De topics hieronder verwijzen rechtstreeks naar het CCB-document. We hebben elke titel direct overgenomen en lichten kort toe hoe wij deze benaderen. Zoals eerder vermeld, behandelen we niet het gehele document, maar concentreren we ons specifiek op de cruciale aspecten voor de moderne werkplek.
ID.AM-2: Inventarisatie van de binnen de organisatie gebruikte softwareplatforms en -toepassingen.
Bij Nimble begrijpen we dat de softwarebehoeften van onze klanten dynamisch zijn. Een cruciaal aspect van onze managed service is het waarborgen van een effectief Application Lifecycle Management. Dit betekent niet alleen dat we de software up-to-date houden, maar ook dat we zorgen voor een gedetailleerde inventaris en documentatie van alle softwaretools en -platforms die door onze klanten worden gebruikt.
Onze Aanpak:
- Inventarisatie: De eerste stap is het volledig inventariseren van de software die binnen uw organisatie wordt gebruikt. Dit is conform ID.AM-2.
- Gebruik van IT-Activabeheer: Om het proces te vergemakkelijken, gebruiken we door ons ontwikkelde software “NimDeploy“. Dit stelt ons in staat om de inventaris regelmatig bij te werken en te evalueren, en ervoor te zorgen dat deze altijd de huidige context van uw organisatie weerspiegelt.
- Verantwoordelijkheid en Aansprakelijkheid: We identificeren duidelijk de individuen binnen zowel Nimble als uw organisatie die verantwoordelijk en aansprakelijk zijn voor het beheer van softwareplatforms en -toepassingen. Dit zorgt voor duidelijke communicatie en snelle actie in geval van eventuele problemen of updates.
ID.RA-1, ID.RA-5 & ID.RA-6: Kwetsbaarheden van activa worden vastgesteld en gedocumenteerd, gebruikt om het risico te bepalen en respons op risico’s worden vastgesteld en geprioriteerd
Bij Nimble streven we ernaar om de integriteit en veiligheid van uw moderne werkplek te waarborgen. We begrijpen dat kwetsbaarheden een constante zorg zijn. Daarom voeren we regelmatig, tot zelfs continu (afhankelijk van uw contract), vulnerability scans uit om mogelijke zwakke punten in uw organisatie te identificeren.
Onze Aanpak en Tools:
- Geavanceerde Scanning Tools: We maken gebruik van geavanceerde tools zoals Nessus en Microsoft Defender For Endpoint. Deze tools stellen ons in staat om grondig en efficiënt de kwetsbaarheden binnen uw organisatie te achterhalen.
- Definiëring van Kwetsbaarheden: Volgens ID.RA-1 verwijst een kwetsbaarheid naar een zwakke plek in de software van de organisatie. Het is van essentieel belang om deze kwetsbaarheden te identificeren omdat ze een potentieel risico vormen waardoor kwaadwillende actoren toegang kunnen krijgen tot de activa van de organisatie.
- Prioritering van Fixes: Op basis van de gegevens verzameld uit onze scans, bepalen we welke kwetsbaarheden eerst aangepakt moeten worden. Deze beslissing wordt genomen op basis van security scores en CVE (Common Vulnerabilities and Exposures) classificaties, waarbij de meest urgente zaken voorrang krijgen. Verder wordt de prioriteit mede bepaald door de classificatie van het betrokken systeem, waardoor essentiële bedrijfsapplicaties met vulnerabilities sneller worden aangepakt.
- Zorgvuldige Testing: Hoewel het identificeren van kwetsbaarheden cruciaal is, zorgen we er ook voor dat ons testproces de werking van uw organisatie niet negatief beïnvloedt. We voeren zowel prestatie-/belastingstesten als securitytests zorgvuldig uit, en overwegen na elke test om beveiligingsmaatregelen te valideren.
ID.RA-2: Informatie over cyberdreigingen wordt ontvangen van fora en bronnen voor informatie-uitwisseling.
Bij Nimble Notities begrijpen we het belang van tijdige en relevante informatie. Met de snelle veranderingen in de wereld van de moderne werkplek en de toenemende cyberdreigingen, is het cruciaal om up-to-date te blijven. Daarom bieden we een wekelijkse nieuwsbrief aan waarin we een overzicht geven van alle belangrijke aankondigingen en ontwikkelingen van de afgelopen week. Maar dat is niet alles. In geval van kritieke cyberdreigingen, zorgen we ervoor dat onze abonnees onmiddellijk op de hoogte zijn door een extra nieuwsbrief uit te brengen.
PR.AC-1: Identiteiten en referenties (“credentials”) worden afgegeven, beheerd, geverifieerd, ingetrokken en gecontroleerd voor geautoriseerde apparaten, gebruikers en processen
Nimble richt zich op het beheer van identiteiten voor zijn klanten met een speciale focus op de moderne werkplek. Dit betekent dat Nimble erkent hoe essentieel het is om de juiste toegangsrechten te geven aan de juiste personen, op het juiste moment, en dit op een veilige manier. Hier is een overzicht van hoe Nimble dit doet:
- Gebruik van geavanceerde tools: Nimble maakt gebruik van geavanceerde tools zoals Intune en Entra ID (voorheen bekend als Azure Active Directory) om een robuuste oplossing te bieden voor identity en access management.
- User onboarding: Nimble helpt bedrijven met het efficiënt en veilig onboarden van nieuwe gebruikers door het automatiseren van het proces en ervoor te zorgen dat nieuwe gebruikers de juiste toegangsrechten krijgen.
- Multifactorauthenticatie (MFA): Om de beveiliging van accounts te versterken, promoot en implementeert Nimble MFA. Dit zorgt ervoor dat gebruikers meerdere authenticatiemethoden moeten gebruiken om toegang te krijgen.
- Conditional Access Policies: Afhankelijk van het risiconiveau en andere factoren, kan toegang tot bedrijfsbronnen worden verleend of geweigerd.
- Wachtwoordbeleid: Nimble benadrukt het belang van sterke wachtwoordbeleidslijnen.
- Geautomatiseerde Mechanismen: Nimble begrijpt het belang van automatisering in het beheer van credentials. Daarom moedigen we het gebruik aan van geautomatiseerde mechanismen om de efficiëntie en veiligheid te verhogen.
PR.AC-4: De toegangsrechten en machtigingen worden beheerd, met inachtneming van de beginselen van “least privilege” en scheiding van taken.
Nimble erkent het cruciale belang van digitale beveiliging en samenwerking. Samen met haar klanten werkt Nimble aan het implementeren van het ‘Least Privilege’ principe voor zowel klanten, consultants als producten. In deze samenwerking zorgt Nimble ervoor dat toegangsrechten uitsluitend worden verstrekt op basis van wat strikt noodzakelijk is. Door het creëren van individuele accounts met sterke, unieke wachtwoorden en het scheiden van administratieve en persoonlijke accounts, waarborgt Nimble de veiligheid. Gastaccounts krijgen enkel minimale privileges. Met het gebruik van “Single Sign On” en geautomatiseerd beheer van gebruikersaccounts zorgt Nimble, in nauwe samenwerking met haar klanten, voor een gecontroleerde en veilige toegang tot systemen en data.
PR.AT-1: Alle gebruikers worden geïnformeerd en opgeleid.
Opleiding en informatie staan centraal bij Nimble’s benadering van de moderne werkplek. Consultants worden gestimuleerd om regelmatig certificaten te behalen over alle relevante domeinen, waarbij voortdurende professionele ontwikkeling en kennisverdieping essentieel zijn. Bovendien houdt Nimble haar stakeholders op de hoogte via “Nimble Notities“, een wekelijkse nieuwsbrief die essentiële updates en inzichten biedt. Daarnaast worden zowel interne als externe evenementen georganiseerd met een focus op de moderne werkplek, waarbij informeren en bewustwording vooropstaan. Met deze aanpak zorgt Nimble ervoor dat elke stakeholder niet alleen geïnformeerd is, maar ook actief betrokken bij het beschermen en bevorderen van de bedrijfsinformatie en -technologie.
PR.DS-1 & PR.DS-2: Data in rust is beschermd & Data-in-transitie is beschermd
Nimble zet zich actief in om de data van haar klanten te beschermen, zowel wanneer deze in rust is als tijdens transitie. Door gebruik te maken van Microsoft Intune en Defender For Endpoints, implementeert Nimble policies gericht op het versleutelen van eindgebruikersapparaten, verwijderbare media zoals laptops en USB-opslagapparaten, en gegevens die worden verzonden. Windows BitLocker® wordt ingeschakeld voor volledige schijfencryptie, en gegevens opgeslagen in de cloud worden veilig versleuteld. Voor gevoelige documenten en e-mails gebruikt Nimble geavanceerde encryptietools die worden ondersteund en toegestaan. Hierdoor blijft kritieke informatie onleesbaar voor onbevoegden en hebben alleen beoogde ontvangers toegang tot de inhoud. Deze strategieën voorkomen ongeoorloofde toegang en datamanipulatie, terwijl met Defender For Endpoints potentiële bedreigingen worden gemonitord. Zo waarborgt Nimble de integriteit van gevoelige gegevens en biedt een robuuste beveiliging, ongeacht waar de data zich bevindt.
PR.DS-7: De ontwikkelings- en testomgeving(en) zijn gescheiden van de productieomgeving.
Bij Nimble is Application Lifecycle Management van cruciaal belang. We zorgen ervoor dat software op alle klantapparaten up-to-date en veilig blijft met behulp van speciaal ontworpen packages. Om de hoogste kwaliteit en veiligheid te garanderen, heeft Nimble een afzonderlijke, geautomatiseerde testomgeving waarin deze packages worden gecreëerd, getest en op veiligheidsproblemen worden gescand. Deze ontwikkel- en testomgeving is strikt gescheiden van de productieomgeving. Hierdoor kan elk nieuw package grondig worden geëvalueerd voordat het daadwerkelijk wordt uitgerold, zonder operationele verstoringen te veroorzaken. Bovendien integreert Nimble cyberbeveiligingsfuncties al vanaf de beginfase van de ontwikkeling, in lijn met de “secure development lifecycle” principes.
PR.IP-1: Er wordt een basisconfiguratie van informatietechnologie/industriële controlesystemen gecreëerd en onderhouden, waarin de beveiligingsbeginselen zijn verwerkt.
Nimble legt de nadruk op maximale veiligheid in cloud-omgevingen. Met onze unieke tool zetten we efficiënt een veilige Microsoft 365 of Azure tenant op, gebaseerd op een nauwkeurig geformuleerde veilige baseline. Deze baseline omvat essentiële details. Tijdens klantaudits toetst deze tool de beveiligingsstatus van hun tenant, waarna wij samen met de klant potentiële risico’s aanpakken. Na optimalisatie zetten we monitoring in werking om afwijkingen van de baseline te traceren, waardoor tijdige remediatie mogelijk wordt. We hanteren het “concept van de minste functionaliteit”, waardoor systemen enkel essentiële functies behouden en overbodige worden uitgeschakeld. Nimble waarborgt zo een gestroomlijnde en veilige cloud-beleving voor haar klanten.
Conclusie
Het naleven van de NIS-2 richtlijnen is cruciaal voor zowel wettelijke naleving als het garanderen van een veilige IT-omgeving. Bij Nimble overstijgen we de basisvereisten. Onze Managed Service voor de Moderne Werkplek implementeert geavanceerde tools en methoden ter bescherming. Dit omvat het onderstrepen van Application Lifecycle Management, vulnerability scans, en identity bepaling. Maar onze toewijding gaat verder dan alleen regelgeving: we zijn toegewijd aan constante verbetering te midden van digitale uitdagingen. Om meer te leren over hoe wij u kunnen ondersteunen, vul alstublieft het onderstaande contactformulier in.
Nimble’s Drievoudige Focus
Software- en Applicatiebeheer
Nimble benadrukt Application Lifecycle Management, inclusief software-inventarisatie en -documentatie met onze eigen tool, NimDeploy.
Cybersecurity
Nimble voert proactief vulnerability scans uit, gebruikt geavanceerde beveiligingstools, en hanteert strikte toegangsbeheerprincipes, zoals ‘Least Privilege’.
Opleiding en Communicatie
Nimble bevordert continue professionele ontwikkeling en informeert stakeholders regelmatig, inclusief een “Nimble Notities” nieuwsbrief en evenementen over de moderne werkplek.