cyber security mkb

CIS Security Framework

Maak je cyber security aantoonbaar op orde

• Wat zijn de belangrijkste beveiligingsrisico’s die ik als mkb-bedrijf loop?
• Welke beveiligingsmaatregelen moet ik nemen om de risico’s zo klein mogelijk te houden?

Vragen die vrijwel iedere mkb’er heeft. Deze vragen zijn moeilijk objectief te beantwoorden. Daarom werken wij op basis van een zogenaamd security framework.

Een security framework biedt een objectieve en systematische manier om uw IT-omgeving te beschermen zonder dat daarbij een bepaalde oplossing opgelegd wordt. Het geeft je duidelijk inzicht in de risico’s, wat je hiertegen moet doen en in welke volgorde.

Een security framework is in feite een systematiek om je cyber security aantoonbaar op orde te krijgen.

Cyber Security CIS framework

CIS18

Er zijn verschillende soorten security frameworks, ieder met zijn eigen doelgroep. De meest bekende security frameworks zijn ISO 27001 en CIS. Als WSB gebruiken wij intern ISO 27001. Omdat een ISO-certificering voor veel niet-IT-bedrijven te ver gaat, raden we mkb-ondernemers aan met het CIS framework aan de slag te gaan. Deze is pragmatisch en handzaam.

Het CIS framework is opgezet door het non-profit Center for Internet Security en wordt wereldwijd gebruikt. Het CIS framework is een lijst van “controls”: groepen maatregelen die op een bepaald onderdeel van cyber security gericht zijn. De lijst bestaat uit achttien controls, vandaar dat het CIS security framework vaak afgekort wordt als CIS18.

Ieder van deze achttien controls is weer onderverdeeld in een aantal subcontrols (safeguards genaamd). Omdat lang niet alle safeguards voor iedere organisatie van toepassing zijn, zijn deze weer verdeeld in drie niveaus; de Implementatiegroep 1 tot en met 3. Klinkt lastig? Valt mee hoor:

Verschillende security frameworks

Implementation Groups

Niet alle controls en subcontrols zijn voor ieder bedrijf van toepassing. Dit is afhankelijk van de risico’s die je loopt en de middelen die je hebt.

Implementatiegroep 1
Het implementeren van de controls uit Implementatiegroep 1 zal voor veel mkb-bedrijven al voldoende zijn. Deze eerste groep bevat de maatregelen die elk bedrijf door zou moeten voeren om te zorgen dat je als het ware de basishygiëne van je cybersecurity op orde hebt.

Implementatiegroep 2
Iets grotere bedrijven of organisaties die extra risico lopen omdat ze gevoelige gegevens verwerken, zoals bijvoorbeeld artsen, accountants, advocaten of verzekeringskantoren, kunnen, nadat ze de maatregelen uit implementatiegroep 1 hebben doorgevoerd, verder gaan met de maatregelen uit Implementatiegroep 2.

Implementatiegroep 3
Implementatiegroep 3 bevat de maatregelen die bedoeld zijn voor grote bedrijven en die de implementatiegroepen 1 en 2 al hebben toegepast en die over voldoende middelen beschikken om ook de resterende CIS18 maatregelen in te voeren.

CIS Implementation Groups

Als voorbeeld nemen we even control 1 – Inventory and Control of Enterprise Assets. Hieronder zie je dat deze control uit vijf subcontrols bestaat waarvan alleen de eerste twee onder Implementation Group 1 vallen, de Group die voor de meeste mkb-bedrijven volstaat.

CIS18 control 1

Een groot voordeel van het gebruik van het CIS18 Control Framework is het feit dat je aan externen aantoonbaar kunt maken welke beveiligingsmaatregelen je hebt getroffen, bijvoorbeeld aan je accountant. Wanneer je werkt met CIS18 kun je aangeven aan welke controls en subcontrols jouw bedrijf voldoet.

Stappenplan

De CIS18 Controls geven aan wát je moet doen, maar niet hóé je het moet doen. Daarom hebben wij een praktisch vijfstappenplan ontwikkeld.


Stap 1 cyber security assessment
Stap 1: Cyber Security Assessment
De eerste stap is te bepalen waar uw bedrijf nu staat.


Stap 2 fundament
Stap 2: Basisbeveiliging
Het fundament van de beveiliging inrichten door gebruik te maken van de securityfuncties in Microsoft 365 Business Premium.


Stap 3 backups
Stap 3: Beheer IT-omgeving
Zorgen voor betrouwbare back-ups en dat de IT-omgeving goed beheerd en up-to-date gehouden wordt.


Stap 4 security awareness
Stap 4: Security Awareness
Security awareness programma voor uw medewerkers zodat ze phishing mails leren herkennen, het belang van het gebruik van sterke wachtwoorden, etc.


Stap 5 monitoring it omgeving
Stap 5: Monitoring, Detection & Response
Het continu monitoren van uw IT-omgeving om beveiligingsincidenten snel te kunnen ontdekken en aanpakken.


Techniek + mens. U + WSB. De kracht van samen.

Beveiliging gaat dus niet alleen maar over techniek, het gaat ook over processen en mensen. Daarom geloven wij in de kracht van samen. Wij gaan graag in gesprek om te ontdekken welke security-maatregelen voor uw onderneming geschikt zijn en waar we kunnen helpen processen veiliger te maken en mensen bewuster.

We hebben de CIS Controls vertaald naar concrete stappen die je als organisatie moet nemen en naar oplossingen die daarbij kunnen helpen. Daarbij hebben we zoveel mogelijk gekozen voor oplossingen die u vaak al in handen hebt.

 

Wilt u meer weten?

Plan dan hieronder een gratis half uur met onze security expert Maurice.
Pak die kans!