Basisprincipe 3: Bescherm systemen, applicaties en apparaten

Basisprincipe 3 voor zzp'er of mkb'ers Ben je een zzp'er of mkb'er? Bekijk dan welke tips en adviezen onze fusiepartner Digital Trust Center voor jou heeft klaargezet.

Waarom dit basisprincipe?

Door het gebruik van standaardinstellingen ontstaat het risico dat systemen, applicaties en apparaten toegankelijker zijn dan gewenst. Onnodige functionaliteiten vergroten bovendien het aanvalsoppervlak, waardoor je organisatie meer lekken moet dichten om digitaal veilig te zijn. Om beter beschermd te zijn, is het nodig het aanvalsoppervlak te beperken en door monitoring en detectie tijdig te kunnen reageren op mogelijke aanvallen. Wat kun je doen?

Beperk het aanvalsoppervlak

Het beperken van je aanvalsoppervlak wil zeggen dat je alles uitzet, dichtzet of verwijdert dat niet nodig is voor het realiseren van je bedrijfsdoelen. Dat kan door verwijderen, uitschakelen, onbereikbaar maken of beperken van functionaliteiten en communicatie-openingen (hardening van systemen). Voorbeelden zijn technische services, communicatie-protocollen, software, gebruikersaccounts en systeemdiensten.
Gebruik je risicoanalyse om te bepalen welke elementen nodig zijn en welke niet. Denk ook na over mobile devices zoals smartphones en tablets. Ook deze apparaten moeten veilig worden geconfigureerd zodat in geval van diefstal, verlies of inbreuk, vertrouwelijke data vertrouwelijk blijft.

Segmenteer netwerken

Mocht een aanvaller toch binnen weten te komen, dan kan het segmenteren van je netwerk de gevolgen van een aanval aanzienlijk beperken. Segmenteren betekent dat een netwerk in meerdere zones wordt verdeeld. Netwerksegmentatie voorkomt dat een virus of aanvaller zich kan verspreiden in het gehele netwerk.

Netwerksegmentatie is een maatregel die de gevolgen van verschillende cyberaanvallen kan beperken. Hanteer het uitgangspunt dat netwerkverkeer in het algemeen niet toegestaan is en voeg vervolgens specifieke firewallregels toe voor verkeer dat wel nodig is.

Detecteer incidenten tijdig

Elke organisatie kan te maken krijgen met malafide activiteiten op het netwerk of met digitale aanvallen. Detectie is de aanpak om met technische middelen zicht te krijgen op de dreigingen als gevolg van deze activiteiten. Via detectie ontstaat er een duidelijk beeld van een incident. Ook kunnen beveiligingsmaatregelen via detectie worden aangescherpt. Om detectie goed in te richten zijn logbestanden noodzakelijk. Daarnaast moeten de logbestanden ook kunnen worden uitgelezen en gemonitord. Bepaal welke logbestanden nodig zijn. Zorg ervoor dat je logbestanden door worden gestuurd naar een centrale loggingserver zodat je monitoring goed ingericht kan worden. Maak waar mogelijk gebruik van geautomatiseerde loganalyses en denk goed na over de bewaartermijnen van je logbestanden.

Richt patchmanagement in

Door een patchmanagementproces in te richten zorg je dat er een proces is om updates voor software te identificeren, te testen en te installeren. Breng hierbij alle software en systemen binnen je organisatie in kaart en denk ook aan webbrowsers en  plug­ins.

Versleutel je data

Het versleutelen van al jouw bedrijfsinformatie maken data onbruikbaar als deze in handen van aanvallers valt. Door de versleuteling is de data alleen in te zien wanneer je over de sleutel beschikt. De sleutel kan een apart wachtwoord zijn, ondersteund door de toepassing van cryptografie, maar kan ook worden bijgehouden door bijvoorbeeld je werkplek of telefoon. Dit zorgt ervoor dat versleuteling gemakkelijk is te gebruiken en op alle data kan worden toegepast.

Versleutelen van data kan tijdens het verplaatsen van data (in transit) en op het moment dat data ergens zijn opgeslagen (at rest). Versleutel harde schijven, laptops, mobiele apparaten en usb-­sticks die bedrijfsinformatie bevatten. Maar denk daarnaast ook aan de manier waarop de data in cloud-oplossingen of op servers wordt opgeslagen.
Draag er zorg voor dat ook deze data wordt versleuteld – op die manier ben je niet afhankelijk van de betrouwbaarheid van specifieke leveranciers en vult je je verantwoordelijkheid als data-eigenaar volledig in.

Verdieping over basisprincipe 3

Hieronder vind je een overzicht van onze andere publicaties die zijn gerelateerd aan het bevorderen van het bescherm van systemen, applicaties en apparaten. Daarin lees je meer over praktische hulpmiddelen om mee aan de slag te gaan of meer achtergrondinformatie over specifieke onderwerpen. 

- NIS2:  Verplicht entiteiten passende en evenredige technische, operationele en organisatorische maatregelen te nemen, afgestemd op de risico’s die zich voordoen. De basisprincipes helpen je om de eerste stappen te zetten om deze risico’s in kaart te brengen. Artikel 21e,21g, 21h en 21j van de NIS2-richtlijn sluiten aan bij dit basisprincipe.  Ben je op zoek naar een overzicht van NIS2 gerelateerde publicaties? Bekijk hier het overzicht. Link naar NIS2-richtlijn (NL vertaling): L_2022333NL.01008001.xml (europa.eu) - ISO/IEC 27002: hoofdstuk 8: technische beheersmaatregelen - BIO;  Hoofdstuk 10; cryptografie. Hoofstuk 12; beveiliging bedrijfsvoering. Hoofdstuk13: communicatiebeveiliging. Hoofdstuk 14: acquisitie, ontwikkeling en onderhoud van informatiesystemen