De Nederlandse samenleving wordt in toenemende mate afhankelijk van systemen en diensten die via het cyberdomein worden ontsloten. De afgelopen dagen hebben dat weer eens aangetoond. Goede cybersecurity is van essentieel belang om maatschappelijke en economische schade door incidenten zoveel mogelijk te beperken.

In opdracht van het Ministerie van Veiligheid en Justitie heeft InnoValor een inventarisatie gemaakt van standaarden voor cybersecurity. Het maken van die inventarisatie was niet zo moeilijk. Al snel hadden we een lijstje met daarop meer dan 180 standaarden variërend van COBIT5 en ISO29115 tot SAML.

Uit het grote aantal geïnventariseerde standaarden is af te leiden dat het cybersecurity domein complex en divers is. Dit maakt het lastig om standaarden te kiezen of om te bepalen waar standaardisatie tekort schiet. Een classificatieraamwerk biedt ondersteuning om overzicht te krijgen en om standaarden ten opzichte van elkaar te kunnen positioneren. Omdat een dergelijk classificatieraamwerk tot op heden niet bestond, is dit ontwikkeld als onderdeel van onze onderzoeksopdracht. Hiertoe is een aantal relevante classificerende dimensies geïdentificeerd. Deze zijn weergegeven in de figuur bovenaan deze blog.

Met het classificeren van de standaarden aan de hand van de dimensies van het classificatieraamwerk kunnen inzichten verkregen worden. Statistische informatie over cybersecurity-standaarden op basis van de variabelen uit het classificatieraamwerk geeft inzicht in bijvoorbeeld de beschikbaarheid of eigenschappen van standaarden. Door deze variabelen vervolgens te combineren, ontstaan meer gedetailleerde “viewpoints”. Het classificatieraamwerk geeft bijvoorbeeld een beeld van de gebruikte algemene en specifieke standaarden per vitaal domein zoals is te zien in de figuur hieronder.

Op basis hiervan kan worden bepaald voor welke doel- of focusgebieden standaardisatie van cybersecurity al dan niet voldoende geadopteerd of gerealiseerd is. Opvallend is dat er relatief weinig technische- en processtandaarden voor de sub-doelen detecteren en opvolgen van cybersecurity incidenten gebruikt lijken te worden.

Het classificatieraamwerk kan daarnaast ingezet worden als hulpmiddel voor het verkrijgen van beslissingsondersteunende informatie voor het selecteren van bepaalde standaarden voor te treffen maatregelen om geïdentificeerde risico’s te mitigeren. Hiervoor is een beslismodel ontwikkeld aan de hand waarvan een professional volgens een aantal stappen op een onderbouwde manier tot een keuze voor een standaard kan komen.

Probeer het classificatieraamwerk en het beslismodel eens uit voor uw eigen organisatie om er achter te komen of u nog grip heeft op security en door de bomen het bos van standaarden nog ziet. Ik hoor graag wat uw bevindingen zijn. En natuurlijk zijn we altijd bereid om een handje te helpen.