Diensten

De maatregelen uit de analyse fase worden nu geïmplementeerd. Omdat dit sterk afhankelijk is van de gevonden dreigingen en de oplossingen die u daarvoor geschikt acht, zijn de mogelijke mitigerende maatregelen zeer variërend van aard.
Door deze grote variatie in maatregelen is het niet mogelijk om hier een uitputtend overzicht te plaatsen.

Voorbeelden van maatregelen voor meer veiligheid

Opstellen of verbeteren van Continuïteitsplannen

Soms moeten (delen van) uw organisatie tijdens calamiteiten of systeemverstoringen elders werken of andere processen of procedures volgen. Dan is het nodig dat alle betrokken partijen geïnformereerd zijn hoe dat vorm moet krijgen. Een continuïteitsplan (Business Continuity Plan, BCP) bevat alle informatie voor alle betrokkenen. Als het plan wordt gevolgd, kan de bedrijfsvoering zo snel mogelijk weer draaien volgens de eisen die vooraf werden vastgesteld.

Let op: Dit wordt vaak gecombineerd met het inrichten van een ‘uitwijk’ lokatie!

Invoeren / aanpassen security monitoring

Door op strategische plaatsen ‘meetapparatuur’ op het netwerk aan te sluiten, kunt u direct zien of er verdachte handelingen plaatsvinden. Zodra dit het geval is, kunt u onmiddellijk ingrijpen.

Let op: deze stap is alleen zinvol als u ook een ‘rapid response’ afdeling in het leven roept met voldoende mandaat.
Zie: gegevens van 40 miljoen credit cards gestolen bij Target.

Invoeren / aanpassen security vulnerability scanning & patching

Uw IT systemen kunnen op een aantal manieren kwetsbaar zijn: door een inherent onveilige inrichting, of omdat u deze systemen niet regelmatig van de laatste (security) patches voorziet. Beide kunnen echter uitstekend automatisch gecontroleerd worden, waarna u in staat bent om correcties aan te brengen.

Let op: deze stappen zijn vooral effectief als u een goed inzicht heeft in alle systemen, applicaties en interfaces (assetmanagement).

invoeren / aanpassen fysieke en / of logische toegangsbeveiliging

Aanpassen applicatie- en/of technische infrastructuur

Aanpassen contracten met leveranciers

Accepteren / verzekeren van risico’s

Dit is strikt genomen geen oplossing. Maar als u tot de conclusie komt dat inspanning en kosten niet opwegen tegen het risico dat u loopt, is het accepteren van dat risico volstrekt legitiem. Het zelfde geldt als u in het kader van een security en continuity programma besluit bepaalde maatregelen pas in een volgende fase uit te voeren. Belangrijk is nu wel dat dit besluit niet ‘op de werkvloer’ wordt genomen, maar door de sponsor van het programma (zie Governance)