Tekst NCSC
Foto BKB
Handreiking cybersecuritymaatregelen
De digitale weerbaarheid van bedrijven en organisaties in Nederland is onvoldoende op orde en cybersecuritymaatregelen worden niet altijd genomen, concludeert het Cybersecuritybeeld Nederland 2021 (CSBN). Reden genoeg voor het Nationaal Cyber Security Centrum (NCSC) om een handreiking te schrijven met acht maatregelen die elke organisatie zou moeten treffen om cyberaanvallen tegen te gaan.
Deze acht maatregelen vormen een essentieel onderdeel van uw cybersecuritybeleid:
Loggen, wachtwoordbeleid, back-ups maken en het versleutelen van informatie - het klinkt niet heel vernieuwend en dat is het ook niet. Toch ziet het NCSC dat nog niet alle organisaties en bedrijven in Nederland dit op orde hebben. De handreiking van het NCSC helpt organisaties bij het implementeren van de cybersecurity basismaatregelen. De volgorde maakt niet uit, zolang het doel is om ze allemaal te implementeren. Is uw organisatie al verder gevorderd met cybersecurity? Gebruik de handreiking dan als beginpunt voor gesprekken met leveranciers over hun digitale veiligheid. Voor de weerbaarheid van uw organisatie is het van groot belang dat zij veilige producten en diensten leveren.
Verantwoordelijkheden juist belegd
Om de basismaatregelen effectief in te zetten, is het nodig dat de organisatorische kant van cybersecurity goed geregeld is. Is iedereen zich op alle niveaus in de organisatie bewust van de risico’s? En zijn verantwoordelijkheden juist belegd? Bij veel organisaties is cybersecurity vooral een verantwoordelijkheid van de Chief Information Security Officer (CISO). Dit is onterecht, want de CISO is geen eigenaar van systemen en informatie. Daarom vindt het NCSC dat de verantwoordelijkheid voor cybersecurity bij de directie en het lijnmanagement moet liggen. Op dit niveau zouden keuzes gemaakt moeten worden over welke risico’s wel en niet acceptabel zijn. Incidenten kunnen zich immers overal in de organisatie voordoen; cybersecurity is dan ook een uitdaging voor de hele organisatie. De digitale infrastructuur is net als geld en personeel, een bedrijfsmiddel waar een organisatie van afhankelijk is.
Aanvullend maatwerk
Het blijft van belang om naast het implementeren van de basismaatregelen een risicoanalyse uit te voeren om zelf aanvullende maatregelen te selecteren. Elke organisatie is uniek en kent specifieke digitale risico’s. Het NCSC adviseert om deze inzichtelijk te maken en met passende maatregelen te beheersen. Dit is maatwerk en een continu proces. Zowel dreigingen als de te beschermen belangen van uw organisatie kunnen namelijk veranderen.
Wees voorbereid op incidenten
Ondanks de genomen maatregelen kan een incident nog steeds plaatsvinden. Bereid u daarop voor. Zorg dat in uw crisis- en herstelplannen staat hoe u omgaat met cyberaanvallen, update en oefen deze processen regelmatig. Betrek ook uw IT-leveranciers en zorg dat er heldere afspraken liggen voor crisissituaties.
In gesprek met leveranciers
De cybersecurity van uw organisatie is mede afhankelijk van leveranciers van IT-producten. U bent op het terrein van cybersecurity tenslotte zo sterk als de zwakste schakel. Maak heldere afspraken over de wijze waarop zij de veiligheid van hun producten waarborgen. Het NCSC adviseert om hiervoor gebruik te maken van bestaande normen en richtlijnen bij de inkoop van producten en diensten (bijvoorbeeld ISO 27001). De maatregelen genoemd in deze handreiking kunt u ook meenemen tijdens het inkoopproces.
Kijk op ncsc.nl/aandeslag voor de volledige handreiking en meer aanvullende informatie.