Scherp blijven op compliance: NIS 2.0 als stevige fundering voor een continu proces
Inmiddels weet iedereen dat het cruciaal is om je IT omgeving te monitoren en incidenten te mitigeren. Aan normen en regelgeving geen gebrek. Een tijd geleden werd bijvoorbeeld een nieuwe richtlijn voor cybersecurity geïntroduceerd op Europees niveau: NIS 2.0. Deze vraagt meer van organisaties dan voorheen. En hoewel dat misschien een last op de schouders van menige organisatie líjkt, is dit een goede ontwikkeling.
Van oudsher zijn veel organisaties gewend om alleen de broodnodige maatregelen te nemen. Zo kunnen zij één keer per jaar het verplichte vinkje bij de audit zetten. We leven dan ook in een tijdperk waarin niemand zich op cybersecurity gebied meer veilig kan wanen. Hackers slapen nooit en een aanval schuilt in een klein hoekje. Daarom moet je als organisatie voortdurend bezig zijn met cybersecurity. Maar wat is nu een constructieve, duurzame aanpak?
Into NIS 2.0
Het belang van (pen)testen: je bent zo sterk als je zwakste schakel
Veel compliance normen benadrukken tegenwoordig het belang van diverse maatregelen op cybersecurity gebied. Onder andere volgens NIS 2.0 moet je je IT omgeving monitoren, incidenten oppakken en respons geven op bepaalde potentiële cyberaanvallen.
Ook wordt er gesproken over het trainen van medewerkers. Daar denk je misschien niet direct aan wanneer de term ‘cybersecurity’ valt. Maar zie het eens zo: je medewerkers zijn je zwakste schakel. Herkennen zij een phishingmail niet en klikken ze op een link, dan is de kans groot dat een hacker binnendringt. Het lot van je organisatie ligt voor een groot deel in hun handen.
Toch houden veel organisaties zich vast aan de jaarlijkse vinkjes: één plichtsgetrouwe pentest en één phishing training voor medewerkers (gemiddelde duur: een dagdeel) per 365 dagen. Daarmee maken zij zichzelf erg kwetsbaar. Want zoals we hierboven al aankaartten: de wereld van cybersecurity is constant in ontwikkeling. Bovendien verandert je eigen IT omgeving ook voortdurend. Dat maakt dat je de vinger aan de cybersecurity pols moet houden. Want je bent slechts zo sterk als je zwakste schakel.
De kracht van herhaling en continuïteit
Moet je dan elke maand een pentest laten uitvoeren? Of medewerkers wekelijks een college geven om ze álles over de nieuwste regelgeving te vertellen? Het antwoord luidt (gelukkig) tweemaal nee. Waar het om gaat, is dat je cybersecurity als een dynamisch proces ziet. Je wilt regelmatig weten of je IT omgeving nog steeds veilig is en doorlopend werken aan security awareness onder medewerkers.
Laat medewerkers bijvoorbeeld elke maand een kort filmpje met uitleg bekijken of een verduidelijkend spel spelen. Zo zijn zij altijd op de hoogte en blijven de instructies top of mind. En laat met regelmaat verschillende pentesten uitvoeren. Niet alleen de virtuele, maar ook de fysieke varianten.
Bij Wortell voeren we de fysieke variant uit via bepaalde scenario’s. Hierbij bezoekt een van onze ethical hackers het kantoor als ‘mystery guest’. ‘Undercover’ beoordeelt deze expert hoe makkelijk het is om toegang te krijgen tot bepaalde ruimtes die uitstekend beveiligd moeten zijn.
Onlangs kwam hier een behoorlijk verontrustend resultaat uit bij een organisatie waarmee wij werken: onze ethical hacker kon heel eenvoudig USB sticks meenemen en een stukje malware op een printer loslaten. Toen wij dit terugkoppelden naar onze klant, was dat even schrikken. Maar de uitkomsten konden we verwerken in een training: inmiddels hebben we de medewerkers getraind om hier alerter voor te zijn .
Aan de slag: onderwerp jezelf aan een klein vragenvuur!
Benieuwd naar de stappen die jij kunt nemen? Bepaal dan eerst waar jouw organisatie nu staat door jezelf de volgende vragen te stellen:
- Hoe train je je medewerkers momenteel: één keer per jaar of doorlopend?
- Hoe benut jij je trainingsbudget? Is er voldoende ruimte voor security awareness?
- Hoe (vaak) informeer je je medewerkers omtrent cybersecurity?
- Zijn pentesten onderdeel van je cybersecurity strategie?
- Laat je altijd een pentest uitvoeren wanneer je IT omgeving verandert?
Is het tijd om een continu proces op te zetten op cybersecurity gebied? Lees hoe je pentesten en security awareness hier deel van laat uitmaken.
Wil je scherp blijven op compliance met de hulp van security experts? Neem gerust contact met ons op om de mogelijkheden te bespreken.