Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS

Maak kennis met het CBEST-framework van het VK

Startpagina Woordenlijst Maak kennis met het Britse CBEST-framework

Als het gaat om het beschermen van het cyberbeveiligingslandschap van het Verenigd Koninkrijk, speelt het CBEST-framework een cruciale rol. Critical National Infrastructure Banking Supervision and Evaluation Testing, kortweg CBEST, is een op inlichtingen gebaseerd testframework dat financiële instellingen helpt om het potentiële effect van cyberaanvallen te begrijpen. In dit artikel wordt het framework besproken, hoe het is ontstaan, wie het toepast en waarom, en tot slot wat de zakelijke voordelen zijn van naleving.

Maak kennis met het Britse CBEST-framework

Wat is het CBEST-framework?

Het CBEST-framework is een gestructureerde set van cyberbeveiligingsrichtlijnen en -testen, ontworpen om kwetsbaarheden in cyberbeveiligingssystemen te identificeren. Geïnitieerd door de Bank of England (BoE), is CBEST het eerste in zijn soort dat Threat Intelligence en penetratietesten inzet om de cyberdreigingen voor systeemkritische financiële instellingen in het VK te begrijpen. Het doel van het CBEST-framework is het verbeteren van de beveiligingsstatus van deze instellingen, zodat zij effectief potentiële cyberdreigingen kunnen beheren en beperken.

CBEST-beoordelingen zijn niet verplicht, maar worden sterk aanbevolen voor entiteiten die een cruciaal onderdeel vormen van de financiële sector van het VK. Het framework biedt een gestandaardiseerde aanpak om cyberrisico’s te identificeren, beoordelen en beheren, wat bijdraagt aan de algehele operationele weerbaarheid van instellingen.

De oorsprong van het CBEST-framework

Het CBEST-framework werd in 2014 gelanceerd door de Bank of England, in samenwerking met de Britse overheid en de CISP (Cyber-security Information Sharing Partnership) van de financiële sector. De urgentie om zo’n framework te ontwikkelen werd ingegeven door de aanhoudende toename van complexe cyberaanvallen op financiële instellingen. Het doel was om een set procedures en praktijken op te stellen die deze instellingen zouden helpen hun kwetsbaarheden te begrijpen, zich voor te bereiden op potentiële cyberdreigingen en effectief te reageren op incidenten.

Het CBEST-framework was uniek en baanbrekend vanwege de op inlichtingen gebaseerde benadering. Het was het eerste cyberbeveiligingstestprogramma dat het gedrag van daadwerkelijke dreigingsactoren nabootste op basis van actuele Threat Intelligence. Dit betekende een verschuiving van traditionele, op naleving gerichte beoordelingen en droeg bij aan een robuustere en veerkrachtigere financiële sector in het VK.

Wie moet zich houden aan het CBEST-framework?

Hoewel CBEST-testen zijn ontwikkeld met financiële instellingen in gedachten, is het niet uitsluitend beperkt tot de bankensector. Elke organisatie die een kritisch onderdeel vormt van de financiële infrastructuur van het VK is een potentiële kandidaat voor CBEST-testen. Dit omvat banken, verzekeraars, grote investeringsmaatschappijen, financiële marktinfrastructuren en zelfs de belangrijkste leveranciers van deze bedrijven.

Ondanks de duidelijke voordelen van een CBEST-beoordeling is het belangrijk om te benadrukken dat deze beoordelingen niet verplicht zijn. Ze worden echter sterk aanbevolen door toezichthouders zoals de BoE en de Financial Conduct Authority (FCA). Het idee is om deze instellingen aan te moedigen een op inlichtingen gebaseerde aanpak van cyberbeveiliging te hanteren om het financiële ecosysteem van het VK te beschermen tegen potentiële cyberdreigingen.

Voordelen van naleving van het CBEST-framework

Het CBEST-framework biedt tal van voordelen voor organisaties en de bredere financiële sector. Ten eerste legt het de nadruk op een proactieve benadering van cyberbeveiliging, waardoor organisaties potentiële kwetsbaarheden kunnen identificeren voordat ze kunnen worden misbruikt. Dit draagt sterk bij aan het opbouwen van een robuuste cyberbeveiligingsinfrastructuur.

Ten tweede bieden CBEST-beoordelingen waardevolle inzichten in de paraatheid van een organisatie om te reageren op echte cyberdreigingen. Dit helpt instellingen zich voor te bereiden op en effectief om te gaan met potentiële cyberincidenten. Ten derde kunnen de resultaten van een CBEST-beoordeling strategische investeringsbeslissingen ondersteunen en het senior management inzicht geven in waar middelen moeten worden ingezet om de cyberbeveiliging te verbeteren. Tot slot tonen instellingen met CBEST-naleving hun inzet voor cyberbeveiliging aan, wat het vertrouwen van klanten, investeerders en toezichthouders kan vergroten.

Het CBEST-framework implementeren

Het implementeren van het CBEST-framework vereist een duidelijk begrip van de potentiële cyberdreigingen waarmee een organisatie te maken kan krijgen en de kwetsbaarheden van de huidige cyberverdediging. Organisaties moeten eerst een CBEST Threat Intelligence Assessment uitvoeren. Dit helpt bij het identificeren van de meest relevante dreigingsactoren, hun motieven, de methoden die zij kunnen gebruiken en hun potentiële impact op de kritieke functies van de organisatie.

Na de Threat Intelligence Assessment moet er een CBEST-penetratietest worden uitgevoerd. Hierbij wordt een gerichte aanval op de belangrijkste bedrijfsfuncties van de organisatie gesimuleerd, met gebruik van de in de vorige stap verzamelde inlichtingen. Het resultaat van deze test geeft een duidelijk beeld van hoe een echte cyberaanval de organisatie zou kunnen beïnvloeden en waar de cyberbeveiligingsmaatregelen moeten worden verbeterd.

Het CBEST-beoordelingsproces

Het CBEST-beoordelingsproces is opgedeeld in drie hoofd fasen: de afbakeningsfase, de testfase en de rapportagefase. Voordat de beoordeling begint, bepalen de deelnemende organisatie, de relevante toezichthouder en de CBEST-geaccrediteerde dienstverlener gezamenlijk de scope van de test. Dit omvat het identificeren van de kritieke bedrijfsfuncties die waarschijnlijk het doelwit zouden zijn van een cyberaanval en de potentiële dreigingsactoren die zo’n aanval zouden kunnen uitvoeren.

Tijdens de testfase proberen red teams—ethische hackers die de rol van potentiële dreigingsactoren aannemen—de cyberverdediging van de organisatie te doorbreken met dezelfde technieken, tactieken en procedures als in het Threat Intelligence-rapport zijn vastgesteld. Dit geeft de organisatie een nauwkeurig beeld van hoe zij zich zouden houden tijdens een echte cyberaanval. Het red team registreert alle bevindingen gedurende de test, die worden opgenomen in het eindrapport.

Het belang van CBEST voor naleving van regelgeving

Hoewel het CBEST-framework en de beoordelingen niet verplicht zijn, worden ze sterk aanbevolen door de Bank of England en de Financial Conduct Authority. Toch kunnen de resultaten van een CBEST-beoordeling gevolgen hebben voor de regelgeving. Als een organisatie tijdens de test aanzienlijke kwetsbaarheden vertoont, kan de toezichthouder strengere cyberbeveiligingsvereiste opleggen. Door het CBEST-framework te volgen, laat een organisatie aan toezichthouders zien dat zij cyberbeveiliging serieus neemt en proactieve stappen heeft gezet om kwetsbaarheden te identificeren en aan te pakken.

Bovendien is het CBEST-framework ontworpen om naadloos te integreren met andere wereldwijde cyberbeveiligingsstandaarden en -regelgeving, zoals de General Data Protection Regulation (GDPR) en de ISO 27001-norm voor informatiebeveiliging. Deze flexibiliteit maakt het waardevol voor organisaties die al aan deze regelgeving voldoen, omdat zij hun bestaande cyberbeveiligingsprocessen en -protocollen kunnen benutten om aan het CBEST-framework te voldoen zonder hun systemen volledig te hoeven herzien.

Het CBEST-framework in de praktijk brengen

Het implementeren van het CBEST-framework kan een aanzienlijke onderneming zijn, maar het is een waardevolle investering. De eerste stap is het inschakelen van een CBEST-geaccrediteerde dienstverlener om de Threat Intelligence Assessment en de red teaming-test uit te voeren. Het is belangrijk te weten dat deze dienstverleners streng worden gescreend door de Bank of England en een hoog niveau van deskundigheid in cyberbeveiligingstesten moeten aantonen.

Zodra de beoordelingen zijn afgerond, moet de organisatie actie ondernemen op basis van de bevindingen. Dit kan het implementeren van nieuwe cyberbeveiligingsmaatregelen zijn, het verbeteren van bestaande maatregelen of het bieden van extra training aan personeel. De organisatie krijgt gedurende dit proces ondersteuning en begeleiding van de dienstverlener.

Acties en verbeteringen na de beoordeling

Na afronding van de beoordelingen is de volgende cruciale stap dat de organisatie passende actie onderneemt op basis van de bevindingen. Deze acties kunnen variëren van het implementeren van nieuwe cyberbeveiligingsmaatregelen, het verbeteren van bestaande maatregelen of zelfs het bieden van extra training aan het personeel. De dienstverlener blijft gedurende deze belangrijke fase betrokken en biedt de organisatie de nodige begeleiding en ondersteuning.

Kiteworks helpt Britse organisaties bij het beschermen van gevoelige content volgens het CBEST-framework van het VK

Voor organisaties binnen de Britse financiële sector is het CBEST-framework een onmisbaar hulpmiddel bij het beoordelen en versterken van hun cyberbeveiliging. Het biedt diepgaande inzichten in de cyberdreigingen waarmee deze organisaties worden geconfronteerd en meet hun paraatheid om deze dreigingen het hoofd te bieden. Hoewel naleving van CBEST-beoordelingen niet verplicht is, toont het volgen van het CBEST-framework de sterke inzet van een organisatie voor cyberbeveiliging. Dit kan op zijn beurt het vertrouwen van klanten, investeerders en toezichthouders versterken. Door samen te werken met een CBEST-geaccrediteerde dienstverlener en proactief aan de slag te gaan met de bevindingen uit de beoordeling, kunnen organisaties hun cyberbeveiliging aanzienlijk versterken en bijdragen aan de weerbaarheid van de Britse financiële sector.

Het Kiteworks Private Content Network, een FIPS 140-2 Level 1 gevalideerd platform voor beveiligde bestandsoverdracht en file sharing, consolideert e-mail, bestandsoverdracht, webformulieren, SFTP en beheerde bestandsoverdracht, zodat organisaties elk bestand kunnen controleren, beschermen en volgen zodra het de organisatie binnenkomt of verlaat.

Met Kiteworks: beheer de toegang tot gevoelige content; bescherm deze bij externe uitwisseling met geautomatiseerde end-to-end encryptie, multi-factor authentication en integraties met beveiligingsinfrastructuur; zie, volg en rapporteer alle bestandsactiviteiten, oftewel wie wat naar wie, wanneer en hoe verstuurt.

Toon tenslotte naleving aan met regelgeving en standaarden zoals GDPR, HIPAA, CMMC, Cyber Essentials Plus, IRAP en vele andere.

Wil je meer weten over Kiteworks? Plan vandaag nog een demo op maat.

 

Terug naar Risk & Compliance Glossary

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo
Share
Tweet
Share
Explore Kiteworks