Hoe richt je exposuremanagement in?
Doelgroep:
Dit artikel is bedoeld voor IT- en securityprofessionals (beheerders, ISO’s en CISO’s) die zich realiseren dat zij meer grip nodig hebben op de exposure van de netwerk- en informatiesystemen van hun organisatie zodat zij de weerbaarheid ervan kunnen vergroten.
Hoe richt ik exposuremanagement in?
Om exposuremanagement in jouw organisatie in te richten gebruik je onderstaand stappenplan. Groot denken is hierbij prima, maar klein beginnen is het belangrijkste. Ga niet voor een allesomvattende uitrol die vervolgens vastloopt. Beperk liever je scope en doorloop daarmee alle stappen van het proces van exposuremanagement. Volledig(er) maken, verfijnen of verbeteren in algemene zin doe je in een volgende ronde. Onderstaand stappenplan helpt je om voor de eerste keer een compleet ‘rondje’ te maken binnen het proces van exposuremanagement, zodat je aan de slag kunt met tastbare resultaten.
Het stappenplan omvat vier stappen die ieder refereren naar de stappen zoals gepresenteerd in de Routekaart risicomanagement, te weten Governance en randvoorwaarden, Risicobeoordeling, Risicobehandeling en Doorlopende monitoring. Ook hebben we per stap enkele vragen toegevoegd om je op weg te helpen en hebben we steeds de link naar andere relevante cybersecurityprocessen benoemd.
Stap 1: Doel en randvoorwaarden vaststellen
Omschrijf het waarom, wat en hoe van exposuremanagement binnen jouw organisatie en wat je ervoor nodig hebt. Wees compleet, concreet en houd het klein.
- Wat moet het inrichten van exposuremanagement concreet opleveren (output) en welke hogere doelen (outcome) bereik ik hiermee?
- Wie en wat heb ik nodig om exposuremanagement in te richten? Wie moet meewerken en wie kan de ‘go’ geven op dit plan? Welk directe belang heeft deze functionaris erbij? Kan ik dit alles goed onderbouwen en overbrengen?
- Wat doen we aan asset management, kwetsbaarhedenbeheer en risicomanagement en hoe sluit ik daarop aan met exposuremanagement?
Als je deze stap hebt gezet, heb je duidelijk opgeschreven wat je gaat doen, waarom het belangrijk is, hoe je het gaat doen, hoe het past in het grote plaatje en heb je hiervoor draagvlak, medewerking en capaciteit binnen jouw organisatie geborgd.
Voorbeeld: Een organisatie wil haar exposuremanagement inrichten en formuleert als output een actueel en volledig overzicht van alle systemen die vanaf het internet bereikbaar zijn. Het hogere doel hiervan is het structureel in de gaten kunnen houden van het aanvalsoppervlak en daarmee het verbeteren van aan exposuremanagement gerelateerde cybersecurityprocessen zoals kwetsbaarhedenbeheer en risicomanagement.
Stap 2: Exposure vaststellen en beoordelen
Bepaal de bestaande netwerk- en informatiesystemen binnen jouw organisatie, stel hiervan de exposure vast en beoordeel in hoeverre deze exposure risico’s oplevert voor jouw organisatie.
- Kan ik gebruik maken van wat er al is? Hebben we de netwerk- en informatiesystemen al (gedeeltelijk) in kaart gebracht (bijvoorbeeld in het kader van asset management of een eerdere risicoanalyse)? Kan ik erop vertrouwen dat het overzicht compleet en actueel is?
- In het kader van exposuremanagement verdienen edge devices speciale aandacht. Dit zijn apparaten die aan de rand van je netwerk staan en dus directe verbinding naar buiten hebben. Heb ik een beeld van het bestaan van deze apparaten? Zie onze website voor tips en achtergrondinformatie over edge devices.
- Heb ik de ‘schaduw-IT’ binnen mijn organisatie in beeld? Ga in gesprek met collega’s om een eerste indruk te krijgen in hoeverre er gebruik wordt gemaakt van schaduw-IT.
Ga op basis van de geinventariseerde netwerk- en informatiesystemen na of deze zichtbaar en/of bereikbaar zijn vanaf internet en op welke manier.
- Stel samen met de IT-afdeling per netwerk- of informatiesysteem vast in hoeverre dit systeem zichtbaar en/of bereikbaar is via internet.
- Heb je een externe IT-leverancier? Vraag dan om hun input.
- Welke tools zijn er beschikbaar en welke tool is het meest geschikt voor mijn situatie?
- Wat betekenen de uitkomsten die een tool genereren? Kan ik deze goed interpreteren?
- Heb ik de kennis in huis om bovenstaande stappen uit te voeren? Zo nee, wil ik hier dan een externe partij voor benaderen?
Geef prioriteit aan het beoordelen van de exposure van systemen die kwetsbaarheden bevatten.
Onnodige exposure wil je beperken!
- Voor wie is het systeem zichtbaar/bereikbaar? Waarvoor is dat nodig?
- Hoe goed begrijp ik mijn organisatiebehoefte? Is het openstaan van een poort bijvoorbeeld ‘zeer kritisch’ maar dient deze juist een belangrijk proces binnen jouw organisatie?
Als je deze stap hebt gezet heb je de netwerk- en informatiesystemen van jouw organisatie in beeld, weet je welke er zichtbaar en bereikbaar zijn over het internet en heb je een eerste afweging gemaakt in hoeverre deze exposure acceptabel is binnen jouw organisatie.
Voorbeeld: Na inventarisatie blijkt dat een persoonlijke laptop (via het goed-beveiligde intranet) toegang heeft tot het voorraadbeheer van de organisatie. Thuis gebruikt de medewerker deze laptop echter ook waardoor de organisatie geen zicht heeft op mogelijk gevaarlijke verbindingen met het open internet.
Stap 3: Exposure beheren
Manage jouw exposure nadat deze inzichtelijk is gemaakt.
1. Stem de exposure af op het bredere plaatje van risicomanagement binnen jouw organisatie.
a. Welke vormen van exposure vormen het grootste risico voor de organisatie?
b. Hoe communiceer ik deze bevindingen effectief aan leidinggevende?
2. Implementeer maatregelen om ongewenste exposure tegen te gaan.
a. Welke bestaande beveiligingsmaatregelen moeten als eerst worden verbeterd om ongewenste exposure te beperken? Denk hierbij aan het aanpassen van een bepaalde configuratie.
b. Welke nieuwe beveiligingsmaatregelen moeten als eerst worden genomen om ongewenste exposure te beperken?
Als je deze stap hebt gezet heb je exposuremanagement afgestemd op het bredere proces van risicomanagement binnen jouw organisatie en heb je maatregelen getroffen om ongewenste exposure tegen te gaan.
Voorbeeld: Het feit dat de laptop niet goed beheerd kan worden komt niet overeen met het beleid rondom breder cyberrisicomanagement van de organisatie. Als gevolg hiervan besluit de organisatie dat BYOD-apparaten niet meer zijn toegestaan voor het uitvoeren van werkprocessen. Tegelijkertijd besluit de organisatie eigen laptops te faciliteren om haar medewerkers te kunnen voorzien in deze schijnbaar bestaande behoefte.
Stap 4: Evaluatie en monitoring
Meet de voortgang en documenteer alle bevindingen.
Houd de blootstelling van de netwerk- en informatiesystemen continu in de gaten en bepaal of er veranderingen zijn opgetreden.
- Heb ik real-time inzicht in continu veranderende bedreigingen en kwetsbaarheden?
- Gebruik hier eventueel een geautomatiseerde tool voor. Heb ik de kennis in huis om dit uit te voeren? Zo nee, wil ik hier dan een externe partij voor te benaderen?
- Geef ik prioriteit aan kwetsbaarheden op basis van de mogelijkheid van exploitatie van deze kwetsbaarheden?
- Hoe zorg ik ervoor dat mijn bestuur onze exposure-risico’s begrijpt?
- Ben ik continu bezig met het verwerken van de bevindingen van mijn exposuremanagement in het beveiligingsbeleid van mijn organisatie?
- Heb ik de bevindingen van alle voorgaande stappen gedocumenteerd en opgeslagen?
Als je deze stap hebt gezet heb je exposuremanagement zo ingericht dat er continu zicht is op veranderingen in de exposure en kan je de voortgang van exposuremanagement zorgvuldig in de gaten houden.
Voorbeeld: Uit continue monitoring blijkt dat dankzij het doorvoeren van de nieuwe beleidsmaatregel externe apparaten geen verbinding meer hebben kunnen maken met het intranet van de organisatie. Hiermee is de geïdentificeerde ongewenste exposure van de persoonlijke laptop verholpen. De bevindingen worden gepresenteerd aan het bestuur en alle documentatie wordt opgeslagen in het beveiligingsbeheerplatform voor toekomstig beleid.
Tot slot
Exposuremanagement is een onderdeel van het grotere risicomanagementproces binnen jouw organisatie. Net als onder andere asset management en kwetsbaarhedenbeheer helpt exposuremanagement om de juiste beslissingen te nemen over de digitale risico’s die jouw organisatie loopt. Met behulp van het in dit artikel gepresenteerde stappenplan zet je de eerste stappen om exposuremanagement in jouw organisatie in te richten.
Het is belangrijk om te beseffen dat het proces rondom exposuremanagement continu doorgaat en voortdurend vraagt om verbeteringen en aanpassingen. Exposuremanagement is nooit ‘klaar’. Zorg dat je weet wat er zichtbaar is en maak inzichtelijk wat je niet ziet, want wat je niet ziet, kun je niet beschermen. Exposuremanagement is geen luxe, maar een noodzaak om jouw organisatie veiliger te maken tegen digitale dreigingen.