The HSD Trendmonitor is designed to provide access to relevant content on various subjects in the safety and security domain, to identify relevant developments and to connect knowledge and organisations. The safety and security domain encompasses a vast number of subjects. Four relevant taxonomies (type of threat or opportunity, victim, source of threat and domain of application) have been constructed in order to visualize all of these subjects. The taxonomies and related category descriptions have been carefully composed according to other taxonomies, European and international standards and our own expertise.
In order to identify safety and security related trends, relevant reports and HSD news articles are continuously scanned, analysed and classified by hand according to the four taxonomies. This results in a wide array of observations, which we call ‘Trend Snippets’. Multiple Trend Snippets combined can provide insights into safety and security trends. The size of the circles shows the relative weight of the topic, the filters can be used to further select the most relevant content for you. If you have an addition, question or remark, drop us a line at info@securitydelta.nl.
Please expand your browser window.
Or enjoy this interactive application on your desktop or laptop.
Testen van maatregelen draagt bij aan continue verbeteren
Een zo realistisch mogelijk uitgevoerde test geeft een instelling inzicht in de genomen maatregelen en kan zich richten op verschillende aspecten van de bedrijfsvoering van de instelling. In onderzoek van DNB is specifiek aandacht besteed aan het testen van het gehele stelsel van genomen informatiebeveiliging en cybersecurity maatregelen, door middel van scenario testen. Zie daartoe ook figuur 4 met betrekking tot beheersingsmaatregel #22: Testing. Een scenario test kan bijvoorbeeld zijn gericht op zwakheden in de IT-infrastructuur of op menselijk gedrag en menselijk handelen, maar ook op het testen van continu.teitsmaatregelen van IT-systemen (Testing of the IT continuity plan). Effectief testen hangt nauw samen met het selecteren van de meest geschikte testmethode. DNB ziet testmethodes vari.ren van simpele desk-based oefeningen tot zo realistisch mogelijk gesimuleerde aanvallen. Een aantal instellingen heeft al een zo realistisch mogelijke test uitgevoerd,
bijvoorbeeld door mitigerende maatregelen rondom DDoS aanvallen te simuleren. DNB onderschrijft het belang van testen om de werking van mitigerende maatregelen op gecontroleerde wijze vast te stellen.
Instellingen kunnen het structureel (laten) uitvoeren van testen in een terugkerende periodieke cyclus beter borgen, bijvoorbeeld als onderdeel van een groter testprogramma binnen de gehele keten. DNB ziet dat het structureel inbedden van informatiebeveiliging en cybersecurity testen binnen de (keten) organisatie van instellingen niet altijd optimaal wordt benut. DNB ziet veel ruimte voor verbetering om scenario testen effectiever (en in de gehele keten) uit te voeren om zo een meer realistische situatie na te bootsen. De integrale continu.teit van de bedrijfsvoering van instellingen is steeds vaker afhankelijk van een grote groep dienstverleners en onderaannemers. Instellingen kunnen hun ketenpartners meer betrekken bij de opzet en uitvoering van de eerder genoemde testen.
Uit DNB onderzoek komen naast het bovenstaande twee andere risico’s naar voren:
▪ De kwaliteit van uitgevoerde penetratietesten wisselt sterk ten aanzien van onder andere de onderzoeksverantwoording, scope, diepgang en rapportage. DNB heeft het beeld dat in de markt van aanbieders van penetratietesten nog veel verschil in kwaliteit is en het voor de instellingen niet altijd eenvoudig is de markt voldoende te doorgronden. Het is belangrijk dat instellingen extra aandacht besteden aan de selectie van gekwalificeerde externe partijen indien zij deze wenst in te schakelen voor het uitvoeren van penetratietesten.
▪ Business Continuity Management richt zich nog te veel op klassieke scenario’s zoals bijvoorbeeld gebouwencalamiteiten en brand. Het BCM beleid en diens tests zouden zich meer kunnen richten op locatie, mensen (key persons), ICT en uitbestedingspartijen. Waarbij men ook voorbereid is op andere eigentijdse dreigingen. Denk hierbij bijvoorbeeld aan de impact van malware, ransomware en ook een pandemie op de continu.teit van de bedrijfsvoering.
Een aantal instellingen communiceert haar concrete verwachtingen rondom het uitvoeren van penetratietesten (onderzoeksverantwoording, scope, diepgang, etc.) richting dienstverleners ter bevordering van de consistentie en kwaliteit van uitgevoerde beveiligingstesten. Kwalitatief goed uitgevoerde penetratietesten dragen in de praktijk sterk bij aan het verbeteren van (technische) maatregelen en het reduceren van informatiebeveiligings- en cybersecurityrisico’s. Door heldere
communicatie en verwachtingsmanagement richting dienstverleners wordt de uitvoering van penetratietesten op een consistente wijze geborgd en is de door instellingen gewenste kwaliteit van penetratietesten in lijn met de daadwerkelijke
kwaliteit. Daar waar dienstverleners beschikken over beleid op het gebied van penetratietesten kan een vertaalslag plaatsvinden naar de verwachtingen van de instellingen zelf. Hierbij valt te denken aan: het vaststellen van kwaliteitscriteria
voor de penetratietesten, vertaling van deze criteria naar afspraken met de dienstverleners en (mogelijk nog) aanvullende eigen testwerkzaamheden door instellingen.
Access to Innovation
Access to Capital
Access to Talent
Access to Market
Access to Knowledge
