CYBER Security Traject op de planning
Ben je het overzicht kwijt of knaagt er iets omdat je weet dat er dringend werk aan de winkel is?
Stappenplan
Het stappenplan dat wij hebben uitgewerkt is gebaseerd op de ISO 27001 standaard, zonder daarbij noodzakelijk aan alle verplichtingen qua documentatie en auditing te moeten voldoen. Dit plan heeft niet de intentie een organisatie klaar te stomen voor ISO 27001 certificatie, maar biedt een leidraad hoe een cybersecurity verbeteringstraject op een gestroomlijnde manier kan aangepakt worden.
1. Security Team
Team samenstellen van interne medewerkers en externe partners.
2. Scope & Context
Context van de organisatie, structuur, kennis,... Scope business activiteiten.
3. Security Policy
Bepalen doelstelling management en afspreken deliverables.
4. Assets & Risks
Wat gaan we beveiligen en omwille van welk risico doen we dat?
5. Applicability
Statement of applicability opstellen, wat gaan we doen?
6. Treatment Plan
Actieplan opstellen, hoe gaat dit te werk?
CYBER Security Traject
Het cybersecurity plan is opgebouwd uit zes distincte stappen. Stap 7 is de implementatiefase, die onder andere bestaat uit Measure, Operate and Monitor. Concreet wil dat zeggen dat de geÃŊmplementeerde security maatregelen en processen, in de praktijk worden gebracht en uitgevoerd. Daarbij worden security parameters gemeten en gemonitord, die vroeg of laat onvermijdelijk nopen tot aanpassing van maatregelen en procedures, wat op zijn beurt zal leiden tot het opnieuw doorlopen van alle stappen. Stap 7, het implementeren zelf, valt als dusdanig buiten het stappenplan, maar is uiteraard een essentieel onderdeel van het ultieme doel, zijnde een veiligere IT omgeving in een nieuwe organisatiecultuur waarin aandacht voor veiligheid een vanzelfsprekendheid is.
Permanente opdracht. âSecurity is een werkwoordâ is een wat flauwe boutade, maar er zit veel waarheid in. Dankzij de nodige user en security awareness training moet veiligheid ingebakken zitten in elke medewerker zijn of haar manier van werken. Goeie security is niet ÃĐÃĐnmalig maatregelen nemen en dan voor de rest van het jaar op je lauweren rusten. Een rigoureus change management systeem op poten zetten is in veel
gevallen overkill, maar bij elke belangrijke wijziging zou het security team alle stappen opnieuw moeten doorlopen. Is er een wijziging of uitbreiding aan het team nodig? Zijn er bijkomende assets, is er nieuwe dienstverlening met nieuwe gegevensverwerking, is er een gewijzigde procedures aan het incident response plan, enzovoort. Daarnaast heb je een zeker vorm van opvolging nodig. Zijn de security maatregelen die we nemen conform de graad van veiligheid die we nastreven? Hebben we voldoende inzicht: zijn er actieve breaches waar we ons niet van bewust zijn, houden medewerkers zich aan het gegevensbeschermingsbeleid, houden we rekening genoeg met de security trends, voldoen we aan het verwachtingspatroon van de nodige gepaste en organisatorische maatregelen conform onze omvang en sector, etc.
Security Team
Scope & Context
Security Policy
Assets & Risks
Statement of applicability
Treatment plan
Het samenstellen van een security team is essentieel bij de start van een veiligheidstraject. Je hebt mensen nodig die hun schouders onder het project zetten, die de wagen terug op de rails zet wanneer de aandacht verslapt, mensen met de nodige beslissingsbevoegdheid en met de nodige business en security kennis. Dit kunnen mensen van binnen en buiten de eigen organisatie zijn. Een juridische en privacy expert zullen niet velen binnenshuis terugvinden.
- Iemand uit management, die de impact van een incident aan de rest van het management en
bestuur op een begrijpelijke wijze kan uitleggen. - Incident manager die over de ganse organisatie taken kan geven aan medewerkers en wijzen
op hun verantwoordelijkheden. - Juridische expert : adviseert over de wettelijke consequenties bij een incident, kan helpen bij het opstellen van contracten en verwerkersovereenkomsten met derde partijen, etc.
- Privacy expert:Â adviseert omtrent GDPR wetgeving, bewaakt de kwaliteit van security documenten.
- IT verantwoordelijke : zorgt voor het uitrollen van de nodige technische maatregelen. Vaak is
deze persoon ook verantwoordelijk voor de samenwerking met externe IT partijen. - Communicator : zorgt voor de nodige communicatie naar de buitenwereld en naar de interne
medewerkers, in geval van een breach.
Wie zijn we?
Context: interne en externe factoren, zoals organisatiestructuur, missie en visie, beschikbare bronnen zoals personeel, aanwezige kennis, etc. Externe factoren zijn zaken zoals wetgeving waaraan moet voldaan zijn (GDPR, âĶ), technologie trends en hoe innovatief de organisatie wil tewerk gaan.
Scope:: dat deel van de organisatie waar het security traject over gaat, rekening houdend met de bovenvermelde context en betrokken partijen
We leggen de dingen vast.
De voornaamste bedoeling van de security policies is vanuit management gaan definiÃŦren wat we objectief willen bekomen met het ISMS en daardoor iedereen op dezelfde lijn krijgen
wat betreft gegevensverwerking.Â
Een tweede doelstelling is zorgen dat management de controle over het ISMS kan bewaken. Het is niet de bedoeling dat ze technische IT security expertise moeten opbouwen, maar wel dat het duidelijk is wie waarvoor verantwoordelijk is en hoe er objectieve parameters kunnen gebruikt worden om de kwaliteit van het ISMS te controleren.
Assets: âThe data, personnel, devices, systems and facilities that enable the organization to achieve business purposes are identified and managed consistent with their relative importance to business objectives and the organizationâs risk strategyâ (NIST, 2014).
Risks: Alle assets uit voorgaande stap worden in volgorde van prioriteit gekoppeld aan mogelijke threats en vulnerabilities. Dit levert een bepaald risico op, waaraan we een score koppelen volgens de regels die we zelf bepaald hebben zoals van toepassing op onze organisatie.
Wat gaan we doen?
We bepalen de benodigde technische maatregelen en de juiste tools, aangevuld met maatregelen die voortvloeien uit wetgeving, contracten en andere organisatie-verplichtingen. De statement of applicability is in essentie een exhaustieve lijst van concrete maatregelen die verder zullen uitgewerkt worden, gekoppeld aan de doelen die elke maatregel moet bewerkstelligen.Â
Het structureren gebeurt op basis van de best practices uit de verschillende frameworks. :
1. CIS Controls v7.1
2. ISO 27001 Annex A
3. CMMC
Het treatment plan is in essentie het roll-out plan van alle technische maatregelen en procedures. Voor
elke individuele record uit de statement of applicability, wordt bepaald hoe die geÃŊmplementeerd zal
worden en door wie, welke resources er aan worden toegekend en wie ervoor verantwoordelijk is.
Measure: we meten de effectiviteit.
Operate: uitvoeren, logging en auditing
Monitor: controle van de doelen van elke maatregel