Hands on ICT zet volledig in op het voorkomen van cyberaanvallen en het verkleinen van de risico's. Wij maken in onze Securitydienstverlening YourSecurity gebruik van het NIST-Framework en de Zero Trust aanpak. Deze twee modellen ondersteunen elkaar sterk en benaderen IT-security elk vanuit een andere invalshoek. In dit artikel leggen we het NIST-model uit.
Het NIST-model staat voor National Institute of Standards and Technology. NIST gaat uit van een stappenplan om met ICT-beveiliging aan de slag te gaan en geeft concrete handvatten voor dit proces. Kortgezegd helpt het NIST Cybersecurity Framework bedrijven van elke omvang hun cyberbeveiligingsrisico's beter te begrijpen, te beheren en te verminderen en hun netwerken en gegevens te beschermen.
NIST refereert ook aan andere raamwerken en standaarden, zoals COBIT, ISO27000 en de CIS Critical Security Controls. Het geeft je bedrijf een overzicht van best practices om je te helpen beslissen waar je je tijd en geld wilt besteden als het gaat om cyberbeveiliging.
Met de moderne werkplek en het altijd en overal kunnen inloggen is heeft het bestrijden van cybersecurity een steeds grotere én complexere rol ingenomen bij bedrijven. Het streven is uiteraard maximale veiligheid. Maar dit krijg je niet door slechts één security-maatregel door te voeren, het gaat hierbij altijd om een brede set aan maatregelen die elkaar versterken. Deze set van maatregelen kun je doorvoeren door gebruik te maken van het NIST Cybersecurity Framework.
Het NIST-Framework is ontworpen om een structuur te bieden waarmee bedrijven hun cybersecurity kunnen versterken. Het brengt afdelingen, beleid, procedures en gegevens samen om ervoor te zorgen dat je als organisatie beschikt over een uniform verdedigingsmechanisme dat je bedrijfsmiddelen beschermt.
Hoewel het Framework is ontworpen met kritieke infrastructuur (CI) in het achterhoofd, is het buitengewoon veelzijdig. Omdat het Framework resultaatgericht is en niet voorschrijft hoe een organisatie die resultaten moet bereiken, maakt het schaalbaarheid mogelijk. Een kleine organisatie met een laag budget voor cyberbeveiliging, of een grote onderneming met een groot budget, zijn allemaal in staat om de uitkomst te benaderen op een manier die voor hen haalbaar is.
Het NIST-model is een raamwerk dat bedrijven en organisaties kunnen gebruiken om hun cybersecurityrisico's te beoordelen, te beheren en te verminderen. Het model bestaat uit drie onderdelen: de kern, de profielen en de implementatierichtlijnen.
Framework core
De kern is een reeks gewenste cyberbeveiligingsactiviteiten en -resultaten, georganiseerd in categorieën en afgestemd op informatieve referenties. De kern van het NIST-model bestaat uit vijf functies:
1. Identificeren
Weet wat je hebt, wat je bedrijfsdoelstellingen zijn en welke risico’s je loopt. Maak een lijst van alle assets, datastromen en systemen die je organisatie gebruikt. Wanneer dat duidelijk is, kun je cyberbeveiligingsrisico’s in kaart brengen en beheren.
2. Beschermen
Voorkom incidenten met techniek, mens en procedures. Voorkom incidenten door de juiste inzet van technologie, het trainen van je medewerkers, beveiligingstests en het opstellen van procedures binnen je organisatie. Deze maatregelen en procedures zijn nodig om de risico’s op incidenten tot een minimum te beperken.
3. Detecteren
Monitor verdacht gedrag en afwijkingen. Controleer je apparaten op verdacht gedrag en afwijkingen. Ontwikkel en pas de juiste maatregelen toe om afwijkingen en verdachte activiteiten op tijd op te sporen en te identificeren.
4. Reageren
Reageer op incidenten en stuur bij op basis van inzichten. Wees voorbereid op incidenten. Zorg dat je een noodplan klaar hebt staan voor klanten, werknemers en bedrijfsactiviteiten als er een aanval plaatsvindt.
5. Herstellen
Herstel naar een normale bedrijfsvoering. Ontwikkel en implementeer de juiste procedures en maatregelen om in geval van een cyberincident te herstellen naar een normale bedrijfsvoering. Repareer de getroffen apparatuur en delen van je netwerk en stel je medewerkers en klanten op de hoogte van je herstelactiviteiten.
Dit zijn de basispilaren van je security en geven organisaties een gestructureerde aanpak om hun cybersecurityrisico's te begrijpen en te beheren. Achter deze functies zit een enorm detailniveau aan categorieën (23) en subcategorieën (108): van risicomanagement tot crisisoefeningen die allemaal hun eigen codering kennen. De categorieën zijn ontworpen om de breedte van cyberbeveiligingsdoelstellingen voor een organisatie te dekken, zonder al te gedetailleerd te zijn. Het behandelt onderwerpen op het gebied van cyber, fysiek en personeel, met een focus op bedrijfsresultaten.
Subcategorieën zijn het diepste abstractieniveau in de kern van NIST. Er zijn 108 subcategorieën. Dit zijn resultaatgerichte overwegingen voor het maken of verbeteren van een cyberbeveiligingsprogramma.
De profielen
De profielen stellen bedrijven en organisaties in staat om het raamwerk aan te passen aan hun specifieke behoeften en risicobereidheid. Door een profiel te creëren, kunnen bedrijven en organisaties hun prioriteiten en doelen voor cybersecurity vaststellen en een roadmap ontwikkelen voor het verbeteren van hun cybersecurity.
Als je het moeilijk vindt om je huidige risico's te vertalen naar je partners, leveranciers en dergelijke, zal het maken van deze profielen een enorme boost geven aan de communicatie tussen alle betrokken partijen. Hoe beter de communicatie binnen en rond je organisatie is, hoe meer vooruitgang je zult boeken bij het bouwen van een robuust securityprogramma of zelfs het opstellen van een sneller reactieplan.
De implementatierichtlijnen/ Tiers
De implementatierichtlijnen bieden gedetailleerde informatie over hoe bedrijven en organisaties elk aspect van het raamwerk kunnen implementeren om hun cybersecurity te verbeteren. De richtlijnen, ofwel Tiers genoemd, variëren van gedeeltelijk (Tier 1) tot Adaptief (Tier 4) en beschrijven een toenemende mate van strengheid, het risicobeleid en de mate waarin de organisatie cyberbeveiligingsinformatie deelt en ontvangt van externe partijen.
Het Framework is vrijwillig, dus er is geen 'goede' of 'foute' manier om het te doen. Daarnaast is het resultaatgericht. Het schrijft organisaties dus niet voor hoe het moet, maar waaraan te denken en welke acties gekoppeld kunnen worden.
Hands on ICT maakt gebruik van het NIST-Framework om cybersecurity te verbeteren bij organisaties. Dit doen we met ons YourSecurity waarin we een scala aan diensten en producten aanbieden om ervoor te zorgen dat je altijd en overal veilig aan het werk bent en dat je waardevolle bedrijfsdata goed geborgd is. We starten altijd met een Security Health Scan om de huidige situatie in kaart te brengen en komen vervolgens met een advies met bijbehorende acties om jouw IT-security naar een hoger plan te tillen. Wil je meer informatie over YourSecurity en de bijbehorende scan, lees dan deze brochure. Of neem direct contact met ons op via T. (0)88-181 1300 of info@handsonict.nl.
