Eerder dit jaar publiceerde CENTR een update van het security maturity model op haar website. Met dat beveiligingsmaturiteitsmodel kunnen ondernemingen hun maturiteitsniveau op het vlak van informatiebeveiliging controleren. De bedoeling van het model is om mensen die in organisaties verantwoordelijk zijn voor informatiebeveiligingsbeleid wat extra ‘munitie’ te geven wanneer ze naar hun management stappen om meer inspanningen te vragen op het vlak van security.
Iedereen kan het model gratis gebruiken, op voorwaarde dat men aanpassingen aan het model naar de auteurs terugkoppelt. Daartoe hebben we een license agreement aangevraagd.
Vijf stappen in incident management
‘Ons model gebruikt de structuur van het NIST (National Institute of Standards and Technology) cybersecurity framework, en is opgebouwd rond de vijf stappen van het incident management proces. Het cybersecurity framework is een set richtlijnen voor bedrijven om beter voorbereid te zijn op het detecteren van en reageren op cyberaanvallen’, licht Kristof Tuyteleers, cybersecurity officer bij DNS Belgium toe.
- Establish: het ontwikkelen van een kader om cyberbeveilgingsrisico's te beheren.
- Prevent: het voorkomen van cyberincidenten.
- Detect: het detecteren ervan. ‘Zonder twijfel de meest uitdagende stap’, zegt Kristof. ‘Want er blijken nog heel wat organisaties te zijn die zelfs geen weet hebben van incidenten omdat hun detectiesysteem niet goed werkt.’
- Respond: hoe ga je reageren op veiligheidsincidenten.
- Recover tot slot gaat over het herstel van je normale activiteiten na een incident. Wat heb je eruit geleerd en wat ga je doen om een herhaling van het incident te voorkomen.
Zes maturiteitsniveaus
In het security maturity model heb je voor elk van die vijf stappen zes maturiteitsniveaus. ML0 (maturity level 0) staat voor non-existing, wanneer een organisatie niets doet op het vlak van security. En dan gaat het over incomplete, performed, managed en measured tot improving. Op dat hoogste niveau zijn processen geëvalueerd en aangepast aan veranderende noden.
Voor elk maturiteitsniveau krijgt een organisatie een aantal stellingen voorgeschoteld, die ze met ja of nee moet beantwoorden. Zodra je een stelling binnen een sectie met nee beantwoordt, val je terug naar een niveau lager.
'Globaal blijkt toch dat we er als community op vooruit zijn gegaan sinds 2018'
Als community erop vooruit
Intussen zijn er cijfers bekend over de benchmark die we aan de hand van het maturiteitsmodel gedaan hebben en kunnen we eerste voorzichtige conclusies trekken. ‘Het is niet de bedoeling om hier individuele resultaten te gaan bekijken, laat staan publiceren. ‘Maar globaal blijkt toch dat we er als community op vooruit zijn gegaan vergeleken met 2018’, stelt Kristof vast.
‘In veel landen, ook in België, moet je nu immers kunnen aantonen dat je een informatiebeveiligingsbeleid hebt dat beantwoordt aan een bepaalde standaard, meestal de ISO/IEC 27001-norm’, zegt Kristof. ‘Dat is meteen ook de reden waarom established zo sterk vooruit is gegaan: het managen van security is een eerste stap, maar het is wel een stap die veel organisaties nu – al dan niet gedwongen – gezet hebben.’
Het maturiteitsniveau sinds 2018 opgedeeld in de vijf stappen van het model. De lichtblauwe balk geeft de vooruitgang weer.
ISO-standaard
Het model geeft een heel goed beeld van de mate waarin een bedrijf compliant is met de NIS-wetgeving (Network and Information Security), omdat het de inhoud van de ISO-standaard mapt op de structuur van het NIST-cybersecurity framework. Elke ISO/IEC 27001-gecertifieerde registry zou minstens level 3 (baseline op de afbeelding) moeten halen, vindt Kristof.
De ISO-norm voor informatiebeveiliging bevat eisen om aan te tonen dat de organisatie haar beveiligingsbeleid continu verbetert. Ons model kan helpen om verbeterpunten te identificeren en er een planning voor op te stellen. Je zou bijvoorbeeld de deelaspecten kunnen aanpakken met het laagste maturiteitsniveau, of een domein waar je onder verwachting scoort.
Zo gebruikt DNS Belgium het model ook zelf. 'We hebben onszelf opgelegd dat we elk jaar minstens twaalf verbeterpunten aanbrengen’, aldus Kristof. ‘Dat wordt elk jaar moeilijker, want in het begin zet je grote stappen, maar geleidelijk aan worden verbeterpunten steeds kleiner. Natuurlijk verandert het beveiligingslandschap voortdurend en blijven er ook nieuwe risico's opduiken. Daarom is verbetering altijd mogelijk. En het model helpt ons om een doelgerichte planning op te stellen.'
Met dit artikel ondersteunen wij de Duurzame Ontwikkelingsdoelstellingen van de Verenigde Naties.