Security scan wel of niet
Arwen Vink
12 juli 2021

Security scan; doen of niet doen?

Cybercriminaliteit neemt toe. Vorig weekend werd het nieuws weer gevuld met een grote hack op de Amerikaanse softwareleverancier Kaseya. Door dit soort berichten groeit ook de bewustwording van veel organisaties dat beveiliging hoog op de agenda moet. Het regent aanbiedingen voor Security Scans.

Maar ik kan mij voorstellen dat je door al die verschillende aanbieders en methoden door de bomen het bos niet meer ziet. Ik kan mij zelfs voorstellen dat je twijfelt of het zin heeft om te doen. Want het resultaat van een scan is vaak nog niet duidelijk. Ook niet gek; want een scan is bedoeld om juist zaken boven tafel te krijgen die je nog niet wist. Maar de angst om na zo’n scan een actieplan voorgeschoteld te krijgen die ver boven je budget zit, omdat zo’n scan misschien standaard gericht is op Enterprise organisaties met veel budget en middelen, kan het afnemen van zo’n scan een nare nasmaak geven. Ik help je graag even op weg.

Richtlijnen

Je zou een vergelijking kunnen trekken met de start van een nieuw bedrijfspand die je graag wilt beveiligen tegen brand. Logisch toch? Je zoekt een partij uit die gespecialiseerd is op het gebied van brandbeveiliging en die gaat voor je aan de slag. Ook zij zullen wellicht een soort scan doen van het pand en de mogelijke risico’s. Zo zou je de beveiliging tegen cybercriminaliteit ook als logisch kunnen beschouwen vandaag de dag en lijkt een scan een goede eerste stap. Het verschil zit erin dat brandbeveiliging geregeld wordt op basis van vastgestelde regels vanuit o.a. het Bouwbesluit. Er zijn ‘gewoon’ richtlijnen die vastgesteld zijn door de overheid waar je je aan moet houden en waar je op gecontroleerd kunt worden.

Voor beveiliging omtrent ICT is dat er (nog) niet. ICT ontwikkelt zich zo ontzettend snel en er zijn zoveel variabelen waar je rekening mee moet houden.

Uiteraard kun je ook aan de slag met een ISO certificering vanuit een Program Framework, zoals wij bij WSB met succes ISO27001:2017 hebben geïmplementeerd. Dat past bij ons als ICT-bedrijf met de risico’s die wij daarbij lopen. Die zijn hoger dan bij het gemiddelde MKB-bedrijf; vandaar de keuze voor ISO27001. Maar voor veel MKB-bedrijven is dat een stap te ver.

Gelukkig zijn er een aantal non-profit organisaties die richtlijnen hebben opgesteld in de vorm van een Security Framework. Zo adviseren wij het Control Framework van CIS (Center for Internet Security); ook wel het CIS18 genoemd, omdat zij 18 ‘controls’ cq. maatregelen hebben opgesteld die je als bedrijf zou moeten doorvoeren om beveiligd te zijn, waarbij het voor veel bedrijven voldoende is om daarvan zelfs alleen de basis in te regelen. Een Framework dat beschouwd wordt als zeer praktisch en erg goed bekend staat. Hoe je een dergelijk framework gebruikt lees je hier.

Terug naar de scan

Als je kijkt naar alle verschillende aanbieders van Security Scans, waarbij je wellicht een aardig bedrag moet neerleggen voor een onduidelijk eindresultaat, raden wij aan te kijken naar aanbieders waarbij het resultaat van zo’n scan vertaald kan worden naar een Security Framework of de richtlijnen die jij hanteert. Dan zijn die resultaten en mogelijke actiepunten na zo’n scan direct relevant voor jouw organisatie. Die relevantie zit in de risico’s die jij loopt met je organisatie, de grootte van je organisatie en de middelen die je hebt.

Zoals gezegd adviseren wij onze klanten gebruik te maken van het Control Framework CIS18. Onze klanten kunnen van ons aangereikt krijgen welke controls wij voor hen regelen en kunnen adviseren over de andere controls die niet technisch in te vullen zijn, zoals het bewust maken van je medewerkers van de risico’s van phishing. Ook voor nieuwe klanten bieden wij een Security Scan aan, waarbij wij de CIS18 als basis gebruiken. Ben je geïnteresseerd in wat wij voor jou kunnen betekenen? Neem dan gerust contact met ons op.

Meer weten?

Schroom niet om contact met mij op te nemen.

Arwen Vink
Arwen Vink
(0184) 74 44 50
a.vink@wsb-solutions.nl
  • Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.