NIST model vertaald naar de organisatie en gedrag.
Het National Institute of Standards and Technology (NIST) heeft een raamwerk ontwikkeld voor informatiebeveiliging, bekend als het NIST Cybersecurity Framework. Dit raamwerk bestaat uit vijf kernfuncties die elkaar aanvullen om een robuust beveiligingsprogramma te creƫren. Laten we de eerder genoemde informatie en gedragingen koppelen aan het NIST-raamwerk:
1. Identificeren (Identify):
Het belang van informatiebeveiliging begint met het identificeren van gevoelige informatie en mogelijke bedreigingen (bijv. dataclassificatie). Bijvoorbeeld door binnen de instelling een awarenessmeting te organiseren.
2. Beschermen (Protect):
Medewerkers leren gebruik te maken van sterke wachtwoorden.
Fysieke beveiliging van apparaten en het vermijden van openbare Wi-Fi-netwerken zijn belangrijk om de vertrouwelijkheid en integriteit van informatie te behouden.
Leidinggevenden moeten duidelijk communiceren over het belang van informatiebeveiliging en de mogelijke impact van beveiligingsincidenten. Door dit herhaaldelijk terug te laten komen in bijvoorbeeld teamvergaderingen wordt het bewustzijn vergroot.
Medewerkers moeten verantwoordelijkheid nemen voor het veilig omgaan met informatie en de implicaties van niet-naleving begrijpen.
3. Detecteren (Detect):
Medewerkers moeten verdachte activiteiten en beveiligingsincidenten direct melden aan de IT-afdeling.
Het kritisch denken en het herkennen van tekenen van phishing of andere dreigingen dragen bij aan vroege detectie.
4. Reageren (Respond):
De organistatie leren om incidenten te melden en communiceren welke interne procedures er zijn voor een effectieve respons op beveiligingsincidenten.
Leidinggevenden moeten snel en effectief reageren op incidenten om verdere schade te voorkomen.
Oefenen hoort hier ook bij. Phisings campagnes!
5. Herstellen (Recover):
Na een beveiligingsincident moeten passende maatregelen worden genomen om te herstellen, zoals het veilig verwijderen van gevoelige informatie (veilige verwijdering van gegevens).
Door continu te verbeteren en feedback te delen, kan de organisatie herstellen en zich voorbereiden op toekomstige incidenten (continue verbetering).
VERBETERCULTUUR moet anders, open lerende cultuur, geen naming en shaming.
Het NIST Cybersecurity Framework en de gedragingen van leidinggevenden en medewerkers zijn nauw met elkaar verbonden. Het framework biedt een gestructureerde aanpak voor het opzetten van een solide informatiebeveiligingsprogramma, terwijl de gedragingen van leidinggevenden en medewerkers de praktische implementatie en naleving van beveiligingsrichtlijnen ondersteunen.
Bij beschermen Samen spel tussen mens en techniek wat meer de menselijk kant beschrijven.