Meteen naar de inhoud

Security

Assume breach

  • Blog

Traditionele informatiebeveiliging richt zich op het buitenhouden van een aanvaller uit een vertrouwde omgeving. Bijvoorbeeld een kantoorpand of lokaal netwerk. Tegenwoordig beschikken aanvallers echter over geavanceerde technieken én werken mensen veel meer vanuit huis, op verschillende (managed) devices.

‘Assume breach’ betekent dat je onderzoekt (en reageert) met het idee dat een aanvaller reeds toegang heeft: Staan er onbeveiligde toegangscodes of documenten in ons netwerk? Kun je overal meteen bij? Mag je zomaar software installeren? Deze manier van denken geeft richting om verder te gaan dan firewalls en wachtwoorden.

Google maar eens voor informatie hierover.

Volwassenheidsmodel informatiebeveiliging

  • Blog

Weten hoe het staat met de informatiebeveiliging over de volledige breedte? Daar is het ‘volwassenheidsmodel informatiebeveiliging‘ van de NBA (Accountants) een mooi hulpmiddel voor.

Via workshops met belanghebbenden kan er op ongeveer 80 onderdelen worden bepaald hoever de organisatie is. Er wordt daarna direct de link gelegd met bekende frameworks om verbeteringen te implementeren.

Shift Left Security

  • Blog

Eerder nadenken over informatiebeveiliging is een mooi streven. Het voorkomt dat het werk achteraf opnieuw moet worden gedaan. Binnen softwareontwikkeling heeft dit de naam ‘Shift Left Security‘, omdat zo aan het begin van een proces (links) security aan bod komt.

Overigens hoeft het niet per se een technische discussie te zijn: belanghebbenden uit de business kunnen zelf ook een shift left maken door security op te nemen in beleid, acceptatiecriteria en checklists. Vanuit de Avg zijn privacy by design & default inmiddels bekende hieraan gerelateerde onderwerpen.

Starten met informatiebeveiliging

  • Blog

Beginnen met het verbeteren van de informatiebeveiliging kan een lastige opdracht zijn. Een hulpmiddel is het uitvoeren van een risicoanalyse. Deze doorloopt globaal gezien altijd de volgende fasen: (1) bepaal de belangrijkste informatiesystemen/stromen, (2) koppel de dreigingen en kwetsbaarheden, en (3) selecteer en pas de juiste maatregelen toe. Herhaal dit proces jaarlijks of bij veranderingen.

Het is gelukkig niet nodig om alles zelf te bedenken: gebruik bijvoorbeeld ‘SPARK‘ als model, ‘MAPGOOD‘ voor de dreigingen of ‘RAVIB‘ als complete tool voor een risicoanalyse.