De CIS Controls voor wie (nog) niet toe is aan ISO27001?

“Hoe krijg ik in mijn bedrijf de IT-beveiliging op orde, zonder dat ik met dat ISO-gedoe aan de slag moet?” is een regelmatig gestelde vraag. De ISO27001 norm is inderdaad veel gevraagd als waarborg voor het onder controle hebben van informatiebeveiliging. Hoewel er veel is af te dingen op deze norm, biedt hij ook veel voordelen. Door de ISO27001 word je als organisatie gedwongen om structureel bezig te zijn met veel verschillende onderwerpen, zowel technisch als organisatorisch van aard. Naast het managementsysteem (de plan-do-check-act cyclus) voor informatiebeveiliging zijn er ook 114 beschreven maatregelen waar je aantoonbaar over nagedacht moet hebben. En tegelijk: dat is nogal wat. Daarom de vraag of het met minder ook goed genoeg kan.

Een ander kader waarover je steeds meer hoort zijn The CIS Critical Security Controls for Effective Cyber Defense. De CIS Controls (voorheen bekend als de SANS Critical Security Controls) is een lijst met 20 maatregelen, verdeeld over een drietal groepen: basic, foundational en organizational. De gedachte is dat wanneer een organisatie deze basishygiëne op orde heeft, het grootste gedeelte van alle cyber-ellende voorkomen kan worden.

In tegenstelling tot de ISO27001 zijn de CIS Controls meer technisch van insteek. Ook bevat de CIS Controls geen richtlijnen voor een plan-do-check-act cyclus. De twee kaders mogen dus eigenlijk niet met elkaar worden vergeleken.

Maar wat heb je precies aan de CIS Controls? Nou, heel veel!

De 6 Basic controls van CIS controls beogen het volgende: 

  • zorg dat je weet welke hardware en software je hebt en dat deze up-to-date zijn;
  • zorg dat alles veilig is geconfigureerd;
  • controleer regelmatig op kwetsbaarheden;
  • controleer je logbestanden en onderneem actie op basis van je constateringen.

De 10 Foundational controls gaan een stapje verder en gaan onder andere in op:

  • E-mail- en webbrowser-beveiliging en antivirus;
  • Beveiliging van (bedrade en draadloze) netwerken;
  • Back-up en (vooral) restore van data;
  • Controle over toegang tot gegevens en gebruikersaccounts.

Op organisatorisch vlak zeggen de CIS Controls:

  • Zorg voor een security awareness programma;
  • Beheers de security-levenscyclus van alle intern ontwikkelde én aangekochte software, om kwetsbaarheden te voorkomen, detecteren en corrigeren;
  • Zorg dat incidenten herkend worden en dat adequaat en beheerst op reageert;
  • Voer penetratietests en oefeningen uit om met aanvallen om te gaan.

Is dit echt zoveel minder dan ISO27001?

Een goed lezer ziet in deze onderwerpen een grote overlap met ISO27001. Daar waar de CIS Controls veelal een technische insteek hebben is ondersteuning van de benoemde techniek door gedegen bedrijfsprocessen een must om ze werkend te krijgen.

De 20 CIS Controls zijn ieder voorzien van meerdere subcontrols. In totaal zijn dit er meer dan 180(!). Gelukkig is in de laatste versie van de CIS Controls een handreiking gekomen voor welke controls toegepast kunnen worden bij welk type organisatie: klein, medium en groot (gerelateerd aan middelen en expertise).

Voor een organisatie in Group 1 blijven er van de 183 maatregelen nog 43 over. Met de gedachte: wanneer deze 43 maatregelen onder controle zijn, dan heeft de organisatie in ieder geval een goede basishygiëne voor informatiebeveiliging.

Zijn de CIS Controls een alternatief voor ISO27001? Dat hangt van veel factoren af. Maar het is altijd goed om binnen een bepaald kader te werken. De CIS Controls houden rekening met het (IT-)volwassenheidsniveau van de organisatie. Wat dat betreft zijn de CIS Controls goed nieuws voor kleine bedrijven die met beperkte mogelijkheden toch structureel aan informatiebeveiliging willen werken.

Meer weten? Een keer afspreken is uiteraard geen probleem.

SecVision, specialist in informatiebeveiliging en privacy

Uitgelicht

Welkom bij SecVision, specialist op het gebied van informatiebeveiliging en privacy. Op deze pagina vindt u onze blogs. Verder kunt u hier kennismaken met ons en onze diensten. We vinden het leuk als u contact met ons opneemt! We drinken graag een kop koffie of thee met u om te bespreken wat we voor u en uw organisatie kunnen betekenen.

Zoekt u hulp bij security en privacy? We helpen u graag met vraagstukken op het gebied van ISO27001, NEN7510, CIS Controls en AVG/GDPR (Algemene Verordening Gegevensbescherming / General Data Protection Regulation)

Help, onze bedrijfsgegevens zijn gegijzeld!

Stel je eens voor, je komt ’s morgens op je werk en het hele bedrijf zit op slot en de sloten zijn vervangen. Zelfs met een breekijzer kom je er niet meer in. Je kan niet meer bij je spullen, niet bij je apparatuur, niet bij je documenten, niet bij je contracten, niet bij je administratie, niet bij je voorraad onderhanden werk, niet bij je productieplanning, etc. Ondenkbaar? In de “fysieke” wereld misschien wel.

Maar het komt steeds vaker voor dat bedrijven slachtoffer worden van ransomware: een soort virus dat alle bestanden versleutelt met een voor jou onbekend wachtwoord. En tegen betaling van een bepaald bedrag krijg je het wachtwoord om je gegevens te ontsleutelen. Zowel particulieren als kleine en grote bedrijven en organisaties hebben hier last van. Wat doe je? Betaal je?

Of een ander scenario: je krijgt een bericht vanuit obscure hoek: we hebben je klantenbestand gestolen. Of andere gevoelige informatie. En als je niet binnen 48 uur geld betaalt, zetten we die bestanden publiekelijk op internet. Wat doe je? Betaal je?

Binnen informatiebeveiliging is Business Continuity een veel besproken onderwerp. Maar dan wordt er vaak rekening gehouden met rampen als brand, storm en dergelijke. Hooguit wordt er nog nagedacht over een mislukte back-up en dat die regelmatig getest moet worden. Maar wat als je data wordt gegijzeld door cybercriminelen? Wat doe je? Betaal je? Of heb je van tevoren nagedacht over dit soort scenario’s en kun je hier op een verantwoorde manier mee omgaan? Of liever: kun je dit voorkomen?

Dat betekent wel dat je van tevoren maatregelen moet nemen. Zorg dan ook dat je de risico’s van je organisatie kent en passende maatregelen neemt tegen de risico’s die je organisatie loopt. Voorkomen én genezen :-).

Je beveiliging beveiligd?

cameraVeel bedrijven, maar ook steeds meer particulieren maken gebruik van IP-camera’s als beveiligingsmaatregel. Ik laat in het midden of dat een goede ontwikkeling is, maar makkelijk is het wel; waar en wanneer je maar wil kun je zien wat er gebeurt onder het oog van je camera.

Laatst sprak ik met een vakbroeder die gespecialiseerd is in videobewaking en veel kennis heeft van dit soort apparatuur. Hij constateert dat klanten een IP-camera behandelen als een ouderwetse analoge camera: gewoon uit de doos halen en aanzetten. Terwijl een IP-camera feitelijk een computer is die geconfigureerd en beveiligd moet worden. Je moet er over nadenken hoe je de camera gaat koppelen en wie er waarom allemaal toegang mogen hebben tot deze camera.

Een beveiligingscamera is een informatiemiddel als alle anderen geworden. Helaas met allerlei kwetsbaarheden erin. En fabrikanten van dat soort producten hebben geen “patch Tuesday”, zoals bijvoorbeeld Microsoft dat heeft. Wel eens een risicoanalyse op de camera-omgeving gedaan? Uitkomst wordt waarschijnlijk dat de camera’s gewoon onder het informatiebeveiligingsbeleid horen te vallen, gewoon een classificatie meekrijgen, gewoon onder de processen patch management en change management vallen, en gewoon onderdeel moeten zijn van het autorisatiebeheer.

Conclusie? Klinkt misschien vreemd, maar ook beveiligingsmaatregelen moeten worden beveiligd!

Welkom bij SecVision

SecVision is een kleinschalig bedrijf met veel expertise op het gebied van informatiebeveiliging en privacy. Met meer dan 12 jaar ervaring in diverse branches als lokale overheid, zorg, energie en de grootzakelijke markt. Normen als ISO27001/27002 en NEN7510 kennen voor SecVision geen geheimen.

SecVision is gespecialiseerd in de organisatorische kant van informatiebeveiliging. Kernwoorden hierbij zijn information security management, risicomanagement en bewustwordingsprogramma’s. SecVision richt zich op kortdurende projecten, waarbij we uw organisatie een vliegende start geven en informatiebeveiliging (al dan niet opnieuw) op de kaart zetten.

Informatie is er in veel soorten en maten. Als informatiebeveiliger houden wij ons bezig met het waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid van deze drie vormen van uw informatie. Hierbij vinden wij het belangrijk dat we onderwerpen als bruikbaarheid, werkbaarheid en efficiency niet uit het oog te verliezen. We zoeken daarom altijd naar de juiste balans tussen werkbaarheid en veiligheid.