Basic Security Hygiene
Virussen houden nu al een tijdje niet alleen de fysieke wereld, maar ook de digitale wereld in hun greep. Ze hebben onze manier van werken drastisch veranderd en ons ertoe aangezet nieuwe technologieën, grotere veiligheidsperimeters en dus minder controle in te voeren. Het zal je niet verbazen dat werken op afstand een piek in het aantal cyberaanvallen heeft veroorzaakt, een stijging met wel 400%!
Het antwoord op cybercriminaliteit? Geen vaccins, maar gezond verstand. Wij noemen het Basis Security Hygiene, en het begint allemaal met een Security Audit.
Wat is een security audit?
Een security audit is een systematische evaluatie van je IT-infrastructuur. Daarbij wordt de beveiliging van je IT-systemen geëvalueerd en afgewogen tegen een auditchecklist van best practices, de normen van je sector en/of federale regelgeving.
Wat evalueert een security audit?
Een goed onderbouwde security audit evalueert je security posture op verschillende niveaus:
System Hardening
Zorg dat de basis in orde is - Op dit niveau wordt nagegaan of alle toepassingen, systemen en IT-infrastructuur aan de voorschriften voldoen en juist zijn geconfigureerd. En of ze onlangs zijn geüpdatet en gepatcht.
Netwerk Architectuur
Bedoeld om je netwerk architectuur te verbeteren, de prestaties en betrouwbaarheid ervan te verhogen, en voldoende redundantie te bieden. Dit betekent dat zowel moet worden gekeken naar informatiestromen binnen het bedrijf via verschillende punten, maar ook naar stromen die extern kunnen worden teruggekoppeld naar de organisatie.
Fysieke Security
Evaluatie van de fysieke componenten van je IT-systemen en de omgeving waarin deze systemen zich bevinden. Hier wordt een evaluatie gemaakt van de beveiligingsmaatregelen die je bedrijf al heeft genomen om je in een latere fase een gedetailleerd security roadmap te verschaffen.
Organisatorische Security
Op dit niveau worden zowel de beveiliging van als de verschillende bedrijfsprocessen die verband houden met informatiestromen geanalyseerd (fysiek, digitaal, on-premise, cloud, enz.). Bijvoorbeeld: Hoe verzamelen, delen en bewaren werknemers gevoelige of niet-gevoelige gegevens? Hoe worden accounts of de toegang tot het kantoor beveiligd?
Benieuwd naar onze security audit aanpak
Waarom heeft mijn bedrijf een security audit nodig?
Een security audit stelt je in staat de gaten in je IT-securitybeleid op te sporen. Het helpt je om je bedrijfskritische gegevens te beschermen en om een cyberbeveiligingsstrategie op te stellen.
Voor veel bedrijven is dit de start van een grondig IT-securitybeleid dat elke werknemer in het bedrijf moet volgen. Niet alleen je IT-team is verantwoordelijk voor je IT-infrastructuur, alle werknemers moeten hun steentje bijdragen.
Het uitvoeren van herhaalde audits zorgt ervoor dat iedereen in je bedrijf scherp en alert blijft op malafide cyberpraktijken.
Er zijn verschillende redenen waarom je een security audit zou willen uitvoeren, dus we zetten ze even op een rijtje in een checklist:
Investeringen in cyberbeveiliging
- Om beveiligingsgaten en -zwakheden in (de configuratie van) je IT-infrastructuur identificeren
- Als bedrijf wilt je jouw cyberbeveiligingspositie verbeteren, maar je weet niet waar je moet beginnen. Een security audit biedt je een startpunt en een visie voor de toekomst met een security roadmap.
- Je wilt een benchmark om vooruitgang te zien in je beveiligingsstrategie, -houding of -beleid. Als je regelmatig een security audit uitvoert, kun je na verloop van tijd eenvoudiger het rendement berekenen van de extra beveiligingslagen die je toevoegt.
- Wanneer je bedrijf net het slachtoffer is geworden van een hack of een datalek.
Bedrijfskritiek
- Bedrijfsprocessen en beveiligingsmaatregelen op elkaar afstemmen. Veel extra beveiligingslagen op je IT-infrastructuur kunnen veel bedrijfsprocessen veel zwaarder en tijdrovender maken dan ze zouden moeten zijn.
- Om te voldoen aan alle andere externe of interne voorschriften die je bedrijf wenst na te leven.
- Onnodige middelen (geld, tijd, mankracht, enz.) opsporen
- Als je bedrijf veel gevoelige of bedrijfskritische gegevens verwerkt.
- Wanneer je een systeem upgrade of data migratie wilt uitvoeren.
- Wanneer je een bedrijf in volle expansie bent. Meer werknemers staat vaak gelijk aan meer IT-systemen, wat op zijn beurt weer gelijk staat aan meer risico's op datalekken.
Cyber awareness creëren
- Om te bepalen of de werknemers van je bedrijf een security awareness nodig hebben.
- Het management bewust maken van de risico's die verbonden zijn aan het gebruik en misbruik van IT.