Ga naar content
Zoek op onderwerpen, blogs, diensten etc.

Scherp blijven op compliance: NIS 2.0 als stevige fundering voor een continu proces

Dat het cruciaal is om je IT-omgeving te monitoren en incidenten te mitigeren, is inmiddels overduidelijk. Aan normen en regelgeving geen gebrek. Onlangs is bijvoorbeeld een nieuwe richtlijn voor cybersecurity geïntroduceerd op Europees niveau: NIS 2.0. Deze vraagt meer van organisaties dan voorheen. En hoewel dat misschien een last op de bedrijfsschouders líjkt, is dit een goede ontwikkeling.

Van oudsher zijn veel organisaties namelijk gewend om alleen de broodnodige maatregelen te nemen, zodat zij één keer per jaar het verplichte vinkje bij de audit kunnen zetten. We leven immers in een tijd waarin niemand zich op cybersecuritygebied meer veilig kan wanen. Hackers slapen nooit en een aanval schuilt in een klein hoekje. Daarom moet je als organisatie constant bezig zijn met cybersecurity. Maar wat is nu een constructieve, duurzame aanpak?

Het belang van (pen)testen: je bent zo sterk als je zwakste schakel

Veel compliancenormen benadrukken tegenwoordig dat het belangrijk is om diverse maatregelen te nemen op cybersecuritygebied. Onder andere volgens NIS 2.0 moet je je IT-omgeving monitoren, incidenten oppakken en respons geven op bepaalde potentiële cyberaanvallen.

Ook wordt er gesproken over het trainen van medewerkers. Daar denk je misschien niet direct aan wanneer de term ‘cybersecurity’ valt, maar zie het eens zo: je medewerkers zijn je zwakste schakel. Herkennen zij een phishingmail niet en klikken ze daarom op een link, dan is de kans groot dat een hacker binnendringt. Je organisatielot ligt voor een groot deel in hun handen.

Toch houden veel organisaties vast aan de jaarlijkse vinkjes: één plichtsgetrouwe pentest en één phishingtraining voor medewerkers (gemiddelde duur: een dagdeel) per 365 dagen. Daarmee maken zij zichzelf erg kwetsbaar. Want, zoals we hierboven al schreven, de wereld van cybersecurity is constant in ontwikkeling. Bovendien verandert je eigen IT-omgeving ook continu, wat betekent dat je de vinger aan de cybersecuritypols moet houden. Je bent immers slechts zo sterk als je zwakste schakel.

De kracht van herhaling en continuïteit

Moet je dan elke maand een pentest laten uitvoeren? Of medewerkers wekelijks een college geven om ze álles over de nieuwste regelgeving te vertellen? Het antwoord luidt (gelukkig) tweemaal nee. Waar het om gaat, is dat je cybersecurity als een continu proces ziet. Je wilt regelmatig weten of je IT-omgeving nog steeds veilig is en doorlopend werken aan security awareness onder medewerkers.

Laat medewerkers bijvoorbeeld iedere maand een kort filmpje met uitleg bekijken of een verduidelijkende game spelen. Zo zijn zij altijd op de hoogte en blijven de instructies top of mind. En laat met regelmaat verschillende pentesten uitvoeren. Niet alleen de virtuele, maar ook de fysieke varianten.

Bij Wortell voeren we de fysieke variant uit door bepaalde scenario’s af te draaien. Hierbij bezoekt een van onze ethical hackers het kantoor als mystery guest. ‘Undercover’ beoordeelt deze expert hoe makkelijk het is om toegang te krijgen tot bepaalde ruimtes die uitstekend beveiligd moeten zijn .

Onlangs kwam hier een behoorlijk verontrustend resultaat uit bij een organisatie waarmee wij werken: onze ethical hacker kon heel eenvoudig USB-sticks meenemen en een stukje malware op een printer loslaten. Toen wij dit terugkoppelden naar onze klant, was dat even schrikken! Maar de uitkomsten konden we verwerken in een training: we hebben medewerkers inmiddels getraind om hier alerter op te zijn .


Aan de slag: onderwerp jezelf aan een klein vragenvuur!

Benieuwd naar de stappen die jij kunt nemen? Bepaal dan eerst waar jouw organisatie nu staat door jezelf de volgende vragen te stellen:

•    Hoe train je je medewerkers momenteel: één keer per jaar of continu?
•    Hoe benut jij je trainingsbudget? Is er voldoende ruimte voor security awareness?
•    Hoe (vaak) informeer je je medewerkers omtrent cybersecurity?
•    Zijn pentesten onderdeel van je cybersecuritystrategie?
•    Laat je altijd een pentest uitvoeren wanneer je IT-omgeving verandert?

Is het tijd om een continu proces op te zetten op cybersecuritygebied? Lees hoe je pentesten en security awareness hier onderdeel van maakt.

Wil je scherp blijven op compliance met de hulp van securityexperts? Neem gerust contact met ons op om de mogelijkheden te bespreken.

Meer over MDR (Managed Detection and Response)

Blogpost / 22-11-2022

Je OT-apparaten continu monitoren en beveiligen? Maak een goede start in 5 stappen

Net als binnen de IT neemt digitalisering binnen procesautomatisering toe. Hierdoor groeit het aantal OT-apparaten. Steeds meer slimme apparaten worde...
Blogpost / 21-9-2022

Hoe houd je de vinger aan de pols van je beveiliging? 3 krachtige tips

De digitalisering biedt in de eerste plaats een hele rits voordelen, maar ze brengt ook flink wat beveiligingsrisico’s met zich mee. Daarnaast g...
Blogpost / 14-9-2022

Hoe houd je security scherp? Op naar een integraal perspectief!

De digitale wereld verandert in rap tempo. Zó rap dat organisaties het amper kunnen bijhouden. Digitalisering brengt ook een groeiend aantal se...
Blogpost / 2-6-2022

After the hack: slachtoffer aan het woord

Op zoek naar een true cybercrime podcast? Zoek dan niet langer, want in 'After the hack' wordt je meegezogen in de duistere wereld van cybercr...
Blogpost / 23-6-2022

After the hack: Het Incident Response Team in actie

Op zoek naar een true cybercrime podcast? Zoek dan niet langer, want in 'After the hack' wordt je meegezogen in de duistere wereld van cybercr...
Blogpost / 21-7-2022

After the hack: de juridische kant van een cyberaanval

Op zoek naar een true cybercrime podcast? Zoek dan niet langer, want in 'After the hack' wordt je meegezogen in de duistere wereld van cybercr...
Blogpost / 15-9-2022

After the hack: de wederopbouw

Op zoek naar een true cybercrime podcast? Zoek dan niet langer, want in 'After the hack' wordt je meegezogen in de duistere wereld van cybercr...
Blogpost / 25-7-2022

Een Security Operations Center inrichten en 24/7 bemensen: hoe noodzakelijk (en moeilijk) is dat?

Om 24/7 monitoring en opvolging van security-incidenten te waarborgen, zijn gekwalificeerde medewerkers nodig. Deze brengen hoge kosten met zich mee:...
Blogpost / 23-5-2022

Een goede voorbereiding is het halve werk: 5 tips om een ransomware crisis te voorkomen

De ransomware-alarmbel is geluid. Steeds meer organisaties worden slachtoffer van kwaadwillende hackers. Wat dit betekent? Het is hoog tijd om je voor...
Blogpost / 24-5-2022

After the hack: de podcast over true cybercrime

Gehackt en wat nu? Dat hoor je tijdens de meeslepende podcastreeks After the hack. In circa tien afleveringen neemt Frans Oudendorp je mee in alle fac...
Blogpost / 12-4-2022

Tips voor het verbeteren van cybersecurity in het hoger onderwijs

Dagelijks staan de media vol met cyberincidenten bij bedrijven en onderwijsinstellingen. Gaat het mis, dan blijft het niet alleen bij ‘e-mailen...
Wortell OT security managed detection and response
Blogpost / 28-3-2022

Hoe haal je als onderwijsinstelling álles uit je A5-licentie?

In het educatielandschap is de A5-licentie door de nieuwe prijsstelling erg interessant geworden. Als je kiest voor de A5-licentie, staan diverse moge...
Blogpost / 2-2-2022

De gevolgen van hacks vermijden? Zorg dat je leveranciers hun security op orde hebben!

Hacks zijn aan de orde van de dag. En dat baart de gemiddelde leverancier zorgen. Want wanneer diens productie stilligt, kunnen klanten ook niet...
Blogpost / 13-1-2022

Van raceauto naar bedrijfsleven: hoe zit het met de beveiliging van data?

Bij Dakar zijn er grofweg twee niveaus. Een auto genereert gegevens die je deels publiekelijk beschikbaar maakt en deels intern gebruikt. In het bedri...
Blogpost / 14-12-2021

CVE-2021-44228 “Log4Shell”

On the 10th of December, a new vulnerability (CVE-2021-44228) in log4j was disclosed. Since the report of the vulnerability, news spread across the in...