In ons vorige artikel binnen deze GRC-reeks bespraken we de IDENTIFY-functie binnen het CyberFundamentals (CyFun®)-framework: het in kaart brengen van welke assets aanwezig zijn, welke systemen kritisch zijn en waar mogelijke risico's zich bevinden.
Maar zichtbaarheid alleen vermindert het risico niet. Weten welke assets cruciaal zijn, is waardevol, maar heeft weinig impact als er geen maatregelen worden genomen om ze te beschermen. Zodra een organisatie begrijpt wat het belangrijkst is, wordt de volgende uitdaging het veilig houden van die assets.
Daar komt de PROTECT-functie in beeld.
PROTECT richt zich op de beveiligingsmaatregelen, controles en processen die de kans op én de impact van cyberincidenten verkleinen. Ze beantwoordt een eenvoudige maar cruciale vraag: Hoe beschermen we onze belangrijkste assets?
Of het nu gaat om de identiteit van een gebruiker, een bedrijfskritische applicatie, gevoelige klantgegevens of een operationele technologieomgeving: bescherming draait om het veilig, beschikbaar en weerbaar houden van deze assets.
Inhoustafel: |
Een van de meest voorkomende misvattingen binnen cybersecurity is dat elke asset hetzelfde beschermingsniveau moet krijgen.
In de praktijk is die aanpak noch haalbaar noch effectief.
De inzichten die voortkomen uit IDENTIFY stellen organisaties in staat om prioriteiten te bepalen. Kritieke systemen vereisen sterkere beveiligingsmaatregelen dan assets met een laag risico. De bedrijfsimpact, blootstelling aan dreigingen en wettelijke vereisten bepalen mee welke beschermingsmaatregelen nodig zijn.
Daarom is cybersecurity fundamenteel risicogebaseerd. Organisaties beschermen niet alles op dezelfde manier, maar richten hun inspanningen vooral op wat het belangrijkst is.
Geen enkele beveiligingsmaatregel is perfect. Een sterk wachtwoord kan worden gestolen. Multi-factor authenticatie kan worden omzeild. Een gebruiker kan alsnog op een phishinglink klikken. Kwetsbaarheden in software kunnen onopgemerkt blijven.
Daarom steunt PROTECT op het principe van Defence in Depth.
In plaats van te vertrouwen op één enkele beveiligingsmaatregel, worden meerdere beveiligingslagen gecombineerd om risico's te verminderen.
Een moderne beveiligingsstrategie bestaat doorgaans uit:
Wanneer één laag faalt, blijft een andere actief.
Het doel is niet om een ondoordringbaar fort te bouwen. Het doel is om succesvolle aanvallen aanzienlijk moeilijker én minder impactvol te maken.
Binnen NIS2 is bescherming niet louter een best practice, maar een wettelijke vereiste.
Verschillende verplichtingen sluiten rechtstreeks aan bij de PROTECT-functie, waaronder:
Organisaties moeten deze controles niet alleen implementeren, maar ook kunnen aantonen dat ze effectief zijn en consequent worden toegepast.
Daarom zijn governance en documentatie essentieel. NIS2 legt steeds meer nadruk op het aantonen van cybersecurityvolwassenheid in plaats van enkel te beweren dat deze aanwezig is.
PROTECT bestaat uit zes bouwstenen die samen risico's verminderen en de weerbaarheid van organisaties versterken.
Toegang moet beperkt worden tot de juiste personen, op het juiste moment en om de juiste redenen.
Dit omvat onder meer:
Sterke identiteitscontroles behoren nog steeds tot de meest effectieve beveiligingsmaatregelen die organisaties kunnen implementeren.
Technologie alleen kan niet elke aanval stoppen.
Medewerkers blijven een van de belangrijkste doelwitten voor cybercriminelen, waardoor bewustwording een cruciale beschermingslaag vormt.
Organisaties doen er goed aan te investeren in:
Een securitycultuur ontstaat niet door een jaarlijkse presentatie, maar wordt opgebouwd via voortdurende betrokkenheid en sensibilisering.
Data is vaak het uiteindelijke doelwit van aanvallers.
Organisaties moeten daarom aandacht besteden aan:
Het doel is ervoor te zorgen dat informatie beschermd blijft, zelfs wanneer systemen gecompromitteerd raken.
Beveiliging moet ingebed zijn in de dagelijkse werking van de organisatie.
Dit omvat onder andere:
Consistentie is hierbij vaak belangrijker dan complexiteit.
Beveiliging verzwakt wanneer systemen niet correct worden onderhouden.
Organisaties moeten zorgen voor:
Veel succesvolle aanvallen maken misbruik van kwetsbaarheden waarvoor al lang oplossingen beschikbaar zijn.
Technologie levert de technische beveiligingsmaatregelen die alle andere beschermingslagen versterken.
Voorbeelden zijn:
Technologie is belangrijk, maar is het meest effectief wanneer ze wordt ondersteund door de juiste mensen en processen.
Waar IDENTIFY organisaties helpt te begrijpen wat ze hebben, zorgt PROTECT ervoor dat die assets daadwerkelijk beschermd worden.
Samen vormen deze functies het fundament van een volwassen cybersecurityprogramma. Zonder zichtbaarheid worden beveiligingsinspanningen vaak verkeerd gericht. Zonder bescherming heeft zichtbaarheid op zichzelf weinig waarde.
Succesvolle organisaties zijn niet noodzakelijk degene met de meeste securitytools.
Het zijn de organisaties die consequent de juiste beveiligingsmaatregelen toepassen op de assets die er het meest toe doen.
⏭️ Volgende halte: DETECTZelfs de sterkste beschermingsstrategie gaat ervan uit dat incidenten zich nog steeds kunnen voordoen. In het volgende artikel van onze GRC in Belgium-reeks bespreken we de DETECT-functie binnen het CyberFundamentals (CyFun®)-framework en bekijken we hoe organisaties verdachte activiteiten identificeren, dreigingen vroegtijdig herkennen en de zichtbaarheid creëren die nodig is om te reageren voordat kleine problemen grote incidenten worden. Want op wat je niet ziet, kan je niet reageren. |