Waar lopen onze klanten tegenaan in de praktijk?
Elke grote organisatie is er inmiddels wel van doordrongen: operationele techniek, productieprocessen en vitale infrastructuur moeten goed beveiligd zijn tegen cyberaanvallen. Men benoemt en schrijft: “We moeten ons bewust zijn van de risico’s op cyberaanvallen” en “Het is noodzakelijk om serieus met cybersecurity aan de slag te gaan”. De cruciale volgende vraag luidt: “Hoe doen we dat dan?”
In dit artikel schetsen we in het kort wat er geregeld moet worden, waarmee we onze klanten helpen en wat ze lastig vinden. Het initieel goed implementeren van cybersecurity kost minstens een jaar doorlooptijd en heeft impact op de organisatie, de processen en de techniek. Daarna staat er een beheerorganisatie die stap voor stap jouw installaties steeds beter zal beveiligen.
Organisatie gaat over mensen, taken en verantwoordelijkheden. Ter illustratie een voorbeeld: Iemand binnen jouw organisatie moet in de gaten houden dat leveranciers nieuwe software beschikbaar stellen waarin beveiligingslekken zijn opgelost. Deze software moet worden geïnstalleerd en getest. Maar wie geeft de definitieve go voor het installeren? Weten we zeker dat de nieuwe software geen verstoring geeft in het productieproces? Wie bepaalt vervolgens wanneer we overgaan? Installeren we altijd alles of hebben we hiervoor een beleid?
Cybersecurity implementeren betekent tientallen extra activiteiten beleggen in de organisatie. Dit is mensenwerk. De meeste medewerkers hebben al een gevuld takenpakket. Iets extra’s doen en gedrag aanpassen is dan lastig. Dit vereist een betrokken directie en management. Zij moeten het belang uitdragen, prioriteiten stellen en extra capaciteit organiseren.
Initieel helpen wij onze klanten met het inrichten van de organisatie en met het opleiden van mensen. Door interviews en workshops bepalen we samen met directies en medewerkers de cybersecuritystrategie. We bepalen hoe de organisatie nu werkt en welke veranderingen nodig zijn. Het creëren van draagvlak en vrijmaken van tijd zijn daarbij de grootste uitdagingen.
Processen gaan over hoe we in de dagelijkse praktijk met cybersecurity bezig zijn. Een paar voorbeelden van processen die ingericht moeten worden zijn:
- Risicomanagement -Hierbij gaat het om continu in de gaten houden welke bedreigingen er zijn en het bepalen hoe hierop gereageerd gaat worden.
- Wijzigingsbeheer – We verbeteren bijvoorbeeld onze software. Hoe testen we dat deze nieuwe software veilig is?
- Identiteits- en toegangsbeheer – Er gaat bijvoorbeeld iemand uit dienst: wie neemt sleutels in en sluit toegang tot softwaresystemen af?
- Bedrijfscontinuïteitsmanagement – We zijn gehackt. Hoe zorgen we ervoor dat de installaties niet uitvallen? En als installaties uitvallen, hoe komen we zo snel mogelijk weer in bedrijf?
In veel gevallen zijn de bovenstaande processen en werkwijzen in meer of mindere mate aanwezig. Normen zoals de ISO 27001 geven goede handvatten van wat er allemaal moet gebeuren. Het lastigste is om deze activiteiten te integreren in de huidige dagtaak van mensen. We helpen onze klanten met het in kaart brengen van de huidige manier van werken en vervolgens met het in kleine stappen aanbrengen van pragmatische aanpassingen.
Als laatste zeggen we nog wat over techniek. Zonder hier te diep in te gaan, delen we ter illustratie vijf typische ‘techniek’ zaken die bij cybersecurity komen kijken:
Hardening van systemen – Het gaat hierbij om het robuuster maken van de systemen waardoor deze moeilijker te hacken zijn. Hardening gebeurt onder andere door het uitschakelen van overbodige functionaliteiten en diensten, het verwijderen van ongeautoriseerde gebruikers en het wijzigen van standaard wachtwoorden.
Updaten – Cybersecurity is een kat-en-muisspel tussen hackers en leveranciers. Hoofdzakelijk gaat het hier om het actueel houden van hardware en software. Leveranciers brengen hiervoor regelmatig nieuwe versies van software uit.
Configuration Management Database (CMDB) – Een CMDB is een database waarin alle geïnstalleerde software, hardware en licenties worden bijgehouden. Zicht op alle automatiseringscomponenten die je hebt is nodig voor het beantwoorden van vragen zoals; Welke systemen draaien nog op oude software? Welke systemen zijn kwetsbaar voor een nieuw virus dat rondgaat?
Toegangsbeveiliging – Het voorkomen dat derden ongeautoriseerd toegang hebben tot installaties. In de praktijk nemen bedrijven hiervoor maatregelen zoals:
- Netwerkscheiding; het netwerk wordt net als een gevangenis voorzien van verschillende muren, hekwerken en toegangsdeuren. Buitenstaanders moeten door allerlei poortjes voordat ze echt installaties kunnen bedienen.
- Beperken mogelijkheden voor op afstand toegang krijgen tot systemen.
- Fysieke toegangsbeveiliging; sloten op de deur.
Logging en monitoring – Loggen is het vastleggen van wat er allemaal is gebeurd in het systeem. Wanneer ging een systeem aan? Wanneer is software ge-update? Wie had toegang? Het vastleggen van dit soort data is noodzakelijk voor het maken van cybersecurity analyses. Monitoring is real-time bijhouden wat er gebeurt. Net als een bewaker kijk je continu of iets (een virus) of iemand (een hacker) binnendringt.
Wij merken vaak dat toegewijde ‘techneuten’ mooie installaties hebben gebouwd (en daar terecht trots op zijn) en dat de directie rondloopt met de vraag: Zijn we veilig? En voldoen wij aan onze wettelijke verplichtingen? Door mensen bij elkaar te brengen, beleid op te stellen, activiteiten te prioriteren en het schrijven van concrete cybersecurityplannen verbinden we de directie en de werkvloer.
Aan de slag
Bij KienIA denken we graag mee over de mogelijkheden om cybersecurity binnen jouw organisatie te implementeren en bewustwording te vergroten. Wil jij eens sparren over de noodzaak en mogelijkheden voor jouw organisatie? Neem dan contact met ons op.