De wereld van cybercriminaliteit ontwikkelt zich in razend tempo. En ondertussen blijven we steeds meer data verzamelen en hybride werken. Die combinaties eisen hele goede beveiligingsmaatregelen, want het laatste wat je wil is dat jouw gegevens of die van je klanten in de handen van cybercriminelen terecht komen. Maar hoe weet je nu welke beveiligingsmaatregelen er bij jouw bedrijfsvoering en IT-inrichting passen? En wat kun je doen om risico’s te verkleinen? Axians onderzocht het CIS 18 Framework in combinatie met de digitale werkplek. Én geeft je inzicht en overzicht in je cyber security. 

CIS staat voor Center for Internet Security en is een wereldwijd non-profit benchmark platform. Als je werkt met Microsoft kun je CIS-Benchmarks uitvoeren in het dashboard portal. Met een Microsoft E5 licentie en een add on kan je zelfs het CIS level 1 baseline assessment gratis én zelfstanding verrichten. Als je geen licentie hebt, dan hoef je die niet zelf aan te schaffen. Axians kan dit assessment ook voor je uitvoeren. Met het assessment krijg je inzicht of je voldoet aan alle beveiligingseisen die bij jouw bedrijf en systemen passen.  

CIS met de human touch van Axians

Naast benchmarking biedt CIS ook een 18-tal richtlijnen (‘controls’) die je als bedrijf kunt treffen om jezelf zo goed mogelijk te beschermen tegen cybercriminaliteit. Die 18 CIS-richtlijnen zijn geen 18 beveiligingsadviezen op een rijtje. Iedere richtlijn kun je zien als onderwerp en daaronder worden weer beveiligingsmaatregelen gehangen. Axians heeft deze richtlijnen uitgebreid onder de loep genomen en de human touch toegevoegd. Met als resultaat: een heel toegankelijke procedure die laat zien wat de richtlijnen precies inhouden, voor welke bedrijven ze geschikt zijn en welke gevolgen ze hebben voor de eindgebruiker. In de praktijk leidt dit tot een heel overzichtelijke beveiligingsstructuur. Zo is het altijd duidelijk wat er gebeurt op ieder device dat gekoppeld is aan je IT-omgeving. Want een IT-manager heeft waarschijnlijk meer rechten en toegang tot systemen op zijn device, waardoor er meer beveiliging nodig is dan bijvoorbeeld een marketeer. Dankzij de standaardisatie die we hebben ingebouwd zijn we minder afhankelijk van de kennis van medewerkers. Bovendien kunnen wij makkelijker het beheer uitvoeren en omgaan met alerts en incidenten. Daarnaast is het dashboard in het beheer van Axians. We kunnen dus meteen reageren op aanvallen en continu een benchmark draaien. Hierdoor voldoen we altijd aan de meest actuele wet- en regelgeving én hebben we het bewijs dat het hackers echt moeilijker wordt gemaakt om een device over te nemen. We gaan alleen voor de best practice! 

De 18 CIS-richtlijnen

De CIS-richtlijnen worden verdeeld over drie groepen: IG1, IG2 en IG3. Op basis van het type bedrijf wordt bepaald welke groep het beste bij je past. 

CIS – IG1

Binnen groep 1 vallen 43 basismaatregelen tegen cyber security, ransomware, virussen en hacking. Het is een hele goede basis beveiliging voor bedrijven in het MKB. Behoor jij tot deze groep? Dan monitort Axians jouw beveiliging en krijgen zij incidenten en alerts binnen als er iets gebeurt. Dankzij een licentie bij Microsoft worden de meeste incidenten uit zichzelf al opgelost. Indien nodig kunnen we in overleg vervolgstappen nemen. 

CIS – IG2

Groep 2 is vooral geschikt voor bedrijven in de zakelijke dienstverlening. Denk aan accountants en advocaten. Bedrijven die veel gevoelige gegevens verwerken. In deze groep vallen 140 basismaatregelen. Deze strengere beveiliging uit zich in het dagelijks werkleven bijvoorbeeld door fysiek op je device te moeten inloggen met de ctrl+alt+delete combinatie. Een hacker kan dit op afstand namelijk niet doen waardoor het bijna onmogelijk is om je device over te nemen. Een nadeel van een strengere beveiliging is dat je als eindgebruiker niets meer lokaal kunt installeren. Je kunt geen programma’s of apps downloaden omdat de kans daarmee groter is dat er een virus wordt binnengehaald.  

CIS – IG3

Groep 3 is de meest uitgebreide set aan maatregelen, namelijk 171. Deze zijn toepasbaar voor bedrijven die zeer security volwassen zijn en vaak zelf een security manager in dienst hebben. Denk bijvoorbeeld aan banken, gemeenten of de overheid. Zij hebben te maken met veel gevoelige persoonsgegevens. Applicaties functioneren vaak een stuk moeilijker, omdat ze worden dichtgetimmerd door de CIS-controles. De procedure van Axians brengt goed in kaart welke maatregelen een must zijn voor deze bedrijven en welke gevolgen dit heeft voor de eindgebruikers. 

CIS hardened Image 

CIS Hardened Images zijn speciaal ontworpen en geconfigureerde virtuele machine (VM) images die voldoen aan de security benchmarks van het Center for Internet Security (CIS). Deze geavanceerde images helpen om het aanvalsoppervlak te minimaliseren en risico’s te beperken door de implementatie van zowel technische controles als best practices. Axians kan deze CIS Hardened Images toepassen tijdens de deployment van VM’s voor haar klanten. Dit helpt om de beveiliging van de Azure-infrastructuur te versterken.   

3 tips die organisaties op weg helpen met een CIS Controls Workspace:

  1. Kijk of de veiligheid van jouw organisatie gewaarborgd is. Dit doe je door een assessment uit te voeren op je Microsoft-omgeving óf je laat dit doen door je IT-partner. Vervolgens kijk je naar de aanbevelingen die voortkomen uit het assessment en bepaal je of acties doorgevoerd moeten worden. 
  2. Blijf in gesprek met je IT-partner om te kijken waar behoeftes liggen en of je verbeteringen kunt/moet doorvoeren. 
  3. Investeer in je IT-medewerkers en leidt ze op zodat ze weten wat CIS is. CIS geeft om de 3 maanden nieuwe benchmarks vrij en blijft zich ontwikkelen. 

Meer weten? Neem dan contact op met Dennie Kooijman , Consultant Axians