijgt helder antwoord op vragen als:

  • Hoe is de toegang geregeld?
  • Hoe zit het met encryptie van verbindingen en data?
  • Hoe zijn de firewall en security groups ingericht?
  • Hoe zit de rechtenstructuur in elkaar?
  • Wordt er centraal gelogd, wat wordt er gelogd en wordt die data ook verwerkt?

Maar de securityscan gaat verder dan alleen beveiliging. We zagen al dat risico, kans en impact elkaar beïnvloeden.

Daarom gaat een assessment ook in op beheersbaarheid, schaalbaarheid, de status, oftewel de gezondheid van je infrastructuur – denk aan patchmanagement en legacy – en natuurlijk op (cloud)kosten.

Een security assessment zet daarmee risico’s om in praktische maatregelen. Of je die nu hebt geïnventariseerd uit wet- en regelgeving, NIST, BIV of een ander framework. Zo zorg je voor een optimale beveiliging en houd je ongewenst cyberbezoek buiten de deur.

Meer weten? 

Wil je meer weten over de beveiliging van je ICT-infrastructuur en je online dienstverlening? Een keer sparren met Martijn of Jelmer over mogelijke risico’s of meteen een cloud security assessment aanvragen? Laat het ons weten; we helpen je graag.

Wil je op de hoogte blijven van de laatste ontwikkelingen op IT gebied. Meld je dan hier aan voor de nieuwsbrief.

Benieuwd naar de mogelijkheden? Let’s talk!

Cyso stories

Terugblik KubeCon Europe 2023
02/05/2023

Terugblik KubeCon Europe 2023

Fintech
19/10/2023

Pay. en Cyso al meer dan 15 jaar partners voor veilig betalen

Grote kans dat al je online- of pinbetalingen worden verwerkt via het betaalplatform van Pay. Pay.-CTO Mark Roeten vertelt hoe Cyso daar al meer dan 15 jaar aan bijdraagt.
Cyso Nederlandse cloud favoriet
03/03/2022

De Nederlandse leverancier is de favoriet voor cloud-diensten

De Dutch Cloud Adoptie Monitor van 2020-2021 heeft ruim 200 bedrijven ondervraagd welk type leverancier men kiest voor de cloud.

Interesse in een van onze diensten?

Wat is je vraag? Neem nu contact met ons op.

Wil je dat wij contact met jou opnemen? Laat je gegevens achter en wij bellen je terug.

Cyso contact