Een van de grootste valkuilen waarin een bedrijf kan trappen, is de aanname dat zijn cyberbeveiligingsoplossingen worden onderhouden en beheerd via standaard risicoanalyses. Deze veronderstelling kan aanzienlijke organisatorische problemen veroorzaken, aangezien de snelle ontwikkeling van de technologie en het gebruik ervan in het bedrijfsleven de opdracht van een algemene beoordeling ver overstijgt.
In deze blog bespreken we de stappen die nodig zijn om een diepgaande, brede en voor uw bedrijf unieke beoordeling van het veiligheidsrisico te maken.
Wat is een self-audit en waarom is die nodig?
Een cybersecuritybeoordeling is een absoluut cruciaal onderdeel bij het bepalen hoe en waarom u bepaalde technologie binnen uw bedrijf gebruikt. Dat komt omdat dit u in staat stelt om doelen en parameters te creëren die u een kans geven om het volgende te doen:
- Beveiligingsnormen instellen – Met een self-audit kunt u beslissen wat uw beveiligingsprincipes zijn en hoe deze met iedereen binnen de organisatie worden gecommuniceerd.
- Regels en voorschriften volgen – Uw audit zal u laten zien of uw cyberoplossingen niet alleen voldoen aan uw eigen normen, maar ook aan eventuele verplichte externe voorschriften.
- Gaten dichten – Een diepgaande audit zal eventuele gaten in uw beveiligingsmaatregelen lokaliseren. U zult alles kunnen doen wat nodig is om uw huidige systeem te verbeteren en kunnen zien hoe uw bestaande oplossingen presteren.
Self-audits zijn nuttig als u wilt begrijpen of uw huidige cyberinfrastructuur efficiënt werkt, of als u voorbereidingen treft voor een professionele externe audit.
Zoals gerapporteerd door Forbes.com waren er de eerste zes maanden van 2019 meer dan 3.800 publiekelijk bekendgemaakte inbreuken waarbij 4,1 miljard gecompromitteerde records openbaar werden gemaakt. Door ervoor te zorgen dat u minstens één keer per kwartaal een volledige cybersecurity-audit uitvoert, kunt u in lijn blijven met de nieuwste cybersecuritytechnologie om dit te voorkomen.
Hoe een grondige cybersecurity-audit uitvoeren: extern vs. intern
Er zijn een paar verschillende manieren om de gegevens die u nodig heeft te verzamelen, maar u zult eerst moeten beslissen of u een interne of externe audit wilt doen.
Externe auditors kunnen een breed scala aan kennis en ervaring inbrengen, waardoor ze in staat zijn om beveiligingsfouten en -inbreuken in uw cyberinfrastructuur te identificeren.
Het grootste probleem is echter het feit dat externe auditors prijzig zijn en het vinden van een professional met de vereiste kwalificaties en expertise is helemaal geen eenvoudige taak.
Het succes van uw audit zal sterk afhangen van hoe goed u met uw auditor kunt communiceren. Als uw auditor niet tijdig toegang krijgt tot de gegevens die hij nodig heeft, duurt het langer, wat de kosten onnodig opdrijft en tot onjuiste resultaten kan leiden.
Al deze factoren maken externe audits meer een luxe dan een noodzaak en dat is de reden dat ze door grote bedrijven doorgaans als een permanente kostenpost worden gezien.
Interne audits daarentegen zijn een veel realistischere optie voor de meeste kleine tot middelgrote ondernemingen. Aangezien u al op de hoogte bent van de bedrijfsprocessen, kunt u de gegevens die u nodig heeft verzamelen zonder dat u de werkpatronen verstoort; iets wat een externe professional zou moeten uitzoeken voordat hij of zij het werk kan uitvoeren.
5 vragen om op te nemen in uw cybersecurity-audit
Hoewel een interne audit arbeidsintensief en complex klinkt, is het eigenlijk niets anders dan het vaststellen van doelstellingen en KPI's en ervoor zorgen dat de bedrijfsbeleidslijnen op elkaar zijn afgestemd om deze na te leven. U kunt dit vrij eenvoudig doen door de volgende vragen te beantwoorden:
- Wat zijn onze veiligheidsparameters?
Overeenkomstig de praktijken van het GDPR is elk bedrijf dat zich met EU-burgers bezighoudt wettelijk verplicht een functionaris voor gegevensbescherming aan te stellen die verantwoordelijk is voor het toezicht op alle externe en interne gegevens. De persoon die u kiest om deze rol op zich te nemen moet een centrale rol spelen in uw audit.
Uw eerste taak zal zijn om te beslissen wat een risico kan vormen voor uw dagelijkse activiteiten; wat betekent dat u een lijst van uw bedrijfsmiddelen moet opstellen, die het volgende kunnen omvatten:
- Computerapparatuur
- Gevoelige informatie (zowel bedrijfs- als klantgegevens)
- Alles wat cruciaal is en tijd of geld kost om het te herstellen als het mis gaat
Als u eenmaal heeft aangegeven wat uw bedrijfsmiddelen zijn, moet u samen met uw DPO beslissen hoe ver uw veiligheidsparameters zich zullen uitstrekken.
U kunt deze in wezen in twee groepen verdelen:
- Dingen die in de audit zijn opgenomen
- Zaken die niet in de audit worden opgenomen
De redenering hierachter is dat het simpelweg niet haalbaar is om alles te controleren, dus u moet uw meest waardevolle bedrijfsmiddelen in het middelpunt van uw controle plaatsen en naar buiten toe werken om te bepalen wat echt essentieel is.
Met welke bedreigingen worden we geconfronteerd?
Als u eenmaal heeft besloten wat uw meest waardevolle bedrijfsmiddelen zijn, moet u vaststellen wat een bedreiging voor hen vormt.
Dit is een cruciale stap in het proces, aangezien u te maken kunt krijgen met alles, van ondermaatse wachtwoordbescherming voor werknemers en gegevenslekken tot de dreiging van rampen zoals brand en overstromingen.
Hoewel het klopt dat elke bedreiging in de audit moet worden overwogen, is het ook waar dat de lijst vrijwel eindeloos kan zijn, omdat u nooit in staat zult zijn om uzelf tegen elke denkbare bedreiging te beschermen. Zolang u echter datgene wat absoluut cruciaal is voor de dagelijkse gang van zaken in uw bedrijf op de voorgrond plaatst, neemt u alle redelijke stappen om uw werknemers en uw bedrijf te beschermen tegen potentiële cyberbedreigingen.
We hebben een aantal van de meest voorkomende gevaren hieronder opgesomd:
-
Werknemers
– Een keten is slechts zo sterk als de zwakste schakel, en als uw werknemers niet als eerste verdedigingslinie optreden, is dat voldoende om de integriteit van de hele infrastructuur te bedreigen. Vraag uzelf af: zijn mijn werknemers opgeleid in cybersecurity? Zouden ze verdachte activiteiten kunnen identificeren en bepaalde beveiligingsprotocollen kunnen volgen? -
Phishing
– Phishing-aanvallen zijn een van de belangrijkste boosdoeners als het gaat om gegevensinbreuken. Veel phishingpogingen zijn zelfs in staat om standaard beveiligingsmaatregelen te omzeilen. Daarom is het zo belangrijk dat uw werknemers worden opgeleid om dit soort activiteiten te herkennen. -
Bedreigingen van binnenuit
– Niemand wil denken dat een interne medewerker het bedrijf zou schaden, per ongeluk of kwaadwillig. Helaas gebeurt het wel, en het is een vrij algemeen probleem. -
Distributed Denial of Service-aanvallen
– Een DDoS-inbreuk valt in wezen een doelwit (meestal een webserver) aan, overbelast dit en voorkomt dat het werkt zoals het hoort. Dit is met name het geval bij e-commerce-websites. -
Kwetsbare wachtwoorden
– In 2018 werd 81% van de gegevensinbreuken toegeschreven aan zwakke wachtwoorden. Zwakke of illegaal verkregen wachtwoorden zijn de meest voorkomende techniek die hackers gebruiken om toegang te krijgen tot een netwerk. -
Malware
– Malware kan een verscheidenheid aan verschillende bedreigingen vertegenwoordigen, zoals trojaanse paarden, spyware, wormen en het toenemende gevaar van ransomware. -
Diefstal en rampen
– Hoewel geen van beide voorvallen waarschijnlijk is, kunnen de gevolgen van het niet voorbereid zijn op deze gebeurtenissen uw bedrijf een aanzienlijke hoeveelheid geld kosten. -
Apparaten van derden
– Als u uw werknemers toestaat om met hun apparaten verbinding te maken met de wifi of om USB-sticks te gebruiken, kunt u onbewust uw beveiligingsprotocollen verzwakken.
Werken de huidige veiligheidsmaatregelen?
Als u eenmaal heeft vastgesteld met welke bedreigingen u te maken kunt krijgen, moet u rond de tafel gaan zitten om te beoordelen of uw huidige beveiligingsmaatregelen geschikt zijn voor de verdediging van uw cyberinfrastructuur.
Hier beoordeelt u al uw beveiligingsmaatregelen om zwakke punten aan te wijzen, of het nu gaat om de noodzaak om verouderde beveiligingsprocessen te verbeteren, lacunes in kennis, of een lakse aanpak van cybersecurity in uw hele organisatie. Dit is een gebied waarop een externe auditor bijzonder nuttig zou kunnen zijn, aangezien er geen interne vertekening is die van invloed zou kunnen zijn op de voltooide audit.
Uw security-audit moet alle neigingen omzeilen die u heeft ten opzichte van werknemers in specifieke functies of zelfs uw eigen prestaties. Als er iemand is die meer geschikt is voor een cybersecurity-rol, is het belangrijk dat hij in die positie wordt geplaatst om een voortdurende bescherming te garanderen.
Hoe bepaal ik de prioriteit van risico's?
De prioriteit van de risico's in uw audit bepalen is misschien wel de belangrijkste stap in de hele procedure.
Kijk eerst naar de lijst van potentiële bedreigingen die we eerder hebben besproken, vergelijk vervolgens potentiële schade met de waarschijnlijkheid dat deze bedreiging zich voordoet en geef een risicoscore aan elk van hen.
Een brand kan bijvoorbeeld uw apparatuur en uw bedrijfspand vernielen, waardoor de dagelijkse werkzaamheden voor onbepaalde tijd worden verhinderd; dit moet daarom als een "hoog risico" worden beschouwd. Aangezien het echter niet zo waarschijnlijk is als bijvoorbeeld een malwareaanval, zou de risicoscore verlaagd kunnen worden.
Bij het bepalen van de prioriteit van risico's is het belangrijk om rekening te houden met het volgende:
-
Recente trends
Welke methoden worden momenteel gebruikt om toegang te krijgen tot gegevens? Welke bedreigingen worden steeds gevaarlijker? Zijn er nieuwe ontwikkelingen die meer bescherming zouden kunnen bieden? -
Industriegerelateerde trends
Als uw bedrijf actief is in de medische of financiële sector, heeft u meer kans om het slachtoffer te worden van een poging tot inbreuk. Welke trends komen in uw branche voor en hoe kunt u zich daar proactiever tegen beschermen? -
Historische inbreuken
Is uw organisatie gehackt, of is er fysiek binnengebroken in het verleden? Heeft u maatregelen genomen om dit te voorkomen? -
Wetgeving en naleving
Bent u een private onderneming of een publieke organisatie? Gaat u dagelijks om met gevoelige gegevens? Wie heeft toegang tot deze gegevens?
Het eerlijk beantwoorden van deze vragen is essentieel, omdat het van invloed is op de manier waarop u een dreigingsscore toekent aan elk onderdeel.
Als u bijvoorbeeld een private onderneming bent die financiële informatie verwerkt die voor veel medewerkers toegankelijk is, dan is de risicofactor die hiermee gepaard gaat al hoog. Maar als uw beveiligingsinfrastructuur in het verleden is doorbroken, zal de score die u hieraan toekent nog hoger zijn.
Hoe kan ik de resultaten van de audit gebruiken?
Het laatste deel van de audit vereist dat u op basis van uw prioriteitenlijst van bedreigingen beslist hoe u verder gaat met de beveiligingsmaatregelen om het risico van bedreigingen te neutraliseren of uit te bannen.
Afhankelijk van uw bedrijf, de branche waarin u actief bent en het niveau van beveiliging dat u nodig heeft, zal de lijst van iedereen er anders uitzien. Hieronder hebben we enkele van de meest voorkomende beveiligingsoplossingen uitgelicht:
Opleidingsworkshops
Zelfs een kleine investering in veiligheidsbewustzijn en -opleiding kan de impact van een cyberaanval aanzienlijk verminderen. Uw werknemers zijn slechts mensen en maken fouten, maar door opleidingsworkshops en regelmatige opfriscursussen te organiseren kunt u het cyberveiligheidsbewustzijn vergroten en fouten tot een minimum beperken.
Back-ups
Door de toenemende afhankelijkheid van technologie op de werkplek zijn veel bedrijven nu volledig papierloos, waardoor de last wordt afgewenteld op online opslag en back-ups. Men denkt dat bijna de helft van alle kleine tot middelgrote bedrijven geen back-up- en dataherstelplan heeft en dat 60% van deze bedrijven binnen zes maanden na het verlies van hun gegevens sluit. Door regelmatig een back-up te maken van gegevens en deze te isoleren van uw hoofdnetwerk, vindt u altijd wel iets om op terug te vallen in tijden van crisis.
E-mailbeveiliging
Zoals we al hebben gezegd, zijn er steeds meer phishingaanvallen, en dit kan deels worden toegeschreven aan het feit dat deze aanvallen steeds geavanceerder en uitdagender zijn om te detecteren. Eén klik op een phishing-e-mail is voldoende om de dader toegang te geven tot uw gegevens. Spamfilters zijn er om dit soort e-mails tegen te houden, maar werknemers die getraind zijn om ze te herkennen zijn veel effectiever.
Software-updates
We hebben het allemaal al meegemaakt: u zet uw computer aan en ontdekt dat uw apparaat bezig is met het installeren en updaten van software. Hoewel dit irritant kan zijn, is het ook ontzettend belangrijk. Deze software-updates bevatten vaak de nieuwste beveiligingspatches die absoluut cruciaal zijn voor de beveiliging van de computer. Daarom is het zo belangrijk om handmatige updates in uw beveiligingsplan op te nemen om ervoor te zorgen dat alle apparaten in uw netwerk up-to-date zijn.
Wachtwoordmanager
Mensen zijn niet gemaakt om honderden unieke en complexe wachtwoorden te onthouden, en daarom zijn we geneigd om steeds weer te vertrouwen op variaties van dezelfde wachtwoorden. Door te investeren in wachtwoordbeheersoftware kunnen unieke en gecompliceerde wachtwoorden worden opgeslagen in de software en worden gebruikt wanneer iemand ergens op moet inloggen. Door breed gedeelde wachtwoord-spreadsheets te creëren verdwijnt het risico en worden ze veel moeilijker te raden.
Netwerkbewaking
Cybercriminelen hebben geen tweede uitnodiging nodig om toegang te krijgen tot uw netwerk. Om dit tegen te gaan is het nuttig om wat onderzoek te doen naar de beste netwerkbewakingssoftware die u kan waarschuwen voor verdachte activiteiten, zoals toegangspogingen uit twijfelachtige bronnen.
Conclusies
In deze blog hebben we u alle tools en kennis gegeven om een cybersecurity-audit uit te voeren. Het is echter essentieel om te onthouden dat interne evaluaties zoals deze doorlopend moeten worden uitgevoerd en niet slechts één keer.
Uw eerste audit zal nuttig zijn bij het vaststellen van de benchmark voor alle toekomstige beoordelingen, omdat u kunt meten wat heeft gewerkt en wat er verbeterd moet worden.
Door uw processen voortdurend te actualiseren en te investeren in de nieuwste technologie, kunt u een cultuur creëren die de impact van cybersecurity maximaliseert en de gevaren van het niet toepassen van de juiste veiligheidsmaatregelen benadrukt.
