:strip_icc():strip_exif()/u/56758/falconlogo.jpg?f=community)
Ik ben bezig bij men werkgever een cybersecuritybeleid uit te werken.
Op zich gaat het momenteel redelijk : we hebben al een Cybersecurity guidence uitgewerkt waarin staat waar alle systemen moeten aan voldoen etc, waarmee we ook jaarlijks een interne auditing kunnen doen.
Tevens worden in de tussentijd reeds een boel zaken geimplementeerd om de systemen compliant te maken aan onze cybersecurity guidence. Zoals meestal gaat dat soort zaken minder vlot dan voorzien ivm opsplitsen van systemen in verschillende zones etc, toepassen van patchinmanagement, backup testen, procedures schrijven, etc
In zekere mate hebben we het securitybeleid uitgewerkt adhv het NIST cybersecurity framework.
Tot daar alles al bij al wel OK, en daar komen we wel uit.
Nu zouden we ook voor verschillende systemen risicoanalyses willen maken.
Binnen het bedrijf hebben we wel risicoanalyses op bij wijze van alles en nog wat ( vooral dan naar persoonlijke veiligheid bv etc ), maar om dat op een IT systeem toe te passen is moeilijk.
Je moet eigenlijk het risico gaan berekenen dat een systeem gehackt kan worden.
Je zou hier ook weer het NIST cybersecurity framework voor kunnen gebruiken, maar om da een stom voorbeeld te nemen : het niet hebben van bv een MOC proces gaat niet voorkomen dat je niet gehackt kan worden. Als je stackeholders niet op de hoogte zijn van de backup procedures, dan gaat jou restore van een oud systeem niet minder goed lukken, om maar enkele vb te geven.
Ik weet bv zo, dat een bepaald systeem, ondanks dat het verouderd is en patchin issues heeft eigenlijk geen probleem zou geven als we dat nog een jaar ofzo uitstellen : er is maar 1 verbinding naartoe, waar je eerst via een 4-tal tussenwegen pas naartoe raakt, en de enige account met toegang staat standaard uitgeschakeld op het eerste systeem etc. van buitenaf is de kans op gehackt worden dus bijna 0%
Maar omdat je gevoel zegt dat het wel een jaar kan uitgesteld worden, wil niet zeggen dat een risicoanalyse daar ook zo over denkt.
Bestaan er eigenlijk tools die dit soort risico analyses kunnen staven adhv cijfers die je ingeeft, of kom je dan weer bij het NIST cybersecurity framework terecht, waar men ook veel te veel rekening in houdt in mijn ogen mbt scores voor governance en procedures etc ?
Want ik krijg het idee dat je eigenlijk dat soort zaken best altijd moet maken afhankelijk van je eigen bedrijf en dat je niet echt kan werken met template tools, omdat die juist niet op maat van jou bedrijf zijn.
Wat is jullie ervaring hier in ?
Op zich gaat het momenteel redelijk : we hebben al een Cybersecurity guidence uitgewerkt waarin staat waar alle systemen moeten aan voldoen etc, waarmee we ook jaarlijks een interne auditing kunnen doen.
Tevens worden in de tussentijd reeds een boel zaken geimplementeerd om de systemen compliant te maken aan onze cybersecurity guidence. Zoals meestal gaat dat soort zaken minder vlot dan voorzien ivm opsplitsen van systemen in verschillende zones etc, toepassen van patchinmanagement, backup testen, procedures schrijven, etc
In zekere mate hebben we het securitybeleid uitgewerkt adhv het NIST cybersecurity framework.
Tot daar alles al bij al wel OK, en daar komen we wel uit.
Nu zouden we ook voor verschillende systemen risicoanalyses willen maken.
Binnen het bedrijf hebben we wel risicoanalyses op bij wijze van alles en nog wat ( vooral dan naar persoonlijke veiligheid bv etc ), maar om dat op een IT systeem toe te passen is moeilijk.
Je moet eigenlijk het risico gaan berekenen dat een systeem gehackt kan worden.
Je zou hier ook weer het NIST cybersecurity framework voor kunnen gebruiken, maar om da een stom voorbeeld te nemen : het niet hebben van bv een MOC proces gaat niet voorkomen dat je niet gehackt kan worden. Als je stackeholders niet op de hoogte zijn van de backup procedures, dan gaat jou restore van een oud systeem niet minder goed lukken, om maar enkele vb te geven.
Ik weet bv zo, dat een bepaald systeem, ondanks dat het verouderd is en patchin issues heeft eigenlijk geen probleem zou geven als we dat nog een jaar ofzo uitstellen : er is maar 1 verbinding naartoe, waar je eerst via een 4-tal tussenwegen pas naartoe raakt, en de enige account met toegang staat standaard uitgeschakeld op het eerste systeem etc. van buitenaf is de kans op gehackt worden dus bijna 0%
Maar omdat je gevoel zegt dat het wel een jaar kan uitgesteld worden, wil niet zeggen dat een risicoanalyse daar ook zo over denkt.
Bestaan er eigenlijk tools die dit soort risico analyses kunnen staven adhv cijfers die je ingeeft, of kom je dan weer bij het NIST cybersecurity framework terecht, waar men ook veel te veel rekening in houdt in mijn ogen mbt scores voor governance en procedures etc ?
Want ik krijg het idee dat je eigenlijk dat soort zaken best altijd moet maken afhankelijk van je eigen bedrijf en dat je niet echt kan werken met template tools, omdat die juist niet op maat van jou bedrijf zijn.
Wat is jullie ervaring hier in ?
-| Hit it i would ! |-