Cybersecurityplan


Cybersecurityplan
Steeds meer organisaties eisen een cybersecurityplan als onderdeel van een projectinschrijving. In dit cybersecurityplan beschrijf je hoe de cybersecurity is opgezet en hoe je deze borgt. Een voorbeeld hiervan is Rijkswaterstaat (RWS) die dit voor elke contractpartner invoert. Afhankelijk van gevoeligheid van de informatie van het project worden basis of zwaardere eisen gesteld.
Vaak volgen de eisen die gesteld worden aan een cybersecurityplan een deel van de structuur van de ISO 27001. Ook zijn ze ontwikkeld rondom het basisprincipe van de informatiebeveiliging, Security by Design.
Security by Design heeft als uitgangspunt dat uitsluitend toegangsrechten bij noodzakelijke situaties. De drie basisprincipes van Security by Design zijn:
• Vertrouwelijkheid - geef alleen toegang tot gegevens waarvoor de gebruiker is toegestaan
• Integriteit - zorgen dat gegevens niet kunnen worden gemanipuleerd of gewijzigd door onbevoegde gebruikers
• Beschikbaarheid - zorg ervoor dat systemen en gegevens beschikbaar zijn voor geautoriseerde gebruikers wanneer ze het nodig hebben

Hierbij is van belang dat in alle lagen van de netwerkstructuren deze principes worden doorgevoerd. Dus in het voorbeeld van rechten een centraal beheer van groepen, gebruikers en toegangsrechten, gecombineerd met een betrouwbare toegangscontrole.

Gegevensclassificatie
De basisprincipes van Security by Design draaien om een juiste inschatting van de gegevens welke beschermd dienen te worden. Binnen de netwerken kunnen gegevens onderscheiden worden van algemene zin, als interne memo’s, tot aan financiële- en persoonsgegevens.

Risicodifferentiatie
Bij risicodifferentiatie kijken onze ICT-specialisten vanuit welke hoeken je aanvallers kunt verwachten. Deze worden in een volgorde van waarschijnlijkheid geplaatst, met de grootste bedreiging bovenaan. Een mogelijke lijst zou kunnen zijn:
• "Drive by" -aanvallen, zoals virussen of Malware (crypto’s)
• Gemotiveerde criminele aanvallers, zoals georganiseerde misdaad (CEO fraude)
• Ontevreden personeel of ontwikkelaars
• Criminele aanvallers zonder motief (bijvoorbeeld Scriptkiddies)

HCA Automatisering is ervaren in het opstellen van Cybersecurityplannen en is ook jouw organisatie graag van dienst op dit vlak.

Andere IT diensten