Beveiligingsinstellingen in de hand krijgen? Begin met goede security baselines

Security baselines vormen de technische ruggengraat van informatiebeveiliging. Toch worstelen veel instellingen met de interpretatie en implementatie van SM.01 uit het SURFaudit Toetsingskader. De nieuwe handreiking Security baselineshelpt instellingen op weg met een risicogebaseerde en realistische aanpak.

“Welke functionaliteiten heeft een systeem minimaal nodig voor het beoogde doeleinde? Gebruik dat als uitgangspunt — en schakel de rest uit.”

Security baselines bepalen het minimumniveau van beveiligingsinstellingen voor IT-middelen. Denk aan instellingen voor servers, laptops, netwerkapparatuur, printers of IoT-apparaten. Door te standaardiseren voorkom je ongewenste variatie en verlaag je het aanvalsoppervlak. Maar hoe kom je tot zo’n baseline? En hoe zorg je dat deze actueel blijft en écht wordt toegepast?

Drie valkuilen bij security baselines

1. Overnemen zonder nadenken. Niet elke benchmark is geschikt voor jouw situatie. De handreiking waarschuwt voor het klakkeloos toepassen van bijvoorbeeld CIS Benchmarks zonder risicoafweging.
2. Geen relatie met wijzigingsbeheer. Updates of patches kunnen bestaande instellingen ongedaan maken. Zonder goede borging blijft een baseline niet effectief.
3. Gebrek aan formele goedkeuring. Voor draagvlak is het essentieel om de impact van technische maatregelen in begrijpelijke taal aan management uit te leggen.

Concrete handvatten voor implementatie

De handreiking biedt praktische stappen: van het bepalen van de baseline en het testen ervan in een gecontroleerde omgeving, tot automatisering, rapportage en periodieke actualisatie. Ook krijg je inzicht in welke bestaande baselines je kunt gebruiken, zoals:

• SURF Security Baseline
• CIS Benchmarks
• Microsoft Security Baselines

Daarnaast geeft de handreiking tips om de acceptatie te vergroten. Bijvoorbeeld door duidelijk het verschil tussen de huidige (IST) en gewenste (SOLL) situatie te laten zien aan besluitvormers.