Tijdens het Axians Cyber Security Event van 2024 namen diverse experts het podium om inzichten te delen over actuele security topics. Tijdens deze dag namen als eerste Solution Architecten Henri van den Heuvel en Roel van de Pol van Axians het podium. Zij gaven het antwoord op de vraag: Hoe maak je de vertaalslag van security compliancy naar de praktijk?
Afkortingen waar je mee doodgegooid wordt, al die vendoren die beloven je te gaan helpen; allemaal mooie verhalen, maar klanten zien soms door de bomen het bos niet meer. Roel belooft tijdens de sessie praktische handvatten om van A naar beter te komen. Dat dit bij veel organisaties begint bij een noodzaak vanuit wet- en regelgeving is hierbij een gegeven.
Toch vindt Roel het stiekem best jammer dat compliancy de drijfveer moet zijn voor vele organisaties om iets aan hun security te doen. Met de komst van de AVG en de NIS2, zien velen een hoge boete boven hun hoofd hangen. Wat heb je functioneel nodig om te zorgen dat je compliant bent voor wet- en regelgeving? En hoe ga je de spullenboel die je al hebt nu écht optimaal inzetten? Deze vraagstukken houden organisaties wakker.
CIS Controls als brug tussen compliance en praktijk
Compliancy en wetgeving geven een hoog-over kader waar je als organisatie aan moet voldoen. Zaak is om dit tastbaar en makkelijk implementeerbaar te maken. De CIS controls – de 18 aandachtspunten (controls) van het center for Internet Security (CIS) – functioneren als pragmatisch kader voor het implementeren van de juiste beveiligingsmaatregelen. Variërend van basismaatregelen voor kleinere organisaties tot geavanceerde maatregelen voor grotere organisaties, helpen de CIS controls bij het bepalen van concrete en uitvoerbare stappen.
De CIS controls kunnen tevens goed gemapt worden naar andere beveiligings- en compliance-regelgevingen zoals de NIST en ISO-normen. Zo kun je als organisatie voldoen aan verschillende eisen zonder dat je dubbel werk hoeft te doen. Op basis van de vraagstukken waar je naar aanleiding van de CIS controls mee aan de slag moet, hebben leveranciers diverse oplossingen om je op weg te helpen.
Security Maturity Review
Waar sta je nu, waar wil je naartoe en wat is de roadmap om daar te komen? Dat staat centraal bij de Security Maturity Review. Deze werkwijze helpt organisaties bij het prioriteren en stapsgewijs implementeren van de juiste beveiligingsmaatregelen. De Security Maturity Review heeft als doel om inzicht te creëren in welke technologie jou helpt om de grootste verbeterslag te maken.
Om tot deze inzichten te komen worden samen met Roel worden de diverse CIS controls doorlopen. Op basis van een interview gaan we samen achterhalen hoe alles geregeld is. Heb je geen concreet antwoord? Dan is dat soms al voldoende om een conclusie uit te trekken. Op basis van diverse interviews wordt er een score per punt gegeven om het tastbaar te maken welke controls en bijpassende technologieën je helpen om de benodigde stappen te zetten.
Meer dan het naleven van regels
Henri benadrukte dat het bij security niet alleen gaat over het naleven van regels. Juist door het implementeren van effectieve processen en het optimaliseren van bestaande technologieën maak je als organisatie het verschil. Hij laat aan de hand van een architectuurplaat zien hoe aan de hand van vier pijlers – mensen, device, netwerk en applicaties – de gaps in je security strategie duidelijk worden.
Dit is precies de pragmatische werkwijze die gedurende de jaren zo succesvol is gebleken. In de praktijk zien we namelijk dat veel organisaties al over de benodigde technologieën beschikken, maar hier nog niet optimaal gebruik van maken. Wanneer dit al vroeg wordt gesignaleerd is de doorlooptijd van het toepassen van de benodigde verbeteringen een stuk lager dan wanneer alle technologieën nog aangeschaft en geïmplementeerd dienen te worden.
Juist door niet alleen te kijken naar technologie maar ook naar de processen kunnen bedrijven hun bestaande investeringen beter gaan benutten en de effectiviteit van hun beveiligingsmaatregelen te vergroten.
Benieuwd naar de andere inzichten van het Axians Cyber Security Event? We hebben alles gebundeld in dit blogartikel. Direct aan de slag? Vul dan onderstaand contactformulier in zodat we samen kunnen kijken hoe we jouw security uitdagingen het beste kunnen tackelen.
