De voordelen van het behalen van Cyber Essentials Certification
Cyber Essentials is een beveiligingscertificering die is ontworpen om organisaties te helpen hun systemen, netwerken en gegevens te beschermen tegen cyberaanvallen. Het is gebaseerd op vijf fundamentele beveiligingsprincipes en biedt organisaties verhoogde systeem- en gegevensbeveiliging, verbeterde naleving van regelgeving en lagere kosten voor het implementeren van cyberbeveiligingsmaatregelen.
Overzicht van het belang van cyberbeveiliging
Cyberbeveiliging is een essentieel onderdeel van moderne informatiesystemen en netwerken. Door het toenemende aantal cyberaanvallen moeten organisaties maatregelen nemen om hun gegevens en systemen tegen deze aanvallen te beschermen. Cyber Essentials is zo’n maatregel die organisaties kunnen inzetten om zich te beschermen tegen cyberaanvallen en te voldoen aan normen voor gegevensbescherming en compliance.
Wat is Cyber Essentials Certification?
Cyber Essentials is in 2014 gelanceerd door het National Cyber Security Centre van de Britse overheid en is een beveiligingscertificering die is ontworpen om organisaties te helpen hun systemen, netwerken en gegevens te beschermen tegen cyberaanvallen. Het is gebaseerd op vijf fundamentele beveiligingsprincipes, waaronder het begrijpen van de dreigingen en risico’s die gepaard gaan met cyberbeveiliging, het beschermen van computers en netwerken tegen kwaadaardige software en andere online dreigingen, het controleren van de sterkte van wachtwoorden en andere authenticatiemaatregelen, het instellen van firewalls en het personeel opleiden in beste practices voor cyberbeveiliging. Er zijn twee certificeringsniveaus: Cyber Essentials Basic en Cyber Essentials Plus.
Voor wie is Cyber Essentials van toepassing?
Cyber Essentials-certificering is van toepassing op alle organisaties, ongeacht grootte, sector of geografische locatie. Deze certificering is bedoeld om organisaties te helpen zichzelf te beschermen tegen de meest voorkomende cyberdreigingen door basisbeveiligingsmaatregelen te implementeren. Het is een door de overheid gesteund programma dat duidelijk aangeeft welke basismaatregelen organisaties moeten nemen om zichzelf te beschermen tegen de meest voorkomende cyberdreigingen.
Is Cyber Essentials verplicht voor de Algemene Verordening Gegevensbescherming?
Nee, Cyber Essentials is geen vereiste voor de Algemene Verordening Gegevensbescherming (GDPR), hoewel het bedrijven kan helpen om aan bepaalde GDPR-vereisten te voldoen. De GDPR beschrijft bijvoorbeeld een aantal vereisten met betrekking tot gegevensbeveiliging, privacy en gegevensbescherming waaraan voldaan moet worden. Cyber Essentials daarentegen is een door de sector erkend certificeringsprogramma dat organisaties begeleiding en tools biedt om basisniveaus van cyberbeveiliging te bereiken.
Kiteworks heeft een lange lijst van behaalde compliance- en certificeringsprestaties.
Voordelen van het implementeren van Cyber Essentials
Cyber Essentials is een bewezen cyberbeveiligingsraamwerk dat organisaties van elke omvang essentiële beveiligingsmaatregelen en zakelijke voordelen biedt, waaronder:
Verhoogde systeem- en gegevensbeveiliging
Een van de belangrijkste voordelen van het behalen van Cyber Essentials-certificering is de toename van systeem- en gegevensbeveiliging. Door de noodzakelijke maatregelen uit het raamwerk te implementeren, kunnen organisaties hun blootstelling aan cyberaanvallen aanzienlijk verminderen en hun systemen en gegevens beschermen tegen compromittering.
Verbeterde naleving van GDPR en andere bestaande regelgeving
Cyber Essentials-certificering helpt organisaties te voldoen aan de vereisten van de EU’s Algemene Verordening Gegevensbescherming (GDPR) en andere bestaande regelgeving op het gebied van gegevensbescherming. Deze vorm van certificering zorgt ervoor dat organisaties de noodzakelijke technische en organisatorische maatregelen hebben genomen om hun gegevens te beschermen tegen ongeautoriseerde toegang of kwaadaardige activiteiten.
Lagere kosten voor het implementeren van cyberbeveiligingsmaatregelen
Het implementeren van cyberbeveiligingsmaatregelen kan een kostbaar proces zijn voor organisaties. Met Cyber Essentials-certificering kunnen organisaties echter de kosten verlagen, omdat de certificering zich beperkt tot de vijf belangrijkste beveiligingsprincipes.
Wat houdt Cyber Essentials in?
Cyber Essentials-certificering bestaat uit vijf essentiële beveiligingsmaatregelen. Organisaties die Cyber Essentials-certificering hebben behaald, zijn door een externe partij beoordeeld op deze vijf essentiële beveiligingsmaatregelen. De maatregelen omvatten:
Inzicht in cyberbeveiligingsdreigingen en -risico’s
De eerste stap bij het implementeren van Cyber Essentials is het begrijpen van de diverse cyberdreigingen en -risico’s. Dit omvat inzicht in hoe cyberaanvallen worden uitgevoerd, welk type kwaadaardige software wordt gebruikt en hoe organisaties hun gegevens en systemen het beste kunnen beschermen tegen dergelijke aanvallen.
Beschermen van computers en netwerken tegen kwaadaardige software en andere online dreigingen
Zodra organisaties de cyberbeveiligingsdreigingen en -risico’s binnen hun bedrijf hebben geïdentificeerd, kunnen ze beginnen met het implementeren van maatregelen om hun systemen en gegevens, evenals gevoelige inhoudscommunicatie, te beschermen. Dit omvat het gebruik van sterke wachtwoorden, het instellen van firewalls en het implementeren van antivirussoftware.
Verbeteren van wachtwoordsterkte en andere authenticatiemaatregelen
Om ervoor te zorgen dat wachtwoorden veilig zijn, moeten organisaties een wachtwoordmanager gebruiken die de wachtwoordsterkte en andere authenticatiemaatregelen zoals multi-factor authentication controleert. Dit is belangrijk om ongeautoriseerde toegang tot vertrouwelijke informatie te voorkomen.
Instellen van firewalls
Firewalls zijn essentieel voor het beschermen van netwerken tegen cyberaanvallen en kwaadaardige activiteiten. Organisaties moeten ervoor zorgen dat hun netwerken zijn beveiligd met de nieuwste firewalls en regelmatig worden gemonitord op verdachte activiteiten.
Personeel opleiden in beste practices voor cyberbeveiliging
Organisaties moeten er ook voor zorgen dat hun personeel regelmatig wordt getraind in de beste en meest actuele cyberbeveiligingspraktijken. Dit omvat het informeren over het herkennen van potentiële dreigingen en het beschermen van hun systemen en gegevens tegen compromittering.
Wat is het verschil tussen Cyber Essentials en Cyber Essentials Plus?
Cyber Essentials en Cyber Essentials Plus zijn twee certificeringen en bedrijven kunnen kiezen welke het beste past bij hun behoeften. Het Cyber Essentials-programma is een basisraamwerk van beveiligingsmaatregelen die zijn vastgelegd in vijf kernmaatregelen. Cyber Essentials Plus is een uitbreiding van het programma en werd in 2014 ontwikkeld als een meer geavanceerde certificering. Beide tonen een inzet voor cyberbeveiliging; echter, Cyber Essentials Plus vereist meer inspanning en toont daarmee een grotere betrokkenheid bij cyberbeveiliging aan.
Het belangrijkste verschil tussen Cyber Essentials en Cyber Essentials Plus is dat Cyber Essentials zelfbeoordelend is, terwijl Cyber Essentials Plus extern wordt geverifieerd door een externe beoordelaar. Cyber Essentials vereist bijvoorbeeld dat een organisatie enkele vragen beantwoordt en een online zelfevaluatie invult. Cyber Essentials Plus daarentegen houdt in dat een externe certificeringsinstantie een on-site beoordeling uitvoert van de beveiligingssystemen en procedures van de organisatie.
Qua criteria vereist Cyber Essentials dat organisaties over voldoende verdediging beschikken tegen de meest voorkomende cyberdreigingen. Dit omvat sterke gebruikers- en apparaatbeveiligingsmaatregelen, firewalls en internetgateways, malwarebescherming en veilige configuratie. Cyber Essentials Plus gaat verder en vereist dat organisaties bewijs leveren dat deze maatregelen effectief werken, en dat er aanvullende maatregelen zijn, zoals patchbeheer en veilige configuratie voor mobiele apparaten.
Cyber Essentials Plus vereist ook dat organisaties beschikken over een uitgebreid pakket aan cyberbeveiligingsbeleid en -procedures. Dit omvat processen voor risicobeoordeling, incidentresponsplannen en beleid voor bewustwordingstraining van medewerkers. Deze extra beveiligingslaag is belangrijk voor organisaties die een hogere betrokkenheid bij cyberbeveiliging willen aantonen en helpt zichzelf te beschermen tegen meer complexe aanvallen.
Over het algemeen bieden Cyber Essentials en Cyber Essentials Plus organisaties van elke omvang, sector of locatie de mogelijkheid om hun inzet voor cyberbeveiliging aan te tonen en ervoor te zorgen dat hun gegevens en netwerken adequaat zijn beschermd.
Het inschatten van de kosten van Cyber Essentials-certificering
Inzicht in de kosten van Cyber Essentials-certificering is cruciaal voor organisaties die hun investering in cyberbeveiliging plannen. Voor de Cyber Essentials Basic-certificering liggen de kosten doorgaans tussen £300 en £500 per jaar, afhankelijk van de certificeringsinstantie en de omvang van de organisatie. Dit omvat de zelfevaluatie en validatie door een door IASME goedgekeurde beoordelaar. De kosten voor de Plus-variant zijn aanzienlijk hoger, variërend van £1.500 tot £4.000, vanwege de extra technische verificatie en praktische tests die vereist zijn.
Verschillende factoren beïnvloeden de totale kosten naast de basiscertificeringskosten. Interne voorbereidingskosten omvatten de tijd van personeel voor het invullen van documentatie, het implementeren van vereiste beveiligingsmaatregelen en het aanpakken van eventuele hiaten die tijdens de voorbeoordeling zijn vastgesteld. Organisaties moeten rekening houden met 20-40 uur interne inspanning voor de basiscertificering en 60-120 uur voor de Plus-certificering. Extra kosten kunnen voortkomen uit noodzakelijke infrastructuurupgrades, softwarelicenties voor beveiligingstools en eventuele adviseurskosten voor complexe omgevingen.
Om de kosten te optimaliseren en de integriteit van de certificering te waarborgen, moeten organisaties grondige interne gereedheidsbeoordelingen uitvoeren vóór de formele indiening. Dit helpt om problemen vroegtijdig te identificeren en op te lossen, waardoor de kans op dure herbeoordelingen wordt verkleind. Door het juiste certificeringsniveau te kiezen op basis van werkelijke zakelijke vereisten in plaats van vermeend prestige, wordt ook kostenefficiëntie gegarandeerd. Regelmatig onderhoud van beveiligingsmaatregelen gedurende het jaar voorkomt dure herstelwerkzaamheden op het laatste moment tijdens verlengingsperiodes.
Hoe verkrijg je Cyber Essentials-certificering?
Cyber Essentials-certificering vereist dat organisaties verschillende stappen nemen om hun gegevens en systemen te beschermen tegen cyberdreigingen. Dit omvat het beveiligen van de netwerkperimeter, het implementeren van beveiligingsbeleid, het gebruik van antivirussoftware, het updaten van systemen en netwerken en het gebruik van encryptie om informatie te beschermen. Zodra organisaties een duidelijk beeld hebben van de doelstellingen van de certificering, kunnen ze het certificeringsproces starten. Deze stappen omvatten:
Registreer je organisatie bij de IASME Certification Body
Om gecertificeerd te worden met Cyber Essentials moeten organisaties zich eerst registreren bij de IASME Certification Body. Deze onafhankelijke organisatie is verantwoordelijk voor het verifiëren dat organisaties die Cyber Essentials-certificering willen behalen, voldoen aan de Cyber Essentials-standaard. Dit proces omvat het controleren of het bedrijf de technische maatregelen en beleidsregels heeft geïmplementeerd die vereist zijn voor de certificering. IASME beoordeelt de technische informatie en het bewijs dat door de organisatie is ingediend, waaronder de ingevulde zelfevaluatie. IASME geeft ook feedback en begeleiding over gebieden waar de organisatie mogelijk aanpassingen moet doen om aan de standaard te voldoen. IASME is tevens verantwoordelijk voor het waarborgen van de betrouwbaarheid en consistentie van de certificering bij verschillende organisaties.
Vul een online vragenlijst in over de implementatie van cyberbeveiligingsmaatregelen
Organisaties moeten een online vragenlijst invullen waarin de maatregelen worden beschreven die zijn genomen om hun systemen en gegevens te beschermen tegen cyberaanvallen. Deze vragenlijst bevraagt organisaties over het gebruik van firewalls, antivirussoftware en andere beveiligingsmaatregelen.
Laat je IT-systemen beoordelen door een externe organisatie
Na het invullen van de vragenlijst moeten organisaties die Cyber Essentials Plus nastreven hun IT-systemen laten beoordelen door een onafhankelijke externe organisatie. Dit is om te waarborgen dat hun systemen voldoen aan de noodzakelijke beveiligingsvereisten zoals vastgelegd door Cyber Essentials.
Geldigheid en verlengingsperiode van de certificering
Cyber Essentials-certificering heeft een geldigheidsduur van precies één jaar vanaf de uitgiftedatum. Daarna moeten organisaties het volledige certificeringsproces opnieuw doorlopen om hun Cyber Essentials-accreditatie te behouden. Deze jaarlijkse verlengingsverplichting zorgt ervoor dat beveiligingsmaatregelen actueel en effectief blijven tegen veranderende cyberdreigingen. Organisaties moeten minimaal drie maanden voor het verlopen van de certificering beginnen met de verlengingsvoorbereiding om onderbrekingen in de certificeringsstatus te voorkomen, vooral belangrijk voor organisaties die continue Cyber Essentials-naleving nodig hebben voor overheidsopdrachten of zakelijke partnerschappen.
Bepaalde omstandigheden kunnen aanleiding geven tot eerdere herbeoordeling vóór de standaard jaarlijkse verlenging. Grote veranderingen in de infrastructuur, zoals belangrijke systeemupgrades, herontwerp van het netwerk of aanzienlijke toename van de scope, vereisen onmiddellijke hercertificering om de geldigheid van het Cyber Essentials-certificaat te waarborgen. Organisaties die van locatie veranderen, nieuwe clouddiensten implementeren of fusies en overnames ondergaan, moeten overleggen met hun certificeringsinstantie om te bepalen of een eerdere herbeoordeling nodig is.
Om naleving tussen verlengingscycli te behouden, moeten organisaties continu hun beveiligingsstatus monitoren, elk kwartaal het beleid herzien en gedetailleerde administratie bijhouden van wijzigingen in hun IT-omgeving. Regelmatige kwetsbaarheidsbeoordelingen, tijdig patchbeheer en voortdurende training van personeel helpen ervoor te zorgen dat aan de Cyber Essentials-vereisten wordt voldaan. Deze proactieve aanpak ondersteunt niet alleen soepele verlengingen, maar maximaliseert ook de voordelen van Cyber Essentials door gedurende de hele certificeringsperiode een robuuste beveiliging te behouden.
Voorbereiden op een Cyber Essentials Plus-audit
Succesvolle voorbereiding op een Cyber Essentials Plus-audit vereist systematische bewijsverzameling en technische gereedheid voor verificatie. Begin met het verzamelen van uitgebreide documentatie, waaronder netwerkdiagrammen, inventarissen van assets, patchbeheerregistraties en beveiligingsbeleidsdocumenten. Zorg ervoor dat alle systemen actuele kwetsbaarheidsscans uitvoeren en los eventuele kritieke of hoog-risico bevindingen op vóór de auditdatum. De externe beoordelaar heeft op afstand toegang nodig tot voorbeeldapparaten, dus bereid een representatieve selectie van werkstations, servers en mobiele apparaten voor die een realistisch beeld geven van de IT-omgeving van je organisatie.
Planning van de tijdlijn is cruciaal voor een succesvolle audit. Reserveer 6-8 weken voor een grondige voorbereiding, inclusief 2-3 weken voor een initiële gap-analyse, 3-4 weken voor herstelactiviteiten en 1 week voor de uiteindelijke verificatietests. Veelvoorkomende valkuilen zijn onvoldoende documentatie van patchbeheer, verkeerd geconfigureerde firewallregels en onvoldoende dekking van malwarebescherming. Controleer of alle gebruikersaccounts over de juiste toegangscontroles beschikken, verwijder onnodige beheerdersrechten en zorg ervoor dat beleid voor beheer van mobiele apparaten correct wordt gehandhaafd op alle relevante apparaten.
Zorg er op de auditdag voor dat belangrijke technische medewerkers beschikbaar zijn om de beoordelaar te ondersteunen en vragen over systeemconfiguraties te beantwoorden. Bereid een rustige werkruimte voor met betrouwbare internetverbinding voor de externe auditactiviteiten. Houd contactgegevens van systeembeheerders bij de hand en zorg dat alle voorbeeldapparaten zijn ingeschakeld en toegankelijk. Houd er rekening mee dat de beoordelaar 4-8 uur kan besteden aan technische tests, dus plan vooruit om bedrijfsverstoring te minimaliseren en volledige medewerking aan het certificeringsproces te waarborgen.
Bepaal de scope van je certificering
- Identificeer alle netwerkgrenzen en systemen die via het internet bereikbaar zijn en onder de certificering moeten vallen, inclusief hoofdkantoornetwerken, verbindingen van thuiswerkers en eventuele clouddiensten die bedrijfsgegevens opslaan of verwerken
- Breng alle gebruikersapparaten binnen scope in kaart, waaronder desktopcomputers, laptops, tablets en smartphones die voor zakelijke doeleinden worden gebruikt, en documenteer duidelijk eventuele uitgesloten systemen zoals geïsoleerde netwerken of verouderde apparatuur
- Documenteer verbindingen met derden en gedeelde diensten, en bepaal of managed service providers, partnernetwerken of leverancierssystemen binnen de certificeringsgrenzen vallen of terecht zijn uitgesloten met onderbouwing
- Bekijk de richtlijnen van IASME en NCSC om te waarborgen dat je scope-definitie aansluit bij de certificeringsvereisten en alle systemen omvat die een potentiële toegangspoort voor aanvallers tot je kernomgeving kunnen vormen
- Stel een uitgebreide scopeverklaring op waarin opgenomen en uitgesloten systemen worden beschreven, met duidelijke motivatie voor uitsluitingen, zodat je cyber essentials scope statement voorbeelden hebt voor toekomstige referentie en beoordeling door auditors
- Valideer scopebeslissingen met technische teams en zakelijke stakeholders om te waarborgen dat niets kritisch wordt overgeslagen en onnodige complexiteit die kosten of doorlooptijd kan verhogen wordt vermeden