Security assessment: de basis van een evenwichtig securitybeleid

Gepubliceerd op 24/09/2021 in Tech, tips & trics

Het is aangewezen om regelmatig stil te staan bij de essentiële onderdelen van uw organisatie en de securityrisico’s in kaart te brengen. Hoe pakt u dat aan? Een security assessment staat dan aan de basis van een successvolle IT-security.

Security assessment: de basis van een evenwichtig securitybeleid

Het lijkt vanzelfsprekend dat een organisatie weet wat de belangrijkste processen zijn, wat de core business is. Maar nu de digitale transformatie aan een hoog tempo vooruit gaat, is het goed mogelijk dat accenten verschuiven, prioriteiten veranderen en bepaalde klantsegmenten interessanter worden. Daarom is het goed om regelmatig stil te staan bij de vraag wat de essentiële onderdelen zijn van uw organisatie en uw dienstverlening. Vervolgens kan u de securityrisico’s in kaart brengen. Deze kunnen immers ook mee veranderen en bewegen met ontwikkelingen die de organisatie doormaakt.

Om de IT-security goed te organiseren, is het raadzaam om de belangrijkste processen, applicaties en informatiestromen in kaart te brengen en deze te voorzien van passende beheersmaatregelen. Een security assessment geeft inzicht in welke securitycomponenten essentieel zijn en stelt u in staat de effectiviteit van investeringen te monitoren en te verbeteren. Het assessment staat hiermee aan de basis van succesvolle IT-security.

Prioriteiten aanbrengen in security

Idealiter begint u met het vaststellen van de primaire bedrijfsprocessen. Welke processen geven uw organisatie bestaansrecht? Kijk hierbij naar de producten die u ontwikkelt en levert, de diensten die u aanbiedt, de klanten of klantsegmenten die de meeste waarde genereren, welke bedrijfsapplicaties de primaire processen ondersteunen en welke informatie daarbij onmisbaar is.

Bedenk wat de gevolgen zijn als er een inbraak plaatsvindt op een primaire database. Wat gebeurt er als u één dag offline bent of in het nieuws komt omdat gegevens op straat liggen? Wat gebeurt er als uw intellectuele eigendom wordt gestolen door criminelen? Wat is de schade? Wanneer u de kans van optreden maal de omvang van de impact berekent, kan u een soort ranglijst maken van de risico’s en er prioriteiten aan koppelen.

Hebt u behoefte aan direct inzicht in de status van uw IT-security? Doe dan nu de Security Maturity Quick Scan. Door slechts 12 vragen te beantwoorden krijgt u een globaal beeld hoe uw security ervoor staat en ontvangt u een persoonlijk rapport.

Beantwoord de 12 vragen Nieuw venster

Kwetsbaarheden in de IT-architectuur blootleggen

Vervolgens is het zaak de link te leggen naar de IT-omgeving. Vandaag de dag zijn alle bedrijfsprocessen onlosmakelijk verbonden met een vorm van IT-ondersteuning. Met het lijstje businessrisico’s dat eerder werd opgesteld, kijkt u naar de IT-architectuur en bepaalt u welke IT-componenten verbonden zijn aan risico’s met een grote impact.

Denk aan (delen van) het netwerk, business applicaties (CRM of ERP) of een productieomgeving die is voorzien van IoT-oplossingen en sensordata levert. Hierbij kan een stukje software plaatsen in het netwerk helpen, waarmee het netwerkverkeer kan gemonitord en gescand worden. Zo worden risico’s en kwetsbaarheden automatisch blootgelegd en verzamelt u technische bewijzen om een theoretische kader te ondersteunen.

Securitymaatregelen in kaart brengen

U hebt nu een duidelijk beeld van de businessimpact die cybersecuritydreigingen kunnen hebben en deze zijn gekoppeld aan kwetsbaarheden in de IT-omgeving. De volgende stap in het assessment is bepalen welke securitymaatregelen al genomen zijn om het gevaar af te wenden en vaststellen of dit nog altijd toereikend is. Andersom kan natuurlijk ook; dat er een paardenmiddel is geïmplementeerd om een database en een server te beschermen die in onbruik zijn geraakt. Kortom, u stelt vast of de securitymaatregelen die u hebt genomen nog steeds in lijn zijn met de impact van de risico’s die u opnieuw hebt beoordeeld.

De kans is groot dat er een aantal onderdelen uit balans zijn die u moet herstellen. Met de resultaten van dit assessment hebt u een degelijke onderbouwing wanneer u nieuwe investeringen in security moet verdedigen. De resultaten van het scannen van het netwerkverkeer helpen hier ontzettend bij; er staat zwart op wit waar de kwetsbaarheden zitten.

Van IT-security assessment naar roadmap

Goed beschouwd levert een security assessment een mooie businesscase op. U zet investeringen af tegen de risico’s die u uit de weg ruimt. Het assessment is een uitstekende basis om de securityroadmap uit te stippelen. De roadmap gaat helpen om een lange termijn-strategie uit te stippelen. Dus geen overhaaste beslissingen meer, maar een helder overzicht met gerichte oplossingen.

Een belangrijk onderdeel daarvan is een prioriteitenlijst. Als een bedrijfsproces gevaar loopt door een beveiligingslek, onderzoekt u wat die impact kost. Deze constateringen komen voort uit de interviews en technische scan. Deze dreigingen zet u af tegen een lijst van veel voorkomende dreigingen in de informatiebeveilingswereld, zoals de RAVIB-methode. Door de KANS dat een incident zich voordoet te koppelen aan de IMPACT, maakt u een lijst RISICO’s.

Hoe groot is de schade als uw systemen een tijd platliggen? Hoeveel kost het als malafide hackers bepaalde gegevens in handen hebben? Hoe tast het de integriteit van uw organisatie aan? Deze methode maakt het mogelijk passende maatregelen te nemen om dreigingen te voorkomen. Die maatregelen kunnen zowel organisatorisch als technisch van aard zijn. Als maatregelen meerdere dreigingen en risico’s dekken, zet u ze hoger op de lijst. Daarbij kan u ook rekening houden met het beschikbare budget en ambitieniveau van uw organisatie. Op die manier ontstaat een passende security roadmap.

Een securityroadmap geeft houvast

Met de roadmap in de hand kan u aan de slag met een gezonde security-strategie. De kwetsbaarheden van de organisatie zijn duidelijk in kaart gebracht en dat maakt het plan behapbaar. Dat helpt niet alleen het IT-team: het zorgt ook voor bewustwording bij medewerkers en beleidsmakers. Met de roadmap hebt u duidelijke richtlijnen voor uw medewerkers en stelt u een waterdicht veiligheidsbeleid op. Als een veiligheidslek uw organisatie veel geld kan kosten, dan hebt u goede argumenten om budget vrij te maken voor een oplossing. Een win-winsituatie voor elke laag van de organisatie.

Hebt u vragen bij de cybersecurity van uw organisatie? Praat met één van onze experts.

Contacteer onze expert Nieuw venster

Telindus Nederland is een Proximus Accelerator en is specialist in de bouw en het beheer van IT-platformen. Telindus ondersteunt bij de realisatie van organisatiedoelen door effectieve inzet van diensten op het gebied van, Cloud, Data & AI, Networking en Security. Een IT-platform een veilig, innovatief en betrouwbaar organisatiefundament op basis waarvan snel gereageerd kan worden op de continue druk vanuit de eigen organisatie en de markt.

One

One is het ICT-vakblad van Proximus voor CIO’s en ICT-professionals van grote en middelgrote ondernemingen. 

Andere artikels van One