Essentieel 8 Volwassenheidsmodel
23 augustus 2023
De Essentiële Acht Uitgelegd
Healthdirect Australia voldoet aan alle vereisten om op alle vlakken en in alle aspecten van de videogesprekservice van Healthdirect minimaal Maturity Level 2 te behalen. De videogesprekservice van Healthdirect is voor het laatst opnieuw beoordeeld op Essential Eight-naleving op 17 augustus 2023. Neem voor meer informatie over de beoordeling van het Essential Eight Maturity Model voor videogesprekken contact op met videocallsupport@healthdirect.org.au .
Hoewel geen enkele mitigatiestrategie gegarandeerd cyberbeveiligingsincidenten voorkomt, beveelt de ACSC aan dat organisaties E8-mitigatiestrategieën als uitgangspunt implementeren. Deze basislijn maakt het voor kwaadwillenden veel moeilijker om systemen te compromitteren. Bovendien kan het proactief implementeren van E8 kosteneffectiever zijn in termen van tijd, geld en moeite in vergelijking met het reageren op een grootschalig cyberbeveiligingsincident. Gebaseerd op de dreigingen van kwaadwillenden, is er een voorgestelde implementatievolgorde om organisaties te helpen bij het opbouwen van een sterke cyberbeveiligingspositie voor hun systemen. Zodra organisaties hun gewenste mitigatiestrategieën op een initieel niveau hebben geïmplementeerd, moeten ze zich richten op het verhogen van de volwassenheid van hun implementatie, zodat ze uiteindelijk volledig aansluiten bij het doel van elke mitigatiestrategie. De E8-strategieën die de ACSC als uitgangspunt aanbeveelt, zijn als volgt:
- Toepassingsbeheer
Applicatiebeheer staat alleen geselecteerde softwaretoepassingen toe om op computers te draaien. Het is bedoeld om te voorkomen dat niet-goedgekeurde softwaretoepassingen, waaronder malware, worden uitgevoerd. - Patch applicaties. Patch oplossingen en beveiligingsproblemen in softwareapplicaties. Dit is belangrijk omdat kwaadwillenden bekende beveiligingsproblemen in applicaties gebruiken om computers aan te vallen.
- Schakel niet-vertrouwde Microsoft Office-macro's uit. Microsoft Office-applicaties kunnen software gebruiken die 'macro's' wordt genoemd om routinetaken te automatiseren. Macro's worden steeds vaker gebruikt om malware te downloaden. Ze kunnen kwaadwillenden toegang geven tot gevoelige informatie, dus ze moeten worden beveiligd of uitgeschakeld.
- Beveiliging van gebruikersapplicaties. Dit omvat activiteiten zoals het blokkeren van de toegang van webbrowsers tot Adobe Flash Player, webadvertenties en niet-vertrouwde Java-code op internet. Flash, Java en webadvertenties zijn al lang populaire manieren om malware te verspreiden en computers te infecteren.
- Beperk beheerdersrechten (admin). Dit betekent dat beheerdersrechten alleen worden gebruikt voor het beheren van systemen, het installeren van legitieme software en het toepassen van softwarepatches. Deze zouden alleen moeten worden beperkt tot degenen die ze nodig hebben. Beheerdersaccounts zijn de 'sleutels tot het koninkrijk'; tegenstanders gebruiken deze accounts voor volledige toegang tot informatie en systemen.
- Patch besturingssystemen. Patch oplossingen en beveiligingsproblemen in besturingssystemen. Dit is belangrijk omdat kwaadwillenden bekende beveiligingsproblemen in het besturingssysteem gebruiken om computers aan te vallen.
- Multifactorauthenticatie: dit is wanneer een gebruiker alleen toegang krijgt na het succesvol presenteren van meerdere, afzonderlijke bewijsstukken. Het gebruik van meerdere authenticatiefactoren maakt het voor tegenstanders veel moeilijker om toegang te krijgen tot uw informatie.
- Dagelijkse back-up van belangrijke gegevens. Dit betekent dat alle gegevens regelmatig worden geback-upt en offline of online worden opgeslagen, maar dan op een manier die niet herschrijfbaar of wisbaar is. Dit stelt een organisatie in staat om opnieuw toegang te krijgen tot gegevens in geval van een cyberincident.
Essentieel Acht Volwassenheidsmodel
Om organisaties te helpen de effectiviteit van hun implementatie van de E8-richtlijn te bepalen, is een volwassenheidsmodel ontwikkeld. Dit model definieert vier volwassenheidsniveaus voor elke mitigatiestrategie.
- Volwassenheidsniveau nul - beperkt of niet afgestemd op de intentie van de mitigatiestrategie
- Volwassenheidsniveau één - Gedeeltelijk afgestemd op de intentie van de mitigatiestrategie
- Volwassenheidsniveau twee - Grotendeels afgestemd op de intentie van de mitigatiestrategie
- Volwassenheidsniveau drie: volledig afgestemd op de intentie van de mitigatiestrategie