cyber security mkb

Security Awareness: net zo noodzakelijk als een firewall

Goede ICT-beveiliging is meer dan alleen techniek

Security Awareness

Niet uw firewall of antivirussoftware is de zwakste schakel in uw ICT-beveiliging, maar uzelf en uw personeel. Natuurlijk moet je technische maatregelen nemen om uw bedrijf te beveiligen, maar zonder goede bewustwording bij ‘de mens’ loop je nog steeds een verhoogd risico te maken te krijgen met een datalek of enige vorm van cybercriminaliteit. Daar is slechts 1 klik in een bijvoorbeeld een phishingmail voor nodig.

Een goede bewustwording van de risico’s die je online loopt is daarom minstens zo belangrijk. U kunt maar zorgen dat de security awareness van uw personeel hoog is. Dat kan u een hoop ellende besparen.

Cyber Security CIS framework

CIS18

Er zijn verschillende soorten security frameworks, ieder met zijn eigen doelgroep. De meest bekende security frameworks zijn ISO 27001 en CIS. Als WSB gebruiken wij intern ISO 27001. Omdat een ISO-certificering voor veel niet-IT-bedrijven te ver gaat, raden we mkb-ondernemers aan met het CIS framework aan de slag te gaan. Deze is pragmatisch en handzaam.

Het CIS framework is opgezet door het non-profit Center for Internet Security en wordt wereldwijd gebruikt. Het CIS framework is een lijst van “controls”: groepen maatregelen die op een bepaald onderdeel van cyber security gericht zijn. De lijst bestaat uit achttien controls, vandaar dat het CIS security framework vaak afgekort wordt als CIS18.

Ieder van deze achttien controls is weer onderverdeeld in een aantal subcontrols. Omdat lang niet alle subcontrols voor iedere organisatie van toepassing zijn, zijn deze weer verdeeld in drie niveaus; de Implementatiegroep 1 tot en met 3. Klinkt lastig? Valt mee hoor:

Cyber Security CIS framework

Implementation Groups

Niet alle controls en subcontrols zijn voor ieder bedrijf van toepassing. Dit is afhankelijk van de risico’s die je loopt en de middelen die je hebt.

Implementatiegroep 1
Het implementeren van de controls uit Implementatiegroep 1 zal voor veel mkb-bedrijven al voldoende zijn. Deze eerste groep bevat de maatregelen die elk bedrijf door zou moeten voeren om te zorgen dat je als het ware de basishygiëne van je cybersecurity op orde hebt.

Implementatiegroep 2
Iets grotere bedrijven of organisaties die extra risico lopen omdat ze gevoelige gegevens verwerken, zoals bijvoorbeeld artsen, accountants, advocaten of verzekeringskantoren, kunnen, nadat ze de maatregelen uit implementatiegroep 1 hebben doorgevoerd, verder gaan met de maatregelen uit Implementatiegroep 2.

Implementatiegroep 3
Implementatiegroep 3 bevat de maatregelen die bedoeld zijn voor grote bedrijven en die de implementatiegroepen 1 en 2 al hebben toegepast en die over voldoende middelen beschikken om ook de resterende CIS20 maatregelen in te voeren.

CIS - Implementation Groups

Als voorbeeld nemen we even control 2 – Inventory and Control of Software Assets. Hieronder zie je dat deze control uit zeven subcontrols bestaat waarvan alleen de eerste drie onder Implementation Group 1 vallen, de Group die voor de meeste mkb-bedrijven volstaat.

CIS Implementations Groups - control 2 subcontrols

Een groot voordeel van het gebruik van het CIS18 Control Framework is het feit dat je aan externen aantoonbaar kunt maken welke beveiligingsmaatregelen je hebt getroffen, bijvoorbeeld aan je accountant. Wanneer je werkt met CIS18 kun je aangeven aan welke controls en subcontrols jouw bedrijf voldoet.
 

Stappenplan: relatief kleine investering, grote winst

De CIS18 Controls geven aan wát je moet doen, maar niet hóé je het moet doen. Daarom hebben wij een praktisch driestappenplan ontwikkeld.

Stap 1:

De grootste winst die met een relatief kleine inspanning te behalen is, is het inrichten van de belangrijkste beveiligingsfuncties in Microsoft 365. Gebruik maken van de tools die je al hebt dus. Deze beveiligingsfuncties zijn gericht op het beschermen van de identiteit van je IT-gebruikers en het beschermen van je IT-apparatuur. Dit is een eenmalige inrichting tegen een relatief kleine investering, die je al heel veel bescherming geeft.

Stap 2:

Hierna ga je aan de slag met het beter beschermen van de data van je bedrijf door af te stappen van traditionele fileservers en gebruik te gaan maken van moderne manieren van opslag, zoals in OneDrive, Teams en SharePoint.

Stap 3:

Als de technische aspecten uit stap 1 en 2 op orde zijn, kijk je naar de processen én naar ‘de mens’. Denk aan het verhogen van het beveiligingsbewustzijn door middel van een trainingsprogramma. Een vaak onderschat en verwaarloost onderdeel van het beveiligingsbeleid.

Techniek + mens. U + WSB. De kracht van samen.

Beveiliging gaat dus niet alleen maar over techniek, het gaat ook over processen en mensen. Daarom geloven wij in de kracht van samen. Wij gaan graag in gesprek om te ontdekken welke security-maatregelen voor uw onderneming geschikt zijn en waar we kunnen helpen processen veiliger te maken en mensen bewuster.

We hebben de CIS Controls vertaald naar concrete stappen die je als organisatie moet nemen en naar oplossingen die daarbij kunnen helpen. Daarbij hebben we zoveel mogelijk gekozen voor oplossingen die u vaak al in handen hebt.
 

Wilt u meer weten?

Plan dan hieronder een gratis half uur met onze security expert Maurice.
Pak die kans!