CYBER Security Traject op de planning

Ben je het overzicht kwijt of knaagt er iets omdat je weet dat er dringend werk aan de winkel is?

Stappenplan

Het stappenplan dat wij hebben uitgewerkt is gebaseerd op de ISO 27001 standaard, zonder daarbij noodzakelijk aan alle verplichtingen qua documentatie en auditing te moeten voldoen. Dit plan heeft niet de intentie een organisatie klaar te stomen voor ISO 27001 certificatie, maar biedt een leidraad hoe een cybersecurity verbeteringstraject op een gestroomlijnde manier kan aangepakt worden.

1. Security Team

Team samenstellen van interne medewerkers en externe partners.

2. Scope & Context

Context van de organisatie, structuur, kennis,... Scope business activiteiten.

3. Security Policy

Bepalen doelstelling management en afspreken deliverables.

4. Assets & Risks

Wat gaan we beveiligen en omwille van welk risico doen we dat?

5. Applicability

Statement of applicability opstellen, wat gaan we doen?

6. Treatment Plan

Actieplan opstellen, hoe gaat dit te werk?

stappenplan

CYBER Security Traject

Het cybersecurity plan is opgebouwd uit zes distincte stappen. Stap 7 is de implementatiefase, die onder andere bestaat uit Measure, Operate and Monitor. Concreet wil dat zeggen dat de geïmplementeerde security maatregelen en processen, in de praktijk worden gebracht en uitgevoerd. Daarbij worden security parameters gemeten en gemonitord, die vroeg of laat onvermijdelijk nopen tot aanpassing van maatregelen en procedures, wat op zijn beurt zal leiden tot het opnieuw doorlopen van alle stappen. Stap 7, het implementeren zelf, valt als dusdanig buiten het stappenplan, maar is uiteraard een essentieel onderdeel van het ultieme doel, zijnde een veiligere IT omgeving in een nieuwe organisatiecultuur waarin aandacht voor veiligheid een vanzelfsprekendheid is.

Permanente opdracht. ‘Security is een werkwoord’ is een wat flauwe boutade, maar er zit veel waarheid in. Dankzij de nodige user en security awareness training moet veiligheid ingebakken zitten in elke medewerker zijn of haar manier van werken. Goeie security is niet éénmalig maatregelen nemen en dan voor de rest van het jaar op je lauweren rusten. Een rigoureus change management systeem op poten zetten is in veel
gevallen overkill, maar bij elke belangrijke wijziging zou het security team alle stappen opnieuw moeten doorlopen. Is er een wijziging of uitbreiding aan het team nodig? Zijn er bijkomende assets, is er nieuwe dienstverlening met nieuwe gegevensverwerking, is er een gewijzigde procedures aan het incident response plan, enzovoort. Daarnaast heb je een zeker vorm van opvolging nodig. Zijn de security maatregelen die we nemen conform de graad van veiligheid die we nastreven? Hebben we voldoende inzicht: zijn er actieve breaches waar we ons niet van bewust zijn, houden medewerkers zich aan het gegevensbeschermingsbeleid, houden we rekening genoeg met de security trends, voldoen we aan het verwachtingspatroon van de nodige gepaste en organisatorische maatregelen conform onze omvang en sector, etc.

Frameworks: Information security is niet gelijk aan IT security. In Nederland heeft een ziekenhuis een zware boete gekregen van de Nederlandse Autoriteit Persoonsgegevens, nadat een verpleegster een afdruk met patiëntgegevens gebruikt had als boodschappenlijstje dat was achtergebleven in de boodschappenkar. Daar kan de beste IT security niks aan doen. Daarnaast wil je absoluut een onsamenhangend geheel van technische maatregelen vermijden. Niet alles hoeft trouwens op dezelfde manier beveiligd te worden. Gegevens waarbij de kost van beveiliging veel hoger liggen dan de waarde van de data zelf vereisen andere maatregelen dan de meest business kritische informatie. Om alle processen, policies en maatregelen te structureren, maken we gebruik van frameworks gebaseerd op best practices. ISO 27001 is een internationale standaard die een leidraad biedt voor het opzetten van een information security management systeem (ISMS). CMMC is een model dat cybersecurity maturiteit meet aan de hand van vijf niveaus en een verzameling van processen en best practices afstemt op het type en de gevoeligheid van de informatie die moet beschermd worden. 

Security Team

Scope & Context

Security Policy

Assets & Risks

Statement of applicability

Treatment plan

Het samenstellen van een security team is essentieel bij de start van een veiligheidstraject. Je hebt mensen  nodig die hun schouders onder het project zetten, die de wagen terug op de rails zet wanneer de aandacht verslapt, mensen met de nodige beslissingsbevoegdheid en met de nodige business en security kennis. Dit kunnen mensen van binnen en buiten de eigen organisatie zijn. Een juridische en privacy expert zullen niet velen binnenshuis terugvinden.

  • Iemand uit management, die de impact van een incident aan de rest van het management en
    bestuur op een begrijpelijke wijze kan uitleggen.
  • Incident manager die over de ganse organisatie taken kan geven aan medewerkers en wijzen
    op hun verantwoordelijkheden.
  • Juridische expert : adviseert over de wettelijke consequenties bij een incident, kan helpen bij het opstellen van contracten en verwerkersovereenkomsten met derde partijen, etc.
  • Privacy expert:  adviseert omtrent GDPR wetgeving, bewaakt de kwaliteit van security documenten.
  • IT verantwoordelijke : zorgt voor het uitrollen van de nodige technische maatregelen. Vaak is
    deze persoon ook verantwoordelijk voor de samenwerking met externe IT partijen.
  • Communicator : zorgt voor de nodige communicatie naar de buitenwereld en naar de interne
    medewerkers, in geval van een breach.

Wie zijn we?

Context: interne en externe factoren, zoals organisatiestructuur, missie en visie, beschikbare bronnen zoals personeel, aanwezige kennis, etc. Externe factoren zijn zaken zoals wetgeving waaraan moet voldaan zijn (GDPR, …), technologie trends en hoe innovatief de organisatie wil tewerk gaan.

Scope:: dat deel van de organisatie waar het security traject over gaat, rekening houdend met de bovenvermelde context en betrokken partijen

tab_01-2.png
Vector-Smart-Object1

We leggen de dingen vast.

De voornaamste bedoeling van de security policies is vanuit management gaan definiëren wat we objectief willen bekomen met het ISMS en daardoor iedereen op dezelfde lijn krijgen
wat betreft gegevensverwerking. 

Een tweede doelstelling is zorgen dat management de controle over het ISMS kan bewaken. Het is niet de bedoeling dat ze technische IT security expertise moeten opbouwen, maar wel dat het duidelijk is wie waarvoor verantwoordelijk is en hoe er objectieve parameters kunnen gebruikt worden om de kwaliteit van het ISMS te controleren.

tab_03-1.png
tab_01-2.png
tab_01-3.png

Assets: “The data, personnel, devices, systems and facilities that enable the organization to achieve business purposes are identified and managed consistent with their relative importance to business objectives and the organization’s risk strategy” (NIST, 2014).

Risks: Alle assets uit voorgaande stap worden in volgorde van prioriteit gekoppeld aan mogelijke threats en vulnerabilities. Dit levert een bepaald risico op, waaraan we een score koppelen volgens de regels die we zelf bepaald hebben zoals van toepassing op onze organisatie.

tab_06-1.png
tab_02-2.png

Wat gaan we doen?

We bepalen de benodigde technische maatregelen en de juiste tools, aangevuld met  maatregelen die voortvloeien uit wetgeving, contracten en andere organisatie-verplichtingen. De statement of applicability is in essentie een exhaustieve lijst van concrete maatregelen die verder zullen uitgewerkt worden, gekoppeld aan de doelen die elke maatregel moet bewerkstelligen. 

Het structureren gebeurt op basis van de best practices uit de verschillende frameworks. :
1. CIS Controls v7.1
2. ISO 27001 Annex A
3. CMMC

Het treatment plan is in essentie het roll-out plan van alle technische maatregelen en procedures. Voor
elke individuele record uit de statement of applicability, wordt bepaald hoe die geïmplementeerd zal
worden en door wie, welke resources er aan worden toegekend en wie ervoor verantwoordelijk is.

Measure: we meten de effectiviteit.

Operate: uitvoeren, logging en auditing

Monitor: controle van de doelen van elke maatregel

tab_03-1.png
tab_01-2.png
Vector-Smart-Object21.png