De nieuwe NIS2-richtlijn (Netwerk- en Informatiebeveiligingsrichtlijn) staat voor de deur en zal grote gevolgen hebben voor organisaties binnen zowel België als de rest van de Europese Unie.
Om je organisatie klaar te stomen voor deze verandering, delen we deze zeven essentiële stappen die wij als IT-bedrijf nemen om een organisatie NIS2-compliant te maken.
1. Inventariseer kwetsbaarheden
Het inventariseren van kwetsbaarheden betekent dat je nagaat welke apparaten, software en gegevens je binnen je organisatie hebt, zodat je weet wat je moet beschermen. Dit is belangrijk omdat je alleen risico’s kunt beheersen als je weet waar ze zich bevinden.
Door daarna bijvoorbeeld elke zes maanden te controleren wat er veranderde binnen je IT-infrastructuur, spoor je zwakke plekken op die misbruikt kunnen worden tijdens bijvoorbeeld een malware-aanval.
Daarnaast is het essentieel om een plan te hebben voor wanneer er iets misgaat. Dit houdt in dat je goede back-ups maakt van je belangrijke gegevens, en dat je weet hoe je deze kunt herstellen. Bewaar deze back-ups niet alleen op een apparaat zelf of enkel in de cloud. Maak ook een fysieke kopie die je regelmatig bijwerkt. Zo ben je snel terug aan de slag na een incident.
2. Voorkom virussen en malware
Een standaard antivirusprogramma is een stap in de goede richting, maar biedt vaak geen bescherming tegen geavanceerde dreigingen zoals cryptolockers—malware die je data versleutelt en zich snel door je netwerk verspreidt met mogelijk desastreuze gevolgen. Daarom is het essentieel om extra tools te gebruiken die je beschermen tegen dergelijke aanvallen, je apparaten in topconditie houden en je software up-to-date houden.
Het inschakelen van ransomware-detectie en EDR (Endpoint Detection and Response) oplossingen is tegenwoordig van groot belang. Deze systemen gaan verder dan traditionele antivirussoftware door ook onbekende bedreigingen en verdacht gedrag te herkennen. Met oplossingen zoals Secure4Device geniet je van topklasse bescherming dankzij een combinatie van sterke tools, regelmatige updates en een securityteam dat 24/7 klaarstaat om manueel in te grijpen bij dringende problemen.
3. Plan for the worst met een business continuity-plan
Ook al ben je zo voorzichtig, kan er toch iets misgaan. Zorg daarom voor een actueel backup- en recoveryplan, oftewel een business continuity-plan, en de middelen om dit uit te voeren.
Dit plan helpt je de impact van IT-problemen—zoals hardwareproblemen, softwarefouten of ransomware—sterk te beperken.
Elke organisatie moet een Business Continuity Plan hebben met antwoord op de volgende vragen:
- Welke systemen zijn er binnen onze organisatie?
- Wat moet ik doen in welke situatie?
- Wie heb ik nodig in welke situatie?
- Hoe ziet het herstelproces eruit?
Het is essentieel al je data te beschermen, of deze nu on-premise staat, in de cloud, of in een SaaS-oplossing zoals Microsoft 365.
Maak onderscheid tussen belangrijke data en cruciale processen om te bepalen of je een back-up nodig hebt of een volledige business continuity-oplossing.
4. Kies altijd voor veilige instellingen
De standaardinstellingen op je apparaten, en binnen je applicaties, die zijn vaak niet optimaal qua security. In tegendeel: ze zijn meestal gericht op gemak en niet op maximale beveiliging. Hierdoor blijven standaardwachtwoorden en beveiligingsfuncties soms ongewijzigd, wat risico’s met zich meebrengt. Het is daarom belangrijk om actief je instellingen aan te passen om je systemen beter te beschermen.
Enkele snelle tips:
- Gebruik sterke en unieke wachtwoorden: Een wachtwoord van 8 tekens kan binnen 8 uur worden gekraakt; met 10 tekens duurt dit al 5 jaar. Maak dus gebruik van langere en complexere wachtwoorden, die je idealiter laat genereren & opslaat in een password manager.
- Stel multi-factor authenticatie in: Dit voegt een extra beveiligingslaag toe naast je wachtwoord, die veel moeilijker te hacken is.
- Configureer firewalls op alle apparaten: Niet alleen aan de rand van je netwerk, maar ook op individuele endpoints.
- Zorg voor voldoende logging: Dit helpt bij het monitoren van activiteiten en het opsporen van verdachte gebeurtenissen.
- Controleer regelmatig je instellingen: Zorg dat er geen ongeautoriseerde wijzigingen zijn en voorkom ‘shadow IT’ die je beveiliging kan ondermijnen.
5. Voer updates uit
“Pff, alweer een update” is een zin die vele onder ons al vaker uitgesproken hebben. Toch stel je updates beter niet uit. 60% van alle security-inbreuken gebeuren namelijk omdat systemen en apparaten niet up-to-date zijn, ondanks beschikbare patches.
Ons advies rond updates:
- Schakel automatische updates in om altijd up-to-date te blijven.
- Abonneer je op updatenotificaties van je leveranciers.
- Gebruik RMM-tools om patchrondes te beheren en uit te stellen indien nodig.
- Overweeg afscheid te nemen van verouderde platforms en applicaties die geen updates meer ontvangen.
6. Beperk toegang
Vaak wordt de fysieke toegang tot gebouwen, en dus ook IT-apparatuur, over het hoofd gezien bin een IT-security beleid. Wanneer iemand fysieke toegang heeft tot een computer, kan die persoon veel kwaad toerichten. Denk aan fysieke schade, maar bijvoorbeeld ook een BadUSB die malware kan installeren en gegevens kan stelen door deze simpelweg in te pluggen.
Hier zijn alvast enkele tips om van start te gaan met het beperken van toegang tot je IT-systemen:
- Documenteer medewerkerstoegang: Leg vast wie toegang heeft tot welke systemen en data, met welke rechten en waarom.
- Gebruik unieke accounts: Zorg dat elke medewerker zich identificeert met een uniek account voor betere traceerbaarheid.
- Verplicht sterke wachtwoorden en MFA: Gebruik sterke wachtwoorden en multi-factor authenticatie voor belangrijke systemen en data.
- Beperk fysieke toegang: Beperk de toegang tot ruimtes waar systemen & servers draaien; niet elke medewerker hoeft toegang tot serverruimtes of racks.
- Automatische vergrendeling: Stel in dat apparaten automatisch vergrendelen na 3-5 minuten inactiviteit, en opnieuw een wachtwoord vragen om op te starten.
- Pas toegangsrechten aan bij veranderingen: Update toegangsrechten wanneer de rol van een medewerker verandert.
Met de opkomst van thuiswerken is (fysieke) toegang tot IT-infrastructuur beperken nog eens complexer geworden. Zonder geschikte beveiliging kunnen onbevoegden via apparaten van medewerkers toegang krijgen tot het bedrijfsnetwerk. Beperk dit risico door te bepalen welke applicaties buiten een VPN om toegang hebben tot het netwerk en overweeg het gebruik van een Identity and Access Management (IAM)-oplossing. Een goede IAM-oplossing kan inloggen versterken met multi-factor authenticatie, tijdelijk toegang verlenen en zelfs werken zonder wachtwoorden.
7. Training en bewustwording
Cybersecurity rust op drie pijlers: mensen, processen en technologie. Hoewel technologie en processen belangrijke rollen spelen, is de mens vaak de zwakste schakel. Het is meer dan ooit belangrijk om medewerkers te trainen en bewust te maken van risico’s en hoe ze zich hier tegen kunnen wapenen.
Zorg dat je personeel bekend is met het cybersecuritybeleid van je organisatie en weet hoe te handelen bij bijvoorbeeld phishing-mails. Herhaal deze trainingen periodiek, bijvoorbeeld twee keer per jaar, zodat een veilige manier van werken een automatisme wordt.
* Deze tekst werd opgemaakt op basis van de SECURE7 basisprincipes van de Dutch Cybersecurity Assembly.
