Raamwerk cybersecurity creëert overzicht. Gebruik deze checklist met prioriteiten
Stelt jouw bedrijf de juiste prioriteiten op het vlak van cyberveiligheid ? Pak je de meest urgente cybersecurity problemen aan? Met dit Raamwerk Cybersecurity behoud je het overzicht. Volg de checklist!
Nagenoeg alle bedrijven staan voor de overweldigende opdracht om hun cyberveiligheid permanent te verbeteren en up-to-date te houden.
Om het spoor niet bijster te raken, ontwikkelden de specialisten van het Departement Computerwetenschappen van de KU Leuven dit cybersecurity -raamwerk.
Stel prioriteiten
Met deze ‘checklist’ delen bedrijven de doelstellingen van hun cyberstrategie in categorieën en stellen ze prioriteiten in functie van hun sterktes en zwaktes op het vlak van cyberveiligheid.
Verder in dit artikel vind je de 5 categorieën. Klik op de linken voor tips & trics over tweestapsverificatie, phishing , back-ups...
Vind de juiste specialist
Door het cyberveiligheidsbeleid in stukjes op te delen en de juiste prioriteiten te stellen, is het mogelijk om budgetten en inspanningen slim en gefocust in te zetten. Het helpt ook om de juiste specialist te vinden voor een bepaalde cybersecurity-uitdaging.
Communiceer gemakkelijk
Let wel op! Onderstaand raamwerk is niet het enige model, maar het is zeer bruikbaar voor bedrijven omdat het overeenstemt met de manier waarop ICT-bedrijven hun diensten aanbieden. Dat maakt het des te makkelijker om met tal van stakeholders te communiceren.
Het Raamwerk CS structureert uitdagingen volgens deze 5 cybersecurity categorieën
- Categorie 1: Technologiedomeinen om te beschermen
- Categorie 2: Management van gebruikers, authenticatie en toegang
- Categorie 3: Nieuwe digitale producten en diensten optimaliseren
- Categorie 4: Alle medewerkers opleiden en organisatie weerbaar maken
- Categorie 5: Voorbereiden op het (on)waarschijnlijke: uitdagende events en incidenten
Categorie 1: Technologiedomeinen om te beschermen
De nieuwste technologie is in staat om bedrijven behoorlijk te beveiligen. Denk onder meer aan netwerk- en serverbeveiliging, end-point-beveiliging en beveiliging van het web en mobiele applicaties.
1. Netwerk- en serverbeveiliging (Infrastructuurbeveiliging deel 1)
- E-mailbeveiliging (incl. phishing)
- Inclusief cloudbeveiliging
- Inclusief data- en opslagbeveiliging
- Inclusief configuratiemanagement en versiebeheer/ patch management voor dit subdomein
2. Endpoint-beveiliging (Infrastructuurbeveiliging deel 2)
- Inclusief malware
- Uitdagingen rond ‘bring you own device’ (BYOT) en schaduw-IT
- Inclusief configuratiemanagement en versiebeheer / patch management voor dit subdomein
3. Beveiliging van het web en mobiele applicaties
- Inclusief configuratiemanagement en patch management voor applicaties
- Inclusief dependency management voor applicaties
Categorie 2: Management van gebruikers, authenticatie en toegang
Evalueer wie toegang heeft tot applicaties en het netwerk. Beperk deze toegang zo sterk mogelijk. Ook sterke wachtwoorden en tweestapsverificatie zijn cruciaal.
4. Gebruikersmanagement (Identity en Access Management)
- Governance en toegangsmanagement
- Wachtwoorden en twee- of multifactor-authenticatie
- Auditeerbaarheid
👉 Verbeter je cybersecurity met dienstverleners en subsidies van VLAIO. Klik door naar de Cybersecurity-Verbetertrajecten voor kmo's
Categorie 3: Nieuwe digitale producten en diensten optimaliseren
Cybersecurity moet van in het begin ingebouwd worden in nieuwe soft- en hardware. Klanten zullen dit als een troef ervaren.
5. SDLC, Secure Software Development Life Cycle and Assessment
- Typisch als softwareontwikkeling in-house gebeurt, maar ook bij het valideren van ontwikkeling door derden
- Inclusief dependency management voor dit subdomein
- Inclusief security testing en het managen van de basiscode
Categorie 4: Alle medewerkers opleiden en organisatie weerbaar maken
Met technologie alleen red je het niet. Maak personeel weerbaar door hen op te leiden, spreek een cybersecurity gedragscode af. Benoem een verantwoordelijke en informeer alle betrokkenen regelmatig.
6. Opleiding en bewustmaking van personeel
- Social engineering, cyberaanvallen via e-mail
- Niet-technische aspecten
7. Organisatorische maatregelen en voorbereiding
- Management buy-in, rollen en verantwoordelijkheden
- Veiligheidspolicy
- Gedragscode voor personeel
- Policy rond confidentialiteit van data
Categorie 5: Voorbereiden op het (on)waarschijnlijke: uitdagende events en incidenten
Evalueer de capaciteit op het vlak van detectie en respons. Laat een risicoanalyse uitvoeren. Check en test back-ups.
8. Capaciteit op het vlak van detectie en respons
- Incidentbeheer
- Risicoanalyse en dreigingsintelligentie
- Verzekeringen, End-2-End testing, community testing
9. Bedrijfscontinuïteit
- Inclusief back-up en restore, recovery
- Veerkracht
Dit Raamwerk Cybersecurity is samengesteld door KU Leuven
