Yes... aan de slag met NIS2!
Zoals in een van mijn andere blogs over NIS2 al gemeld, zijn er nog geen definitieve eisen opgesteld. Maar zoals ook al gesteld, kom je met een beetje gezond verstand en kennis en ervaring met informatiebeveiliging in het algemeen en ISO 27001 en NEN 7510 in het bijzonder al een heel eind.
Bij deze daarom de Top-10 acties waarmee al een heel eind op weg bent om voorbereid te zijn op de nieuwe wetgeving. En uiteraard kunnen wij je hierbij helpen.
1. Voer een risico analyse uit.
Een goed begin is het halve werk!! Voordat je begint met het inrichten van maatregelen, is het natuurlijk belangrijk dat je een risico analyse uitvoert. Identificeer potentiele bedreigingen binnen je IT-platform en je netwerkomgeving. Dit stelt je in staat om gerichte maatregelen te nemen en prioriteiten te stellen op basis van de ernst van de risico's.
2. Maak regelmatig backups van je systemen en test deze ook.
Vooral dat testen wordt nog wel eens vergeten..
3. Zet automatische (software) updates AAN.
Veel cyberaanvallen maken gebruik van bekende kwetsbaarheden in software. Leveranciers doen er uiteraard alles aan om zero-day kwetsbaarheden te voorkomen, maar hierin is timing enorm belangrijk. Het is geregeld een race tegen de klok die je alleen kunt winnen als je de handmatige acties eruit haalt.
4. Richt patchmanagement in.
Naast automatische updates zorgt een goed patchmanagement ervoor dat beveiligingslekken niet onnodig lang bestaan en snel worden gedicht.
5. Pas Multi Factor Authenticatie (MFA) toe waar mogelijk.
MFA is een essentiele stap om de toegang tot je systemen te beveiligen. Zorg daarnaast ook dat je verschillende en vooral sterke wachtwoorden gebruikt op verschillende plekken.
6. Segmenteer netwerken.
Netwerksegmentatie betekent dat je je netwerk opsplitst in afzonderlijke segmenten, waarbij elk segment verschillende toegangsrechten heeft. Dit beperkt de verspreiding van eventuele aanvallen en verhoogd de algemene beveiliging van je netwerk.
7. Versleutel apparaten en opslagmedia met bedrijfsinformatie.
Hiermee voorkom je gegevensverlies als een apparaat onverhoopt in verkeerde handen valt.
8. Leer phishing te herkennen.
De zwakste schakel in het kader van informatiebeveiliging zit vaak tussen het toestenbord en de rugleuning van je stoel. Kortom, dat ben jij! Of in jouw geval uiteraard een van je collega's... Het is essentieel dat medewerkers getraind worden in het herkennen en vermijden van phishing pogingen. Educatie en bewustwording zijn hierbij de sleutelwoorden.
9. Zorg voor 7x24 monitoring.
Door continue de systemen en netwerken in de gaten te houden, kunnen verdachte activiteiten op tijd opgemerkt worden en kunnen maatregelen meteen worden genomen om de impact van een aanval te beperken.
10. Maak een crisisplan.
Dit puntje noem ik weliswaar pas als laatste, maar een Cyber Response Plan is een essentieel onderdeel van de bedrijfsvoering. Het geeft (1) een duidelijke beschrijving van wie waarvoor de verantwoordelijkheid draagt (2) welke stappen er gezet moeten worden om de crisis te beheersen, (3) welke communicatieplannen er zijn en (4) hoe het herstelproces er uit ziet.
Duizelt het je al?
Cyber Security is een belangrijke aangelegenheid voor de bestuurders en het management van een organisatie. In nog te veel gevallen is het top-management zich niet voldoende van bewust van het feit dat als er zch een beveiligingsincident voordoet, kan het management persoonlijk verantwoordelijk worden gehouden voor de gevolgen van een incident.
NIS2 wordt in oktober 2024 van kracht en dus is de tijd beperkt om te zorgen dat ook jouw organisatie er klaar voor is!!
Hier helpen we je uiteraard graag bij.
Lees daarom verder in mijn onderstaande blogs, dan leg ik je uit welke stappen je kunt nemen om op tijd voorbereid te zijn. Of maak een afspraak dan kom ik je een en ander persoonlijk toelichten.
