Hoe krijg ik grip op mijn beheersmaatregelen?
Doelgroep:
Elke organisatie heeft beheersmaatregelen, maar niet elke organisatie heeft gestructureerd inzicht in deze maatregelen. Dit artikel is geschreven voor CISO’s en securitymanagers die weliswaar beheersmaatregelen hebben getroffen, maar op zoek zijn naar een overzicht, onderbouwing en samenhang van deze maatregelen zodat ze gestructureerd de weerbaarheid van hun organisatie kunnen verhogen.
Definitie:
Met beheersmaatregelen beperk je beveiligingsrisico’s door een (digitale) aanval te voorkomen, tijdig te detecteren, hier adequaat op te reageren en/of hiervan te herstellen. Denk aan voorkomen dat informatie toegankelijk is voor onbevoegden door regels op te stellen rondom clear-desks voor papieren documenten en verwijderbare opslagmedia (USB’s). Beheersmaatregelen zijn de maatregelen die invulling geven aan een beheersmaatregel.
Achtergrond
Beheersmaatregelen maken onderdeel uit van jouw risicomanagement. Jouw organisatie treft waarschijnlijk technische, fysieke en organisatorische maatregelen om risico’s te beheersen en om te voldoen aan wet- en regelgeving.
Echter, compliant zijn is geen garantie voor digitale weerbaarheid. De weerbaarheid van jouw organisatie hangt af van de samenhang tussen risico’s en de geïmplementeerde maatregelen. Meerdere maatregelen dragen vaak gezamenlijk bij aan het mitigeren van één risico. Zo kun je risico’s rond onbevoegde toegang tot gegevensdragers beperken door een combinatie van fysieke maatregelen (zoals een clear-deskbeleid) en technische maatregelen (zoals versleuteling van gegevensdragers). Zonder inzicht in deze onderlinge samenhang is het lastig om te beoordelen of jouw risico’s daadwerkelijk worden beheerst en waar versterking nodig is.
Stap 0: Bestuur betrekken
Voordat je begint met inventariseren van je beheersmaatregelen is het belangrijk om de juiste randvoorwaarden te scheppen door je bestuur te betrekken in het risicomanagementproces. Overtuig hen van de noodzaak van een risicogebaseerde aanpak. Een risicogebaseerde aanpak is namelijk de meest kosteneffectieve manier om jouw organisatie passend digitaal weerbaar te maken. Maak met hen afspraken over het hiervoor beschikbare budget, KPI’s, beleid en de risicobereidheid van de organisatie. Wijs daarbij op de zorgplicht en de persoonlijke aansprakelijkheid van bestuurders op het gebied van digitale weerbaarheid onder de Cbw. Lees ook de pagina ‘Governance en randvoorwaarden’ voor best practices voor het betrekken van je bestuur in je risicomanagementproces.
Stap 1: Gebruik een passend framework als uitgangspunt
De eerste stap richting grip krijgen op je beheersmaatregelen is het selecteren van een framework dat een overzicht geeft van de maatregelen die het meest relevant zijn voor jouw organisatie. Voorbeelden zijn de ISO 27002, IEC62443-3-3, CIS Controls, NIST SP800-53 en COBIT. Naast deze generieke frameworks zijn er ook frameworks voor specifieke sectoren, zoals de Baseline Informatiebeveiliging Overheid 2 (BIO2). Ook bestaan er voor verschillende sectoren normenkaders zoals de BIACS (voor de watersector), die een minimale set aan maatregelen schetst die geïmplementeerd moeten worden om een (basis) beveiligingsniveau te behalen. Zorg in elk geval dat het framework aansluit op jouw te beschermen belangen.
Een framework biedt houvast om maatregelen te categoriseren, beveiligingsdoelen en -maatregelen met elkaar te relateren en om de link te leggen met jouw weerbaarheid. Bepaal welk framework passend is voor jouw organisatie. Neem daarin de volgende elementen mee:
- Wettelijke kaders en eisen van toezichthoudende instanties. Je wilt ervoor zorgen dat het door jou gekozen framework ook goed past binnen het kader van wet- en regelgeving waar jouw organisatie aan moet voldoen.
- Sectorspecifieke frameworks. Onderzoek of er al een standaard framework of norm wordt gebruikt binnen jouw sector, of dat het opportuun is samen met de sector tot een keuze voor een passend framework te komen.
- Leveranciers. Vraag aan jouw leveranciers om rekening te houden met het door jou gekozen framework in hun producten en diensten.
Wees je ervan bewust dat een framework lang niet alles tot in detail afdekt. Het is mogelijk dat er in jouw organisatie specifieke maatregelen nodig zijn die niet worden beschreven in het gekozen framework. Neem de opslag van gevoelige informatie. Verschillende frameworks suggereren dat een kluis hier een preventieve, fysieke maatregel voor is. Naast het neerzetten van een kluis zul je echter ook rekening moeten houden met aanvullende processen, zoals onderhoud van de kluis (bijvoorbeeld het tijdig vervangen van een batterij als de kluis een elektronisch slot heeft). Gebruik het framework dus vooral als uitgangspunt, maar wees bedacht op aanvullende zaken die van belang zijn voor de weerbaarheid van je organisatie. Bedenk dat elk framework beperkingen kent. Het is daarom nuttig om meerdere frameworks door te nemen, om zo mogelijke maatregelen te identificeren die je anders over het hoofd zou zien.
In het artikel Ontdek het risicomanagementraamwerk wat bij jou past gaan we dieper in op de keuze van het juiste framework.
Stap 2: Voer een nulmeting uit
Het bestuur is betrokken en er ligt een framework als uitgangspunt. Hierna ga je aan de slag met het in kaart brengen van de huidige beheersmaatregelen. De volgende stappen helpen je hierbij.
2.1 Kijk wat je al hebt
Mogelijk maakt jouw organisatie al gebruik van tooling voor het beheersen van beveiligingsrisico’s. Denk aan een Information Security Management System (ISMS) tool of een Governance, Risk & Compliance (GRC) tool. Dergelijke tools bieden een veelvoud aan informatie, waaronder een risicoregister en een beschrijving van de (al geïmplementeerde) tools. Mocht deze tooling in het verleden gebruikt zijn, dan biedt dit een uitstekend vertrekpunt voor jouw inventarisatie. Wees er wel op bedacht dat deze mogelijk niet up-to-date of niet compleet is.
Audits en assessments
Het uitvoeren van een interne/externe audit of assessment kan ook een overzicht van de door jouw gebruikte beheersmaatregelen opleveren. Zulke opdrachten hebben vaak als doel om de blinde vlekken in de beveiligingsinrichting helder te maken, maar kunnen als neveneffect een overzicht van de getroffen maatregelen opleveren. Als er een audit plaatsvindt, probeer dan van de gelegenheid gebruik te maken door bijvoorbeeld de geïdentificeerde maatregelen te laten plotten op het gekozen framework.
2.2 Begin klein
Het in kaart brengen van je beheersmaatregelen is een uitdagende klus, zeker als dit nog niet eerder is gedaan of vastgelegd. Afhankelijk van de organisatie kunnen er zo honderden maatregelen worden toegepast zonder dat daar goed zicht op is. Het is daarom verstandig om klein te beginnen. Begin bijvoorbeeld met redeneren vanuit jouw meest urgente risico’s, of door je te richten op bepaalde fysieke of digitale segmenten van jouw organisatie.
2.3 Zoek naar risico-eigenaren
De ervaring leert dat veel beheersmaatregelen in de hoofden van mensen zitten, maar dat deze informatie niet altijd even duidelijk is vastgelegd. Je zult dus moeten inventariseren welke collega’s en leveranciers je moet spreken om deze kennis expliciet te maken.
Het helpt om terug te vallen op het toebedeelde risico-eigenaarschap, als dit duidelijk belegd is. Als dit niet duidelijk belegd is, is het wellicht nodig om het hoger management of een bestuurder in te zetten om te verhelderen wie de risico-eigenaren (horen te) zijn.
2.4 Spreek de taal van je stakeholders
IT-beheerders, inkopers, leveranciers en andere stakeholders zijn meestal geen securityspecialisten, maar hebben doorgaans wel een rol bij bepaalde beheersmaatregelen. Zo heeft een HR-adviseur kennis over het aannamebeleid, het uitvoeren van een screening, of het opstellen van een geheimhoudingsovereenkomst. De HR-adviseur zal minder kennis hebben van IT-beheersprocessen, maar kan wel een rol spelen in het controleren of de IT-accounts nog overeenkomen met het personeelsbestand. Probeer relevante informatie te verzamelen door aan te sluiten bij hun expertise. Probeer er bijvoorbeeld achter te komen hoe bepaalde processen lopen. Het kan namelijk voorkomen dat er wel beheersmaatregelen zijn, maar dat deze niet als zodanig door de stakeholder worden herkend.
2.5 Categoriseer je opbrengst
Er zijn verschillende manieren om beheersmaatregelen te categoriseren. Zo kun je maatregelen categoriseren volgens de (primaire) functie ervan: voorkomen, detecteren, reageren op, of herstellen van een aanval. Daarnaast zijn er verschillende typen maatregelen te onderscheiden. Zo richten organisatorische maatregelen zich op het inrichten van processen. Denk aan beleid rondom dataclassificatie of het scheiden en toebedelen van taken en verantwoordelijkheden. Fysieke maatregelen richten zich op het beveiligen van de fysieke omgeving, bijvoorbeeld met cameratoezicht of toegangscontrole op serverruimtes. Mensgerichte maatregelen hebben oog voor de interactie tussen mensen en systemen. Denk hierbij aan bewustwordingsprogramma’s en training. Technische (of logische) maatregelen richten zich op technische aspecten, zoals het afschermen van het netwerk (met firewalls en VPN-oplossingen) en het beheren van back-ups.
Tijdens je zoektocht naar beheersmaatregelen is het goed om deze te categoriseren volgens het door jou gekozen framework. Maak in ieder geval inzichtelijk welke functie(s) de maatregelen hebben en hoe deze zich verhouden tot jouw organisatie (zie Tabel 1 als voorbeeld). Het door jou gekozen framework biedt daar aanvullende handvatten voor, bijvoorbeeld door deze verder te verdelen in beschikbaarheids-, integriteits-, of vertrouwelijkheidsmaatregelen. Probeer beheersmaatregelen daarbij zoveel mogelijk hiërarchisch op te delen om dit behapbaar te houden: van proces naar activiteiten, van beheersmaatregel naar beveiligingsmaatregelen. Zorg ervoor dat je ook vastlegt waarom deze maatregelen zijn geïmplementeerd, zodat je later kunt valideren of deze nog zinvol zijn.
| Preventief | Detectief | Repressief | Correctief | |
|---|---|---|---|---|
Proces
| Reageren op informatiebeveiligingsincidenten (incident response plan) | Onafhankelijke beoordeling van informatiebeveiliging (audit) | ||
Technisch
| Toepassing webfilters (filteren op phishinglinks) | Voorkomen van gegevenslekken (monitorsysteem) | Bescherming tegen malware (EDR-systeem) | |
| Fysiek |
| |||
Mens
| Bewustwording van informatiebeveiliging (bewustwordingsprogramma) | Melden van gebeurtenissen (meldprocedure) |
Tabel 1: Voorbeeld van enkele relevante beheersmaatregelen in relatie tot het risicoscenario ‘datalek als gevolg van phishing via e-mail’. De hieronder beschreven categorisering is gebaseerd op het framework NEN-EN-ISO/IEC 27002:2022 NL.
Stap 3: Houd je maatregelen up-to-date
De omgeving verandert snel, zeker in de digitale wereld. Beheersmaatregelen die je vandaag effectief implementeert, kunnen morgen onvoldoende zijn. Het is daarom nodig je maatregelen up-to-date te houden.
3.1 Gebruik tools om je maatregelen vast te leggen
Een actueel overzicht van en inzicht in de beheersmaatregelen (inclusief eigenaarschap) en de relatie met jouw risico’s is essentieel voor het bepalen van je weerbaarheid. ISMS en GRC-tools kunnen daar een handig hulpmiddel voor zijn.
3.2 Check het eigenaarschap en maak afspraken
Verschillende teams of personen in jouw organisatie zijn (allicht stilzwijgend) eigenaar van de invulling van een bepaalde beheersmaatregel. In stap 2.2 ben je al op zoek gegaan naar deze risico-eigenaren of wie dit behoren te zijn. Onderzoek of er afspraken zijn gemaakt (bijvoorbeeld volgens het RACI-model) en of deze nog actueel en geldig zijn. Maak, waar nodig, aanvullende afspraken om hierover te rapporteren, bijvoorbeeld bij wijzigingen in de bedrijfsvoering of infrastructuur.
3.3 Toets je maatregelen periodiek
Beheersmaatregelen moeten logischerwijs doen waarvoor ze bedoeld zijn. Een firewall moet bijvoorbeeld op de juiste manier geconfigureerd zijn om ongewenst binnenkomend verkeer te blokkeren. Je wilt weten of je wachtwoordbeleid voldoende eisen stelt om accounts goed te beschermen tegen ongeautoriseerde toegang. En een back-up moet regelmatig getest worden om vast te stellen of je weer kunt beschikken over je data.
Jij, als verantwoordelijke voor het overzicht van de beheersmaatregelen (of degene die hier verantwoordelijk voor is), maakt inzichtelijk of de maatregelen nog actueel zijn, of ze ook werken en of ze goed gebruikt worden. Dat kan bijvoorbeeld door het uitvoeren van een penetratietest of door dit mee te nemen in de evaluatie van een incident. Bij een controle kunnen vaak meerdere tests worden uitgevoerd om te bepalen of de maatregel nog voldoende effectief is. Zodra er afwijkingen worden geconstateerd, stel je een plan op om deze te adresseren.
Vervolgstappen: van grip naar weerbaarheid
De inventarisatie van jouw beheersmaatregelen is een belangrijke – maar niet de enige – stap in het bepalen van je weerbaarheid. De exacte invulling van hoe je jouw weerbaarheid bepaalt, is buiten scope van deze publicatie. Houd echter rekening met het volgende.
1. Meet de effectiviteit en test je maatregelen
Zoals eerder beschreven is het nodig om beheersmaatregelen periodiek te toetsen op effectiviteit. De weerbaarheid van jouw organisatie hangt mede samen met de correcte implementatie van de beheersmaatregelen. Neem het testen hiervan mee in het bredere kader van risicomanagement en de PDCA-cyclus.
2. Bepaal of je maatregelen geschikt zijn om jouw risico’s te mitigeren
Helaas is het niet mogelijk om volledig vrij te zijn van risico’s, zelfs niet na het toepassen van beheersmaatregelen. Het is daarom verstandig om te streven naar een passend niveau van weerbaarheid, waarbij je oog hebt voor de proportionaliteit en doeltreffendheid van je maatregelen. Kies voor een gelaagd ontwerp waarbij onafhankelijk geïmplementeerde maatregelen samen een risico mitigeren. Stel vast of de door jouw geïdentificeerde beheersmaatregelen voldoende in staat zijn om de dreigingen op je kroonjuwelen te mitigeren. Gebruik de inventarisatie om een inschatting te maken van de restrisico’s en bespreek samen met de risico-eigenaar of deze acceptabel zijn.
3. Voer verbeteringen door
Mogelijk kom je tot de conclusie dat jouw maatregelen niet effectief zijn. Stel in dat geval een actieplan op om de maatregelen te actualiseren en je risico’s tot een acceptabel niveau te brengen. Neem hierin mee wie er verantwoordelijk is voor het uitvoeren van deze acties en wie deze verbeteringen controleert. Maak daarbij weer gebruik van frameworks om eventuele aanvullende maatregelen te identificeren die de restrisico’s verder kunnen mitigeren.
Ten slotte
Grip hebben op de beheersmaatregelen is essentieel in het proces om weerbaarder te worden als organisatie en minder voor verrassingen komen te staan omdat je voorbereid bent. Belangrijk is daardoor wel dat je maatregelen risicogebaseerd implementeert en beheert. Als je meer wilt weten over hoe je risicomanagement goed aanpakt, lees dan ook de NCSC Routekaart risicomanagement.
In samenwerking met:
Voor dit artikel is samengewerkt met CISO’s en adviseurs van Gemeente Amersfoort, Gemeente Noordenveld, CIO Rijk, Ministerie van Onderwijs Cultuur en Wetenschap, de Nederlandse Vereniging van Banken en een partner in de chemische industrie.