CIS Benchmarks; een startpunt voor je securitymanagement
Menu
Het Center for Internet Security is een organisatie die zich bezig houdt met online security en heeft leden als corporates, overheidsinstellingen en onderwijsinstituten. Sinds 2000 ontwikkelt en verzamelt het CIS ‘best practice solutions’ op het gebied van cybersecurity. Een manier van aanpakken die ons ook enorm aanstaat. Een van de terreinen van het CIS zijn de zogenaamde Benchmarks; een serie van richtlijnen die helpen bij het mitigeren van risico’s in systemen en applicaties.
Een praktisch framework
De CIS Benchmarks zijn praktische standaarden waarop je als organisatie je cybersecuritybeleid kunt inrichten. Het verschil met andere security standaarden is dat deze benchmarks niet zozeer alleen naar de techniek kijken, maar juist ook naar de configuratie (zoals services en poorten) van systemen en applicaties. Op basis van de standaarden kun je een risicoanalyse maken en zijn er richtlijnen die je kunnen helpen om oplossingen te implementeren.
Aangezien er standaarden voor honderden toepassingen zijn, kan de informatie over kwetsbaarheden en risico’s die naar boven komt, overweldigend zijn. Dat is waar wij bij helpen. Want als er een kwetsbaarheid is, wat zegt dat dan precies? Moet je je alles direct uit je handen laten vallen en het oplossen, of zijn andere risico’s groter? En welke impact heeft een oplossing op een proces of applicatie?
De aanpak van Flowerbed is er op gericht om overzicht te brengen in de verschillende risico’s waaraan je bedrijf wordt blootgesteld. En ja, dat zeggen we zo stellig, omdat elke bedrijf risico loopt. Elke dag. Door op basis van de CIS Benchmarks een analyse te maken van kwetsbaarheden, hoe een kwetsbaarheid in relatie staat tot een proces of een andere kwetsbaarheid en welke kwetsbaarheden als eerst aangepakt moeten worden, maken we een roadmap om oplossingen voor deze kwetsbaarheden te implementeren.
Continue risico’s in de gaten houden
De kwetsbaarheden zijn volgens de benchmarks op te delen in drie niveaus: Laat alles uit je handen vallen en los het nu op; los het snel op; los het op termijn op. Flowerbed is er om je te adviseren over de oplossingen en om de oplossingen te implementeren. Maar we kijken ook naar de relatie tussen verschillende kwetsbaarheden. Want welke impact heeft een oplossing op applicaties of op één van de kwetsbaarheden? Een oplossing voor een kwetsbaarheid van het 2e niveau kan bijvoorbeeld betekenen dat je sneller en eenvoudiger een risico van het eerste niveau kunt mitigeren.
Met oplossingen als Tenable, houdt Flowerbed Engineering de CIS Benchmarks en de risico’s die je mogelijk loopt continue in de gaten gehouden, ook als deze bijgewerkt worden. Want een security check maar ‘één keer in de zoveel tijd’ uitvoeren is niet effectief. Risico’s veranderen dagelijks, dus moet je wel continue monitoren. Deze zogenaamde ‘Risk Based Vulnerability Management’ is de manier om je IT-infrastructuur pro-actief te beveiligen. In de komende blogs gaan we nog wat meer in op hoe je Risk Based Vulnerability Management effectief kunt inzetten en hoe Tenable je daarbij kan helpen.
Security is één van de belangrijkste taken van een IT-afdeling of je IT-partner. Door te weten wat je risico’s en kwetsbaarheden zijn, hoe ze zich tot elkaar verhouden en hoe je ze kunt aanpakken, brengt je je IT-security naar een volwassen niveau. Wil je meer weten over de CIS Benchmarks en hoe wij ze gebruiken om jouw IT-omgeving veilig te maken en te houden? Neem contact met ons op. Onze securityspecialisten help je graag.
