cyber security mkb

CIS Security Framework

Maak je cyber security aantoonbaar op orde

Vrijwel iedere mkb’er vraagt zich af:
• Wat zijn de belangrijkste beveiligingsrisico’s die ik als mkb-bedrijf loop?
• Welke beveiligingsmaatregelen moet ik nemen om de risico’s zo klein mogelijk te houden?

Ons advies is om voor de beantwoording van deze vragen gebruik te maken van een zogenaamd security framework. Een security framework biedt een objectieve en systematische manier om
a) de risico’s voor uw IT-omgeving in kaart te brengen en
b) welke maatregelen u zou moeten nemen om deze risico’s te verlagen zonder dat daarbij al bepaalde oplossingen geadviseerd of opgelegd worden.

Een security framework is in feite een systematiek om uw cyber security aantoonbaar op orde te krijgen. Door gebruik te maken van een erkend security framework maak je inzichtelijk voor jezelf, maar ook voor externe stakeholders (denk aan uw accountant, klanten, etc.), wat de status van de beveiliging van uw IT-omgeving is.

Cyber Security CIS framework

CIS 18 Security Framework

Er zijn veel verschillende soorten security frameworks, ieder met zijn eigen doelgroep. Als WSB gebruiken wij intern bijvoorbeeld ISO 27001. Omdat ISO 27001 voor veel niet-IT-bedrijven te ver gaat, raden we (net als Microsoft) mkb-ondernemers aan met het CIS 18 Framework aan de slag te gaan. Dit is een pragmatisch en handzaam framework dat geschikt is voor zowel kleine als grotere organisaties.

Het CIS 18 Framework is opgezet door het Center for Internet Security, een non-profit organisatie die wereldwijd erkende “best practices” opstelt voor het beveiligen van IT-systemen en data.

Het CIS 18 Framework bestaat uit een lijst van zogenaamde “controls”; iedere control is in feite een maatregel die op een bepaald onderdeel van cyber security gericht is. De totale lijst bestaat uit achttien controls, vandaar dat het CIS security framework vaak afgekort wordt als CIS 18.

Ieder van deze achttien controls is weer onderverdeeld in een aantal subcontrols (safeguards genaamd). Omdat lang niet alle safeguards voor iedere organisatie van toepassing zijn, zijn deze weer verdeeld in drie niveaus; Implementatiegroep 1 tot en met 3. Klinkt lastig? Valt mee hoor:

Verschillende security frameworks

Implementation Groups

Niet alle controls en safeguards zijn voor ieder bedrijf van toepassing. Dat hangt af van de risico’s die uw bedrijf loopt. De 18 controls en hun safeguards zijn daarvoor verdeeld in drie zogenaamde Implementation Groups.

Implementation Group 1
Deze eerste Implementation Group bevat de maatregelen die elk bedrijf zou moeten nemen om te zorgen dat je als het ware de basishygiëne van je cybersecurity op orde hebt. De maatregelen uit Implementation Group 1 zijn in feite voor ieder bedrijf dus een vereiste. Boor de meeste mkb-bedrijven zal het implementeren van de controls uit deze groep ook voldoende zijn; zij hoeven niet verder te gaan met de maatregelen uit de volgende Implementation Groups.

Implementation Group 2
Iets grotere bedrijven of organisaties die extra risico lopen omdat ze gevoelige gegevens verwerken, zoals bijvoorbeeld artsen, accountants, advocaten of verzekeringskantoren, kunnen, nadat ze de maatregelen uit Implementation Group 1 hebben doorgevoerd, verder gaan met de maatregelen uit Implementation Group 2.

Implementation Group 3
Implementation Group 3 bevat de maatregelen die bedoeld zijn voor grote bedrijven, die de maatregelen uit de eerste twee groepen al hebben en die over kennis, ervaring en middelen beschikken om ook de resterende CIS 18-maatregelen te nemen.

CIS Implementation Groups

Als voorbeeld nemen we even Control 1 – Inventory and Control of Enterprise Assets. Hieronder ziet u dat deze Control uit vijf Safeguards bestaat waarvan alleen de eerste twee onder Implementation Group 1 vallen (aangegeven door de groene bolletjes rechts), de Group die voor de meeste mkb-bedrijven volstaat.

CIS18 control 1

Een groot voordeel van het gebruik van het CIS 18 Control Framework is het feit dat je aan externe partijen aantoonbaar kunt maken welke beveiligingsmaatregelen je hebt getroffen, bijvoorbeeld aan uw accountant en uw klanten. Wanneer je werkt met CIS 18 kun je namelijk aangeven welke Controls en Safeguards uw bedrijf ingericht heeft en zo een objectief beeld geven wat de status van uw cybersecurity is.

Video CIS Security Framework

Allemaal nog een beetje abstract? Kijk dan onderstaande video. Hij is een beetje lang, maar zeker de moeite waard. Wilt u echt alleen het gedeelte over het CIS Security Framework bekijken, begin dan op 10:09.

Stappenplan

De CIS18 Controls geven aan wát je moet doen, maar niet hóé je het moet doen. Daarom hebben wij een praktisch vijfstappenplan ontwikkeld.


Stap 1 cyber security assessment
Stap 1: Cyber Security Assessment
De eerste stap is te bepalen waar uw bedrijf nu staat.


Stap 2 fundament
Stap 2: Basisbeveiliging
Het fundament van de beveiliging inrichten door gebruik te maken van de securityfuncties in Microsoft 365 Business Premium.


Stap 3 backups
Stap 3: Beheer IT-omgeving
Zorgen voor betrouwbare back-ups en dat de IT-omgeving goed beheerd en up-to-date gehouden wordt.


Stap 4 security awareness
Stap 4: Security Awareness
Security awareness programma voor uw medewerkers zodat ze phishing mails leren herkennen, het belang van het gebruik van sterke wachtwoorden, etc.


Stap 5 monitoring it omgeving
Stap 5: Monitoring, Detection & Response
Het continu monitoren van uw IT-omgeving om beveiligingsincidenten snel te kunnen ontdekken en aanpakken.


Techniek + mens. U + WSB. De kracht van samen.

Beveiliging gaat dus niet alleen maar over techniek, het gaat ook over processen en mensen. Daarom geloven wij in de kracht van samen. Wij gaan graag in gesprek om te ontdekken welke security-maatregelen voor uw onderneming geschikt zijn en waar we kunnen helpen processen veiliger te maken en mensen bewuster.

We hebben de CIS Controls vertaald naar concrete stappen die je als organisatie moet nemen en naar oplossingen die daarbij kunnen helpen. Daarbij hebben we zoveel mogelijk gekozen voor oplossingen die u vaak al in handen hebt.

 

Wilt u meer weten?

Plan dan hieronder een gratis half uur met onze security expert Maurice.
Pak die kans!