BLOG – De huidige digitale dreigingen zijn niet alleen geavanceerder, maar ook onvoorspelbaarder dan ooit. Van ai-gegenereerde phishing tot ransomware-as-a-service: elke organisatie kan doelwit worden. In zo’n realiteit is het niet genoeg om enkel reactief te handelen. Het versterken van je digitale weerbaarheid vraagt om een integrale en vooral proactieve aanpak. Over de assen identify, prevent, detect en respond, zoals ook benoemd in het NIST-framework, kijken we in vogelvlucht naar mogelijkheden die passen bij een risicogebaseerde manier van denken.
- Identify: weet wat er op je afkomt
Identify draait om het identificeren van wat je zelf beschermt. Denk aan je belangen, je properties, je apparaten en de dreigingen die daarop van toepassing zijn. Zoom je iets verder uit, dan kan je niet naar dreigingen kijken zonder daarbij ook te kijken naar de dreigingsactoren. Welke actoren zijn voor jouw organisatie belangrijk om in beeld te hebben en de manieren waarop deze actoren te werk gaan?
Deep- en darkwebmonitoring speelt bij het identificeren van mogelijke dreigen een sleutelrol. Het is daarnaast belangrijk om te weten welke informatie er over jouw organisatie wordt gedeeld op het clear-, deep- en darkweb. Informatie met betrekking tot inloggegevens, kwetsbaarheden in je leveranciersketen of informatie over geregistreerde domeinen die sterk lijken op die van jouw organisatie kunnen jouw organisatie kwetsbaar maken.
- Prevent: verklein de kans op een incident
Je kunt niet alles tegelijk beschermen. Je begint daarbij met een aantal basismaatregelen, die altijd en voor elke organisatie gelden. Denk aan maatregelen als:
- Multi-factorauthenticatie (MFA) om toegangsbeheer te versterken;
- Endpoint- en network detection & response (edr/ndr) om security rondom devices en netwerken aan te scherpen;
- Security-awarenesstrainingen voor medewerkers;
- Vulnerability-management, om zicht te krijgen op kwetsbaarheden in je it-landschap en deze vervolgens aan te pakken.
Cybersecurity vraagt in veel gevallen om meer dan alleen het treffen van de basismaatregelen. Voor het verder inrichten is risicogebaseerd werken essentieel. Dat begint met het in kaart brengen welke onderdelen van jouw organisatie cruciaal zijn voor de bedrijfscontinuïteit. Daar stem je je beveiligingsmaatregelen op af.
Doel van deze exercitie: bedenk dat je niet alles kunt beschermen en zeker niet alles tegelijk. Breng in kaart wat je echt moet beschermen en investeer daarin. Deze risicogebaseerde aanpak leidt tot gerichte investeringen, in plaats van je beveiliging te verdelen over alles en iedereen.
- Detect: signaleer aanvallen voordat ze schade aanrichten
Zelfs met de beste preventieve maatregelen moet je ervan uitgaan dat er ooit iets misgaat. Het is dan cruciaal dat je een aanval tijdig detecteert, voordat die zich verspreidt of blijvende schade aanricht. Moderne security operations centers (soc’s) gebruiken ai en gedragsanalyse om afwijkingen te signaleren die op een aanval kunnen wijzen. Daarbij geldt: hoe beter je detectie is afgestemd op jouw organisatie, hoe effectiever je kunt ingrijpen. Zo is de efficiëntie van soc’s de afgelopen tijd sterk verbeterd. Ai en automatisering helpen analisten door patronen te herkennen, meldingen te filteren en dreigingen sneller te beoordelen.
- Respond: herstel snel en effectief
Wanneer een incident zich voordoet, is het allereerst belangrijk om de impact te bepalen. In de meeste gevallen is een incident klein en kan een soc dit prima (al dan niet geautomatiseerd) afhandelen. Wanneer een incident groter is en veel impact kan hebben op de bedrijfscontinuïteit, dan komt alles samen: techniek, communicatie, governance en leiderschap. De manier waarop je reageert, bepaalt niet alleen de omvang van de schade, maar ook het vertrouwen van klanten, toezichthouders en de eigen medewerkers. Een goede respons begint dan ook met voorbereiding. Tuig een multidisciplinair crisisteam op waarin it, security, communicatie, juridische zaken en directie vertegenwoordigd zijn. Leg verantwoordelijkheden en bevoegdheden vast in draaiboeken: wie mag besluiten om systemen offline te halen? Wie communiceert met de buitenwereld? Hoe informeer je ketenpartners?
Waak ervoor dat je tijdens en ná een incident de juiste stappen zet. Denk aan de juridische opvolging, zoals de meldplicht bij een datalek. Incidentmanagement stopt echter niet bij herstel. Een evaluatie naderhand is essentieel: wat ging goed en wat moet een volgende keer anders? Kortom, een effectieve response vereist voorbereiding, samenwerking en de bereidheid om te leren.
Vier fases, één geheel
Identify, prevent, detect en respond zijn geen losse onderdelen, maar een samenhangend geheel. Door deze fasen te benaderen vanuit je eigen risicoprofiel, versterk je stap voor stap de digitale weerbaarheid van jouw organisatie. Dit betekent dat cybersecurity niet alleen een verantwoordelijkheid is van it, maar een directie-aangelegenheid. In deze blog staan een aantal aandachtspunten op hoofdlijnen beschreven waarmee elke organisatie de eerste stap kan zetten om te voldoen aan de NIS2-richtlijn. Dat betekent zorgen dat je niet alleen beter beschermd bent tegen de dreigingen van vandaag, maar ook wendbaarder voor die van morgen.
Erik de Jong, chief research officer Tesorion
