Bepaal en beheer je beveiligingsinstellingen met de Security Baseline

Security baselines vormen het fundament van je informatiebeveiliging. Ze zorgen ervoor dat alle IT-systemen binnen je instelling voorzien zijn van consistente en doordachte beveiligingsinstellingen. Toch blijkt het in de praktijk lastig om een goede baseline te formuleren, te implementeren én actueel te houden. Zeker als je als instelling moet voldoen aan SM.01 uit het SURFaudit Toetsingskader.

Daarom is er nu de nieuwe handreiking Security Baseline. Deze biedt houvast bij het opstellen van een realistische en risicogebaseerde aanpak voor het bepalen, beheren en verbeteren van beveiligingsinstellingen.

Waarom zijn beveiligingsinstellingen zo belangrijk?

Elke IT-omgeving bestaat uit talloze apparaten: servers, laptops, netwerkcomponenten, printers, IoT-devices en meer. Elk apparaat heeft standaardinstellingen – maar die zijn zelden optimaal of veilig. Denk aan onnodig open poorten, ongebruikte accounts of permissies die breder zijn dan nodig.

Beveiligingsinstellingen bepalen dus wat een systeem wel en niet mag, en vormen daarmee een belangrijke verdedigingslaag. Door standaardisatie – via security baselines – voorkom je ongewenste variatie, beperk je het aanvalsoppervlak en verhoog je de beheersbaarheid.
“Welke functionaliteiten heeft een systeem minimaal nodig voor het beoogde doeleinde? Gebruik dat als uitgangspunt — en schakel de rest uit.” Dat is de kern van baseline-denken: terug naar de essentie, en alles daarbuiten beperken of uitschakelen.

De uitdaging van beveiligingsinstellingen: van theorie naar praktijk

Hoewel het principe van security baselines helder is, worstelen veel instellingen met de uitvoering. De praktijk is weerbarstig, en zonder heldere aanpak verzand je al snel in papieren plannen zonder toepassing. De handreiking Security Baseline speelt hierop in met een praktische en toegankelijke benadering. De handreiking biedt onder andere:

• Een stappenplan om beveiligingsinstellingen risicogebaseerd te bepalen;
• Tips om een baseline te testen en te automatiseren;
• Inzichten in bestaande baselines (zoals CIS, Microsoft, SURF);
• En aandacht voor adoptie binnen de organisatie.
  

Drie veelvoorkomende valkuilen

De handreiking benoemt drie belangrijke valkuilen die de effectiviteit van je security baseline ondermijnen:

1. Kopieergedrag zonder context

CIS Benchmarks en Microsoft Security Baselines zijn waardevolle bronnen, maar het klakkeloos overnemen ervan zonder risicoanalyse of maatwerk is gevaarlijk. Wat voor de ene organisatie werkt, kan voor de andere overkill zijn – of juist te licht. Baselines moeten passen bij je risico’s, doelen en middelen.

2. Geen verbinding met wijzigingsbeheer

Zelfs de beste baseline verliest zijn waarde als updates of wijzigingen in de infrastructuur bestaande beveiligingsinstellingen weer ongedaan maken. Zonder integratie met change management en patchbeleid blijft je baseline een momentopname zonder blijvende impact.

3. Geen formele goedkeuring en draagvlak

Beveiligingsinstellingen raken vrijwel altijd meerdere teams, systemen en beleidsniveaus. Technische maatregelen zonder bestuurlijk draagvlak stranden snel. Het is essentieel om de impact van wijzigingen in begrijpelijke taal uit te leggen aan management en besluitvormers.

Praktische handvatten voor implementatie

Een security baseline is geen eenmalig project, maar een continu proces. De handreiking benadrukt het belang van iteratief werken: test in een gecontroleerde omgeving, stel bij waar nodig, automatiseer waar mogelijk, en zorg voor periodieke actualisatie.

Daarnaast krijg je inzicht in de toepasbaarheid van bestaande frameworks:

• SURF Security Baseline – specifiek gericht op de onderwijssector;
• CIS Benchmarks – wereldwijd gebruikt, met veel diepgang;
• Microsoft Security Baselines – handig voor wie werkt met Windows-omgevingen.
  

Door een of meer van deze baselines als uitgangspunt te nemen, voorkom je dat je het wiel opnieuw uitvindt. Belangrijk is wel dat je deze kaders aanpast aan je eigen risico’s, capaciteit en technische omgeving.

Succesfactor: de vertaalslag naar besluitvorming

Een van de meest onderschatte onderdelen van baseline-management is de communicatie met niet-technische stakeholders. De handreiking geeft daarom ook adviezen over hoe je draagvlak vergroot, bijvoorbeeld door het verschil tussen IST- en SOLL-situatie visueel en begrijpelijk te maken. Dat helpt bij het verkrijgen van goedkeuring, prioritering én betrokkenheid.

Beveiligingsinstellingen bepalen, beheren en verbeteren begint bij de basis

Het verbeteren van je beveiligingsinstellingen begint bij het maken van heldere, realistische keuzes over wat nodig is – en wat niet. De handreiking Security Baseline biedt organisaties in onderwijs en onderzoek een concreet startpunt om grip te krijgen op hun beveiligingsmaatregelen.

Met de juiste balans tussen techniek, beleid en organisatie borg je niet alleen je baseline, maar verhoog je ook het algemene beveiligingsniveau van je IT-omgeving.ie te vergroten. Bijvoorbeeld door duidelijk het verschil tussen de huidige (IST) en gewenste (SOLL) situatie te laten zien aan besluitvormers.