Binnen een jaar wordt een reeks nieuwe compliance-regels van kracht waar bedrijven, nutsvoorzieningen en overheidsinstellingen aan moeten voldoen. NIS2 (17 oktober 2024) en Dora (17 januari 2025) moeten organisaties weerbaarder maken tegen cyberaanvallen en hen leren risico’s beter zijn te beheren en hoe grondige rapportages te maken over eventuele incidenten.
Tijdens zijn keynote op het onlangs gehouden IDC Security Forum vertelde Taniums chief security advisor Zac Warren welke vijf programma’s organisaties kunnen opzetten om hun risico’s te beheren en om compliant te worden.
Zoals een eerder blog aangegeven, zijn er grote gelijkenissen tussen Dora en NIS2, ook al slaat Dora in de eerste plaats op de ‘operational resilience’ van financiële dienstverleners en richt NIS2 zich op kritieke infrastructuur zoals overheden, zorginstellingen, transport en energievoorziening. Beide Europese richtlijnen willen de aandacht voor cyberbedreigingen opkrikken, organisaties laten onderzoeken waar ze kwetsbaar zijn (en daarbij ook kijken naar hun volledige supply chain), actie ondernemen om hun weerbaarheid te verhogen en op een goede manier communiceren over inbreuken.
Wat zijn nu die vijf stappen waar Warren eerder over sprak?
Overzicht
- Inventariseer alle it-assets
Heeft u een volledig en up-to-date overzicht van alle it-assets die zich binnen uw organisatie bevinden? Weet u of alle endpoints voorzien zijn van de meest recente besturingssystemen en iedere veiligheidspatch effectief uitgerold is? Is het antwoord twee keer ja, dan bevindt u zich in een exclusief clubje, want in onderzoek van Tanium geeft 94% van de IT-managers aan dat er zich onbekende toestellen in hun netwerk bevinden. Organisaties moeten hun huidige werkwijzen voor het beheer van IT-middelen evalueren en domeinen identificeren die voor verbetering vatbaar zijn. De verzamelde informatie kan vervolgens worden gebruikt om een uitgebreid programma te ontwerpen en te implementeren dat het vinden van bedrijfsmiddelen automatiseert, om zo naleving van de vereisten van de NIS2-richtlijn te garanderen.
- Verbeter cyberhygiëne en bewustwording
Een programma rond cyberhygiëne en bewustwording richt zich op het bevorderen van best practices op het gebied van cyberbeveiliging en het vergroten van het bewustzijn onder werknemers om security-problemen te voorkomen. Veel cyberincidenten ontstaan bij een eindgebruiker, bijvoorbeeld omdat deze in een phishing-val trapt of op een foute link klikt. Het goed voorlichten van alle medewerkers en het constant herhalen van de boodschap is één ding. Maar je kan niet alle verantwoordelijkheid bij de eindgebruiker leggen. Het opleggen van sterk wachtwoordbeheer, het verplichten van software updates en het implementeren van multi-factorauthenticatie maakt evengoed deel uit van de cyberhygiëne van een organisatie.
Zorg voor effectief beheer van kwetsbaarheden en patching
We haalden het al aan: het constant updaten van software en het implementeren van de patches die software vendors aanbieden is een cruciaal onderdeel van een goede cyberbeveiliging. Niet-gepatchte endpoints zijn een zegen voor hackers. Daarom is het noodzakelijk om niet alleen de patches uit te rollen, maar ook goed te controleren of die uitrol wel op ieder toestel goed geslaagd is. Een converged endpoint management-oplossing kan daar wonderen verrichten.
- Introduceer incidentdetectie en -respons
Hoe goed een bedrijf zich ook beveiligt, toch is het zo goed als onmogelijk om iedere cyberaanval te voorkomen en af te weren. Daarom is het belangrijk om incidenten snel te detecteren en ze ook te beantwoorden. Stel daarom een plan met soorten en typen aanvallen, hoe kritiek die aanvallen kunnen zijn – afhankelijk van de data of infrastructuur die bedreigd wordt – en op welke manier de organisatie moet ingrijpen bij een dergelijk incident. Maak een gedetailleerd plan van de stappen die genomen moeten worden. Zorg voor een scherpe omlijning van alle rollen en verantwoordelijkheden, zodat duidelijk is wie welke actie moet ondernemen. Een van die acties zal zijn het rapporteren naar overheden over het incident, zoals NIS2 en Dora eisen. De regelgeving is hier heel strikt, wie zijn verantwoordelijkheid niet neemt, loopt kans op forse boetes.
- Ontwikkel effectieve monitoring en logging van beveiliging
Incidenten detecteren en lessen trekken uit incidenten is een ander cruciaal punt. Niet alle organisaties beschikken over een centraal systeem voor security monitoring dat alle security events bijhoudt en analyseert. Een goede analyse van wat er allemaal op het netwerk en in de applicaties gebeurt, geeft aanleiding om acties te ondernemen om de beveiliging aan te passen of te verbeteren.
Sleutelrol
Technologie speelt een sleutelrol bij het voldoen aan de vereisten van Dora en NIS2, maar het draait niet alleen om technologie. Net zo cruciaal zijn processen, policies en best practices. Door de vijf programma’s op te zetten die Warren tijdens zijn keynote beschreef, maken organisaties grote stappen om hun cyberweerbaarheid te verhogen en minder kwetsbaar te worden voor cyberaanvallen. Maar tegelijk zorgen ze er ook voor dat ze compliant zijn met NIS2 en Dora, en kunnen ze door alle programma’s goed te documenteren ook hun compliance bewijzen.