Ik las dit weekend met bijzondere belangstelling van Ardi Vleugels en Sandra Olsthoorn op fd.nl. Dit magazine is een goede leidraad voor iedereen die in Nederland zaken doet. Zonder in een onverstaanbaar cybertechnisch verhaal te komen leggen de twee journalisten bijzondere pijnpunten bloot.
Het management beseft nog steeds niet goed welke tsunami van verandering er staat aan te komen. Als je als CEO in je vergaderingen over de bescherming van je digitale business kritische processen en je krijgt te horen “We hebben het onder controle, de budgetten moeten nog goedgekeurd…..” dan denk ik aan de uitspraak van de welbekende Murphy….” Als iedereen in je bedrijf zegt dat alles zeer goed gaat, moet je je veel zorgen maken!”
In 10/2022 brachten we een groep samen die klokkenluider was voor de NIS2 Tsunami. Net zoals in het echte leven zijn sommigen het strand opgewandeld om wat vissen op te rapen….Van dat verhaal kennen we hete einde.
NIS2 en weerbaarheid tegen bewuste of onbewuste aanvallen draait niet enkel om technologie. Was dit zo was er geen reden tot paniek…Een verkoper van vulnerability scanners postte een jaar geleden, “NIS2 , weg ermee…” Hij heeft ^plots uit omzetbelang zijn mening herzien….Samen met enkele echte Experts uit de industrie brengen we een self assessment tool op de markt die de GAP analyse doet in lijn met het Fundamentals framework van CCB. Waar de adviezen iets complexer lijken zal AI in mensentaal de te nemen stappen opgeven waarna het bedrijf of zijn management bij zijn toolsets kan kijken of die baseline ondersteund wordt.
We werken samen met vier software ontwikkelaars die in de toeleveringsketen van AED bedrijven zitten (Essentiele bedrijven) handmatig de GAP analyse tool uit. Veel bedrijven zullen hier voordeel uit halen, ook het gewone bedrijf dat liever niet in de krant komt vanwege een ontoereikend IT beleid.
De toolset doorgrondt de 93 A controls van iso 27001 :2022 met als extra dimensie de NIST richtlijnen van CCB volgens rangorde van belang.
De peiling gebeurt op het vlak van :
- Is er gegevensbescherming en scheiding van de digitale kroonjuwelen.
- Is de backup routine immutable en quantum safe?
- Zijn alle rollen op IT vlak gescheiden?
- Is er een digitaal soft en hardware mijnenveld?
- Worden er jaarlijks pentesten gedaan?
- Heeft de CEO al eens onverwacht de stroom uitgetrokken?
- Heeft er een jaarlijkse uitwijktest plaatsgevonden?
- Wordt er gebruik gemaakt van AI die onmiddellijk alert geeft aan een SIEM en SOAR team als er afwijkend gedrag is in menselijk of applicatie of device gedrag.
- Is het personeel getraind in een nieuw “Zero trust” beleid.
- Zijn de toeleveranciers digitaal gewikt en gewogen?
Cyberbutler bestaat uit meer dan 4000 vragen …. en schotelt u een risico analyse analyse en framework voor.
Vervolgens wordt advies gegeven hoe u automatisch forensisch onderzoek doorstuurt na een hack aanval zodat bij andere NIS2 bedrijven de digitale rookmelder afgaat.
Te technisch ?
Lees dan even het artikel op FD ….. Een gewaarschuwd CEO is er 2 waard!
Veel leesplezier…
