Security is key

Security-incident? Melden is een must!

Cybersecurity was en is een alsmaar belangrijker aandachtspunt binnen elke moderne organisatie. Waar we vroeger genoeg hadden met een firewall en een anti-malwareprogramma, is er nu een breed gamma aan tools en methodieken om te voorkomen dat we gehackt, gephisht, gesmisht of geclick-jackt worden. Toch blijft de mens vaak de zwakste schakel in de ketting van securitymaatregelen. Het is daarom een goed idee om je medewerkers hierbij te ondersteunen: met de nodige user awareness training kan je je medewerkers bewust maken van de gevaren en hen helpen de vele vallen die worden opgezet, te vermijden.

Helaas heeft iedereen wel eens een mindere dag en wordt er toch op een link geklikt, wordt er een wachtwoord gelekt of raakt een toestel verloren door onoplettendheid of diefstal. Als zo'n security-incident zich voordoet, komt het erop aan dit zo snel mogelijk te melden en actie te ondernemen. Een aantal zaken zijn hier cruciaal:

  • Eenvoud: de medewerker moet weten waar en hoe hij/zij een melding kan maken zonder dat eerst te moeten gaan uitzoeken. Ook de procedure om iets te melden moet eenvoudig en duidelijk zijn.
  • Begeleiding: als de medewerker weet welke informatie hij/zij moet meegeven, win je kostbare tijd om het incident in de kiem te smoren.
  • Vertrouwen: wie een melding maakt over een security-incident, wil dit het liefst discreet doen, met garantie van het confidentieel gebruik van de gegevens.
  • Bij voorkeur krijgt de medewerker ook nuttige tips mee om aan zelfhulp te doen, bijvoorbeeld als het incident voorvalt buiten de kantooruren.
  • De melding moet kunnen gebeuren via het medium dat de medewerker op dat moment ter beschikking heeft. Als je laptop gestolen is, heb je immers een alternatieve manier (je smartphone b.v.) nodig om je melding te doen.
  • De toestellen die een medewerker gebruikt, moeten traceerbaar zijn.
  • De melding moet leiden tot een actie, met de juiste prioriteit. Een securitymelding moet indien nodig onmiddellijk behandeld worden, tot het gevaar ingedijkt is. Ook de procedure om die acties uit te voeren, moet stap per stap afgedwongen worden, zodat geen fouten gemaakt worden.
4me als incident management tool

Securitymeldingen centraliseren

Het moge duidelijk zijn: er valt met heel wat zaken rekening te houden als je securitymeldingen correct wil behandelen. "Laat staan dat ik erin slaag om hier een systeem voor op te zetten", denk je misschien. Niets is minder waar! Het Enterprise Service Managementplatform 4me laat je toe om, naast het managen van tal van processen binnen IT, HR, quality, facilities, ..., ook voor het behandelen van security-incidenten een functionaliteit op te zetten. Dit kan bovendien ook als je nog geen HR of IT Service Managementplatform hebt.

De SaaS-oplossing 4me biedt je de mogelijkheid om in een paar klikken een portaalomgeving op te zetten, en een servicecatalogus rond cybersecurity te configureren binnen een paar uur. Enkele voordelen van 4me als digitale assistent bij een security-incident:

  • Door binnen 4me templates te voorzien, begeleid je je medewerkers bij het registreren van een incident of vraag en kan je meteen ook de eerste instructies voor zelfzorg meegeven (zoals het resetten van hun wachtwoord). Zo bespaar je heel wat kostbare tijd.
  • Aan de persoon die het incident moet verwerken, stel je dan weer kennisartikels ter beschikking binnen 4me, zodat die de juiste procedures bij de hand heeft om het probleem in te dijken.
  • Gebruik je 4me al voor IT, dan kan je dit deel laten uitmaken van je IT servicecatalogus. Wil je echter een hogere maturiteit bereiken, dan is een apart domein voor security een must. Aangezien 4me met datasegregatie werkt, blijft een security-incident confidentieel, maar kan je toch de nodige taken laten uitvoeren door de IT-dienst om eventueel corrigerende acties te ondernemen.
  • Dit brengt trouwens nog een extra security-aspect met zich mee. Wanneer iemand in IT via e-mail de vraag krijgt om het wachtwoord van bv. de CEO te resetten, zou hij/zij die vraag zelf kunnen zien als een verdachte poging tot social engineering. Wanneer de vraag komt in de vorm van een ticket uit het securityportaal binnen 4me, weet je dat je de vraag ernstig mag nemen.
  • Door security-meldingen binnen 4me te centraliseren, kan je er ook analyses op uitvoeren. 4me laat toe om snel een overzicht te vormen van het aantal gemelde incidenten, de aard ervan, welke assets geïmpacteerd werden, enzovoort. Met die inzichten kan je dan weer acties gaan definiëren om de risico's weg te werken en het aantal incidenten terug te dringen.
Information Security Management System

Een stapje verder: 4me als ISMS-systeem

Als incident management system kan 4me duidelijk grote voordelen opleveren. Wie op het vlak van securitymaturiteit nog een stap verder wil gaan, kan 4me ook inrichten als een Information Security Management System. In zo'n ISMS-systeem dienen in grote lijnen 2 zaken afgedekt te zijn:

  • Je veiligheidsprocedures moeten afgedwongen en traceerbaar zijn
  • Er wordt aan risicomanagement gedaan

Ook dit kan dus eenvoudig binnen 4me. 

Traceerbaarheid van veiligheidsprocedures

Wanneer je meldingen over security-incidenten binnen 4me in een afgescheiden domein beheert, zet je daar meteen ook de bijhorende securityprocedures op via workflows. Dit kan verder gaan dan de processen die spelen bij een incident. Zo kan je binnen 4me ook security review-processen, toelatingsprocedures in beveiligde zones, wederkerende penetratietesten, patchingprocedures, off-boarding van gebruikers, ... definiëren en beheren. Door deze procedures in een tool te gieten, ontstaan tal van voordelen:

  • Door het formaliseren van je proces, wordt er meteen ook grondig over nagedacht
  • De uit te voeren taken worden afgedwongen en automatisch verdeeld naar de verschillende actoren, rekening houdend met het feit dat elke betrokkene slechts het toelaatbare mag zien
  • Alle gegevens, stappen en acties zijn traceerbaar

Deze traceerbaarheid biedt ook een grote meerwaarde voor wie moet voldoen aan normeringen zoals ISO-27001 en andere security-standaarden; ook voor de daaraan gerelateerde externe audits. Wat je zegt dat je gedaan hebt binnen een bepaalde procedure, kan je ook zwart op wit bewijzen. Personen en tijdsstippen worden geregistreerd en de uit te voeren acties afgevinkt. Het omzeilen van procedures doordat dergelijke zaken in Excel-achtige tools bijgehouden worden, is dan ook meteen verleden tijd.

Risicomanagement

Binnen 4me is ook risk management voorzien als standaardfunctionaliteit. Hier kan je de geïdentificeerde risico's inschatten naar waarschijnlijkheid (likelihood) en impact. Zo ontstaat er een matrix van likelihood x impact, waarmee je de ernst (severity) van een risico kan definiëren.

Verder kan je voor elk risico een status meegeven en een mitigation target date. Zo houdt het systeem meteen voor jou bij wanneer die datum dreigt overschreden te worden.

4me: je compagne de route voor security

De voordelen van het gebruik van 4me voor het formaliseren van je securityprocedures, zijn talrijk.

Eerst en vooral: heb je al 4me, dan is het melden van security-incidenten via 4me een kleine moeite om op te zetten, en dit zonder meerkost (dit zit namelijk in de basislicentie). 4me is hoe dan ook een totaaloplossing waar je naast je risisco’s ook je CMDB, Service catalog, SLA’s, portaal, knowledge articles, workflows en project modules, etc. naadloos met elkaar integreert.

De matrix van likelihood x impact = severity is configureerbaar volgens de complexiteit die je wenst te bekomen in je organisatie. Tal van velden op maat zijn zeer eenvoudig toe te voegen via de weg die je reeds gewoon bent in 4me.

Vanuit een risico kun je dus ook relaties leggen naar een service, organisatie of project. Ook naar de assets die beheerd worden in de CMDB van 4me kun je een link maken zonder dat je daarvoor een ander systeem nodig hebt.

Hierdoor krijg je een totaaloverzicht van welk risico aan welk asset gerelateerd is en wie welke actie gedaan heeft om het risico weg te werken.

4me biedt hier een resem aan rapporten aan om op zowel het operationele als het managementniveau de nodige dashboards te bouwen die je in staat stellen de juiste beslissingen te nemen.

Je leest het dus goed, 4me is jouw “compagnon de route” voor je securityjourney, die je hopelijk reeds gestart bent.

Ook dat nog

Beheer naast IT-security ook je andere veiligheidsprocedures

Naast IT-security bestaan er nog tal van andere vormen van beveiliging waar specifieke risico’s aan verbonden zijn: incidenten moeten gelogd zijn, bepaalde procedures moeten gevolgd worden en nagegaan of de vooropgestelde acties effectief uitgevoerd zijn. Denk hier maar aan OT-security, veiligheid op de werkvloer, … Door de datasegregatie van deze domeinen in 4me kun je deze zaken opsplitsen en samenwerking bevorderen op het juiste niveau. En omdat iedereen weet waar hij/zij terecht kan voor alle vragen (of het nu gaat om IT, HR, Facility, …) is dat alvast geen excuus om het niet te melden.

Meer weten? Neem contact op met onze 4me-experts