Van uitstel komt afstel, dat weet haast elke zakenman. Een goede planning en budgetten die op een normaal ritme van invoering afgesteld zijn besparen bedrijven een hoop geld. Een bedrijf dat met een hack te maken krijgt maakt onmiddellijk extra ict budget vrij om terug operationeel te zijn. Maar in weze kan zulk paniekvoetbal voorkomen worden.
Er is nog niets concreet op het gebied van NIS2?
Dat is een waarheid voor luiaards die enkel graag in de ICT omzetboom hangen. De ICT dienstverlener gaat zich moeten herbronnen naar ‘Zero Trust’ ICT. Dat er zeer concrete concepten zijn sommen we even voor de believers van het eerste uur op die tot een Elite zullen behoren en tijden van gouden zaken tegemoet gaan. Ook hun klanten zullen wel varen bij zorgeloos en functioneel ICT. Maar onthoud dit, tijd is geld en de tijd vliegt….
Er bestaan toolings die we samen met Copaco en IBM onderbrachten in Qshield. Qshield is een platform met ingenieuze oplossingen die zowel helpen voorkomen maar ook via een digitaal mijnenveld alarm slaan. De gekoppelde Qmonitoring zorgt voor volledige ontzorging van de bestaande IT afdeling of management. In de praktijk is zulk een opzet alleen maar logisch. Ook voor uw bedrijf heeft u naar alle waarschijnlijkheid een diefstal alarm. Zo’n alarm is nutteloos als er nergens in een meldkamer actie ondernomen wordt. Als dit controlerend proces ontbrak zal uw verzekering ook niet uitbetalen.
Het is dus gewoon tijd om uw Digitaal bezit, uw digitale kroonjuwelen van een zelfde systeem te voorzien. Om onze luie concurrenten niet van dienst te zijn wijden we even niet uit over de specifieke inhoud van Qshield. Dit concept is in lijn met de NIS2 regelgeving. Het voorziet digitale mijnen die de interne of externe digitale boosdoeners aantrekken. (Ja helaas gebeuren veel hacks door ontevreden medewerkers, of marketing spionnen die andere oorden gaan opzoeken, ook voor uw concurrenten is uw strategisch beleidsplan veel geld waard. ) We are watching you…
Het vervolg is het ‘zero trust ‘ beleid in de toegangscontrole bij ELKE digitale stap die een medewerker of manager zet. Alles wordt gelogd zonder dat de gebruiker iets extra behoeft te doen. Inloggen, via een scala aan diverse mogelijkheden je identiteit bewijzen en vanaf dan wordt binnendringen haast even moeilijk als een revolver mee het vliegtuig opnemen.
Men zegt steeds dat dit geen simpele oefening is. Het is uiteraard zo dat een bedrijf klein of groot best zijn gebruikers en hun rechten in kaart brengt. Een administrator die backups kan maken EN ze ook manipuleren is uit den boze en toch is het haast bij 90% van de ICT dienstverleners zo. In de oefening van ISO 27001:2022 die een zeer solide basis vormt voor NIS2 certificatie wordt dit topic diepgaand onderzocht.
Dan is er ook een scheiding van toegang tot gegevens. Waarom staat het archief niet op een apart consulteerbaar en opgezet netwerksegment? In onze opzet bevelen we zelfs hiervoor kiosk opstellingen aan die als een soort bibliotheek enkel tekst file verkeer toelaten. Maar het slecht kunnen patchen van oude licenties en technologie wordt zo wel ‘zero trust ‘ gecontroleerd en in risico analyse termen beheerst.
We hebben nu een paar veranderingen via Qfirst Audicy belicht en u merkt al nadenken is ten allen tijden een gezonde oefening. Stel processen in vraag. Doe de lekke band test van uw digitaal kasteel en spoor dat kleine gaatje op.
NIS2 is nog niet concreet?
Europa werkt hard achter de schermen om een werkbaar certificatiemodel aan te reiken en is hierover zeer transparant. https://certification.enisa.europa.eu/
Certificering voor ICT Productverkopers en dienstverleners
EU-certificering op het gebied van cyberbeveiliging zal nieuwe marktkansen in de hele EU bieden doordat het eenvoudiger wordt om aan te tonen dat de voorschriften op het gebied van cyberbeveiliging worden nageleefd. Gecertificeerde oplossingen zullen zich kunnen onderscheiden op de markt en het achterliggende werk zal de ontwikkeling van interne deskundigheid ondersteunen. ENISA en de lidstaten zullen richtsnoeren verstrekken aan degenen die reeds gecertificeerd zijn in het kader van bestaande regelingen, om het overgangsproces te vergemakkelijken en de vereisten van bestaande regelingen te vergelijken met die van de EU.
Op dit moment is dit de regel:
To be certified: certification is voluntary, unless otherwise specified by EU or Member State regulations (NIS2 coming 10/2024). Providers that want their ICT solution to be certified can apply for a certificate via a CAB, according to the rules defined in the certification schemes.
De terechte vraag is hier waarom je niet al vandaag zou zorgen voor digitale weerbaarheid.
Een belangrijke factor voor uw bedrijf is expertise ter beschikking te hebben die risico’s kan analyseren en een plan kan helpen uitwerken om deze te beheersen in de ‘Zero Trust’ strengste zin van het woord.
Europese aanbeveling voor risicobeheer
Normen voor risicobeheer
Het doel van het document ‘Risk Management Standards’ dat u hieronder kunt raadplegen is een samenhangend overzicht te geven van gepubliceerde normen die betrekking hebben op aspecten van risicobeheer…
https://www.enisa.europa.eu/publications/risk-management-standards/@@download/fullReport
Dit is een zeer strenge gids in een domein dat al te vaak als bijkomend wordt behandeld alwaar het , hoofdzaak is. In Audicy zijn alle aanbevelingen opgenomen.
Deze documenten moeten bij u toch al een wake up call zijn dat er wel degelijk een afgelijnde visie is.
Trouwens uw bedrijf in lijn brengen met de aanbevelingen van het CCB is winst van tijd en geld…
https://ccb.belgium.be/nl/cyberfundamentals-framework
De niveaus en belangrijkste maatregelen
Om in te spelen op de ernst van de dreiging waaraan een organisatie is blootgesteld, worden naast het startniveau Small 3 zekerheidsniveaus geboden: Basis, Belangrijk en Essentieel.
Op basis van onze historische gegevens is een retro-fitting uitgevoerd op succesvolle cyberaanvallen met behulp van geanonimiseerde gegevens. De conclusie is dat:
- maatregelen in assurance niveau Basis 82% van de aanvallen kunnen afdekken,
- maatregelen op niveau Belangrijk 94% van de aanvallen kunnen afdekken,
- maatregelen op het niveau Essentieel 100% van de aanvallen dekken.
Op basis van deze aanvallen zijn voor elk niveau kernmaatregelen vastgesteld om de tegenmaatregelen ter bescherming tegen de bekende cyberaanvallen die voor dat zekerheidsniveau relevant zijn, te prioriteren.
Neem even dit document door en u ziet de aanbevelingen zijn zeer concreet:
https://ccb.belgium.be/sites/default/files/cyberfundamentals/CYFUN_ESSENTIAL_NL_20230301.pdf
ICT ‘Zero Trust ‘ beleid er is een fundament
De in het ‘Methodology for Sectoral Cybersecurity Assessments’ document beschreven methodologie voor sectorale cyberbeveiligingsbeoordelingen (de SCSA-methode genoemd) heeft betrekking op doelstellingen in het kader van ICT-beveiliging voor sectorale systemen met meerdere belanghebbenden en het opstellen van sectorale cyberbeveiligingscertificeringsregelingen. De toepassing van de SCSA-methode zal degelijke informatie opleveren over het sectorale ICT-systeem en de relaties tussen de betrokken belanghebbenden, waardoor transparantie ontstaat over ICT-gerelateerde risico’s en de implementatie van ICT-beveiliging voor het sectorale ICT-systeem kan worden geoptimaliseerd. Het maakt ook volledige ondersteuning mogelijk van de vereisten van de Europese Cyberbeveiligingswet betreffende de risicogebaseerde identificatie van beveiligings- en zekerheidseisen.
Via enkele voorbeelden willen we u vooral aantonen dat het NU tijd is om voordeel te trekken van het NIS2 horizon programma waar de ICT vendoren van Copaco , IBM, Qfirst, al een tijd aan werken.
Uw organisatie of bedrijf Digitaal weerbaar te maken gieten we in het NIS2 horizon project.
1) We brengen de huidige status in kaart (Black box pentest) en testen vooral uw MFA.
2) We geven een objectief implementatie advies met Qshield als de norm.
3) We geven aan op welk gebied uw mensen voor intern of Externe integraties zich moeten verbeteren en trainen.
4) We geven inzicht in het NIS2 verplichte IAM traject.
5) We helpen uw BCM oftewel digitaal plan B op te stellen en te testen en stemmen alle investeringen met de hoogste RoI erop af.
6) We zorgen voor een waterdicht Backup plan voor uw onmisbare digitale processen.
7) We zetten Qmonitoring op.
8) U kunt u focussen op uw succesvol zakendoen.
