Logo of CSN Groep

Is het mogelijk om digitaal wendbaar én weerbaar te zijn?

Digitaal wendbaar én weerbaar zijn. Kan dat eigenlijk wel? Zie het als koorddansen. Heb je het koord te strak gespannen, dan verlies je flexibiliteit, je ontneemt medewerkers hun ondernemendheid en anticiperen op de markt wordt lastig. Is je koord te slap, dan dreigt je intellectueel eigendom in gevaar te komen. Hoe zorg je ervoor dat je tussen deze twee uitersten een balans vindt? Het CSN Maturity Model helpt je graag een handje.
Efficiënt werken versus veilig werken

Je wilt alle medewerkers binnen je organisatie mogelijkheden bieden om hun werk goed te kunnen doen. Al ben je misschien snel geneigd om eindgebruikers heel erg te beperken in die mogelijkheden om de werkomgeving veilig te houden. Je wilt de organisatie beschermen tegen digitale bedreigingen. Stel dat je medewerkers de ruimte zou geven om alles te kunnen, dan betekent dat er ook heel veel mis kan gaan. Als medewerkers niets meer kunnen, is het niet haalbaar om het werk op de best mogelijke manier uit te voeren.

Deze situatie maakt het dat je je als organisatie soms in een spagaat gedrukt voelt. Ben je baas over jouw eigen laptop of niet? Zo niet, dan kun je zelf geen applicaties meer installeren, maar is het systeem wel veel veiliger. Het liefst heb je ook geen complexe wachtwoorden en Multifactor Authenticatie (MFA) op je systeem, want zonder werk je veel sneller. Maar dan zou het voor anderen een stuk eenvoudiger worden om op jouw account in te loggen en daar misbruik van te maken. Efficiëntie en veiligheid zijn dus soms echt elkaars tegenpolen.

Het CSN Maturity Model zorgt voor overzicht. Welke maatregelen zijn er zoal en wat moet ik minimaal doen om ervoor te zorgen dat ik op de goede weg blijf?

Wat houdt het CSN Maturity Model in?

Veel organisaties hebben het idee dat ze goed bezig zijn als ze een breed scala aan veiligheidsmaatregelen hebben getroffen. Alleen is er vaak nog niet gedacht aan een systeem om aan al die oplossingen een bepaalde vorm van volwassenheid te geven. Het CSN Maturity Model daagt je uit om te kijken waar je nu staat en wat je al geregeld hebt. Daarnaast geeft het je inzicht in zaken die op korte termijn haalbaar zijn of die in ieder geval op de planning moeten komen.

Het model is zowel binnen wendbaarheid als weerbaarheid ingedeeld in vijf niveaus en elk niveau bevat verschillende maatregelen. De maatregelen op niveau 1 en 2 zijn voor de meeste organisaties bekend en deze hebben ze in grote mate al doorgevoerd of men is bezig deze te implementeren. Tussen niveau 2 en 3 zitten er toch al maatregelen die nog niet iedere organisatie heeft genomen, maar die wel degelijk het overwegen waard zijn. Het CSN Maturity Model is een methodiek om je uit te dagen. Het gaat hierbij om het veilig en werkbaar maken én houden van je organisatie.
CSN Security Maturity piramide
CSN Security Maturity Model
Security als brandverzekering

IT-security is te vergelijken met een brandverzekering: je hoopt hem nooit nodig te hebben, maar stel dat er toch eens brand uitbreekt, dan ben je maar wat blij dat je aanspraak kunt maken op de verzekering. Je weet immers niet of je overeind was gebleven als je de verzekering niet had gehad. Via monitoring kun je namelijk goed zien wat er allemaal is tegengehouden aan cyberdreigingen, maar je weet niet wat de consequenties zouden zijn als dit allemaal wél doorgang had gevonden.

Al is deze verzekering geen garantie dat je nooit te maken gaat krijgen met een cyberaanval. Je moet er, ondanks dat je goede bescherming hebt, er toch vanuit gaan dat het een keer misgaat. Daarom is het erg belangrijk dat je niet alleen hebt nagedacht over maatregelen aan de voorkant, maar ook over de situatie na een aanval. Heb je mogelijkheden om te herstellen? Dit kost misschien tijd en geld, maar als je alles kwijt bent, dan kun je niet meer terug.
Serieus gevaar

Heb je de veiligheidsmaatregelen uit niveau 1 van het CSN Security Maturity Model nog niet voor elkaar? Dan loop je serieus gevaar met de huidige cyberbedreigingen. Helaas zijn er nog steeds organisaties die denken dat je geen e-mailsecurity nodig hebt, omdat ze denken dat ze hun medewerkers wel voldoende kunnen trainen. Toch is niemand feilloos en het kan iedereen een keer overkomen dat hij/zij op een verkeerde link klikt. De meest basale veiligheidsmaatregelen die je volgens CSN geregeld moet hebben zijn:

  • Multifactor Authenticatie (MFA);
  • Next generation antivirus op de endpoints;
  • e-mailsecurity;
  • een goede (hardened) back-up: als het dan toch eens misgaat, dan kun je in ieder geval terug naar een situatie van voor de cyberaanval.
Start met het moderne werken

Wil je als organisatie wendbaar en weerbaar worden, dan luidt het advies om een start te maken met het moderne werken. Dit bestaat uit een goed beheerde werkplek die vanuit Microsoft Endpoint Manager beheerd wordt. Daarbij zullen er vanuit de cloud ook verschillende veiligheidsmaatregelen genomen en uitgerold moeten worden over het netwerk, de applicaties, de accounts en de devices die binnen jouw IT-omgeving actief zijn. En geef medewerkers het gevoel dat ze heel veel mogen en kunnen op hun device, waardoor ze efficiënt kunnen werken. Dit vergt voor een deel een andere manier van werken. Dat betekent dta medewerkers door middel van adoptietrainingen leren hoe ze op een nieuwe manier kunnen gaan werken.

Denk bijvoorbeeld aan het opslaan van bestanden. Dit wordt traditioneel op fileservers gedaan. Op het moment dat je volledig het potentieel van het moderne werken gaat benutten, dan sla je je data op in SharePoint. Dat kan op drie manieren: rechtstreeks, via Teams of via OneDrive. Het opslaan van documenten in SharePoint vergt een hele andere manier van denken. Als mensen daar niet in getraind worden, dan zal deze manier van werken niet efficiënter worden en zal het voor de gebruikers ook zeker niet als vooruitgang worden ervaren.
Bestanden kun je toch prima via Dropbox of WeTransfer delen?

Als medewerkers niet op de juiste manier het nieuwe werken wordt aangeleerd, dan gaan ze zaken voor zichzelf oplossen met alle gevolgen van dien. Zo kan het gebeuren dat ze bestanden niet via OneDrive met elkaar gaan delen, maar wel via Dropbox of WeTransfer. Weet jij vervolgens waar de bestanden precies staan (binnen of buiten de Europese Unie), wie de eigenaar is van de data en op welke manier de beveiliging is geregeld? Daarom is het sterk aan te raden om privacygevoelige informatie alleen met elkaar te delen via een veilige cloud-oplossing als SharePoint (Teams of OneDrive) en diensten als WeTransfer en Dropbox te blokkeren.

Microsoft Teams voor een grotere wendbaarheid

We gebruiken Teams nog veelal voor het videobellen, maar het werk kun je veel efficiënter inrichten door het programma in te zetten als compleet communicatieplatform. Zo kun je met Teams Telefonie iedereen vanaf elke gewenste locatie laten werken, terwijl ze bereikbaar zijn op hun zakelijke nummer. Vooral de combinatie van Teams met daarachter SharePoint en OneDrive op een goed beheerde moderne werkplek zorgt voor een mooi stukje wendbaarheid.

Daarbij is het van belang dat je het applicatielandschap op de juiste manier presenteert. Vaak is dit een mix tussen SaaS-applicaties en legacy ERP-oplossingen die waarschijnlijk nog on-premises draaien. Die zullen aan elkaar gekoppeld moeten worden, zodat je vanaf elke gewenste locatie bij de juiste informatie kan.

De organisatie heeft bestaansrecht als er na een calamiteit nog mensen en data zijn. Is één van deze twee weg, dan is het bedrijf ten dode opgeschreven.

Wendbaar en weerbaar is niet alleen IT-gerelateerd

Niet alle maatregelen die je treft om je wendbaarheid en weerbaarheid te vergroten zijn per se IT-gerelateerd. Het trainen van je medewerkers is een essentieel onderdeel van het geheel. Door awareness- en adoptietrainingen zal IT niet alleen beter en veiliger, maar ook efficiënter gebruikt gaan worden. Je mensen staan in het hele proces namelijk op nummer 1.

Durf jij de CSN Maturity challenge met mij aan te gaan om ontdekken hoe jouw organisatie ervoor staat? Ik ben klaar voor de uitdaging. Jij ook?

CSN

Maturity

Model

Karste de Vries

Contact met Manuel

Bel Manuel Speksnijder op 088 999 09 73 of mail naar m.speksnijder@csngroep.nl

Andere interessante blogs