IO4U CAASIO4U CAAS

“It takes 20 years to build a reputation and

few minutes of cyber-incident to ruin it.”

― Stephane Nappo

Cybercriminaliteit

Door de hoge internetdichtheid is Nederland kwetsbaar voor cybercriminaliteit. Het lijkt nog een “ver van mijn bed show” voor veel bedrijven, maar niets minder is waar. Vaak is het een gebrek aan kennis en ook wel enige onderschatting dat Nederlandse bedrijven zich onvoldoende realiseren welke risico’s, schade en gevolgen een cyberaanval met zich meebrengt. Deze vorm van criminaliteit kost de Nederlandse economie jaarlijks een kleine negen miljard euro. Voorbeelden van schade voor bedrijven zijn:

  • Bestuurlijke boetes
  • Imagoschade
  • Financiële schade: omzetderving

IO4U heeft al meer dan dertig jaar ervaring met data management en specifiek met risico’s die bedrijven lopen in het gebruik van hun data (data security). Dat is de reden dat wij na zijn gaan denken over de vraag hoe wij bedrijven, die geen eigen Chief Information Security Officer hebben, zouden kunnen helpen bij het minimaliseren van hun data-risico’s. We zijn uitgekomen op een concept dat wij eigenlijk al jaren in consultancy-vorm praktiseerden voor bedrijven. Deze dienst noemen wij “CISO as a service”.

Beveiligingsrisico's binnen bedrijven en instellingen

CISO as a Service: wij stellen uw “strategische wendbaarheid” centraal om uw risico’s, die u loopt voor uw organisatie, te minimaliseren. Voordat we naar mogelijke oplossingen gaan voor uw organisatie zullen we eerst voor u de drie gebieden introduceren die verantwoordelijk zijn voor de risico’s. De risico’s voor uw organisatie worden grofweg op drie fronten gegenereerd:

  1. De mens: de mens is de grootste veroorzaker van ongecontroleerde risico’s (bijvoorbeeld GDPR). Hier is in negen van de tien gevallen geen boze opzet in het spel, maar onwetendheid in de zin dat men niet doorheeft hoe hij/zij de veroorzaker is van zijn eigen risico’s. Het bedrijf zelf, kan bij het onvoldoende afstemmen van het niveau van informatiebeleid dat men stelt aan leveranciers, onnodige risico’s lopen (vendor management).
    Een tweede punt is vaak een stuk betrokkenheid, in de zin dat er niet helemaal dezelfde normen en waarden in het bedrijf worden gehanteerd die men wel onderling in de thuissituatie van elkaar verlangd. Wat wij zien is dat de organisatiecultuur hier vaak bepalend voor is. De leiding van een organisatie bepaald eigenlijk in alle gevallen de normen en waarden die van kracht zijn binnen een organisatie.
  2. De wet- en regelgeving: de organisatie is niet alleen slecht op de hoogte van de grootste risico’s die het niet naleven van de belangrijkste wet- en regelgeving met zich meebrengt, maar ziet ook onvoldoende mogelijkheden om deze wetgeving ook daadwerkelijk te managen in het bedrijf.
  3. ICT: het niet goed beheren van de ICT omgeving (softwaremanagement) brengt onnodige risico’s met zich mee. Veel bedrijven denken dat het hebben van een goed firewall wel alle risico’s buiten de deur houdt, maar niets is minder waar. Daar waar de ICT steeds complexer wordt binnen bedrijven, ontstaat ook een exponentiële toename aan onbeheersbaarheid.
    Daarnaast vormt ook het gebruik door de medewerker van deze ICT apparatuur een steeds groter probleem: ook hier geldt weer dat de mens zijn eigen risico’s veroorzaakt in het gebruik van deze apparatuur (mobile device management).
IO4U Strategische wendbaarheid

Onze dienst: "CISO as a service"

De oplossingen (goed opgezet en geïmplementeerd informatiebeveiligingsbeleid), kunnen wij u bieden in de vorm van “CISO as a service”. Wij bewegen samen met u, op een strategisch niveau, langs de drie pijlers “Mens en cultuur”, “ICT” en “Wet- en regelgeving”. Op deze manier dekken wij alle mogelijke, voor u belangrijke risico’s af. Op dit niveau worden de belangrijkste risico’s in kaart gebracht en kunnen wij daar direct middels maatregelen op acteren. Daarnaast wordt er een stuk informatiebeveiligingsbeleid ontwikkeld, afgestemd op uw organisatie. Als laatste stap zal in operationele zin de “CISO as a service” oplossing worden geactiveerd.

Dit traject start misschien gek genoeg met een Quick Scan. De reden is dat in deze onzekere corona periode zien wij een sterke toename van risico’s die aan deze bijzondere situatie zijn toe te schrijven. Bijna alle bedrijven hebben te maken met een (veel) hoger percentage aan thuiswerkers dan voor de corona periode. Juist doordat deze situatie relatief nieuw is voor veel bedrijven is er ook geen zicht op de toename van risico’s die gekoppeld zijn aan het thuiswerken, laat staan dat er al voldoende zicht is op de consequenties van deze risico’s die deze manier van werken met zich meebrengt.

Daarom biedt IO4U u de mogelijkheid om een thuiswerk-scan uit te laten voeren door ons. IO4U neemt u zo veel mogelijk, bij het uitvoeren van deze scan, het werk uit handen. Als eindresultaat worden met u de belangrijkste conclusies doorgenomen, zodat u zelf kunt bepalen (in samenspraak met ons) wat voor u de gewenste vervolgstappen zijn.

Wat zijn de belangrijkste risico’s voor een organisatie bij het thuiswerken?

  1. Vpn’s (virtual private networks)
    Veel patch-oplossingen – waaronder Windows Server Update Services (WSUS) en Microsoft System Center Configuration Manager (SCCM) – hebben beperkingen bij patchen op afstand, omdat ze moeten communiceren met de on-premise infrastructuur om centraal te kunnen updaten. IT-teams zullen daarom tijd en middelen moeten besteden aan het inrichten van vpn-verkeer om updates mogelijk te maken. Maar zelfs als dit lukt, zal de vpn-bandbreedte al snel verzadigd raken door al het updateverkeer, wat tot vertragingen en verstoringen leidt voor medewerkers op afstand. Je kunt de impact op de bandbreedte verminderen door het patchproces te her configureren en af te dwingen dat elk systeem zijn updates rechtstreeks van Windows Update krijgt. Dit zorgt er helaas voor dat het IT-team de controle en het zicht op het patchproces in hun omgeving verliest en dat kan nadelig zijn voor de veiligheid van het netwerk.
  2. Byod (bring your own device)
    De bedrijven die niet goed ingericht waren op werken op afstand, hebben nu te maken met een extreme toename – je kunt zelfs spreken van een verschuiving – naar byod. Sommige bedrijven omarmen het al jaren en enkele hebben er zelfs een volwaardig mobile device management (mdm)-oplossing voor ingericht. Maar voor degenen die dat niet hebben, kan het een onmogelijke uitdaging zijn om dit van de ene op de andere dag in te voeren. Deze bedrijven moeten er nu mee leren omgaan dat hun bedrijfsgegevens vanaf talloze persoonlijke apparaten worden benaderd, waar zij geen enkele controle over hebben. De vraag is nu: hoe kunnen ICT- en beveiligingsteams er voor zorgen dat de patches op deze apparaten effectief worden beheerd, zonder het traditionele toezicht van een kantooromgeving?
  3. Problemen met updates van software van derden, zoals bijvoorbeeld die van Adobe, Google en Mozilla

IO4U infosecuritybeleid-model

IO4U infosecuritybeleid-model

“Threat is a mirror of security gaps. Cyber-threat is mainly a reflection of our weaknesses. An accurate vision of digital and behavioral gaps is crucial for a consistent cyber-resilience.”
Stephane Nappo

Scan

  • Quick scan (brandpunt analyse)
    Deze Quick scan zorgt er voor dat er direct een aantal gevaren in beeld worden gebracht waarop in kan worden gegrepen. In twee dagen is IO4U in staat om de belangrijkste “red flags” te plaatsen
  • Quick thuiswerk scan
    Als tweede belangrijke scan hebben wij al de Quick thuiswerk-scan genoemd. Deze tweede scan is ook goed te combineren met de gewone Quick scan, waarbij uw gehele organisatie onder de loep wordt genomen.

GAP Analyze en Risicokaart

  • Omgevingsanalyse (context, issues, belanghebbenden, eisen, wensen en verwachtingen)
  • Samen met u brengen wij de risico’s in kaart. Volgens een beproefde “best practice” dient ISO 31000 hier als leidraad om de belangrijkste risico’s zichtbaar te maken.
  • Risico’s waarderen we met kans impact. De kans wordt bepaald door alles wat bijdraagt aan het optreden van een incident en de impact bestaat uit alle gevolgen van een incident.
  • De verantwoordelijkheid voor het identificeren van de strategische risico’s ligt bij de directie en voor de tactische en operationele risico’s bij de informatie-eigenaren. De CISO (as a service) kan deze processen faciliteren en ondersteunen, maar kan nooit de proceseigenaar zijn of dit proces zonder de directie of de informatie-eigenaar uitvoeren.
  • Een risicoanalyse moet goed worden voorbereid. Bij een sessie moet minimaal de informatie-eigenaar aanwezig zijn, aangevuld met de benodigde domein experts.
  • Tijdens een risicoanalyse kan van een risico vastgesteld worden dat deze acceptabel is en dus geaccepteerd kan worden. Wij zorgen ervoor dat bij de risicoanalyse iemand aanwezig is die gemachtigd is om risico’s te accepteren.
  • Het is noodzakelijk om ook grip te hebben op de risico’s voor informatie van de organisatie die in handen is van externe partijen. Neem dit daarom mee in uw eigen risicoanalyse. Maak iemand binnen de eigen organisatie verantwoordelijk voor die externe verwerking. Bepaal de vereiste zekerheid over de beveiliging van de informatie bij die externe partij op basis van de gevoeligheid van de informatie. Voor laag-gevoelige gegevens kan een vertrouwen in de externe partij voldoende zijn. Bij de hoger-gevoelige gegevens kan een directieverklaring wenselijk zijn.
  • Bij nog gevoeligere gegevens kan gedacht worden aan een certificering, zoals bijvoorbeeld ISO 27001 of ISAE3402. Let hierbij op een juiste scope van die certificering.

Design

  • Risicobehandelplan
    Voor de risico’s die zijn overgebleven (de geïdentificeerde risico’s) maken wij een risico-behandelplan. Als methodiek zetten wij de “BowTie” in, waarmee we bepalen hoe we met het risico omgaan. In deze fase gaan we ook het beleid vorm geven.
  • Plannen van maatregelen om compliance risico’s te beheersen
  • Maatregelen kunnen kans verlagend, impact verlagend of beide zijn. Wij letten daarom goed op of het effect van de maatregelen aansluit bij de gewenste aanpak van een risico.
  • Wij gaan over maatregelen die op enige wijze of in enige mate conflicterend kunnen zijn met de bedrijfsdoelen in gesprek met mensen die het juiste mandaat hebben om daar een beslissing over te kunnen nemen

Manage

  • We gaan bepalen welke maatregelen we gaan nemen. Hier zien wij dat het “plan van aanpak” ontstaat.
  • Een deel van de maatregelen om risico’s te verminderen, zal door andere afdelingen geïmplementeerd moeten worden, waaronder vaak de ICT-afdeling. Een maatregel kan dus een andere eigenaar hebben dan het risico waartegen de maatregel bedoeld is. Dit vraagt om het maken van goede afspraken over de implementatie en het beheer van de maatregelen door een andere afdeling en over het maken van wijzigingen in de maatregelen.
  • Van maatregelen controleren wij dat ze goed geïmplementeerd worden en dat het beoogde effect, voor zolang het nodig is, blijvend is. Het is niet onze taak (CISO as a service) om daarop toe te zien. Dit is een verantwoordelijkheid die belegd is bij de informatie-eigenaar.
  • De voortgang van de implementatie van maatregelen die bij anderen zijn belegd, wordt daarom rechtstreeks bij de informatie- eigenaar gemeld.
  • Wij (CISO as a service) rapporteren onafhankelijk aan de directie over de voortgang van de implementatie. Deze rapportages worden zo veel mogelijk meegenomen in bestaande (risico)rapportages, zodat informatie- beveiliging niet als iets aparts gezien wordt.
  • Om voldoende zekerheid te hebben dat het hele proces van risico’s identificeren tot aan rapporteren richting directie, zoals beschreven in de voorgaande paragrafen, goed geborgd is in de organisatie, maken wij gebruik van een Information Security Management System (ISMS), zoals beschreven in de ISO 27001 standaard.

CISO as a service/auditing

  • Nu zijn we op het punt aanbeland dat wij de dienst “CISO as a service” voor u in kunnen gaan zetten (na de consultancy). Dit zal ook weer in nauw overleg met de organisatie plaatsvinden omdat wij er voor moeten gaan zorgen dat kwaliteit en efficiëntie hand in hand gaan.
  • De (interne) audit zien wij als een steeds terugkerend middel om in te zetten (advies van onze kant, geen verplichting uiteraard). Het geeft een totaalbeeld van de organisatie ten aanzien van de effectiviteit van het informatierisicobeleid (op dat desbetreffende moment van de audit).

Het takenpakket van de dienst “CISO as a service” zoals wij dat voor u hebben samengesteld is als volgt te omschrijven:

  • Adviseren
    Antwoord geven op vragen over informatiebeveiliging binnen de organisatie
  • Coördineren
    Verantwoordelijkheid over specifieke acties op het gebied van informatiebeveiliging, zoals bijvoorbeeld het beheren van het ISMS, het begeleiden van risicoanalyses, penetratietesten of awareness-campagnes en het bijhouden van een register voor beveiligingsincidenten
  • Controleren
    Op verschillende niveaus vragen wij aandacht voor informatiebeveiliging en informatieveiligheid in brede zin. Daarom nemen ook deel aan verschillende overleggen. Dit is mede belangrijk, omdat onze bijdrage hieraan ook een bewustwordingseffect heeft.
    Verder gaan wij na of de organisatie zich houdt aan de regels over informatiebeveiliging die door de directie zijn opgesteld en wij informeren wij de directie hierover periodiek.
  • Verbeteren
    Actie op niet-naleving van eisen en escalatie waar nodig naar hogere managementniveaus. Corrigerende maatregelen en verbeteracties

De voordelen van “CISO as a service”

Compliance
Het lijkt misschien vreemd om dit als eerste voordeel op te sommen, maar het toont vaak de snelste “return on investment” – als een organisatie moet voldoen aan verschillende regelgeving op het gebied van gegevensbescherming, privacy en IT-governance dan kunnen wij de methodologie inbrengen die het mogelijk maakt om compliance op de meest efficiënte manier te regelen voor uw bedrijf.

Marketingvoordeel
In een markt die steeds competitiever wordt, is het soms erg moeilijk om iets te vinden dat u in de ogen van uw klanten zal onderscheiden. Wanneer u uw informatiebeveiligingsbeleid op orde heeft dan kan dit inderdaad een unique selling point zijn, zeker als u met gevoelige informatie van klanten werkt.

Verlaging van de kosten
Informatiebeveiliging wordt meestal beschouwd als een kostenpost zonder duidelijk financieel voordeel. Er is echter wel financieel voordeel te behalen als u uw uitgaven door het beheersen van incidenten verlaagt. Waarschijnlijk heeft u wel degelijk te maken met onderbreking van de dienstverlening, of incidentele datalekken, of ontevreden medewerkers.
De waarheid is dat er nog steeds geen methodologie en/of technologie is om te berekenen hoeveel geld u zou kunnen besparen als u dergelijke incidenten zou voorkomen. Maar het is zeker een feit dat u geld kunt besparen.

Uw bedrijf op orde brengen
Dit is waarschijnlijk het meest onderschat – als uw bedrijf de laatste jaren sterk is gegroeid dan kunt u problemen krijgen zoals:

  • Wie moet beslissen wat belangrijke informatie is
  • Wie is verantwoordelijk voor bepaalde informatiemiddelen
  • Wie moet autoriseren voor toegang tot informatiesystemen, enz.

Wij zijn bijzonder goed in het uitzoeken van deze zaken – het zal u dwingen om zowel de verantwoordelijkheden als de taken heel precies te definiëren, en zo uw interne organisatie te versterken.

Op onze download pagina treft u meer informatie over onze aanpak. U kunt uiteraard ook een afspraak maken met een consultant.

Wilt u meer weten?