Update

Het Cybersecurity Dreigingsbeeld en advies rapport is uit! Download hem hier.

Lees verder

We zien het steeds vaker in het nieuws. Een organisatie is getroffen door datadiefstal. Hoe kan het zo zijn dat een infrastructuur door iemand van buitenaf betreden wordt? In de meeste gevallen gebeurt dit door een kwetsbaarheid binnen de infrastructuur welke niet is opgevallen. Had dit voorkomen kunnen worden? In 99% van de gevallen is dit zeker te voorkomen. Hiervoor dien je natuurlijk wel te weten waar deze kwetsbaarheid zich bevindt en wat je kunt doen om deze op te lossen. Hier gebruiken we Vulnerability management systemen voor.

Wat is Vulnerability management?

Vulnerability management betekent eigenlijk niks anders als je kwetsbaarheden beheren. Dit houdt in dat je in kaart brengt waar en welke risico’s er in jouw infrastructuur leven. Want hoe beter je je kwetsbaarheden kent, hoe beter je je ervoor kunt beveiligen. Het doel van vulnerability management is om de algehele blootstelling aan risico’s van een organisatie te verkleinen, door zoveel mogelijk beveiligingsproblemen te verhelpen. Dit kan een uitdagende taak zijn, afhankelijk van het aantal potentiële beveiligingsproblemen en de beperkte resources die beschikbaar zijn voor herstel. Vulnerability management moet een continu proces zijn, om op de hoogte te blijven van nieuwe en opkomende bedreigingen en veranderende omgevingen.

Hoe doet een Vulnerability Management systeem dit?

Een vulnerability managementsysteem heeft een zogenoemde scanner die de gegevens verzameld. Het proces gaat in het kort als volgt:

De scanner gaat elke gedefinieerde asset eerst af met een reconnaissance fase. Dit is een fase waar eerst alle informatie over deze asset wordt verzameld, ook wel footprinting genoemd.

Dit zijn gegevens zoals het operating system en welke soorten connectie protocollen er open staan en ook de software wat mogelijk op deze asset geïnstalleerd staat. Daarnaast worden de versie nummers opgehaald. In deze fase wordt er dus zoveel mogelijk informatie verzameld over deze asset.

Vervolgens worden de resultaten tegen een database vergeleken waarin alle bekende kwetsbaarheden staan voor bepaalde versies software en protocollen. Ook kan het systeem deze kwetsbaarheid testen op de asset om er zeker van te zijn dat het geen false positive is. Hiermee bevestigt het systeem dat deze kwetsbaarheid te misbruiken is.

We krijgen dan een overzicht te zien welke kwetsbaarheden er binnen deze asset leeft en hoe we dit kunnen oplossen om te voorkomen dat er misbruik van gemaakt wordt.

Waarom is het belangrijk om Vulnerability Management te hebben?

Hiermee kunnen we kwetsbaarheden in kaart brengen en deze oplossen voordat er misbruik van gemaakt wordt. Als je niet weet waar je kwetsbaarheden binnen je infrastructuur ligt, kan je deze moeilijk oplossen. Maatregelen treffen om zoveel mogelijk veilig te blijven doormiddel van EDR of antivirus oplossingen is goed, maar als de software binnen je infrastructuur niet meer veilig is en je bent hier niet van op de hoogte, loop je mogelijk een risico dat je een indringer een mogelijkheid geeft om je infrastructuur binnen te treden.

Voordelen van vulnerability management

Hieronder staan enkele voordelen van vulnerability management:

  1. Verminderen van risico’s: Door kwetsbaarheden proactief te identificeren en te behandelen, kan de kans op beveiligingslekken worden verminderd. Dit helpt organisaties om hun IT-systemen en -infrastructuur beter te beschermen tegen aanvallen en cybercriminaliteit.
  2. Efficiëntie: Vulnerability management stelt organisaties in staat om de beveiligingsrisico’s van hun IT-systemen en -infrastructuur te prioriteren op basis van de ernst van de kwetsbaarheden. Dit stelt organisaties in staat om hun beperkte middelen en tijd efficiënter in te zetten en prioriteit te geven aan de belangrijkste kwetsbaarheden.
  3. Compliance: Veel organisaties hebben te maken met beveiligingsregelgeving en compliance-eisen, zoals de GDPR (AVG) of ISO 27001. Vulnerability management helpt organisaties om aan deze eisen te voldoen door kwetsbaarheden te identificeren en aan te pakken.
  4. Kostenbesparing: Door kwetsbaarheden proactief te identificeren en te behandelen, kunnen organisaties de kosten van datalekken en andere beveiligingsincidenten verminderen. Dit kan ook helpen om de kosten van beveiligingsinvesteringen in de toekomst te verminderen.
  5. Betrouwbaarheid: Het identificeren en aanpakken van kwetsbaarheden verbetert de betrouwbaarheid van IT-systemen en -infrastructuur. Dit kan helpen om de continuïteit van bedrijfsprocessen te waarborgen en downtime te voorkomen.

Kortom, vulnerability management is een belangrijk onderdeel van een effectieve IT-beveiligingsstrategie. Het kan organisaties helpen om hun IT-systemen en -infrastructuur veiliger, efficiënter en betrouwbaarder te maken.

Wat kan Pinewood hierin betekenen voor jouw organisatie?

Bij Pinewood werken we al langere tijd met Vulnerability management as a service voor onze klanten. Wij zijn een managed security service provider voor Rapid7 producten. Onze engineers zijn dus gecertificeerd en gespecialiseerd voor de producten die wij leveren en gebruiken van Rapid7.

Wij kunnen jouw organisatie helpen met het in kaart brengen van kwetsbaarheden binnen jouw infrastructuur, het advies en begeleiding hierin geven voor een veiligere infrastructuur, en natuurlijk jouw organisatie een stuk veiliger maken in dit digitale tijdperk.

Arthur van Vliet

Sales Manager

06 – 53 93 88 38

arthur.vanvliet@pinewood.nl

TikTok is een van de snelst groeiende social media platformen ter wereld. Via de app kunnen gebruikers video’s maken en delen. Het sociale media platform is gigantisch populair maar brengt helaas ook risico’s met zich mee. Wat zijn deze risico’s en welke maatregelen zouden alle organisaties moeten nemen als het gaat om het beveiligen van zakelijke mobiele telefoons? Lees hier alles over in dit blog. 

De kwetsbaarheden van TikTok

Het beveiligingsrisico rondom het gebruik van TikTok heeft twee oorzaken: Ten eerste verzamelt TikTok veel persoonlijke informatie van gebruikers, zoals locatiegegevens, browser geschiedenis en zoekopdrachten. Die informatie wordt gecombineerd met informatie over je gebruik van de app; aan de hand van welke filmpjes je wel- en niet leuk vindt en met de al gegeven informatie wordt een zo specifiek mogelijk profiel opgebouwd van gebruikers. Hiermee kunnen hele gerichte advertenties aangeboden worden. 

Chinese inmenging op bedrijfsvoering

Voor de meeste bedrijven lijkt het risico en de impact van Chinese inmenging op de bedrijfsvoering maar gering. Het is wel belangrijk voor bedrijven om na te denken over de beveiliging van mobiele telefoons die zakelijk worden gebruikt. Spionage is niet het enige beveiligingsrisico gerelateerd aan mobiele telefoons. 

Als mobiele telefoons onvoldoende beveiligd zijn kan er een datalek ontstaan: zonder dat medewerkers er bewust van zijn laten zij bijvoorbeeld zakelijke gegevens back-uppen naar Cloud-oplossingen als Dropbox of Google Drive. Zo raken organisaties de grip kwijt waar hun gegevens opgeslagen staan. Er zijn ook voorbeelden van phishing of ceo-fraude via Whatsapp om wachtwoorden te ontfutselen of betalingen te laten goedkeuren. Om je als organisatie tegen dit soort risico’s te beschermen moet er een beleid worden opgesteld waarin het veilig omgaan met mobiele apps wordt beschreven. Je kan daarnaast denken aan technische maatregelen als het implementeren van containerization of het beperken van toegestane apps om deze risico’s verder in te perken. 

Containerization is één van de oplossingen

Containerization is een technologie waarmee bedrijven de zakelijke gegevens en apps kunnen scheiden van de persoonlijke gegevens en apps op het mobiele apparaat. Dit wordt vaak toegepast als er sprake is van een Bring Your Own Device (‘BYOD’)-beleid. Doordat alle zakelijke gegevens in een beveiligde container worden geplaatst die wordt versleuteld en alleen toegankelijk is met een specifieke pincode, wachtwoord of biometrische gegevens blijft de data beschermd, ook al gebruiken medewerkers hun eigen privé toestel. Als de e-mails op een telefoon binnen de specifieke applicatie in zo’n container staan, kan bijvoorbeeld worden ingesteld dat zakelijke e-mails en bijlages niet op de algemene opslag van de telefoon worden opgeslagen. Dit kan door andere apps dan niet meer worden benaderd. Op die manier wordt voorkomen dat automatische back-ups naar Onedrive, Dropbox, Google Drive of iCloud van zakelijke gegevens plaatsvinden. Als het apparaat verloren of gestolen wordt is de data eveneens beschermd vanwege de encryptie, vaak kunnen de apps op dat moment op afstand worden verwijderd. 

Dit is een flexibele oplossing waarbij de eindgebruikers veel controle houden over hun (privé-) toestel, de maatregelen om zakelijke gegevens te beschermen worden beperkt tot de data zelf.
Zou een medewerker Tiktok of andere software privé gebruiken zijn er technische beperkingen waardoor de toegang tot zakelijke gegevens technisch is geblokkeerd. 

Zakelijk en privé gescheiden houden

De overheid kiest er echter voor om voortaan alléén toegestane apps op zakelijke mobiele telefoons toe te staan.
Door alleen goedgekeurde apps toe te staan, kunnen organisaties ervoor zorgen dat alleen betrouwbare apps worden gebruikt waar geen risico is op spionage of andere beveiligingsrisico’s. Ook wordt op die manier beperkt dat gevoelige informatie via onveilige apps wordt gedeeld en zou beargumenteerd kunnen worden dat medewerkers minder snel afgeleid zullen raken omdat ze geen spelletjes of andere afleidende apps op hun werktoestel kunnen installeren. 

Als dit beleid wordt toegepast op BYOD levert dit vaak veel weerstand op, medewerkers raken dan de controle over hun eigen toestel kwijt. Je ziet deze maatregel dus eigenlijk alleen bij zakelijke toestellen die door de werkgever zelf worden uitgegeven en beheerd, en ook dan levert dat weerstand op. Medewerkers lopen daardoor vaak rond met zowel een zakelijk en een privé toestel. 

Advies van Pinewood

Pinewood adviseert daarom ook als eerste te bepalen welke risico’s specifiek van toepassing zijn op de organisatie en de huidige manier waarop medewerkers een zakelijke telefoon gebruiken. Op basis van je risico’s kan je vervolgens een beleid opstellen waarin de juiste maatregelen worden vastgesteld:

  • Welk gedrag van medewerkers verwacht wordt
  • Welke technische maatregelen daarbij geïmplementeerd moeten worde

Onze Pinewood Security Consultants kunnen organisaties verder ondersteunen bij het bepalen van de relevante risico’s en maatregelen om je hiertegen te beschermen.

Arthur van Vliet

Sales Manager

06 – 53 93 88 38

arthur.vanvliet@pinewood.nl

Training ISO/IEC 27001 Lead Implementer (Incl. PECB-certificering + examen)

Deze ISO/IEC 27001 Lead Implementer training stelt u in staat de nodige expertise te ontwikkelen om een organisatie te ondersteunen bij het opzetten, implementeren, beheren en onderhouden van een Information Security Management System (ISMS) op basis van ISO/IEC 27001. Tijdens deze training behandelen wij ook de best practices van Information Security Management Systems om de gevoelige informatie van de organisatie te beveiligen en de algemene prestaties en effectiviteit te verbeteren. Na het beheersen van alle noodzakelijke concepten van Information Security Management Systems, kunt u deelnemen aan het examen en een aanvraag indienen voor een “PECB Certified ISO/IEC 27001 Lead Implementer”. Met een PECB Lead Implementer-certificaat kunt u aantonen dat u beschikt over de volgende praktische kennis en de professionele capaciteiten hebt om ISO/IEC 27001 in een organisatie te implementeren.

Voor wie?

Managers of consultants betrokken bij informatiebeveiliging, expert adviseurs die met de implementatie van een Information, Security Management System werken, individuen die verantwoordelijk zijn voor het handhaven van de conformiteit met de ISMS-eisen en ISMS-teamleden.

Het doel van deze training

  1. De concepten, benaderingen, methoden en technieken beheersen die worden gebruikt voor de implementatie en het effectieve beheer van een ISMS
  2. Leren hoe u de ISO/IEC 27001 vereisten kunt interpreteren in de specifieke context van een organisatie
  3. Leren hoe u een organisatie kunt ondersteunen bij het effectief plannen, implementeren, beheren, bewaken en onderhouden van een ISMS
  4. Een organisatie kunnen adviseren bij de implementatie en best practices voor het beheer van informatiebeveiliging

Tijdens deze 4-daagse training behandelen we de volgende domeinen:

  • Domein 1: Fundamentele beginselen en concepten van een informatie beheer systeem voor informatiebeveiliging (ISMS)
  • Domein 2: Beheersingsmaatregelen voor informatiebeveiliging en best practices op basis van ISO/IEC 27002
  • Domein 3: Planning van een ISMS-implementatie op basis van ISO/IEC 27001
  • Domein 4: Implementatie van een ISMS op basis van ISO/IEC 27001
  • Domein 5: Prestatiebeoordeling, bewaking en meting van een op ISO/IEC 27001 gebaseerd ISMS
  • Domein 6: Continue verbetering van een ISMS op basis van ISO/IEC 27001
  • Domein 7: Voorbereiding op een ISMS-certificeringsaudit

Datum: 6, 7, 8 & 11 september 2023, 09:00 – 16:00 uur.

Waar: Delftechpark 35, Delft

Prijs: € 2495-, per deelnemer (excl. BTW). Uw inschrijving is definitief na ontvangst van de betaling.

Aanmelden:

4-daagse Training: ISO/IEC 27001 Lead Implementer

Deze ISO/IEC 27001 Lead Implementer training stelt u in staat de nodige expertise te ontwikkelen om een organisatie te ondersteunen bij het opzetten, implementeren, beheren en onderhouden van een Information Security Management System (ISMS) op basis van ISO/IEC 27001

"*" geeft vereiste velden aan

Mijn inschrijving is*

Inclusief:

  • materiaal
  • lunch
  • examen
  • examenvoucher

Extra informatie

Gebruik van eigen laptop

Wilt u meer weten of een advies op maat? Neem dan contact met ons op voor een vrijblijvend advies gesprek.

Een cyberaanval is een poging om ongeautoriseerde toegang te krijgen tot een computer, een computer- of telecommunicatienetwerk of een online-account, of om informatie te verkrijgen of te wijzigen zonder toestemming. Cyberaanvallen kunnen leiden tot verstoringen van de diensten die worden aangeboden, lekken van vertrouwelijke informatie of zelfs de vernietiging van gegevens. In dit artikel zullen we kijken naar hoe cyberaanvallen werken en hoe u zich kunt beschermen tegen deze dreigingen.

Er zijn veel verschillende soorten cyberaanvallen, en ze kunnen op verschillende manieren worden uitgevoerd. De meest voorkomende soorten cyberaanvallen zijn:

Phishing-aanvallen

Dit zijn aanvallen waarbij een aanvaller probeert om vertrouwelijke informatie te verkrijgen door middel van een vervalst e-mailbericht, een link of een formulier. De aanvaller kan proberen om te doen alsof hij of zij van een betrouwbare organisatie is of om te doen alsof er een noodgeval is, zoals een accountvergrendeling of een onverwacht bedrag op een rekening. Als u op de link klikt of de informatie invoert, kan de aanvaller toegang krijgen tot uw gegevens.

Malware-aanvallen

Malware is software die is ontworpen om een computer of netwerk te beschadigen of te verstoren. Er zijn veel verschillende soorten malware, waaronder virussen, Trojaanse paarden, rootkits en ransomware. Malware kan op verschillende manieren worden geïnstalleerd, zoals via een kwaadaardige link of bijlage, of door middel van een zero-day-exploit (een beveiligingslek dat nog niet bekend is bij de softwareontwikkelaar).

DDoS-aanvallen

DDoS staat voor Distributed Denial of Service. Dit zijn aanvallen waarbij een netwerk of server wordt overbelast met verkeer, waardoor het onbruikbaar wordt voor de legitieme gebruikers. DDoS-aanvallen kunnen worden uitgevoerd door middel van malware of door middel van een botnet (een groep geïnfecteerde computers die worden gecontroleerd door een aanvaller). De aanvaller kan het botnet gebruiken om verkeer naar het doelwit te sturen, waardoor het systeem overbelast raakt en niet meer in staat is om legitiem verkeer te verwerken. DDoS-aanvallen kunnen ernstige gevolgen hebben, zoals het tijdelijk onbruikbaar maken van websites of het uitvallen van diensten. Om zich te beschermen tegen DDoS-aanvallen, is het belangrijk om een sterk netwerkbeveiligingsplan te hebben en diensten te gebruiken die specifiek zijn ontworpen om DDoS-aanvallen te detecteren en te blokkeren.

SQL-injectie-aanvallen

SQL staat voor Structured Query Language en is een programmeertaal die wordt gebruikt voor het beheren van databases. Een SQL-injectie-aanval is een aanval waarbij een aanvaller kwaadaardige code injecteert in een SQL-query om toegang te krijgen tot vertrouwelijke gegevens of om wijzigingen aan te brengen aan een database.

Man-in-the-middle-aanvallen

Dit zijn aanvallen waarbij een aanvaller zich bevindt tussen twee communicatiepartners en de communicatie afluistert of wijzigt zonder dat de partijen dit weten. De aanvaller kan bijvoorbeeld proberen om een beveiligde verbinding te onderscheppen en te decoderen, of om wijzigingen aan te brengen aan de informatie die wordt verzonden.

Hoe kan een bedrijf zich beschermen tegen cyberaanvallen?

Er zijn een aantal dingen die u kunt doen om uzelf te beschermen tegen cyberaanvallen:

Gebruik een sterk wachtwoord

Zorg ervoor dat u sterke wachtwoorden gebruikt en deze regelmatig verandert. Gebruik wachtwoordbeheersoftware om uw wachtwoorden te beheren en te genereren.

Zorg voor goede beveiliging van uw netwerk

Zorg ervoor dat uw netwerk goed is beveiligd met firewalls en endpoint-protection. Zorg ervoor dat deze software regelmatig wordt bijgewerkt om te profiteren van de nieuwste beveiligingsupdates.

Wees voorzichtig met links en bijlagen

Klik niet op links en download geen bijlagen van onbekende afzenders. Als u twijfelt, neem dan contact op met de afzender om te controleren of het bericht legitiem is.

Maak regelmatig back-ups

Maak regelmatig back-ups van uw gegevens om ervoor te zorgen dat u deze kunt terughalen in het geval van een aanval. Zorg ervoor dat de back-ups op een beveiligde locatie worden opgeslagen.

Maak gebruik van beveiligingsoplossingen

Er zijn veel verschillende beveiligingsoplossingen beschikbaar, zoals intrusion prevention systems (IPS) en security information and event management (SIEM) software. Deze oplossingen kunnen helpen om cyberaanvallen te detecteren en te voorkomen.

Maak gebruik van een SOC (Security Operations Center)

Een SOC is een team van beveiligingsexperts dat 24/7 beveiligingsincidenten monitort en behandelt. Een SOC kan helpen om cyberaanvallen te detecteren en te voorkomen, en kan ook helpen bij het opsporen van beveiligingslekken en het uitvoeren van incidentenonderzoek. Een SOC maakt gebruik van geavanceerde beveiligingstools en -technieken om de beveiliging van een organisatie te verbeteren en te garanderen dat de organisatie voldoet aan de beveiligingsvoorschriften en -regelgeving. Als u overweegt om een SOC in te zetten, is het belangrijk om te kiezen voor een leverancier met ervaring en een goede reputatie in de branche.

Maak gebruik van multi-factor authenticatie

Multi-factor authenticatie vereist dat een gebruiker naast een wachtwoord ook een andere vorm van verificatie gebruikt, zoals een code die naar een mobiele telefoon wordt verzonden of een biometrische scan. Dit vergroot de beveiliging omdat een aanvaller zowel het wachtwoord als de andere vorm van verificatie zou moeten stelen om toegang te krijgen.

Wees voorzichtig met openbare wifi-netwerken

Openbare wifi-netwerken zijn vaak minder goed beveiligd dan privé-netwerken en kunnen een makkelijk doelwit zijn voor aanvallers. Als u openbare wifi moet gebruiken, zorg ervoor dat u een virtueel privé-netwerk (VPN) gebruikt om uw verbinding te beveiligen.

Zorg ervoor dat uw software is bijgewerkt

Houd al uw software bij, zoals uw besturingssysteem, browsers en andere programma’s. Beveiligingsupdates bevatten vaak patches voor bekende beveiligingslekken en het is belangrijk om deze te installeren om uw systemen te beschermen.

Wees voorzichtig met persoonlijke informatie

Deel alleen vertrouwelijke informatie met betrouwbare bronnen en wees voorzichtig met wie u uw persoonlijke gegevens deelt, zoals uw adres, telefoonnummer en financiële informatie.

Kortom, cyberaanvallen zijn een steeds groter wordend probleem en het is belangrijk om voorbereid te zijn om uzelf te beschermen. Door sterk wachtwoordbeleid te hanteren, goede beveiliging voor uw netwerk te zorgen, voorzichtig te zijn met links en bijlagen, regelmatig back-ups te maken, beveiligingsoplossingen te gebruiken, gebruik te maken van een SOC, multi-factor authenticatie te gebruiken, voorzichtig te zijn met openbare wifi-netwerken, uw software bij te werken en voorzichtig te zijn met persoonlijke informatie, kunt u uzelf beschermen tegen cyberaanvallen en uw bedrijf en klanten beschermen tegen de gevolgen ervan.

ISO/IEC 27001:2022 – Een nieuw tijdperk voor informatiebeveiliging. Wat verandert er?

In de laatste week van oktober 2022 heeft ISO/IEC een nieuwe versie van de veelgebruikte norm voor informatiebeveiliging ISO/IEC 27001 uitgebracht (ISO/IEC 27001:2022). Deze nieuwe ISO versie biedt allerlei organisaties, sectoren en locaties een geüpdatet kader om het steeds complexere dreigingslandschap aan te pakken. Wat zijn de belangrijkste veranderingen en wat zijn de gevolgen voor organisaties die met ISO/IEC 27001 aan de slag gaan? We zetten het allemaal voor je op een rij.

Waarom deze wijziging?

Om bij te blijven bij de veranderingen op het gebied van security wordt de norm om de vijf jaar aangepast. De nieuwe lijst van ISO/IEC 27001:2022 is een soort best practice guide om informatiebeveiliging te verbeteren. Het is de bedoeling dat organisaties door middel van een risicoanalyse zelf maatregelen selecteren. Deze belangrijke update is bedoeld om:

  • meer duidelijkheid, focus en verantwoordelijkheid voor informatiebeveiliging binnen een organisatie te bereiken;
  • een beter begrip te creëren omtrent de toe te passen beveiligingspraktijken;
  • de bestaande controlset te updaten naar aanleiding van de technologische ontwikkelingen;
  • een betere aansluiting te vinden tussen proces en implementatie.

Wat ga je merken van deze update?

Organisatie krijgen te maken met nieuwe geautomatiseerde eisen. In het traject van de certificering moet met deze eisen rekening gehouden worden. Certificering volgens vorige norm is niet meer mogelijk, na de overgangsperiode. Organisaties krijgen hier 3 jaar de tijd voor. De veranderingen hebben dus op korte termijn geen impact op de huidige certificering.

Voor de organisaties die nog niet gecertificeerd zijn, maar wel de ambitie hebben dit in de toekomst te realiseren, wordt aanbevolen de meest recente versie als leidraad aan te houden.

Wat is het verschil met de oude versie?

De norm ISO 27001 is geactualiseerd. Het belangrijkste verschil is dat de Annex A in lijn is gebracht met de eerder dit jaar gepubliceerde norm ISO 27002. Daarnaast is een aantal kleine aanpassingen doorgevoerd, die hieronder kort aan bod komen:

4 duidelijke thema’s

De nieuwe versie van de ISO 27001-norm helpt organisaties de controles doeltreffender te beheren door ze te groeperen in vier duidelijke thema’s: Organisatorisch, Persoonsgericht, Technologisch en Fysiek

Cybersecurity en privacybescherming

De titel is aangepast, en verwijst nu ook naar cybersecurity en privacybescherming. In het algemeen zijn de hoofdstukken 4 tot en met 10 niet fundamenteel aangepast (op wat kleine technische aanpassingen na). Er is een aantal nieuwe eisen gesteld in artikels 4.2, 6.2, en 6.3.

Belangen stakeholders

In artikel 4.2 moet een organisatie de relevante belanghebbende partijen identificeren. In aanvulling daarop vereist de nieuwe norm dat een organisatie ook aangeeft hoe de belangen van die stakeholders met het ISMS worden ingevuld.

Doelen

De doelen van informatiebeveiliging en de manier waarop die doelen bereikt zullen worden moeten in lijn met de eisen van artikel 6.2 beschreven worden. Nieuw is nu dat ook moet worden aangegeven hoe de doelen beoordeeld worden, en dat de doelen ook beschreven worden.

Controle wijzigingen ISMS

Als een organisatie wijzigingen wil aanbrengen aan het ISMS, dan moet volgens het nieuwe artikel 6.3 de wijziging uitgevoerd worden op een gecontroleerde wijze, waarbij rekening wordt gehouden met de aanleiding voor de wijziging, de mogelijke gevolgen, de beschikbaarheid van resources en de mogelijke aanpassing van verantwoordelijkheden.

Minder beheersmaatregelen

Annex A van ISO 27001 is in lijn gebracht met ISO 27002:2022. Dat betekent dat de 114 beheersmaatregelen zijn teruggebracht naar 95. Ook verschijnen enkele nieuwe beheersmaatregelen en worden ze anders gegroepeerd. De maatregelen zijn nu gecategoriseerd in vier groepen: organisatorisch, persoonsgericht, fysiek en technisch. De nieuwe maatregelen in ISO 27002:2022 vinden we ook terug in de bijgewerkte Annex:

  • Bedreigingsinformatie (5.7);
  • Informatiebeveiliging bij het gebruik van cloud diensten (5.23);
  • ICT-gereedheid voor bedrijfscontinuïteit (5.30);
  • Fysieke beveiligingsmonitoring (7.4);
  • Configuratiebeheer (8.9);
  • Informatie verwijderen (8.10);
  • Gegevensmaskering (8.11);
  • Voorkomen van datalekken (8.12);
  • Bewaken van activiteiten (8.16);
  • Webfiltering (8.23);
  • Veilig programmeren (8.28).

Wat is het overgangstermijn?

Voor de transitie naar de nieuwe Annex A geldt een overgangstermijn van drie jaar. In deze periode zijn beide versies geldig en certificeerbaar. Dit betekent dat een snelle overgang naar de nieuwe set met beheersmaatregelen mogelijk is, maar ook dat de volgende audit nog op de oude versie gedaan kan worden. In de tussentijd kunnen organisatie en processen aangepast worden aan de nieuwe beheersmaatregelen. Bestaande certificaten moeten voor 1 november 2025 naar de nieuwe versie zijn overgezet.

Wat zijn de belangrijke eerste stappen?

De publicatie en implementatie van de nieuwe ISO-normen kan veel vragen oproepen voor organisaties. Pinewood adviseert om de volgende stappen te nemen:

  • De beoogde iteratie van de ISO 27001 zou geen rol moeten spelen in de keuze om wel of niet een certificering te behalen. Bepaal als organisatie allereerst wat de prioriteit heeft voor het huidige certificeringstraject. Maak bijvoorbeeld een kosten-batenanalyse;
  • Kennis maken met de inhoud en eisen van de nieuwe versies;
  • Train het personeel en zorg ervoor dat de belangrijkste veranderingen en eisen worden begrepen;
  • Voer een beknopte gap-analyse uit om gebieden te identificeren die aandacht behoeven;
  • Neem actie om de gaps op te lossen en om het ISMS te laten voldoen aan de nieuwe eisen.

Hoe kunnen wij ondersteunen?

De consultants van Pinewood staan voor je klaar om te helpen. Neem contact op als u meer informatie wil.

Download hier het whitepaper: Wat zijn de tien stappen voor een succesvolle overgang naar ISO 27001:2022?

 

Vijf stappen naar een cyberweerbare organisatie

Met het toenemende gebruik van digitale technologie worden organisaties steeds vaker het doelwit van cyberaanvallen. Het is daarom belangrijk om ervoor te zorgen dat uw organisatie weerbaar wordt tegen deze risico’s. Maar hoe doet u dat? In deze blog geven we u vier stappen die u kunt volgen om een cyberweerbare organisatie te creëren.

soc implementatie stappen plan

 

Stap 1: Voer een risicoanalyse uit

Voordat u kunt beginnen met het verbeteren van de cyberweerbaarheid van uw organisatie, is het belangrijk om te weten waar de grootste risico’s liggen. Hiervoor kunt u een risicoanalyse uitvoeren. Dit kan intern worden gedaan door uw IT-team, maar u kunt ook een externe specialist inschakelen om het proces te begeleiden. Tijdens de risicoanalyse worden de zwakke punten van uw organisatie op het gebied van cyberbeveiliging geïdentificeerd.

Zo kunt u assessment laten doen van de cyberweerbaarheid van de organisatie. Tijdens zo’n assessment worden onder andere kritieke activa, systemen en operaties geïdentificeerd, beleid en procedures geëvalueerd en responsbereidheid beoordeeld. Hierdoor krijgt u inzicht in de grootste risico’s en kwetsbaarheden en kunt u strategische beslissingen nemen om deze aan te pakken. Het assessment helpt ook om de organisatiedoelen in balans te brengen met cyberrisico’s en aan aandeelhouders, toezichthouders en rechtspersonen te laten zien dat er due diligence is uitgevoerd om de cyberweerbaarheid veilig te stellen.

Stap 2: Stel een beleid op

Zodra u weet waar de grootste risico’s liggen, kunt u een beleid opstellen om deze risico’s te beheren. Dit beleid kan bestaan uit richtlijnen voor wachtwoordbeheer, toegangscontroles en het opleiden van medewerkers over hoe ze kunnen voorkomen dat ze slachtoffer worden van phishing-aanvallen en andere cyberdreigingen. Zorg ervoor dat het beleid duidelijk is voor alle medewerkers en houd het regelmatig bij om ervoor te zorgen dat het up-to-date blijft.

Het opstellen van een beleid is een belangrijke stap in de richting van een cyberweerbare organisatie. Het beleid dient als basis voor de implementatie van technische en organisatorische maatregelen en de bewustwording van medewerkers. Het beleid dient ook als richtinggevend voor incidentresponse, recovery en continuïteit van de bedrijfsvoering. Daarnaast moet het beleid ook regelmatig worden geëvalueerd en bijgesteld om ervoor te zorgen dat het aansluit op de veranderende risico’s en naleving van wet- en regelgeving.

Stap 3: Investeer in technologie

Investeren in de juiste technologie is dan ook een belangrijke stap in de richting van een cyberweerbare organisatie. Hierbij kan gedacht worden aan het implementeren van firewalls, het gebruik van beveiligde servers en endpoint bescherming. Het is echter belangrijk om te realiseren dat technologie snel verouderd kan raken als het gaat om adequate beveiliging. Dit betekent dat het regelmatig evalueren of de huidige technologie nog voldoet aan de behoeften van de organisatie van groot belang is.

Daarnaast is het ook belangrijk om te investeren in security-oplossingen die geautomatiseerd kunnen werken, zoals next-generation firewalls, intrusion detection & prevention, security informatie- en eventmanagement (SIEM), en cloud-based security-oplossingen. Deze oplossingen zijn in staat om real-time gegevens te analyseren en kunnen daardoor sneller detecteren en reageren op cyberdreigingen.

Stap 4: Onderhoud een culturele verandering

Voor de effectiviteit van cybersecurity is het belangrijk om een cultuur van cyberweerbaarheid binnen uw organisatie te creëren. Dit kan worden gedaan door middel van het opleiden van medewerkers over hoe ze cyberdreigingen kunnen voorkomen en het aanmoedigen van een veiligheidsbewustzijn op het werk. Zoek manieren om de medewerkers te betrekken bij het beleid voor cyberweerbaarheid, bijvoorbeeld door middel van trainingen en oefeningen.

Een ander belangrijk aspect van het behouden van een culturele verandering is het ontwikkelen van een plan voor hoe te reageren op een cyberincident. Dit kan bestaan uit het opstellen van richtlijnen voor hoe te reageren op een cyberincident, het opleiden van medewerkers over wat ze moeten doen als er een incident plaatsvindt en het werken met externe specialisten om te helpen bij het herstellen van de systemen na een aanval.

Stap 5: Monitoren en bijstellen

Nadat deze vier stappen zijn gezet, is het belangrijk om de cyberbeveiliging van uw organisatie continu te monitoren en bij te stellen. Dit kan door middel van regelmatige controles, zoals penetration testing en security audits, om ervoor te zorgen dat de technologie up-to-date is en de beleidsmaatregelen effectief zijn.

Het is ook belangrijk om de laatste ontwikkelingen en trends op het gebied van cyberbeveiliging te blijven volgen, zoals nieuwe dreigingen en technologieën, en deze in overweging te nemen bij het bijstellen van de beveiligingsmaatregelen. Ook kan het een goed idee zijn om regelmatig interne oefeningen te doen, zoals incident simulations, om ervoor te zorgen dat medewerkers voorbereid zijn op een eventueel incident. Door deze vijf stappen te volgen, kunt u ervoor zorgen dat uw organisatie zo cyberweerbaar mogelijk is.

Wilt u meer weten of hulp bij het cyberweerbaarder maken van uw organisatie? Neem dan contact met ons op voor een vrijblijvend advies gesprek.

Webinar: Hoe creëer je een succesvol cybersecuritybeleid voor 2023?

De laatste jaren zien we in Europa een flinke stijging van het aantal cyberaanvallen en cyberincidenten. Cyberrisico’s kosten Nederlandse bedrijven en overheden namelijk miljarden per jaar. Vooral phishing, malware en ransomware vormen een groot probleem. Nu we met zijn allen vooral digitaal werken, is cybersecurity een basisvoorwaarde in plaats van een optie. Het is daarom cruciaal voor bedrijven om voorop te blijven lopen en zichzelf te beschermen tegen mogelijke aanvallen.

Cyberveiligheid gaat verder dan technische oplossingen zoals een firewall, een antivirusprogramma en back-ups. Er is ook een beleidsmatige kant, met mensen als soms een van de zwakkere schakels. Hoe bouw je dit proces op? Hoe creëer je een cultuur van cyberveilig handelen? Welke stappen doorloop je bij een cyberaanval? En ben je veilig in 2023? Dit bepaal je allemaal in een cybersecurityplan.

Tijdens dit webinar bespreken we de volgende punten om je hiermee verder te helpen:

  • Best practices voor het identificeren van kwetsbaarheden
  • De nieuwste beveiligingsmaatregelen
  • Dreigingen van 2023
  • NIS2 wetgeving
  • Advies voor het creëren van een incident responsplan
  • Q&A

Bekijk hier het webinar:

Wilt u meer weten of een advies op maat? Neem dan contact met ons op voor een vrijblijvend advies gesprek.

Arthur van Vliet

Sales Manager

06 – 53 93 88 38

arthur.vanvliet@pinewood.nl

Webinar: Zero Trust Network Access (ZTNA), de evolutie van VPN-toegang

 

Tegenwoordig moeten je werknemers overal en altijd veilig toegang hebben tot bedrijfsdata. Het thuis- en mobiele werken heeft voor een run gezorgd op het gebruik van VPN-diensten. Tóch kan een VPN-toegang niet zo veilig zijn als je denkt, en voorziet het niet altijd van volledig inzicht en controle. Hoe zit dit eigenlijk? En wat is hiervoor de beste oplossing?

Tijdens dit webinar zullen de cyber experts Marc Scheper (Pinewood) en Ruud Everts (Fortinet) ingaan op het concept van Zero Trust Network Access (ZTNA). Zij laten je zien hoe Fortinet ZTNA jouw organisatie kan helpen om zowel op kantoor als op mobiel veilig thuis te werken.

Topics:

  • Introductie
  • Wat is Zero Trust Network Access?
  • Hoe kunnen de functionaliteiten van ZTNA je helpen?
  • Technische demo met FortiClient en FortiGates
  • Hoe helpen wij je op weg?
  • Q&A

Bekijk hier het webinar:

Aan het einde van dit webinar weet je precies hoe je jouw organisatie kunt beschermen tegen cyberbedreigingen als malware, phishing-aanvallen en ongeoorloofde toegang tot networkresources, om uiteindelijk ervoor te zorgen dat jouw data veilig blijft. En het mooiste is nog, naast de FortiGate en FortiClient licenties die je wellicht al hebt, is er niets anders nodig dan de juiste configuratie!

Wilt u meer weten of een advies op maat? Neem dan contact met ons op voor een vrijblijvend advies gesprek.

Arthur van Vliet

Sales Manager

06 – 53 93 88 38

arthur.vanvliet@pinewood.nl

NIS 2: wat betekent deze Europese security-richtlijn voor Nederlandse organisaties

Door: Eric van Loon, Manager Security Consultancy bij Pinewood

De tweede generatie van de Europese Network and Information Systems (NIS 2) richtlijn zal in 2023 in Nederland om worden gezet in wetgeving. De richtlijn bouwt voort op de oorspronkelijke NIS-richtlijn uit 2016. Het doel was toen om eenheid te brengen in het Europees beleid voor netwerk- en informatiebeveiliging om zo de gevolgen van cyberincidenten te verkleinen, met name gericht op bedrijven en instellingen van cruciale aard. De NIS 2 richtlijn bouwt hierop verder en voegt meer sectoren toe aan deze ‘essentiële diensten’. Het moet ervoor zorgen dat organisaties binnen Europa aan de richtlijn gaan voldoen. Maar wat betekent dit voor Nederlandse organisaties?

nis 2 nib 2 nederland richtlijnen security

Volwassen cybersecurity

Allereerst is het goed om het verschil tussen de NIS 2 en de NIB 2 te begrijpen. Gelukkig is dit geen ingewikkeld verhaal, de NIB 2 is namelijk gewoon de Nederlandse vertaling van de NIS 2. Dus of het nu gaat over de network and information systems richtlijn of de netwerk- en informatiebeveiliging richtlijn, de inhoud is grotendeels hetzelfde. Wel is er tijdens het vertalen van de Europese richtlijn naar Nederlandse wetgeving ruimte voor vrije interpretatie. De overheid is momenteel druk bezig met die vertaalslag, dus hoe de wet er precies uit gaat zien is nog even afwachten.

Wel kunnen we er alvast vanuit gaan dat de kern van de richtlijn grotendeels hetzelfde blijft. Deze kern bestaat uit twee elementen: de zorgplicht en de meldplicht. De zorgplicht verplicht organisaties om ervoor te zorgen dat de hele infrastructuur op orde is. Zo wordt het verplicht om de faciliteiten te hebben om te monitoren wat er gebeurt op het netwerk. De meldplicht zorgt ervoor dat organisaties melding moeten maken wanneer ze te maken krijgen met een cyberincident. Voor alle organisaties die gezien worden als leverancier van ‘essentiële diensten’ zal er dus (veel) werk aan de winkel zijn.

Het ziet er dus naar uit dat organisaties in allerlei sectoren maatregelen moeten gaan treffen om de cybersecurity-volwassenheid naar een hoger niveau te brengen. De exacte hoogte van dit volwassenheidsniveau zal nog worden bepaald door de Nederlandse overheid. Dit kan bijvoorbeeld gelijk worden getrokken met de norm waaraan overheidsinstellingen momenteel moeten voldoen, maar er kunnen ook andere regels gaan gelden. De details moeten uiteindelijk blijken uit de resulterende wetgeving, net zoals de wet beveiliging netwerk en informatiesystemen een interpretatie is van originele NIS-richtlijn.

Vitale sectoren

De noodzaak om de cyberweerbaarheid van essentiële diensten te vergroten is voor de hand liggend. Over de afgelopen jaren zien we een stijgende lijn in het aantal organisaties dat te maken heeft met cyberaanvallen. Daarnaast zien we ook een flinke stijging in de schade en impact van een succesvolle aanval. De NIS 2 richtlijn is daarom in het leven geroepen om de continuïteit en integriteit van een aantal vitale sectoren te waarborgen.

Onder de originele NIS vielen sectoren zoals energie, drinkwater en banken. De NIS 2 breidt het lijstje met vitale sectoren aardig uit met onder andere overheidsdiensten, levensmiddelen en managed service providers. In Nederland zal dit neerkomen op zo’n zesduizend extra organisaties die moeten gaan voldoen aan de nieuwe wetgeving. Op dit moment wordt er nog flink gediscussieerd over welke bedrijven hier onder vallen en welke niet. Zo staat er nog niet vast welke definitie van een managed service provider er gehanteerd zal gaan worden.

De verwachting is dat de NIS eind dit jaar wordt vastgesteld op Europees niveau. Zodra dit rond is hebben de lidstaten 21 maanden de tijd om de wetgeving rond te krijgen. Dat klinkt misschien lang, maar voor een wet van dit formaat is dat een redelijk korte termijn.

Meer veiligheid, minder vrijheid

De NIS 2 is een grote stap in de goede richting als het om cybersecurity gaat. Wel valt er een bepaalde mate van vrijheid weg. Momenteel is het cybersecurity-landschap onder bedrijven erg gefragmenteerd. Bedrijven kiezen zelf in welke mate ze iets aan cybersecurity doen of niet. Door een richtlijn te implementeren neem je deze vrijheid weg, maar je weet wel zeker dat delen van de infrastructuur goed beveiligd zijn.

De meldplicht zal de cyberweerbaarheid verhogen. In de huidige situatie hoeft een organisatie alleen melding te doen van een datalek, maar niet van bijvoorbeeld een ransomware-aanval of misbruik van een kwetsbaarheid. Dit gaat dus veranderen.

Doordat informatie over een cyberaanval gemeld en gedeeld wordt, kunnen bedrijven makkelijker leren van elkaar hoe ze hun beveiliging optimaal in kunnen richten.

Maar ook de zorgplicht zal het een en ander gaan vragen van organisaties. Afhankelijk van de huidige infrastructuur moet er wellicht veel gebeuren om te voldoen aan de norm die uiteindelijk in de wet wordt opgenomen. Er kan bijvoorbeeld geëist worden dat bedrijven moeten voldoen aan de ISO 27001 norm. Dit zal voor veel bedrijven betekenen dat ze flink moeten gaan investeren. Er wordt gesproken over een omzetplafond dat kleinere bedrijven hiervan vrijstelt, maar deze organisaties lopen dan nog net zoveel risico als voorheen.

Aan de slag

Organisaties waarop de NIS 2 van toepassing is, krijgen dus aardig wat voor hun kiezen. De verschillende plichten vragen veel investeringen. Zo is een belangrijk onderdeel van de zorgplicht het monitoren van de systemen. Dit gebeurt doorgaans in een Security Operation Center (SOC) maar om dit in te richten is veel apparatuur en, nog lastiger, personeel nodig. Voor veel organisaties zal het dan ook interessant zijn om dit uit te besteden aan een partij die een SOC als dienst aanbiedt. Op deze manier kan een organisatie voldoen aan de nieuwe zorgplicht, zonder een heel SOC op te hoeven zetten. Daarnaast bieden deze cybersecurity-partijen vaak aanvullende diensten om de cyberweerbaarheid te vergroten.

Maar ook wanneer een organisatie niet binnen de scope van de NIS 2 valt, is het verstandig om op te letten. Het feit dat je niet aangemerkt wordt als vitale sector betekent niet dat je minder risico loopt. Ook deze organisaties kunnen veel leren van de plichten en eisen die in de nieuwe wet zullen worden opgenomen. De NIS kan dan werken als vliegwiel en andere organisatie meekrijgen, waardoor heel Nederland er sterker voor komt te staan op het gebied van cybersecurity.

De NIS 2 is onvermijdelijk en het is daarom belangrijk om te kijken of je als organisatie binnen de scope valt. Als dat zo is, dan is het verstandig om zo snel mogelijk aan de slag te gaan want het kan veel tijd kosten om uit te zoeken wat de nieuwe wet voor jou gaat betekenen. Een eerste stap die je als bedrijf nu al kan zetten is het in kaart brengen van je cyberbeveiliging-volwassenheidsniveau en de mate van risicobeheersing. Heb je al een informatiebeveiligingsbeleid? Weten medewerkers wat hun rol is? Weten ze hoe ze phishing e-mails kunnen herkennen? Door er nu serieus mee aan de slag te gaan, voorkom je verrassingen wanneer de wet in werking treedt.

Wilt u meer weten of hulp bij de inrichting van NIS 2 (NIB 2) vraagstukken. Neem dan contact met ons op voor een vrijblijvend advies gesprek.

EDR, MDR of SOC. wat is de juiste oplossing voor uw organisatie?

EDR, MDR en SOC zijn begrippen die vaak door elkaar worden gehaald. Echter hebben deze technische security oplossingen ieder hun eigen functie voor het monitoren en stoppen van potentiële security incidenten. In dit opgenomen webinar gaan we in op de verschillen tussen deze verschillende oplossing zodat u een betere keuze kunt maken welke oplossing het meest geschikt is voor uw eigen organisatie.

Wilt u meer weten of een advies op maat? Neem dan contact met ons op voor een vrijblijvend advies gesprek.

 

Arthur van Vliet

Sales Manager

06 – 53 93 88 38

arthur.vanvliet@pinewood.nl