Security is key
Security-incident? Melden is een must!
Cybersecurity was en is een alsmaar belangrijker aandachtspunt binnen elke moderne organisatie. Waar we vroeger genoeg hadden met een firewall en een anti-malwareprogramma, is er nu een breed gamma aan tools en methodieken om te voorkomen dat we gehackt, gephisht, gesmisht of geclick-jackt worden. Toch blijft de mens vaak de zwakste schakel in de ketting van securitymaatregelen. Het is daarom een goed idee om je medewerkers hierbij te ondersteunen: met de nodige user awareness training kan je je medewerkers bewust maken van de gevaren en hen helpen de vele vallen die worden opgezet, te vermijden.
Helaas heeft iedereen wel eens een mindere dag en wordt er toch op een link geklikt, wordt er een wachtwoord gelekt of raakt een toestel verloren door onoplettendheid of diefstal. Als zo'n security-incident zich voordoet, komt het erop aan dit zo snel mogelijk te melden en actie te ondernemen. Een aantal zaken zijn hier cruciaal:
- Eenvoud: de medewerker moet weten waar en hoe hij/zij een melding kan maken zonder dat eerst te moeten gaan uitzoeken. Ook de procedure om iets te melden moet eenvoudig en duidelijk zijn.
- Begeleiding: als de medewerker weet welke informatie hij/zij moet meegeven, win je kostbare tijd om het incident in de kiem te smoren.
- Vertrouwen: wie een melding maakt over een security-incident, wil dit het liefst discreet doen, met garantie van het confidentieel gebruik van de gegevens.
- Bij voorkeur krijgt de medewerker ook nuttige tips mee om aan zelfhulp te doen, bijvoorbeeld als het incident voorvalt buiten de kantooruren.
- De melding moet kunnen gebeuren via het medium dat de medewerker op dat moment ter beschikking heeft. Als je laptop gestolen is, heb je immers een alternatieve manier (je smartphone b.v.) nodig om je melding te doen.
- De toestellen die een medewerker gebruikt, moeten traceerbaar zijn.
- De melding moet leiden tot een actie, met de juiste prioriteit. Een securitymelding moet indien nodig onmiddellijk behandeld worden, tot het gevaar ingedijkt is. Ook de procedure om die acties uit te voeren, moet stap per stap afgedwongen worden, zodat geen fouten gemaakt worden.
Information Security Management System
Een stapje verder: 4me als ISMS-systeem
Als incident management system kan 4me duidelijk grote voordelen opleveren. Wie op het vlak van securitymaturiteit nog een stap verder wil gaan, kan 4me ook inrichten als een Information Security Management System. In zo'n ISMS-systeem dienen in grote lijnen 2 zaken afgedekt te zijn:
- Je veiligheidsprocedures moeten afgedwongen en traceerbaar zijn
- Er wordt aan risicomanagement gedaan
Ook dit kan dus eenvoudig binnen 4me.
Traceerbaarheid van veiligheidsprocedures
Wanneer je meldingen over security-incidenten binnen 4me in een afgescheiden domein beheert, zet je daar meteen ook de bijhorende securityprocedures op via workflows. Dit kan verder gaan dan de processen die spelen bij een incident. Zo kan je binnen 4me ook security review-processen, toelatingsprocedures in beveiligde zones, wederkerende penetratietesten, patchingprocedures, off-boarding van gebruikers, ... definiëren en beheren. Door deze procedures in een tool te gieten, ontstaan tal van voordelen:
- Door het formaliseren van je proces, wordt er meteen ook grondig over nagedacht
- De uit te voeren taken worden afgedwongen en automatisch verdeeld naar de verschillende actoren, rekening houdend met het feit dat elke betrokkene slechts het toelaatbare mag zien
- Alle gegevens, stappen en acties zijn traceerbaar
Deze traceerbaarheid biedt ook een grote meerwaarde voor wie moet voldoen aan normeringen zoals ISO-27001 en andere security-standaarden; ook voor de daaraan gerelateerde externe audits. Wat je zegt dat je gedaan hebt binnen een bepaalde procedure, kan je ook zwart op wit bewijzen. Personen en tijdsstippen worden geregistreerd en de uit te voeren acties afgevinkt. Het omzeilen van procedures doordat dergelijke zaken in Excel-achtige tools bijgehouden worden, is dan ook meteen verleden tijd.
Risicomanagement
Binnen 4me is ook risk management voorzien als standaardfunctionaliteit. Hier kan je de geïdentificeerde risico's inschatten naar waarschijnlijkheid (likelihood) en impact. Zo ontstaat er een matrix van likelihood x impact, waarmee je de ernst (severity) van een risico kan definiëren.
Verder kan je voor elk risico een status meegeven en een mitigation target date. Zo houdt het systeem meteen voor jou bij wanneer die datum dreigt overschreden te worden.
4me: je compagne de route voor security
De voordelen van het gebruik van 4me voor het formaliseren van je securityprocedures, zijn talrijk.
Eerst en vooral: heb je al 4me, dan is het melden van security-incidenten via 4me een kleine moeite om op te zetten, en dit zonder meerkost (dit zit namelijk in de basislicentie). 4me is hoe dan ook een totaaloplossing waar je naast je risisco’s ook je CMDB, Service catalog, SLA’s, portaal, knowledge articles, workflows en project modules, etc. naadloos met elkaar integreert.
De matrix van likelihood x impact = severity is configureerbaar volgens de complexiteit die je wenst te bekomen in je organisatie. Tal van velden op maat zijn zeer eenvoudig toe te voegen via de weg die je reeds gewoon bent in 4me.
Vanuit een risico kun je dus ook relaties leggen naar een service, organisatie of project. Ook naar de assets die beheerd worden in de CMDB van 4me kun je een link maken zonder dat je daarvoor een ander systeem nodig hebt.
Hierdoor krijg je een totaaloverzicht van welk risico aan welk asset gerelateerd is en wie welke actie gedaan heeft om het risico weg te werken.
4me biedt hier een resem aan rapporten aan om op zowel het operationele als het managementniveau de nodige dashboards te bouwen die je in staat stellen de juiste beslissingen te nemen.
Je leest het dus goed, 4me is jouw “compagnon de route” voor je securityjourney, die je hopelijk reeds gestart bent.
Ook dat nog
Beheer naast IT-security ook je andere veiligheidsprocedures
Naast IT-security bestaan er nog tal van andere vormen van beveiliging waar specifieke risico’s aan verbonden zijn: incidenten moeten gelogd zijn, bepaalde procedures moeten gevolgd worden en nagegaan of de vooropgestelde acties effectief uitgevoerd zijn. Denk hier maar aan OT-security, veiligheid op de werkvloer, … Door de datasegregatie van deze domeinen in 4me kun je deze zaken opsplitsen en samenwerking bevorderen op het juiste niveau. En omdat iedereen weet waar hij/zij terecht kan voor alle vragen (of het nu gaat om IT, HR, Facility, …) is dat alvast geen excuus om het niet te melden.