cis framework cyber security
Cyber Security

CIS Security Framework

ICT beveiliging CIS framework

Maak je cyber security aantoonbaar op orde

Vrijwel iedere mkb’er vraagt zich af:
• Wat zijn de belangrijkste beveiligingsrisico’s die ik als mkb-bedrijf loop?
• Welke beveiligingsmaatregelen moet ik nemen om de risico’s te verkleinen?

Ons advies is om voor de beantwoording van deze vragen gebruik te maken van een zogenaamd security framework. Een security framework biedt een objectieve en systematische manier om
a) de risico’s voor jouw IT-omgeving in kaart te brengen en
b) welke maatregelen je moet nemen om deze risico’s te verlagen zonder dat daarbij al bepaalde oplossingen geadviseerd of opgelegd worden.

Een security framework is in feite een systematiek om je cyber security aantoonbaar op orde te krijgen. Door gebruik te maken van een erkend security framework maak je inzichtelijk voor jezelf, maar ook voor externe stakeholders (denk aan uw accountant, klanten, etc.), wat de status van de beveiliging van jouw IT-omgeving is.

Security frameworks verschillende bedrijfgroottes

CIS 18 Security Framework

Er zijn veel verschillende soorten security frameworks, ieder met zijn eigen doelgroep. Als WSB gebruiken wij intern bijvoorbeeld ISO 27001. Omdat ISO 27001 voor veel niet-IT-bedrijven te ver gaat, raden we (net als Microsoft) mkb-ondernemers aan met het CIS 18 Framework aan de slag te gaan. Dit is een pragmatisch en handzaam framework dat geschikt is voor zowel kleine als grotere organisaties.

Het CIS 18 Framework is opgezet door het Center for Internet Security, een non-profit organisatie die wereldwijd erkende “best practices” opstelt voor het beveiligen van IT-systemen en data.

Het CIS 18 Framework bestaat uit een lijst van zogenaamde “controls”; iedere control is in feite een maatregel die op een bepaald onderdeel van cyber security gericht is. De totale lijst bestaat uit achttien controls, vandaar dat het CIS security framework vaak afgekort wordt als CIS 18.

Ieder van deze achttien controls is weer onderverdeeld in een aantal subcontrols (safeguards genaamd). Omdat lang niet alle safeguards voor iedere organisatie van toepassing zijn, zijn deze weer verdeeld in drie niveaus; Implementatiegroep 1 tot en met 3. Klinkt lastig? Valt mee hoor:

Implementation Groups

Niet alle controls en safeguards zijn voor ieder bedrijf van toepassing. Dat hangt af van de risico’s die uw bedrijf loopt. De 18 controls en hun safeguards zijn daarvoor verdeeld in drie zogenaamde Implementation Groups.

Implementation Group 1
Deze eerste Implementation Group bevat de maatregelen die elk bedrijf zou moeten nemen om te zorgen dat je als het ware de basishygiëne van je cybersecurity op orde hebt. De maatregelen uit Implementation Group 1 zijn in feite voor ieder bedrijf dus een vereiste. Voor de meeste mkb-bedrijven zal het implementeren van de controls uit deze groep ook voldoende zijn; zij hoeven niet verder te gaan met de maatregelen uit de volgende Implementation Groups.

Implementation Group 2
Iets grotere bedrijven of organisaties die extra risico lopen omdat ze gevoelige gegevens verwerken, zoals bijvoorbeeld artsen, accountants, advocaten of verzekeringskantoren, kunnen, nadat ze de maatregelen uit Implementation Group 1 hebben doorgevoerd, verder gaan met de maatregelen uit Implementation Group 2.

Implementation Group 3
Implementation Group 3 bevat de maatregelen die bedoeld zijn voor grote bedrijven, die de maatregelen uit de eerste twee groepen al hebben en die over kennis, ervaring en middelen beschikken om ook de resterende CIS 18-maatregelen te nemen.

CIS security framework Implementation groups

Als voorbeeld nemen we even Control 1 – Inventory and Control of Enterprise Assets. Hieronder ziet u dat deze Control uit vijf Safeguards bestaat waarvan alleen de eerste twee onder Implementation Group 1 vallen (aangegeven door de groene bolletjes rechts), de Group die voor de meeste mkb-bedrijven volstaat.

CIS18 control 1

Een groot voordeel van het gebruik van het CIS 18 Control Framework is het feit dat je aan externe partijen aantoonbaar kunt maken welke beveiligingsmaatregelen je hebt getroffen, bijvoorbeeld aan uw accountant en uw klanten. Wanneer je werkt met CIS 18 kun je namelijk aangeven welke Controls en Safeguards uw bedrijf ingericht heeft en zo een objectief beeld geven wat de status van uw cybersecurity is.

Video CIS Security Framework

Allemaal nog een beetje abstract? Kijk dan onderstaande video. Hij is een beetje lang, maar zeker de moeite waard. Wilt u echt alleen het gedeelte over het CIS Security Framework bekijken, begin dan op 10:09.

Hoe goed is jouw bedrijf beveiligd tegen cybercriminelen?

5-stappenplan

De CIS18 Controls geven aan wát je moet doen, maar niet hóé je het moet doen. Daarom hebben wij een praktisch 5 stappenplan ontwikkeld. Je ziet waarschijnlijk direct dat hierboven niet 5, maar 6 stappen staan. Dat komt omdat we adviseren om de Cyber Security Assessment minimaal een keer per jaar te herhalen (zie het dus als stap 6).

Cyber Security stappenplan

Stap 1: Cyber Security Assessment
De eerste stap is te bepalen waar jouw bedrijf nu staat.

Stap 2: Inrichten Beheer IT-omgeving
Het fundament van de beveiliging inrichten door gebruik te maken van de securityfuncties in Microsoft 365 Business Premium.

Stap 3: Inrichten Security Level
In stap 3 van ons stappenplan draait het om het nemen van de maatregelen waarmee je het beveiligingsniveau dat voor jouw organisatie passend is, goed inricht.

Stap 4: Security Awareness
Security awareness programma voor je medewerkers zodat ze phishing mails leren herkennen, het belang van het gebruik van sterke wachtwoorden weten, etc.

Stap 5: Monitoring, Detection & Response
Het continu monitoren van jullie IT-omgeving om beveiligingsincidenten snel te kunnen ontdekken en aanpakken.