Word partner
Word gematcht
IBgidsNL
Vind een aanbieder
Bedrijven 643 cybersecurity aanbieders ZZP'ers Freelance security professionals Sprekers Experts voor jouw event
Governance, Risk & ComplianceTraining & AwarenessSecurity AssessmentsIdentity & Access ManagementCloud SecurityEndpoint SecurityNetwork SecurityMonitoring & Incident ResponseManaged Security ServicesData SecuritySoftware SecurityTalent & Staffing
MKBOverheidOnderwijsZorgITTransportTelecomIndustrieRetailFinancieelEnergieDefensie
Werk & events
Vacatures Cybersecurity banen in Nederland Evenementen Conferenties, meetups en training
Kennisbank
Nieuws Laatste cybersecurity-nieuws Blog Artikelen en inzichten Bedrijfsupdates Updates van partners Externe bronnen Geselecteerde bronnen Woordenboek Cybersecurity begrippen Auteurs Onze kennisexperts
Aanmelden
Bedrijf aanmelden Kom op IBgidsNL als aanbieder ZZP'er aanmelden Meld je profiel aan als freelancer Spreker aanmelden Voor events en lezingen Auteur aanmelden Schrijf voor IBgidsNL
Word gematcht

Kroonjuwelen

Concepten

Informatie en informatiesystemen die het allerbelangrijkst zijn voor een organisatie. Het heeft grote gevolgen voor de organisatie als men niet meer bij deze informatie kan komen wanneer men dat wil. Of als de informatie niet meer klopt, of als die ongewild bij anderen terechtkomt. Intelectueel eigendom is voorbeeld van een kroonjuweel.

Kroonjuwelen is een term uit de cybersecurity die verwijst naar de meest waardevolle en bedrijfskritieke digitale assets van een organisatie. Het zijn de systemen, data en processen waarvan het verlies, de diefstal of de onbeschikbaarheid de grootste schade zou toebrengen aan de organisatie. Denk aan klantendatabases, intellectueel eigendom, financiele systemen, handelsgeheimen, broncode en operationele technologie die de kern van de bedrijfsvoering vormt. Het identificeren en beschermen van deze kroonjuwelen is het fundament van elke effectieve cybersecuritystrategie, omdat je niet alles even sterk kunt beveiligen en je beveiligingsbudget moet concentreren op wat er werkelijk toe doet.

De term is afgeleid van de Britse kroonjuwelen in de Tower of London: objecten van onschatbare waarde die de zwaarste beveiliging krijgen. In cybersecurity geldt hetzelfde principe. Het MITRE-instituut heeft Crown Jewels Analysis (CJA) ontwikkeld als een gestructureerde methodiek om kritieke assets te identificeren en de impact van hun verlies te beoordelen. Voor Nederlandse organisaties die onder NIS2 vallen, is het in kaart brengen van kroonjuwelen een verplichting, want de wet eist dat organisaties hun kritieke assets kennen en passend beschermen.

Waarom zijn kroonjuwelen belangrijk?

Zonder een helder beeld van je kroonjuwelen is het onmogelijk om beveiligingsprioriteiten te stellen. Veel organisaties besteden hun security-budget gelijkmatig over alle systemen, terwijl een klein percentage van die systemen het overgrote deel van de bedrijfswaarde vertegenwoordigt. Een Crown Jewels Analysis dwingt je om die focus aan te brengen: welke drie tot vijf assets zouden bij verlies de organisatie het hardst raken?

De gevolgen van het verliezen van kroonjuwelen zijn ingrijpend. Bij datadiefstal van klantgegevens volgen er meldplichtverplichtingen onder de AVG, potentiele boetes tot 20 miljoen euro of 4% van de wereldwijde jaaromzet, en reputatieschade die jarenlang kan doorwerken. Bij het verlies van intellectueel eigendom kan de concurrentiepositie permanent worden aangetast. Bij de uitval van operationele technologie kan de bedrijfsvoering volledig stilliggen, met directe financiele schade en mogelijke veiligheidsrisico's voor medewerkers of het publiek.

Daarnaast is het kennen van je kroonjuwelen essentieel voor incident response. Wanneer een beveiligingsincident plaatsvindt, moet het security team direct weten welke systemen prioriteit hebben bij herstel en containment. Zonder deze kennis gaan kostbare minuten verloren aan het bepalen van prioriteiten terwijl de aanvaller zich door het netwerk beweegt.

Hoe pas je kroonjuwelen toe?

Het identificeren van kroonjuwelen begint met een gestructureerde analyse die meerdere perspectieven combineert. De eerste stap is het inventariseren van alle bedrijfsprocessen en de data en systemen die deze processen ondersteunen. Betrek hierbij niet alleen IT, maar ook business stakeholders, het management en juridische experts, want kroonjuwelen worden bepaald door bedrijfswaarde, niet door technische complexiteit.

Per asset beoordeel je vervolgens de impact op drie dimensies: vertrouwelijkheid (wat als deze data uitlekt?), integriteit (wat als deze data wordt gemanipuleerd?) en beschikbaarheid (wat als dit systeem uitvalt?). Gebruik hiervoor een gestandaardiseerde risicoanalyse-methodiek zoals de BIV-classificatie die gangbaar is in de Nederlandse overheid.

Na de identificatie volgt de bescherming. Kroonjuwelen krijgen de zwaarste beveiligingsmaatregelen: strenge toegangscontrole op basis van least privilege, uitgebreide monitoring en logging, regelmatige penetratietesten specifiek gericht op deze assets, versleuteling van data in rust en in transit, en aparte back-upprocedures inclusief offline opslag. De beveiliging van kroonjuwelen moet regelmatig worden geevalueerd, want de lijst van kritieke assets verandert mee met de bedrijfsstrategie.

Kroonjuwelen in de praktijk

Stel: een middelgrote zorginstelling voert een Crown Jewels Analysis uit. De analyse onthult dat het elektronisch patientendossier (EPD), het financiele administratiesysteem en de medische apparatuurnetwerken de drie belangrijkste assets zijn. Het EPD bevat gevoelige gezondheidsgegevens die onder de AVG en NEN 7510 extra bescherming vereisen. Het financiele systeem verwerkt dagelijks betalingen en facturatie. De medische apparatuur is direct gekoppeld aan patientveiligheid.

Op basis van deze analyse besluit de instelling om het EPD in een apart netwerksegment te plaatsen met strenge toegangscontrole en monitoring, het financiele systeem te beveiligen met multi-factor authenticatie en transactiemonitoring, en de medische apparatuurnetwerken te isoleren van het kantoornetwerk. Het security-budget wordt heralloceerbaar: 60% gaat naar de bescherming van deze drie kroonjuwelen, 40% naar de rest van de IT-omgeving.

Een veelgemaakte fout is het uitsluitend focussen op digitale assets. Kroonjuwelen kunnen ook fysiek zijn, zoals serverruimtes of papieren archieven met vertrouwelijke gegevens, of menselijk, zoals sleutelpersoneel met unieke kennis die nergens is gedocumenteerd. Een complete Crown Jewels Analysis betrekt al deze dimensies en houdt rekening met de steeds veranderende dreigingslandschap en bedrijfsomgeving.

In het huidige dreigingslandschap richten aanvallers zich steeds gerichter op kroonjuwelen. Advanced Persistent Threats (APTs) besteden maanden aan verkenning om precies te begrijpen welke assets het meest waardevol zijn voordat zij toeslaan. Ransomware-groepen richten zich bewust op systemen waarvan ze weten dat organisaties die koste wat kost willen herstellen, omdat dit de kans op betaling vergroot. Door je kroonjuwelen proactief te identificeren en extra te beschermen, maak je het aanvallers aanzienlijk moeilijker om schade aan te richten op de plekken waar het er het meest toe doet. Regelmatige red team-oefeningen gericht op de kroonjuwelen testen of de beveiligingsmaatregelen in de praktijk effectief zijn tegen realistische aanvalsscenarios.

Vergeet ook niet de supply chain-dimensie van kroonjuwelen. Leveranciers en partners die toegang hebben tot je kritieke systemen of data vormen een potentieel aanvalspad. Een supply chain-aanval die zich richt op een leverancier met toegang tot jouw kroonjuwelen kan net zo verwoestend zijn als een directe aanval. Neem leverancierstoegang tot kroonjuwelen mee in je risicoanalyse en stel aanvullende eisen aan de beveiliging van derde partijen die met je meest gevoelige assets werken.

Veelgestelde vragen over kroonjuwelen

Hoe bepaal je wat de kroonjuwelen van je organisatie zijn?

Start met een inventarisatie van alle bedrijfsprocessen en de data en systemen die ze ondersteunen. Beoordeel per asset de impact van verlies op vertrouwelijkheid, integriteit en beschikbaarheid. Betrek business stakeholders, management en juridische experts bij de analyse. De assets met de hoogste impactscore zijn je kroonjuwelen.

Hoe vaak moet je een Crown Jewels Analysis herhalen?

Voer minimaal jaarlijks een herziening uit, of vaker bij significante veranderingen in de organisatie zoals fusies, nieuwe producten, digitale transformaties of wijzigingen in wet- en regelgeving. Een statische lijst veroudert snel en geeft een vals gevoel van veiligheid.

Wat is het verschil tussen kroonjuwelen en kritieke assets?

Alle kroonjuwelen zijn kritieke assets, maar niet alle kritieke assets zijn kroonjuwelen. Kroonjuwelen zijn de topprioriteit, de absolute kern waarvan verlies existentieel bedreigend is. Kritieke assets zijn breder en omvatten ook systemen die belangrijk zijn maar waarvan verlies niet direct het voortbestaan van de organisatie bedreigt.

Is een Crown Jewels Analysis verplicht onder NIS2?

NIS2 schrijft niet letterlijk een Crown Jewels Analysis voor, maar eist wel dat organisaties hun kritieke systemen en data kennen en passend beschermen. In de praktijk is een Crown Jewels Analysis de meest effectieve methode om aan deze eis te voldoen en wordt het door toezichthouders als best practice beschouwd.

Meer weten over het beschermen van kritieke assets? Bekijk Governance, Risk & Compliance aanbieders op IBgidsNL.