De enorme diversiteit in securityfuncties, diensten en terminologieën is de reden dat wij zelf een security framework hebben ontwikkeld, beduidend minder complex en eenvoudiger toepasbaar door iedere organisatie, groot of klein, mature of niet.
Het Cybersecurity framework van Computest is een compilatie van best of breed internationale cybersecurity policies, processen, controls, standaarden en praktische security ervaring om kritische infrastructuur en data te beschermen op en zeer logische en continue manier. We combineren hierbij cybersecurity met governance, risk, privacy en control. We maken hierbij uiteraard o.a. gebruik van NIST, CIS, ISO, NEN, BIO en specifieke branche gerelateerde regulatie.
Wij geloven dat alleen een combinatie van de beste elementen en frameworks, afgestemd op jouw bedrijfsomgeving kunnen zorgen voor een efficiënte controle op de meest belangrijke risico’s gerelateerd aan de business opportunity. Security hoeft geen cash-out te zijn, wel een verschuiving en optimalisatie van budgetten gerelateerd aan de meest belangrijke risico’s binnen jouw onderneming. Risico’s per branche mogen dan enigzins overeenkomen, maar de manier waarop criminelen te werk gaan verandert continue.
Preventie, detectie en response gedreven door governance.
Security kunnen we indelen in Preventie, Detectie en Respond gedreven door governance diensten. Preventie omvat de maatregelen die zijn genomen om te voorkomen dat incidenten plaatsvinden, denk hierbij aan pentests, risico assessments, encryptie en firewalls. Detectie zijn de maatregelen die werkelijke incidenten detecteren mochten deze plaatsvinden, zoals een SOC of SIEM. Respond zijn de maatregelen/activiteiten in place om te acteren in het geval van een incident, een incident response plan. Governance, control en risk staan voor de wijze waarmee een organisatie de beveiligingsaanpak controleert en stuurt.
Goede security is altijd maatwerk
Een standaard security framework zegt niet veel over het adresseren van de juiste risico’s voor een specifieke onderneming. Ook zou het kunnen zijn dat er budget nodig is voor policies en controls die niet (of minder) van toepassing zijn voor iedere organisatie. In dat geval is het zonde van de effort en investering. Wij zien dat er vaak niet één ideaal framework bestaat voor een organisatie. Het is in de praktijk vaak een combinatie van elementen uit verschillende frameworks.
Uiteindelijk begint de security journey van een organisatie met de bedrijfsdoelstellingen en opportunity’s. Deze moeten worden gekoppeld aan de meest relevante risico’s die de organisatie loopt met hun kritische assets en data. Op basis hiervan kunnen prioriteiten worden bepaald en kan een plan van aanpak worden opgesteld (de security strategie). Onderdeel van een plan van aanpak is het definieren van het optimale framework voor de organisatie waarbij de juiste combinatie van techniek, mens en proces naar voren dient te komen komen.