Zorgplicht

Elke organisatie heeft haar eigen kroonjuwelen: de belangen en assets die absoluut beschermd moeten worden. Maar hoe breng je deze in kaart, welke dreigingen spelen er, en hoe verhoudt je huidige weerbaarheid zich tot deze dreigingen? Op de pagina Risicomanagement helpen we je de meest relevante risico’s voor jouw organisatie te identificeren, zodat je met vertrouwen en inzicht de juiste keuzes kunt maken.

Onder stap 2: Maak een risicoanalyse vind je een aantal vragen die je op weg helpen.

Wil je aan de slag met het gestructureerd inrichten van risicomanagement, maak dan handig gebruik van risicomanagementraamwerken om je risicoanalyses gestructureerd uit te voeren als onderdeel van een continu proces.

In de publicatie ‘Incidentresponse, waar begin ik?’ vind je de eerste handvatten voor het opstellen van een incidentresponseplan. Je hoeft het niet allemaal zelf te doen, securitybedrijven kunnen je helpen met het afhandelen van een incident. Zorg ervoor dat je van tevoren weet wie je kunt inschakelen.

Na een incident wil je weten wat de schade is in de systemen. Door forensic ready te zijn, ben je als organisatie in staat om digitaal sporenonderzoek te (laten) doen bij een cyberincident. Dit helpt je om antwoorden te krijgen op vragen als: wat is de bron van het incident en wat was het doel? Naast dat het je helpt om je processen weer op orde te krijgen, geeft het je ook inzicht in hoe je van de aanval kan leren. Wees daarom voorbereid op forensisch onderzoek met ‘Forensic readiness’.

Stel een back-upstrategie vast, waarin je beschrijft hoe vaak je back-ups maakt, waar je ze bewaart en wanneer je ze test. Zie hiervoor ‘Een back-upstrategie opstellen’.

Maak een herstelplan. De pagina ‘Herstel van een cyberincident’ helpt je met het inrichten daarvan.

Oefen met (fictieve) incidenten. Zo bouwen jouw medewerkers ervaring op en kunnen zij effectief handelen. Zie de publicatie ‘Oefenen baart kunst’ om hiermee aan de slag te gaan.

Breng jouw leveranciers in kaart, zie hiervoor de publicatie ‘Hoe breng ik mijn rechtstreekse leveranciers in kaart’.

Wanneer je je leveranciers in kaart hebt, is de volgende stap om de weerbaarheid van je toeleveringsketen te versterken. Dit doe je onder andere door de dialoog aan te gaan met je leveranciers. Zie  ‘Hoe versterk je de weerbaarheid van leveranciers?’ voor handvatten om de weerbaarheid van je leveranciers te versterken.

Zorg dat je de vijf basisprincipes van digitale weerbaarheid worden toegepast in je organisatie.

Ontwikkel een programma dat elke medewerker bewust maakt van cyberrisico’s en veilig gedrag bevordert. Behandel praktische en effectieve thema’s in trainingen, zoals bureau- en schermbeleid, het herkennen van phishing en het uitvoeren van updates. Pas deze thema’s aan voor specifieke risico’s en het beleid van je organisatie.

Zie de publicatie ‘Voorbij de e-learning’ voor leidende principes waarmee je veilig digitaal gedrag van jouw medewerkers verder bevordert.

Ontwikkel een positieve cybersecuritycultuur. Inspanningen in de digitale weerbaarheid van een organisatie zullen alleen effectief zijn als ze worden ondersteund door een cultuur die deze verbetering aanmoedigt en mogelijk maakt. Zie ‘Ontwikkel een positieve cybersecuritycultuur’ hoe je deze cultuur creëert aan de hand van zes principes.

Zorg ervoor dat je beveiligingsupdates altijd installeert.

Onderzoek wat de beveiligingsinstellingen van je systeem betekenen. Vraag aan je leverancier of er een hardeningrichtlijn bestaat waarin staat hoe je het systeem veilig configureert.

Zorg ervoor dat je opvolging geeft aan meldingen van derden dat je systeem kwetsbaar is, zie de ‘Leidraad coordinated vulnerability disclosure’.

Stel een patchmanagementbeleid op om beveiligingsupdates binnen een aanvaardbare tijd te testen en door te voeren op al je systemen, zie ‘Verbeter je kwetsbaarhedenbeheer’.

Neem aanvullende maatregelen wanneer systemen niet meer ondersteund worden door de maker, zie ‘Zicht op risico’s van legacysystemen’.

Gebruik een framework om grip te houden op maatregelen die je neemt, zie ‘Hoe krijg ik grip op mijn security controls?’.

Gebruik een Information Security Management System om het procesmatig in te richten, zie ‘Beginnen met een ISMS’.

Zorg voor inzicht in alle assets in je organisatie. Dat is zowel operationele technologie, informatietechnologie als de informatie die daardoor verwerkt wordt.

Eerste stappen:

Begin met het in kaart brengen van je te beschermen belangen en je technische te beschermen belangen. Werk vanuit dit punt naar het in kaart brengen van de meest relevante risico’s voor jou organisatie.

Ga nog een stap verder:

Behandel data als een belangrijke asset voor je organisatie. Zie de ‘Kunst van databeheersing’.

Bepaal welke functionarissen toegang moeten hebben tot welke systemen en informatie. Schrijf procedures hoe die rechten toegekend en ingetrokken worden bij individuele personen. Pas die procedures toe bij indiensttredingen, uitdiensttredingen, promoties en functiewijzigingen.

Eerste stappen:

Zorg dat je toegangsbeleid in lijn is met Basisprincipe 4: Beheer toegang tot data en diensten en Identity and Acces Management (IAM).

Ga nog een stap verder:

Structureer het beheren van toegang met een IAM-beleid. Zie ook ‘Hoe organiseer ik identiteit en toegang’.

Screen nieuwe medewerkers vóór indiensttreding. Hiermee beoordeel je de betrouwbaarheid van een medewerker. Stel in je beleid vast voor welke functies dit nodig is, op basis van waar die mensen toegang toe hebben.

Eerste stappen:

Vraag bij indiensttreding van nieuwe medewerkers een Verklaring Omtrent het Gedrag aan.

Ga nog een stap verder:

Voor bepaalde vertrouwensfuncties is screening verplicht. De Autoriteit Persoonsgegevens biedt meer informatie over de procedures en regelgeving rondom screening.

Gebruik passkeys of multifactorauthenticatie in elk geval bij:

• Accounts die vanaf het internet bereikbaar zijn
• Accounts met beheerrechten
• Accounts op essentiële systemen

Zie ook ‘Pas sterke authenticatie toe’.

Gebruik voor beveiligde communicatie een Virtual Private Network (VPN). Een VPN maakt het mogelijk om over het internet een beveiligde verbinding op te zetten tussen twee apparaten. Deze verbinding, een VPN-tunnel, versleutelt het dataverkeer.

Maak authenticatie stapsgewijs sterker volgens het volwassenheidsmodel ‘Volwassen Authenticeren’.

Beschrijf in je cryptografiebeleid de technieken en maatregelen die je gebruikt en herzie dit document minimaal elk jaar. Beschrijf daarin:

• Encryptiestandaard: stel op basis van de risicoanalyse en assetclassificatie de eisen voor de encryptiestandaard per beveiligingsniveau vast. Gebruik een algoritme dat voldoet volgens de huidige stand van techniek.
• Benodigde sleutellengte: de aanbevolen sleutellengte hangt af van de gekozen encryptiestandaard. Raadpleeg de documentatie van de gebruikte encryptiestandaard voor advies.
• Sleutelmanagement: dit omvat procedures, rollen, en verantwoordelijkheden voor:
  • Het genereren en distribueren van sleutels
  • Het vernietigen of intrekken van sleutels
  • Het archiveren van sleutels
  • Het back-uppen van sleutels
  • Het loggen van sleutelmanagementactiviteiten
  • De uitgifte en het verkrijgen van certificaten
• Effectiviteit en herziening: herzie het cryptografiebeleid minimaal elk jaar, en houd ook rekening met veranderingen in de organisatie en actuele risico’s.

Gebruik op plaatsen waar je TLS als encryptie toepast de ‘ICT-beveiligingsrichtlijnen voor Transport Layer Security’.

Bereid je voor op quantumcomputers en ga aan de slag met Quantumveilige Cryptografie.

Leg in je beleidsdocument vast waarom, hoe vaak en hoe je je beveiligingsmaatregelen toetst. Beschrijf wat je doet met de uitkomsten en wie verantwoordelijk is voor de borging daarvan. Toets dit beleidsdocument zelf ook periodiek op actualiteit.

Laat je technische maatregelen testen volgens de richtlijn ‘Testen van technische veiligheidsmaatregelen’.

Gebruik een Information Security Management System om het procesmatig in te richten, zie ‘Beginnen met een ISMS’.