Goed zicht = minder ongelukken

De nieuwe generatie (EDR & SIEM/UBA) monitoring

 Certified Partner

Goed zicht leidt tot een betere koers met minder kans op ongelukken!

Informatiebeveiliging 

Organisaties, instellingen, bedrijven en gemeenten hebben vaak moeite om de ontwikkelingen op het gebied van informatiebeveiliging te volgen. Er is beperkt budget, beperkte kennis in huis en weinig handhaving van normen. 

Als voorbeeld de gemeenten: veel gemeenten zijn nog lang niet toe zijn aan een (serieuze) implementatie van de BIO.

De BIO (en ongeveer alle erkende raamwerken voor informatiebeveiliging, zoals ISO 27001, COBIT, NIST) is gebaseerd op risico gestuurde implementatie van beheersmaatregelen. Vaak werken organisaties echter andersom: ze gaan beheersmaatregelen implementeren, en dan zullen de risico’s wel omlaag gaan. Maar welke risico’s zijn dat dan? En is dat efficiënt en effectief (genoeg)? Zijn ze dan “in control”?

De BIO (en ook ISO 27001) zegt dat je aan monitoring moet doen. Strikt genomen gaat het om het monitoren van de adequaatheid van het ISMS. Maar meestal worden de geïmplementeerde beheersmaatregelen (bv. een firewall, IAM-systeem, MDM, antivirus) gemonitord. Dat geeft indirect ook een beeld van de adequaatheid van het ISMS. Maar alleen als alle (kritieke) beheersmaatregelen worden gemonitord.

Kroonjuwelen

Welke beheersmaatregelen zijn kritiek? Dat moet blijken uit een risicoanalyse. Daaruit blijkt, als het goed is, ook wat de kroonjuwelen zijn. Zonder risicoanalyse blijft onzeker of een (voorgestelde of al geïmplementeerde) beheersmaatregel wel zin heeft. Die kan zowel te zwaar als te licht zijn. Of zelfs overbodig, en daarmee een onnodige kostenpost.

Inzicht

Inzicht in risico’s is dus nodig. Op basis daarvan kunnen prioriteiten worden toegekend aan te treffen maatregelen. Moet er een IAM-systeem komen? Moet er een geavanceerdere firewall komen? Moeten we mensen beter bewust maken van onveilig gedrag? Moeten we beter inzicht krijgen in activiteiten die (al dan niet bewust) tot schade (kunnen) leiden? Inzicht in dat laatste kunnen we krijgen op basis van monitoring.

Monitoring

Monitoring op basis van een klassieke SOC/SIEM-oplossing is in de regel een langdurig en kostbaar traject. Bovendien vraagt het veel (kostbaar) onderhoud. Het kan ook anders. Moderne SOC/SIEM-oplossingen bevatten intelligentie waardoor ze correlaties kunnen vinden waar vroeger dure analisten voor nodig waren. Heel veel is al geautomatiseerd en levert bijna automatisch betrouwbare rapporten en alarmen, met een minimum aan ‘false positives’.

Minder ongelukken

De rapporten van zo’n moderne SOC/SIEM-oplossing geven inzicht in patronen die helpen om risico’s in te schatten, en daarmee de juiste prioriteiten c.q. investeringen te verantwoorden. Goed zicht leidt tot een betere koers met minder kans op ongelukken.

Wat moet er dan gemonitord worden? Vaak is het al voldoende om enkele bedrijfskritieke systemen te koppelen, bijvoorbeeld de firewall, (Azure) Active Directory, cloud- en server systemen en enkele database-toepassingen (GBA, HR-data, e.d.).

Technisch gezien is dat eenvoudig, want al heel vaak gedaan. Maar ook het genereren van rapporten en alarmen is al bijna standaardwerk. Het is nog een kwestie van fine tuning. Bevalt het concept, dan kan er met weinig moeite andere systemen worden gekoppeld, waardoor het “zicht” nog beter wordt.

Kostenverlaging

Een CISO kan daardoor veel beter verantwoording afleggen voor activiteiten, en business cases maken voor verbeteringen. Terwijl er geen dure consultants in huis hoeven worden gehaald en de lopende kosten laag blijven. De gemeente vaart niet langer blind en kan dus beter afwegen wat nu en wat later moet gebeuren. Dat kan de gemeente volledig onderbouwen met objectieve data. Geen dure stokpaardjes, persoonlijke voorkeuren en kokervisies meer.

Een IT-architect met enige kennis van of gevoel voor informatiebeveiliging kan de IT-omgeving nog een extra boost geven door een roadmap te formuleren voor nieuwe ontwikkelingen, inclusief criteria die wildgroei en onveilige constructies kunnen voorkomen.

Licht in de duisternis

Als organisatie wil je “in control” zijn. Daarvoor heb je goed “zicht” nodig. Wat gebeurt er in onze systemen, wie doet dat, hoe doet zij/hij dat, en hoe riskant is dat? Een moderne SOC/SIEM-oplossing kan veel licht in de duisternis brengen. En dat hoeft helemaal niet duur of ingewikkeld te zijn.

Wilt u beter zicht en minder ongelukken?  Neemt u dan gerust contact op met Erik Plenter of via de contactpagina.

Wij zorgen graag voor een heldere kijk op uw werkomgeving en houden het veilig.