Categoriearchief: Uncategorized

De CIS Controls voor wie (nog) niet toe is aan ISO27001?

Geplaatst op door

“Hoe krijg ik in mijn bedrijf de IT-beveiliging op orde, zonder dat ik met dat ISO-gedoe aan de slag moet?” is een regelmatig gestelde vraag. De ISO27001 norm is inderdaad veel gevraagd als waarborg voor het onder controle hebben van informatiebeveiliging. Hoewel er veel is af te dingen op deze norm, biedt hij ook veel voordelen. Door de ISO27001 word je als organisatie gedwongen om structureel bezig te zijn met veel verschillende onderwerpen, zowel technisch als organisatorisch van aard. Naast het managementsysteem (de plan-do-check-act cyclus) voor informatiebeveiliging zijn er ook 114 beschreven maatregelen waar je aantoonbaar over nagedacht moet hebben. En tegelijk: dat is nogal wat. Daarom de vraag of het met minder ook goed genoeg kan.

Een ander kader waarover je steeds meer hoort zijn The CIS Critical Security Controls for Effective Cyber Defense. De CIS Controls (voorheen bekend als de SANS Critical Security Controls) is een lijst met 20 maatregelen, verdeeld over een drietal groepen: basic, foundational en organizational. De gedachte is dat wanneer een organisatie deze basishygiëne op orde heeft, het grootste gedeelte van alle cyber-ellende voorkomen kan worden.

In tegenstelling tot de ISO27001 zijn de CIS Controls meer technisch van insteek. Ook bevat de CIS Controls geen richtlijnen voor een plan-do-check-act cyclus. De twee kaders mogen dus eigenlijk niet met elkaar worden vergeleken.

Maar wat heb je precies aan de CIS Controls? Nou, heel veel!

De 6 Basic controls van CIS controls beogen het volgende: 

  • zorg dat je weet welke hardware en software je hebt en dat deze up-to-date zijn;
  • zorg dat alles veilig is geconfigureerd;
  • controleer regelmatig op kwetsbaarheden;
  • controleer je logbestanden en onderneem actie op basis van je constateringen.

De 10 Foundational controls gaan een stapje verder en gaan onder andere in op:

  • E-mail- en webbrowser-beveiliging en antivirus;
  • Beveiliging van (bedrade en draadloze) netwerken;
  • Back-up en (vooral) restore van data;
  • Controle over toegang tot gegevens en gebruikersaccounts.

Op organisatorisch vlak zeggen de CIS Controls:

  • Zorg voor een security awareness programma;
  • Beheers de security-levenscyclus van alle intern ontwikkelde én aangekochte software, om kwetsbaarheden te voorkomen, detecteren en corrigeren;
  • Zorg dat incidenten herkend worden en dat adequaat en beheerst op reageert;
  • Voer penetratietests en oefeningen uit om met aanvallen om te gaan.

Is dit echt zoveel minder dan ISO27001?

Een goed lezer ziet in deze onderwerpen een grote overlap met ISO27001. Daar waar de CIS Controls veelal een technische insteek hebben is ondersteuning van de benoemde techniek door gedegen bedrijfsprocessen een must om ze werkend te krijgen.

De 20 CIS Controls zijn ieder voorzien van meerdere subcontrols. In totaal zijn dit er meer dan 180(!). Gelukkig is in de laatste versie van de CIS Controls een handreiking gekomen voor welke controls toegepast kunnen worden bij welk type organisatie: klein, medium en groot (gerelateerd aan middelen en expertise).

Voor een organisatie in Group 1 blijven er van de 183 maatregelen nog 43 over. Met de gedachte: wanneer deze 43 maatregelen onder controle zijn, dan heeft de organisatie in ieder geval een goede basishygiëne voor informatiebeveiliging.

Zijn de CIS Controls een alternatief voor ISO27001? Dat hangt van veel factoren af. Maar het is altijd goed om binnen een bepaald kader te werken. De CIS Controls houden rekening met het (IT-)volwassenheidsniveau van de organisatie. Wat dat betreft zijn de CIS Controls goed nieuws voor kleine bedrijven die met beperkte mogelijkheden toch structureel aan informatiebeveiliging willen werken.

Meer weten? Een keer afspreken is uiteraard geen probleem.

(Geen?) paniek, de Algemene Verordening Gegevensbescherming komt er aan! (maar daar moet je wel wat voor doen)

Geplaatst op door

Vermoedelijk is het bij u al bekend: Vanaf 25 mei 2018 is iedere organisatie verplicht te voldoen aan de Europese privacywetgeving: de Algemene Verordening Gegevensbescherming (AVG) of General Data Protection Regulation (GDPR). Hierover wordt binnen “het vakgebied” veel herrie gemaakt. Waarbij veel kreten te horen zijn in de trant van “koop ons product, anders voldoet u niet aan de wet en krijgt u een heel hoge boete!”. Dit heeft natuurlijk een enorm FUD-gehalte (fear, uncertainty and doubt).

Maar waar gaat deze wetgeving eigenlijk over? De AVG zorgt ervoor dat de positie van de betrokkenen (de mensen van wie gegevens worden verwerkt) wordt verstevigd. Mensen krijgen nieuwe privacyrechten en bestaande rechten worden sterker. Organisaties die persoonsgegevens verwerken krijgen meer verplichtingen. De nadruk ligt op de verantwoordelijkheid van organisaties om te kunnen aantonen dat zij zich aan de wet houden. Daarnaast is in veel gevallen expliciete en ondubbelzinnige toestemming van betrokkenen vereist voor het verwerken van hun gegevens.

De AVG stelt verder dat organisaties onder andere passende technische en organisatorische maatregelen moet nemen om verwerkte persoonsgegevens te beschermen. Welke dat precies zijn wordt niet vermeld (wat ruimte laat voor de eerder genoemde FUD). De toezichthoudende partij in Nederland is de Autoriteit Persoonsgegevens. Deze organisatie handhaaft namens de Nederlandse overheid en is bevoegd boetes uit te delen.

“Wat een gedoe”, denkt u misschien. “Kan ik ook niets doen en afwachten wat er gebeurt en later maatregelen nemen?” Helaas… wat wel duidelijk is: niets doen is geen optie! Zorg dat uw organisatie is voorbereid op deze gewijzigde wetgeving.

Is het voldoen ingewikkeld? Dat hangt er vanaf. De Autoriteit Persoonsgegevens doet zijn best u te helpen. Onder andere is een 10-stappenplan opgesteld om inzicht te geven in wat er moet gebeuren. Het 10-stappenplan biedt toelichting, maar geen inhoudelijke stap-voor-stap handleiding, maar geeft wel inzicht in de impact van deze wetgeving op uw organisatie. De stappen uit het plan zijn:

1. Bewustwording
2. Rechten van betrokkenen
3. Overzicht verwerkingen
4. Privacy impact assessment (PIA)
5. Privacy by design & privacy by default
6. Functionaris voor de gegevensbescherming
7. Meldplicht datalekken
8. Verwerkersovereenkomsten
9. Leidende toezichthouder
10. Toestemming

Is dit stappenplan verplicht? Nee, maar het raakt op hoofdlijnen wel de belangrijkste onderwerpen. Inhoudelijke hulp nodig? Laat het ons weten!

Medische apparatuur vatbaar voor virussen

Geplaatst op door

Medische apparatuur blijkt vatbaar voor virussen. Voor informatici in de zorg is dit eigenlijk geen nieuws. Wel is het nieuws dat dit nu eindelijk in het nieuws komt. Want onafhankelijk onderzoek toont nu aan wat velen al lang weten: veel medische apparatuur is daadwerkelijk besmet met virussen en andere malware. Gewetensvraag: Is dat erg? Het vervelende is dat we het niet weten. Veel malware zal mogelijk weinig invloed uitoefenen op de kwaliteit van de CT of de MRI. Maar hoe veilig voelt u zich als u weet dat uw hartbewakingsapparaat op afstand bestuurd kan worden door criminelen uit wie weet welk land? Voorkomen is beter dan genezen…

Dit soort problematiek speelt overigens niet alleen in de zorg. SCADA-systemen bijvoorbeeld (systemen die bruggen, sluizen, fabrieken, raffinaderijen, en dergelijke besturen), uit allerlei sectoren worden vaak zomaar aan computernetwerken en daarmee ook aan internet gekoppeld, zonder dat de risico’s daarvan goed zijn onderzocht. Maar dit soort systemen zijn helemaal niet ontworpen en gebouwd om publiekelijk bereikbaar te zijn. De besturingskasten van dit soort systemen staan van oudsher in een beveiligde ruimte, waar veelal gelaagde beveiliging wordt toegepast, om zeker te zijn dat onbevoegden niet zomaar bij de bedieningspanelen kunnen. Het koppelen van dit soort systemen aan internet omzeilt deze beveiliging volledig, “omdat het zo handig is er op afstand bij te kunnen”.

Ditzelfde geldt ook voor medische apparatuur. Ziekenhuispersoneel krijgt zeer specialistische opleidingen om de apparatuur te mogen bedienen. De apparatuur is dan ook ontworpen en gebouwd om bediend te worden door mensen met kennis van zaken. Tot zover gaat het goed. Echter, ook hier kan het koppelen van de apparatuur aan het netwerk (en daarmee meestal ook aan internet) nooit de bedoeling zijn geweest. Maar omdat een interface snel gebouwd is en er allerlei redenen te bedenken zijn waarom het “zo handig” is er op afstand bij te kunnen worden dit soort koppelingen zomaar toegestaan.

Maar wiens verantwoordelijkheid is eigenlijk de beveiliging van dergelijke apparaten? Is het niet de taak van de fabrikant om een veilig apparaat op te leveren en te zorgen dat de patiëntgegevens veilig worden verwerkt? En dat de apparatuur gegarandeerde resultaten geeft? Vanuit security-design vind ik het onvoorstelbaar dat malware in staat is zich te nestelen op dergelijke dure en specialistische apparatuur (waar blijkbaar standaardcomponenten en -systemen aan ten grondslag liggen). En ligt er ook verantwoordelijkheid bij de zorginstelling? Lijkt me wel. Want de zorginstelling treedt op als behandelaar. Daarom is het belangrijk om sowieso eisen te stellen aan de fabrikant. Maar blijkt het gezien voornoemde problematiek nodig dat monitoren en toetsen van netwerkverkeer op kwaadaardige inhoud plaatsvindt, zo ook de medische apparatuur. En wat doet een USB-stick in een hartbewakingsapparaat…?

Informatiebeveiliging moet zeker niet de Business Prevention Department van de zorginstelling worden. Of in dit geval de Healthcare Prevention Department. Maar… informatiebeveiliging kan er wel voor zorgen dat patiënten met een vertrouwder gevoel hun behandeling kunnen ondergaan, zonder zich zorgen te hoeven maken over een virus op de MRI of ander apparaat.

Hoe doe je dat dan? Niet door alles te verbieden en tegen te werken, maar door de risico’s in kaart te brengen en samen met het bestuur de juiste maatregelen te kiezen om de apparatuur en bijbehorende informatiestromen te beschermen, zodat een goede behandeling gewaarborgd blijft.

SecVision, specialist in informatiebeveiliging en privacy

Uitgelicht

Geplaatst op door

Welkom bij SecVision, specialist op het gebied van informatiebeveiliging en privacy. Op deze pagina vindt u onze blogs. Verder kunt u hier kennismaken met ons en onze diensten. We vinden het leuk als u contact met ons opneemt! We drinken graag een kop koffie of thee met u om te bespreken wat we voor u en uw organisatie kunnen betekenen.

Zoekt u hulp bij security en privacy? We helpen u graag met vraagstukken op het gebied van ISO27001, ISO27002, NEN7510, CIS Controls en AVG/GDPR (Algemene Verordening Gegevensbescherming / General Data Protection Regulation).

Help, onze bedrijfsgegevens zijn gegijzeld!

Geplaatst op door

Stel je eens voor, je komt ’s morgens op je werk en het hele bedrijf zit op slot en de sloten zijn vervangen. Zelfs met een breekijzer kom je er niet meer in. Je kan niet meer bij je spullen, niet bij je apparatuur, niet bij je documenten, niet bij je contracten, niet bij je administratie, niet bij je voorraad onderhanden werk, niet bij je productieplanning, etc. Ondenkbaar? In de “fysieke” wereld misschien wel.

Maar het komt steeds vaker voor dat bedrijven slachtoffer worden van ransomware: een soort virus dat alle bestanden versleutelt met een voor jou onbekend wachtwoord. En tegen betaling van een bepaald bedrag krijg je het wachtwoord om je gegevens te ontsleutelen. Zowel particulieren als kleine en grote bedrijven en organisaties hebben hier last van. Wat doe je? Betaal je?

Of een ander scenario: je krijgt een bericht vanuit obscure hoek: we hebben je klantenbestand gestolen. Of andere gevoelige informatie. En als je niet binnen 48 uur geld betaalt, zetten we die bestanden publiekelijk op internet. Wat doe je? Betaal je?

Binnen informatiebeveiliging is Business Continuity een veel besproken onderwerp. Maar dan wordt er vaak rekening gehouden met rampen als brand, storm en dergelijke. Hooguit wordt er nog nagedacht over een mislukte back-up en dat die regelmatig getest moet worden. Maar wat als je data wordt gegijzeld door cybercriminelen? Wat doe je? Betaal je? Of heb je van tevoren nagedacht over dit soort scenario’s en kun je hier op een verantwoorde manier mee omgaan? Of liever: kun je dit voorkomen?

Dat betekent wel dat je van tevoren maatregelen moet nemen. Zorg dan ook dat je de risico’s van je organisatie kent en passende maatregelen neemt tegen de risico’s die je organisatie loopt. Voorkomen én genezen :-).

Je beveiliging beveiligd?

Geplaatst op door

cameraVeel bedrijven, maar ook steeds meer particulieren maken gebruik van IP-camera’s als beveiligingsmaatregel. Ik laat in het midden of dat een goede ontwikkeling is, maar makkelijk is het wel; waar en wanneer je maar wil kun je zien wat er gebeurt onder het oog van je camera.

Laatst sprak ik met een vakbroeder die gespecialiseerd is in videobewaking en veel kennis heeft van dit soort apparatuur. Hij constateert dat klanten een IP-camera behandelen als een ouderwetse analoge camera: gewoon uit de doos halen en aanzetten. Terwijl een IP-camera feitelijk een computer is die geconfigureerd en beveiligd moet worden. Je moet er over nadenken hoe je de camera gaat koppelen en wie er waarom allemaal toegang mogen hebben tot deze camera.

Een beveiligingscamera is een informatiemiddel als alle anderen geworden. Helaas met allerlei kwetsbaarheden erin. En fabrikanten van dat soort producten hebben geen “patch Tuesday”, zoals bijvoorbeeld Microsoft dat heeft. Wel eens een risicoanalyse op de camera-omgeving gedaan? Uitkomst wordt waarschijnlijk dat de camera’s gewoon onder het informatiebeveiligingsbeleid horen te vallen, gewoon een classificatie meekrijgen, gewoon onder de processen patch management en change management vallen, en gewoon onderdeel moeten zijn van het autorisatiebeheer.

Conclusie? Klinkt misschien vreemd, maar ook beveiligingsmaatregelen moeten worden beveiligd!

Houdt het nou nooit op?

Geplaatst op door

Het gaat maar door, die meldingen over vertrouwelijke gegevens die op straat komen te liggen, over verstoorde dienstverlening door DDoS aanvallen, over DigID-oplichting, marktplaatsfraude en over (bedrijfs)spionage door allerlei inlichtingendiensten. “Houdt het nou nooit op?”, vraag je je misschien wel eens af. Ik denk dat het antwoord kort is: inderdaad, het houdt nooit op. Sterker, ik denk dat dit slechts het begin is.

Niet om FUD (fear, uncertainty and doubt) te verkondigen, maar ben je je bewust van de risico’s die jouw organisatie loopt? En beheers je deze risico’s? En wat doe je als het klantenbestand ineens op straat blijkt te liggen? Of wanneer je webshop onderuit ligt? Of als je bedrijfsgeheimen bij de concurrent terecht komen? Kun je dat voorkomen, en heb je een plan klaarliggen hoe om te gaan met een incident?

Probeer er eens gestructureerd over na te denken. Een norm als de ISO27001 kan hierbij een prima hulpmiddel zijn. Niet om een papieren tijger te creëren, maar om er uit te halen wat relevant is. Certificering op zo’n norm is dan niet eens noodzaak, maar als referentiekader prima toepasbaar.

Er wordt wel eens beweerd dat certificering op ISO27001 helemaal niets brengt. Ik denk echter van wel. De norm helpt je om na te denken over de verschillende informatiestromen en -systemen binnen je organisatie en hoe deze adequaat te beveiligen: hoe je de beschikbaarheid, integriteit en vertrouwelijkheid van je informatie waarborgt. Met een ISO27001 certificering verplicht je jezelf om in ieder geval één keer per jaar eens goed na te denken over de risico’s die je als organisatie loopt en welke maatregelen je daartegen neemt.

Beveiligings- en privacyrisico’s worden helaas steeds groter. 100% veiligheid valt niet te creëren, maar als je voorbereid bent, weet je in ieder geval wat te doen bij een incident en ben je in staat de gevolgen beperken.

Enne… laat eens een onderzoek doen door een legal hacker om te toetsen hoe gemakkelijk gegevens bij jouw organisatie te achterhalen zijn!

Wat er niet op staat, staat er niet op…

Geplaatst op door

Momenteel circuleert er een filmpje over internet waarin willekeurige voorbijgangers in een stad bij een “waarzegger” langsgaan. Deze waarzegger bevindt zich in een soort circustent in een drukke winkelstraat. De bezoekers zijn gefascineerd over wat de waarzegger allemaal over hen weet te vertellen. Van waar ze wonen tot de lichamelijke kwalen waar ze al een tijdje last van hebben. Het wordt helemaal ongelofelijk als de waarzegger ook nog eens allerlei financiële feiten opsomt, waaronder het bedrag wat vorige maand aan kleding is uitgegeven, welk saldo er nu op de rekening staat én welk rekeningnummer de bezoeker heeft.

Als clou blijkt de waarzegger helemaal geen waarzegger te zijn, maar wordt hij gesouffleerd door een team gemaskerde(?) “hackers” (sinds wanneer dragen hackers maskers?). Terwijl het slachtoffer op bezoek is, wordt real-time op internet naar gegevens gezocht in publieke systemen. De waarzegger vertelt het slachtoffer dus feitelijk informatie die publiek op internet staan.

Het filmpje blijkt een initiatief te zijn van de Belgische federatie van de financiële sector. De doelstelling is bewustwording te creëren voor veilig internetbankieren. Gezien de reacties op dit filmpje lijkt de opzet prima geslaagd.

Echter, bij het zien vroeg ik me direct af hoe realistisch het filmpje nu is. Zijn er écht mensen die hun bankrekeningnummer op Facebook zetten? Of hun saldo doortwitteren? Persoonlijk ken ik ze (voor zover ik weet) niet. Het blijkt dat het filmpje door een reclamebureau is gemaakt. Daarmee ga ik er vanuit dat het hele filmpje geacteerd is, inclusief de slachtoffers. Is daarmee het hele filmpje onzin en feitelijk onjuist?

Dat vraag ik me af. Tijdens bewustwordingssessies kom ik toch met grote regelmaat mensen tegen die rustig op hun (niet-afgeschermde) Facebook–pagina zetten dat het erg leuk is op vakantie. En dat terwijl hun woonplaats en andere persoonlijke informatie er gewoon publiek bij staat. Even naam en woonplaats intypen op de digitale telefoongids en je weet precies waar ’s nachts wat te halen valt, zonder dat je lastig wordt gevallen.

Nu kun je er eens een uurtje voor gaan zitten en de privacy-instellingen van Facebook eens aanscherpen. Op hetzelfde moment kun je dan nadenken over wat je wel en wat je niet op Facebook hoort te zetten.

Maar wat een werk allemaal, en waarom zo ingewikkeld doen? Misschien is het wel veiliger als je gewoon je negatieve banksaldo op Facebook zet. Weet gelijk de hele wereld dat er bij jou niets te halen valt.

Welkom bij SecVision

Geplaatst op door

Hulp nodig bij beveiligings- of privacyvraagstukken? SecVision helpt u zonder het ingewikkeld te maken. Altijd passend bij uw organisatie.

SecVision is een kleinschalig bedrijf met veel expertise op het gebied van informatiebeveiliging en privacy, met zo’n 20 jaar ervaring in diverse branches als zorg, notariaat, IT, overheden en de grootzakelijke markt.

Normen als ISO27001, ISO27002, NEN7510 en Baseline Informatiebeveiliging Overheid (BIO) kennen voor SecVision geen geheimen. En dat geldt ook voor de Algemene Verordening Gegevensbescherming (AVG/GDPR). Wij helpen u dan ook graag met specifieke vraagstukken of certificering.

SecVision is gespecialiseerd in de organisatorische kant van informatiebeveiliging. Kernwoorden hierbij zijn information security management, risicomanagement en bewustwordingsprogramma’s. SecVision richt zich op kortdurende projecten, waarbij we uw organisatie een vliegende start geven en informatiebeveiliging (al dan niet opnieuw) op de kaart zetten.

Informatie is er in veel soorten en maten. Als informatiebeveiliger houden wij ons bezig met het waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid van deze drie vormen van uw informatie. Hierbij vinden wij het belangrijk dat we onderwerpen als bruikbaarheid, werkbaarheid en efficiency niet uit het oog te verliezen. We zoeken daarom altijd naar de juiste balans tussen werkbaarheid en veiligheid.