Cybersecurity: waar begin je?

Cybersecurity is onmisbaar voor elke organisatie. Toch is de uitvoering niet zo eenvoudig als het lijkt. Enerzijds bezitten organisaties genoeg kennis op het gebied van cybersecurity, anderzijds worstelen veel organisaties met het aanpakken van de online veiligheid.

Cybersecurity: waar begin je?

Cybersecurity is onmisbaar voor elke organisatie. Toch is de uitvoering niet zo eenvoudig als het lijkt. Enerzijds bezitten organisaties genoeg kennis op het gebied van cybersecurity, anderzijds worstelen veel organisaties met het aanpakken van de online veiligheid. Het CIO Platform Nederland besloot hun kennis hierover te bundelen in een reeks artikelen waarin het organisaties via zes stappen op weg helpt. In dit artikel behandelen we de eerste stap: waar begin je?

Online veiligheid begint bij het inventariseren van mogelijke risico’s. Een model dat je daarbij helpt, is het NIST Framework. Dit Cybersecurity Framework is opgesteld door het National Institute of Standards and Technology onder het Amerikaanse ministerie van Economische Zaken en handel. Het bestaat uit een reeks richtlijnen die bedrijven moeten volgen om beter voorbereid te zijn bij het identificeren, detecteren en reageren op cyberaanvallen. De kern van het framework toont de activiteiten die je moet volbrengen om je organisatie cyber secure te maken.

Identificeren

Organisaties die met cybersecurity starten, dienen eerst te identificeren waar mogelijke risico’s in de systemen, data en andere waardevolle assets zitten. Als de organisatie dit eenmaal weet, wordt het hoog tijd dat het bepaalt hoe groot deze risico’s zijn. Het spreekt voor zich dat grote risico’s accurater worden aangepakt en dat hier meer tijd en aandacht aan wordt besteed dan risico’s met een kleinere impact. Vervolgens bedenkt de organisatie maatregelen voor de geïdentificeerde, geprioriteerde risico’s.

Uitvoering

De inventarisatie van de verschillende onderdelen in de organisatie helpt een rationele afweging te maken tussen risico, impact en kosten van de genomen maatregelen. De eigenaar van het betreffende systeem, degene die het risico loopt, zal deze afweging zo goed en zo kwaad als het kan moeten maken. Is het plan klaar, dan vindt de uitvoering plaats. Hier helpt de PLAN-DO-CHECK-ACT-cyclus bij.

  • PLAN: Kijk naar huidige werkzaamheden en ontwerp een plan voor de verbetering van deze werkzaamheden. Stel voor deze verbetering doelstellingen vast.
  • DO: Voer de geplande verbetering uit in een gecontroleerde proefopstelling.
  • CHECK: Meet het resultaat van de verbetering en vergelijk deze met de oorspronkelijke situatie. Toets deze tot slot aan de vastgestelde doelstellingen.
  • ACT: Stel bij aan de hand van de gevonden resultaten bij CHECK.

Benieuwd naar het complete rapport? Navigeer naar cio-platform.nl en download het document.

Verder lezen? Lees hier deel 2 "Cybersecurity: hoe houd je data veilig?" uit de reeks.