Scherp blijven op compliance: NIS 2.0 als stevige fundering voor een continu proces
Dat het cruciaal is om je IT-omgeving te monitoren en incidenten te mitigeren, is inmiddels overduidelijk. Aan normen en regelgeving geen gebrek. Onlangs is bijvoorbeeld een nieuwe richtlijn voor cybersecurity geïntroduceerd op Europees niveau: NIS 2.0. Deze vraagt meer van organisaties dan voorheen. En hoewel dat misschien een last op de bedrijfsschouders líjkt, is dit een goede ontwikkeling.
Van oudsher zijn veel organisaties namelijk gewend om alleen de broodnodige maatregelen te nemen, zodat zij één keer per jaar het verplichte vinkje bij de audit kunnen zetten. We leven immers in een tijd waarin niemand zich op cybersecuritygebied meer veilig kan wanen. Hackers slapen nooit en een aanval schuilt in een klein hoekje. Daarom moet je als organisatie constant bezig zijn met cybersecurity. Maar wat is nu een constructieve, duurzame aanpak?
Het belang van (pen)testen: je bent zo sterk als je zwakste schakel
Veel compliancenormen benadrukken tegenwoordig dat het belangrijk is om diverse maatregelen te nemen op cybersecuritygebied. Onder andere volgens NIS 2.0 moet je je IT-omgeving monitoren, incidenten oppakken en respons geven op bepaalde potentiële cyberaanvallen.
Ook wordt er gesproken over het trainen van medewerkers. Daar denk je misschien niet direct aan wanneer de term ‘cybersecurity’ valt, maar zie het eens zo: je medewerkers zijn je zwakste schakel. Herkennen zij een phishingmail niet en klikken ze daarom op een link, dan is de kans groot dat een hacker binnendringt. Je organisatielot ligt voor een groot deel in hun handen.
Toch houden veel organisaties vast aan de jaarlijkse vinkjes: één plichtsgetrouwe pentest en één phishingtraining voor medewerkers (gemiddelde duur: een dagdeel) per 365 dagen. Daarmee maken zij zichzelf erg kwetsbaar. Want, zoals we hierboven al schreven, de wereld van cybersecurity is constant in ontwikkeling. Bovendien verandert je eigen IT-omgeving ook continu, wat betekent dat je de vinger aan de cybersecuritypols moet houden. Je bent immers slechts zo sterk als je zwakste schakel.
De kracht van herhaling en continuïteit
Moet je dan elke maand een pentest laten uitvoeren? Of medewerkers wekelijks een college geven om ze álles over de nieuwste regelgeving te vertellen? Het antwoord luidt (gelukkig) tweemaal nee. Waar het om gaat, is dat je cybersecurity als een continu proces ziet. Je wilt regelmatig weten of je IT-omgeving nog steeds veilig is en doorlopend werken aan security awareness onder medewerkers.
Laat medewerkers bijvoorbeeld iedere maand een kort filmpje met uitleg bekijken of een verduidelijkende game spelen. Zo zijn zij altijd op de hoogte en blijven de instructies top of mind. En laat met regelmaat verschillende pentesten uitvoeren. Niet alleen de virtuele, maar ook de fysieke varianten.
Bij Wortell voeren we de fysieke variant uit door bepaalde scenario’s af te draaien. Hierbij bezoekt een van onze ethical hackers het kantoor als mystery guest. ‘Undercover’ beoordeelt deze expert hoe makkelijk het is om toegang te krijgen tot bepaalde ruimtes die uitstekend beveiligd moeten zijn .
Onlangs kwam hier een behoorlijk verontrustend resultaat uit bij een organisatie waarmee wij werken: onze ethical hacker kon heel eenvoudig USB-sticks meenemen en een stukje malware op een printer loslaten. Toen wij dit terugkoppelden naar onze klant, was dat even schrikken! Maar de uitkomsten konden we verwerken in een training: we hebben medewerkers inmiddels getraind om hier alerter op te zijn .
Aan de slag: onderwerp jezelf aan een klein vragenvuur!
Benieuwd naar de stappen die jij kunt nemen? Bepaal dan eerst waar jouw organisatie nu staat door jezelf de volgende vragen te stellen:
• Hoe train je je medewerkers momenteel: één keer per jaar of continu?
• Hoe benut jij je trainingsbudget? Is er voldoende ruimte voor security awareness?
• Hoe (vaak) informeer je je medewerkers omtrent cybersecurity?
• Zijn pentesten onderdeel van je cybersecuritystrategie?
• Laat je altijd een pentest uitvoeren wanneer je IT-omgeving verandert?
Is het tijd om een continu proces op te zetten op cybersecuritygebied? Lees hoe je pentesten en security awareness hier onderdeel van maakt.
Wil je scherp blijven op compliance met de hulp van securityexperts? Neem gerust contact met ons op om de mogelijkheden te bespreken.