DATA2TRUST
 Digitaal Vertrouwen
 

 

 

Kennisbank

D2T maakt Cybersecurity niet moeilijker dan het is, want
"als je het niet eenvoudig kunt uitleggen, dan snap je het zelf niet"





20 Cybersecurity Frameworks


Er zijn verschillende cyber security frameworks die wereldwijd worden gebruikt om organisaties te helpen bij het beheer en bescherming van hun informatie- & IT-systemen.



Hieronder worden de 5 meest populaire opgesomd:


  • ISO 27001: Dit is een internationale norm voor informatiebeveiliging die organisaties helpt bij het opstellen en implementeren van maatregelen voor de bescherming van hun gegevens. De norm is gebaseerd op een risicobeheersingsbenadering en vereist dat organisaties een beveiligingsbeleid opstellen, procedures en richtlijnen implementeren en de effectiviteit van de beveiliging regelmatig monitoren.
  • NIST CSF (Cybersecurity Framework): Dit framework is ontwikkeld door het National Institute of Standards and Technology (NIST) in de Verenigde Staten. Het is ontworpen om organisaties te helpen bij het beheer van hun cyberbeveiligingsrisico's. Het framework is gebaseerd op een risicobeheersingsbenadering en biedt een aanpak voor het identificeren, beheren en beperken van cyberbeveiligingsrisico's.
  • COBIT 5: Dit is een framework voor IT-governance dat is ontwikkeld door ISACA, een internationale vereniging voor IT-professionals. Het framework biedt richtlijnen voor het beheer van IT-processen en helpt organisaties bij het realiseren van hun bedrijfsdoelstellingen. COBIT 5 heeft ook een specifieke module voor cybersecurity.
  • PCI DSS: Dit is een set van standaard en technische eisen voor de bescherming van creditcardgegevens die zijn ontwikkeld door de Payment Card Industry Security Standards Council. Organisaties die creditcardgegevens verwerken, moeten voldoen aan deze eisen en moeten worden gecertificeerd door een gecertificeerde certificeringsinstantie.
  • Cyber Essentials: Dit is een Brits certificeringsschema dat een aanpak biedt voor basisbeveiliging tegen cyberbedreigingen. Het biedt een eenvoudig te volgen stappenplan voor organisaties om hun IT-systemen te beschermen tegen de meest voorkomende cyberbedreigingen.



ISO 27001 meest populair, waarom dan?


ISO 27001 is de meest populaire internationale norm voor informatiebeveiliging. De norm beschrijft hoe een organisatie haar informatiebeveiliging moet organiseren en hoe deze moet worden beheerd.




De keuze voor een framework een organisatie is afhankelijk van een groot aantal factoren zoals de aard van de gegevens die worden verwerkt, de sector specifieke richtlijnen en wet & regelgeving, Wereldwijd bestaan er om die reden een groot aantal frameworks die ofwel voortborduren op de populaire frameworks, ofwel een sectorspecifieke invulling vereisen,


Om aan de eisen van de norm te voldoen, moet een organisatie een reeks maatregelen nemen, zoals het instellen van toegangsbeheer, het bewaken van netwerkverbindingen, het implementeren van firewalls en het maken van back-ups van gegevens. Organisaties moeten ook procedures ontwikkelen voor het detecteren, melden en oplossen van incidenten en een incidentresponsplan opstellen.


ISO 27001 is een internationaal erkende norm en een certificering volgens de norm is een aanwijzing voor de interne en externe stakeholders dat de organisatie de juiste maatregelen heeft genomen om de informatiebeveiliging te waarborgen. Organisaties die voldoen aan de eisen van de norm krijgen een certificaat dat wordt uitgegeven door een gecertificeerde instantie.


ISO 27001 is een belangrijke norm voor informatiebeveiliging die organisaties helpt bij het opstellen en implementeren van maatregelen voor de bescherming van hun gegevens. Een certificering volgens de norm is een aanwijzing voor de interne en externe stakeholders dat de organisatie de juiste maatregelen heeft genomen om de informatiebeveiliging te waarborgen.


De keuze voor een framework een organisatie is afhankelijk van een groot aantal factoren zoals de aard van de gegevens die worden verwerkt, de sector specifieke richtlijnen en wet & regelgeving, Wereldwijd bestaan er om die reden een groot aantal frameworks die ofwel voortborduren op de populaire frameworks, ofwel een sectorspecifieke invulling vereisen,






 


 



Evaluatie Framework Informatiebeveiliging Overheid: 4 jaar BIO


De Baseline Informatiebeveiliging Overheid (BIO) is met de ISO 27001 als basis het normenkader voor informatiebeveiliging binnen alle overheidslagen (Rijk, gemeenten, provincies en waterschappen). In december 2018 is de BIO vastgesteld door de Ministerraad voor de Rijksoverheid.


In opdracht van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) heeft adviesbureau Berenschot een evaluatie uitgevoerd op de 4 jaren BIO die achter ons liggen: hoe functioneert de BIO en waar kan het beter?


Conclusies
De belangrijkste conclusie uit het onderzoek van Berenschot is dat de BIO een breed geaccepteerd en gemeenschappelijk normenkader is die de veiligheid van samenwerking in de ketens binnen de overheid wordt versterkt.
De aanbeveling is dan ook om als overheid één norm of minimumbeveiligingsniveau te blijven hanteren om informatieveiligheid te waarborgen bij de vormgeving van de digitale transitie in Nederland.


Organisatiebreed risicomanagement
Daarnaast is het belangrijk om te beseffen dat wijzigingen in de BIO alleen tot verbeteringen leiden als er ook aandacht is voor een aantal randvoorwaardelijke zaken, zoals ingebed risicomanagement. Want, informatiebeveiliging is onderdeel van breder (strategisch) risicomanagement. En daar ligt een belangrijke opgave voor veel organisaties.
Het advies is daarom om ‘integraal risicomanagement’ meer centraal te zetten in de BIO als cruciale randvoorwaarde binnen een organisatie, in de context van de organisatie zelf via 'Enterprise Rick Management'. Maar vooral in de ketens tussene de organisaties via '3th Party Security Risk Management’). Zorg daarbij dat bestuurders hun verantwoordelijkheid pakken voor het organisatiebrede risicomanagement.
Een Accountancy georiënteerd framework als de 3 Lines -of -Defense sluit hierbij goed aan en geeft organisaties richting in de interne controle en verantwoordelijkheden op orde te brengen.


Koppeling ISO 27001
Ook wordt er gesteld dat hoewel de BIO gebaseerd is op, en gestructureerd is volgens, de NEN-ISO/IEC 27002-standaard uit 2017 aangevuld met specifieke overheidsmaatregelen, de BIO niet als zodanig wordt ervaren. Het grote verschil is dat ISO 27001 een Open norm is en de BIO een gesloten norm is met een duidelijk normenkader.

Een aanbeveling hierin is om dit communicatief anders te brengen: de BIO is weliswaar gebaseerd op de ISO en aangevuld met een minimumniveau aan specifieke maatregelen’.


Veiligheidscultuur
Tot slot, is het belangrijk dat organisaties zich bewust zijn van het belang van informatiebeveiliging en dit ook onderdeel is van een veiligheid- of risicocultuur. Deze cultuur moet door het management worden uitgedragen en daarmee doorwerken naar de rest van de organisatie. Want, goed voorbeeld doet volgen. Een gezonde risicocultuur is zowel randvoorwaardelijk voor een weerbare organisatie als een doel om de informatieveiligheid blijvend in de genen te krijgen.


Ben je benieuwd naar alle onderzoeksresultaten? Lees dan hier het hele rapport.