Security moet de boardroom in

Ondanks de aandacht die cybercrime krijgt, blijkt nog steeds dat het grootste probleem ligt in de bewustwording van de gebruikers over de gevaren van cybercrime. Om het onderwerp op de agenda van de leiding van de organisatie te krijgen, verdient het een vaste plek op de agenda van het bestuur te krijgen. Vooral in het kader van de nieuwe wetgeving ‘datalekken’ is er op korte termijn al snel winst te boeken.

Kunt u aantonen dat u alles heeft gedaan om datalekken te voorkomen?

Om te voorkomen dat privacy en/of bedrijfsinformatie ‘op straat’ komt te liggen, is het belangrijk om een aantal voorzorgmaatregelen te nemen. Op dit Kennisplatform kunt u alles lezen over de nieuwe ‘Anti datalekken’ wetgeving, de stappen die u moet nemen om de wet te implementeren in processen en procedures en de manieren om uw medewerkers bewust te maken van bedreigingen en risico’s.

Met dit artikel wil ik u wat handvatten geven om te zorgen en te borgen dat er op uw systemen een aantal zaken in orde is (en blijft!).

Antivirus software

De antivirus software op uw systemen en alle werkplekken binnen het bedrijf dient volledig bijgewerkt te zijn. Automatische updates opnemen in het onderhoudswindow en gepusht naar de werkplekken. Zorg dat de gebruiker de updates niet kan onderbreken of maximaal eenmaal kan stoppen. Het kan storend zijn als de programmatuur start tijdens bijv. een presentatie. Steeds meer bedrijven kiezen voor twee verschillende antivirus software pakketten.

De leverancier(s) van de antivirussoftware geven een classificatie van de tussentijdse patches aan. Die zijn bedoeld om de urgentie van een patch aan te geven. In werkprocessen moet worden vastgelegd op welke manier hier mee omgegaan moet worden.

Patch management

Alle componenten moeten up-to-date zijn qua patches, hot fixes, operating software en lifecycle management. Door het plannen van vaste patchmomenten en incidentele (hot fixes etc.) en het documenteren in werkprocessen, wordt ook dit onderdeel goed geborgd. Het niet up to date zijn van uw patch management kan een argument voor de wetgever zijn een boete te overwegen.

Hardening

Hardening is het proces van het beveiligen van een systeem, door kwetsbaarheden of risico’s op beveiligingslekken weg te nemen. Hoe meer functies het systeem vervult hoe kwetsbaarder het is.

In principe is een single-functie systeem veiliger dan een multifunctionele. Verwijderen van onnodige software, onnodige gebruikersnamen en het uitschakelen of verwijderen van onnodige services, bevorderd de hardening van het systeem. Zorg dat veelgebruikte toepassingen up to date zijn en voorzie ook deze van automatische updates. Het geheel moet minimaal voldoen aan de CIS standaard (Core Infrastructure Server).

Super Users
Alle gebruikers met hoge rechten moeten volledig in control zijn. De autorisaties moeten maandelijks worden gecontroleerd en rechten (opnieuw) bepaald. Dit geldt vooral voor indiensttredingen, medewerkers die doorschuiven naar een andere functie binnen de organisatie, en uitdiensttreding. Vergeet niet de rechten van ingehuurde medewerkers. Controle en rapportage aan de leiding van de organisatie zijn verplicht.

Security incidenten

De wijze waarop incident management is georganiseerd moet duidelijk zijn en de routing van incidenten moet duidelijk zijn. Nauwkeurig documenteren in een (incident) managementtool en rapportage hierover is een belangrijke eerste stap. Daarna kan er op basis van dit materiaal lessen geleerd worden, processen en procedures verbeterd of aangescherpt en (geanonimiseerd) in trainingen als voorbeeld worden gebruikt.

Voor alle bovenstaande tips, is het bewijs van goede dienstverlening door bovenstaande maandelijks te rapporteren aan. Op die manier ontstaat er inzicht in de stand van zaken en kan goed worden bepaald wat nog moet gebeuren. Op basis van de rapportage kan de eindverantwoordelijke steeds vaststellen of zaken ‘in control’ zijn.

Welke vragen moet de RvB stellen?

  1. Bestuurders moeten cybersecurity begrijpen en benaderen als een risico management issue, niet als IT risico. Sox, Basel, Solvency en andere wetgevingen, voorzien niet of nauwelijks in handvatten om cybecrime af te wenden;
  2. Bestuurders moeten de juridisch impact van cyber risico’s begrijpen in relatie tot haar strategie. Door incidenten waarbij een poging is gedaan de beveiligingen te doorbreken
  3. De RvB informeert moet cybersecurity op haar overleg agenda hebben staan en zich regelmatig door haar cyberserurity experts laten bijpraten over de stand van zaken. De CISO is het hart en de ziel van de informatiebeveiliging in de meeste organisaties. Er is geen betere wijze om regelmatig te discussiëren over cybersecurity;
  4. Bestuurders moeten de kaders stellen van wat zij verachten van hun managers op het gebied van het risico framework. Daar hoort een voldoende bemensing bij en een voldoende budget. De bemensing en budget voor het risk management team, is afhankelijk van het type risico’s dat is beoordeeld.
  5. De RVB dient in de discussie over cyber risk te definiëren welke risico’s voorkomen moeten worden, gemitigeerd, geaccepteerd of geborgd moeten worden door verzekeringen en actieplannen om het risico weg te nemen. Soms kan een besluit om op korte termijn winst te pakken, de sterkte van uw zwakste schakel verder verzwakken.