Ga direct naar inhoud
10. Security Operationg Model_2880x1800
Public sector

Een security operating model als stuurinstrument voor security voorzieningen

Highlights

  • Een beveiligingsbaseline alleen is niet voldoende om adequate beveiliging in te richten die aansluiten bij de bedrijfsdoelstellingen.
  • Meer waarde halen uit data vraagt om gegevensbeveiliging.
  • Hanteer de TOP 5 dreigingen aanpak als er geen dreigingsbeeld aanwezig is.
  • Een beschreven security governance model helpt bij het goed beleggen van taken.
  • Duidelijke taken bij security capabilities zijn nodig om security goed te beheren.

Organisaties, zowel in de publieke als private sector, worstelen1 met het inrichten van de securityproducten en -diensten om de overheidsdoelstellingen te ondersteunen. In de publieke sector wordt de Baseline Informatiebeveiliging Overheid (BIO) gehanteerd als normenkader om security in te richten. Het BIO normenkader is gebaseerd op ‘best-practices’ in de markt, aangevuld met specifieke beveiligingseisen waarmee de controls specifiek gemaakt worden. Een baseline alleen is niet voldoende om tot een goede beveiliging van informatiesystemen en operationele systemen te komen die ook de overheidsdoelstellingen ondersteunen.

Standaard beveiligingsaanpak

Beveiliging aanpakken via de BIO is een compliancy gedreven aanpak. Het is ook van belang om te kijken naar de belangrijkste dreigingen die van toepassing zijn op de publieke organisaties, en hoe beveiliging als enabler voor de overheidsdoelstellingen ingezet kan worden. Als we kijken naar de security incidenten van de laatste jaren, dan zien we dat veel overheidsorganisaties nog niet goed voorbereid zijn om hier weerstand tegen te bieden. Voorbeelden hiervan zijn datalekken2 bij uitvoeringsinstanties en ransomware aanvallen3 bij gemeenten. De securityproducten en -diensten om publieke organisaties weerbaar te maken en te ondersteunen om de doelstellingen te behalen moeten gedefinieerd, geïmplementeerd en beheerd worden.

Normenkaders alleen geven niet altijd voldoende richting om te bepalen hoe dit ingericht moet worden. Normenkaders zeggen iets over het “wat” maar niet over het ‘hoe’. Omdat security zowel ontworpen, geïmplementeerd en beheerd moet worden doet men er verstandig aan om een operating model voor security in te richten. Dit Security Operating Model (SOM) bevat enerzijds de security capabilities die aanwezig moeten zijn, en anderzijds een model om deze security capabilities te beheren (security governance). In dit artikel verstaan we onder een security capability een product en of dienst die ingericht is, waarbij processen ingericht zijn en de verantwoordelijkheden belegd zijn.

Benodigde security capabilities

Maar wat bepaalt de benodigde security capabilities? Security capabilities worden bepaald op basis van vier belangrijke aspecten, te weten;

  • de bedrijfsdoelstellingen,
  • wet- en regelgeving,
  • cybersecurity dreigingen,
  • risico’s en opgetreden incidenten en classificatie van informatiesystemen (vertrouwelijkheid, integriteit en beschikbaarheid).

Bedrijfsdoelstellingen

Security moet ondersteuning bieden aan de ontwikkelingen binnen de overheid. De belangrijkste ontwikkelingen zijn:

  • digitalisering van processen
  • cloud adoptie
  • agile werken
  • informatiegestuurd optreden
  • AI en algoritme

Wet- en regelgeving

Een groot deel van de bekendste wet- en regelgeving is opgenomen en doorvertaald naar de “best-practices” van de BIO (Baseline Informatiebeveiliging Overheid). Er zullen altijd, afhankelijk van de overheidsinstelling, aanvullende eisen van toepassing zijn. Denk hierbij aan verwerking van Politiegegevens (Wpg), of uitvoeringsdiensten die onderdeel zijn van de Nederlandse Kritieke Infrastructuur (wbni, Rbni, NIS, NIS2).

Cybersecurity dreigingen, risico’s en opgetreden incidenten

Deze categorie is voor een groot deel voor de overheid generiek in de zin dat ze allemaal dezelfde soort dreigingen en risico’s zien. Denk hierbij aan Malware en Ransomware (er zijn diverse voorbeelden van incidenten zoals geslaagde ransomware aanvallen bij de overheid in de afgelopen jaren), datalekken, defacen van websites en hacken van websites, verstoring van diensten, insider dreigingen en doelgerichte aanvallen van statelijke actoren.

Security Operating Model

De samenhang tussen security capabilities worden opgenomen in een Security Operating Model (SOM). Dit SOM kent een twee sporen benadering: 1) beveiligen van de bestaande (legacy) systemen en 2) (innovatieve) beveiliging bieden aan nieuwe informatiesystemen. Het SOM kent een viertal domeinen, zoals weergegeven is in Figuur 1.

  • Strategie en Governance;
  • Beveiliging en Transformeer;
  • Dynamische Defensie;
  • Innovatie en Beveilig.

Strategie en Governance

Dit domein bevat de kaderstellende security capabilities zoals:

  • Risicomanagement en compliancymanagement, voor het beheersen van de risico (risico identificatie, risicoanalyse, risicobehandeling, risico monitoring en rapportages) en het aantoonbaar voldoen aan compliacy eisen.
  • Enterprise security architectuur voor het in samenhang ontwerpen en inrichten van alle security capabilities.
  • Security awareness, voor het beveiligingsbewustzijn van alle medewerkers in de organisatie die weten wat ze moeten doen als ze slachtoffer dreigen te worden van een cyber aanval.
  • Beleid, standaarden en richtlijnen waarin de beleidsuitgangspunten voor security zijn opgenomen en door vertaald zijn naar beleid op specifieke security gebieden (zoals Incident-, vulnerabilitymanagement en IAM). Hierbij ondersteund door sstandaarden en richtlijnen voor implementatie.

Beveiliging en Transformeer

Dit zijn security capabilities die nodig zijn om de bestaande informatiesystemen en of operationele assets te beveiligen, hierbij kan gedacht worden aan IAM, vulnerability management, cryptografie, netwerkbeveiliging etc.).

Dynamische defensie

Dit zijn security capabilities die gebruikt worden voor het tijdig detecteren van (pogingen tot) aanvallen, dit te monitoren en bij incidenten adequate incident response, crisismanagement en indien nodig business continuity management op te schalen. Deze capabilities ondersteunen zowel de Beveilig & Transform als de Innovatie & Beveiliging SOM capabilities.

Innovatie en beveilig

Dit zijn security capabilities die bedoeld zijn om nieuwe diensten sneller te ondersteunen. Hierbij kan gedacht worden aan gebruik van cryptografie om gegevens overal te versleutelen, aan federatieve IAM om ketensamenwerking te bevorderen, cloud security om nieuwe diensten veiling in een cloud omgeving te laten landen. Naast security capabilities zal ook DevSecOps een belangrijke capability zijn om security in agile te waarborgen. Vanuit de bedrijfsdoelstellingen (meer waarde uit data, sneller innoveren, adopteren nieuwe technologie, processen continue verbeteren) zijn de volgende security capabilities nodig:

  • Enterprise security architectuur ter ondersteuning van de adaptie van nieuwe technologieën.
  • Cryptografie voor de beveiliging van data in opslag en transport voor het ondersteunen dat gegevens zich nu buiten de standaard gecontroleerde omgevingen van de overheid bevinden (een van de vier pilaren van een zero- Trust aanpak).
  • Een risico gebaseerde aanpak om de integratie van IT, OT en IoT te ondersteunen.
  • Cloud security om de adoptie van cloud toepassingen te faciliteren.
  • Third party cybersecurityriskmanagement om de risico’s te beheersen van uitbestede diensten van de overheid.
  • Vanuit wetgeving zoals AVG, Wbni, Rbni zijn al snel de navolgende security capabilities nodig:
  • Identity and Access Management, om toegang te verlenen aan geautoriseerde personen.
  • Incident management, om security en privacy incidenten adequate te melden en op te lossen richting interne organisatie en toezichthouders.
  • Business continuity management, om ook in crisissituaties te kunnen leveren.
  • Segmentatie of Networks, om te voorkomen dat aanvallen zoals ransomware zich snel kunnen verspreiden in het gehele overheidsnetwerk, maar ook om zero trust te kunnen ondersteunen.
  • Classificatie van Assets (OES assets), zodat de kritieke infrastructuur die de overheid beheerd beveiligd zijn.
  • Risk Management, voor het beheersen van de risico in de breedste zin des woords voor security en privacy (DPIA’s).
  • Logging and Monitoring, om inzicht te hebben in pogingen tot aanvallen tijdig te kunnen detecteren en daarop mitigerende maatregelen te treffen.
  • Cryptografie en sleutel/geheimenbeheer, voor het versleutelen van gevoelige informatie.
  • Classificatie van persoonsgegevens, voor het kunnen treffen van voldoende technische en organisatorische maatregelen volgens, in overeenstemming met de AVG.

Vanuit dreigen gezien is het noodzakelijk om een goed Dreigingsbeeld op te stellen en op basis van dat dreigingsbeeld de maatregelen te treffen. Het opstellen van een dreigingsbeeld is geen sinecure. Mocht dit niet aanwezig zijn, dan is de beste aanvliegroute om te kijken naar de TOP5 dreigingen die altijd voorkomt en daar de security capabilities op af te stemmen.

De TOP 5 dreigingen zoals opgenomen in CIS CMD 2.04, ENISA Threatlandscape 20225 kunnen als basis dienen. Als we kijken naar de TOP 5 vanuit CIS CMD gezien dan zijn dit: Malware, Ransomware, Web application hacking, Insider and Privilege misbruik en Targeted intrusions. Het ENISA rapport laat ons de volgende TOP dreigingen zien: Ransomware, Malware, Social Engineering, Dreigingen tegen data, dreigingen ten aanzien van beschikbaarheid (DDoS en Internet Dreigingen), Mis- of Desinformatie, en Supply Chain Attacks.

Deze dreigingen leiden in het algemeen tot de volgende security capabilities:

  • Secure data (IAM en Cryptografie).
  • Vulnerability (kwetsbaarheden) & Patch Management.
  • Audit, Logging en Monitoring & respons.
  • Veilige configuraties/ Hardening van systemen.
  • Malware verdediging.
  • Gegevens- en system herstel.
  • Applicatie security (veilige ontwikkeling en beheer).
  • Penetratie testen.
  • Security bewustwording.
  • Changemanagement.
  • Incidentmanagement.
  • Supply Chain Security Risk Management.

Als we deze groepen van security capabilities vanuit bedrijfsdoelstellingen, wet- en regelgeving en TOP 5 dreigingen samenvoegen en in een Security Operating Model plotten dan kan de SOM er as volgt zoals weergegeven is in Figuur 2.

Een overzicht van security capabilities geef richting aan hetgeen nodig is. Een groot deel van deze security capabilities moeten organisatiebreed opgepakt en geïmplementeerd worden, zodat veranderingen in organisaties via projecten alleen gebruik hoeven te maken van deze capabilities en niet zelf het wiel moeten uitvinden.

Security Governance

Per onderdeel van het SOM is het van belang om helder te hebben welke taken itgevoerd moeten worden nadat de capability ingericht is. Hiertoe zal er een governance model opgesteld moeten worden en deze geplot moeten worden op allen SOM-onderdelen. Een voorbeeld van een governance model is weergeven in Figuur 3.

Security-verantwoordlijkheden

Op basis van dit governance model is vervolgens gekeken naar het beleggen van de verantwoordelijkheden bij de uitvoering van de activiteiten, een voorbeeld van een deeluitwerking van de Som is weergegeven in Figuur 4.


Conclusie

Een Security Operating Model wordt al gebruikt in de private sector om te bepalen welke security capabilities een organisatie nodig heeft en hoe deze beheerd moeten worden. Dit model is ook toepasbaar op de overheid. Hierbij moet men wel willen werken met dreiging als uitgangspunt en niet alleen compliancy gebaseerd waarbij een standaard als checklist gebruikt wordt.

SOM gaat verder dan compliancy en zorgt ervoor dat de overheid weerbaarder is tegen cybersecurity dreigingen met als gevolg dat haar processen betrouwbaarder worden uitgevoerd.


References

1. https://www.parool.nl/nederland/

2. https://www.digitaleoverheid.nl/nieuws/flinke-stijging-aantal-meldingen-datalekken/

3. https://www.binnenlandsbestuur.nl/digitaal/steeds-meer-gemeenten-overvallen-door-ransomware

4. https://www.cisecurity.org/insights/blog/cis-introduces-v2-0-of-the-cis-community-defense-model

5. https://www.enisa.europa.eu/publications/enisa-threat-landscape-2022

Maak kennis met onze experts

Jule Hintzbergen

Expert in Cybersecurity Consulting