Ik geef toe dat de naam wat irritaties kan opwekken doordat het een beetje klinkt als een recente pandemie. COBIT 2019 was een serieuze update voor de kleine broer COBIT 5. Als fundament voor NIS2 cyberveiligheid gebruiken we op dit moment de nieuwe ISO 27001:2022 en ISO 27005:2022 die een paar belangrijke verplichtingen NIS2 dekt:
- Breng alle digitale Assets in kaart
- Evalueer de gebruikte afweer technieken voor hacking in een ZERO trust mindset
- Maak een risico analyse
- Zet een incident handling systeem op
- Evalueer in welke mate MFA en IAM momenteel op alles niveaus zijn geïntegreerd.
- Zet een cybersecurity filter beveiliging op van 7 lagen , waarbij de zevende laag bij ‘de digitale kroonjuwelen’ het beveiligingsniveau haalt van de beveiliging van een kernonderzeeër en de processen in een verkeerstoren.
Deze oefening vergt inzicht en samenspraak van alle actoren, ook de gewone gebruikers. Hier komt de toegevoegde waarde van COBIT 2019 in het beeld.
Onze beheertools die doorweven zijn van de COBIT 2019 methodologie geven een duidelijk inzicht in het opzicht van wie doet wat , welke processen en procedures zijn beschreven en wat het plan B is als een dienst in Quarantaine moet gaan.
Cobit 2019 is een extra visualisatie die nog veel verder gaat dan de pragmatische aanpak van de cyberbeveiliging met een goede opzet van het eerder genoemde ISMS.
Zo wordt er op volgende punten een uitgebreide visie beschreven:
Wat is de pre-planning?
Wat is de ‘brake down structure’ van de NIS2 roadmap van het bedrijf?
Welk zijn de digitale kroonjuwelen
Met welke ICT leveranciers , best iso 27001 gecertificeerd gaat men in zee?
Hoe is het totale team samengesteld?
Beschrijf de kosten baten analyse ten gronde.
Beschrijf de uitdagingen en wat het bedrijf ziet als NIS2 compliance
COBIT 2019 maakt een duidelijk opsplitsing tussen de governance van de cyberbeveiliging en het management ervan. Het Cobit framework verbindt alle divisies en niet enkel de technische IT staf.
Met COBIT 2019 Governance wordt het volgende bereikt:
- De behoefte van alle betrokkenen worden in kaart gebracht. Er wordt op alle niveaus bekeken welke bindingen er zijn en welke gevolgen er zijn voor alle verbonden divisies bij het invoeren van beveiliging.
- Er wordt een duidelijke prioriteiten lijst met deadlines opgesteld. Alle fases van uitvoer zijn weloverwogen en goedgekeurd door het management.
- Er wordt een zero trust controle systeem beschreven dat het niveau van de diensten en producten uiteenzet , bvb. Pentest, XDR , Honeypot….en het beschrijft welke richtlijnen er gevolgd dienen te worden in het cyberveiligheid bewakingssysteem als een incident met code oranje of rood zich voordoet.
- Deze governance staat in het beste geval onder auspiciën van het algemene management. De details dienen non technisch en transparant te zijn.
Met COBIT 2019 Management wordt het volgende bereikt:
Het plannen , uitvoeren en meten van de opgestelde processen. Onder leiding van de CEO wordt een actie plan doorgevoerd. Een transparante beschrijving en uitvoer van alle processen cyberbeveiliging die in de praktijk haalbaar is.
COBIT 2019 is geen tool om je business processen te heruitvinden.
COBIT 2019 is geen toepassing (software)
COBIT geeft geen ‘best practices’ weer.
COBIT 2019 is een framework dat je helpt je NIS2 project tot een succes te maken. Het is als een zeer gedetailleerd plan van een gebouw , voorzien van alle mogelijke situaties en een beschrijving van welke beslissingen er moeten genomen worden.
NIS2 . NEWS zal binnenkort een cursus project management organiseren alwaar COBIT 2019 de rode draad is.
