Cybersecurity-maatregelen testen, hoe doe je dat?

Cybersecurity damage control

Onderwijsinstellingen hebben te maken met steeds geavanceerdere cyberdreigingen.
Een proactieve benadering van het verhogen van de cyberweerbaarheid, waarbij het accent ligt op het regelmatig testen en oefenen van beveiligingsmaatregelen, is dan ook essentieel.

Door regelmatig te testen en oefenen weet je of procedures, technische maatregelen, detectie en reacties op incidenten effectief en up-to-date zijn.

Er zijn veel verschillende soorten oefeningen en testen, waardoor het moeilijk kan zijn om te bepalen welke je waarvoor in kan zetten. In dit artikel leggen we uit hoe SURF kan ondersteunen bij het kiezen van de juiste aanpak en de uitvoering van testen en oefeningen.

Het kiezen van de juiste cybersecuritytest

Om maximaal te leren van een test of oefening is het zaak dat je keuze aansluit bij je doelen. Als je bijvoorbeeld realistisch het reactievermogen op cyberaanvallen wilt testen, is een red team oefening geschikt. Als je juist wil zien of je bedachte incident of crisisprocessen werken, is een tablet- of simulatieoefening het beste. En als het doel is om een indruk van je huidige beveiligingsstaat te krijgen, kan je beter een vulnerability scan doen.

Voor het kiezen tussen de verschillende opties hebben wij de "Keuzekaart weerbaarheidstesten" ontwikkeld. Hierin staat uiteengezet wat de opties zijn en welke testen en oefeningen bij welke doel horen.

Keuzekaart weerbaarheidstesten SURF v1.0 (1)
Download hier de keuzekaart in .pdf formaat

Testen en oefeningen uitvoeren

Ons whitepaper 'Red Teaming in de praktijk' lees je meer informatie over het opzetten en uitvoeren van red team oefeningen binnen jouw organisatie. Aanvullend hierop werken wij op dit moment nog aan een handleiding voor opdrachtbepaling en uitvoering. Voor cybercrisisoefeningen en het inzetten van een  Coordinated Vulnerability Disclosure  hebben we ook verschillende initiatieven en oefeningen lopen.

Voor sommige onderdelen hebben we al een standaard aanpak binnen onze sector. Zo hebben we OZON en NOZON voor incident- en crisisoefeningen en HALON voor het laten doorlichten van de systemen die onder je Coördinated Vulnerability Disclosure beleid vallen.

Ondersteuning vanuit SURF

Wanneer je nadenkt over het uitvoeren van een test of oefening, bieden wij vanuit het Security Expertise Centrum (SEC) ondersteuning in de vorm van een sparringpartner. Wij helpen met het kiezen en plannen van de test. Daarnaast kijken wij graag mee als je een test gaat uit laten voeren. Zeker bij de uitgebreidere (red en purple team) testen kan het waardevol zijn om vanuit SURF iemand mee te laten kijken. Naast het inbrengen van kennis en ervaring zorgt dit ervoor dat je capaciteit binnen je organisatie over houdt, terwijl je toch een goed gevuld team de test laat begeleiden. Dit alles om waardevolle inzichten en leerpunten te verkrijgen. Tevens kunnen wij ondersteunen bij het delen van informatie in bijvoorbeeld themadagen.  De kwartaalmeetings van SCIPR en SCIRT, waar we ervaringen delen en leren van anderen, dragen hier ook aan bij.

Toekomstige activiteiten: Raamwerk voor testen binnen de sector

Binnen SURF’s Security Expertise Centrum (SEC) helpen we je graag bij het opzetten en uitvoeren van verschillende soorten cybersecuritytesten. Wij zijn actief bezig met samenwerkingen, zowel binnen als buiten het SEC, om kennis en ervaring uit te wisselen. Het uiteindelijke doel is om voor de sector een raamwerk te hebben, zoals  (zorgsector) en  (financiële sector) waarbij testen en oefenen een gangbaar onderdeel is van cyberweerbaarheid-aanpak van elke instelling.

Gerelateerde artikelen

Cyberweerbaarheid en SURF-diensten

Hoe zorg je voor een veilige digitale werk- en leeromgeving? SURF helpt – onder andere – door diensten aan te bieden die jouw instelling veilig houden. Per SURF-dienst is aangegeven...

Een norm voor de vorm?

Wat dragen normen bij aan de informatiebeveiliging in onze sector? Hoe kijken we naar deze normen? Moeten er meer regels bij of is er juist behoefte aan iets anders? In...

Thema's