Het is dus belangrijk om precies te weten hoe jouw organisatie op het gebied van digitale veiligheid presteert. De meest nauwkeurige manier om dat vast te stellen is aan de hand van een Cybersecurity Assessment. Daarmee kunnen we vaststellen wat het volwassenheidsniveau van de cybersecurity binnen jouw organisatie is. Dat doen we onder meer door te controleren of en in hoeverre de relevante cybersecurity maatregelen zijn geïmplementeerd en geautomatiseerd. Daarnaast brengen we de risico’s van niet- of deels geïmplementeerde cybersecurity maatregelen in kaart. Vervolgens leveren we op basis van onze bevindingen input voor een actiegericht plan om de cyberveiligheid van jouw organisatie systematisch te verbeteren. Bovendien geven we richting aan de acties die de verschillende stakeholders kunnen ondernemen om daaraan bij te dragen.

Ons Cybersecurity Assessment is gebaseerd op het CIS framework. CIS is een internationaal erkende standaard van security maatregelen, opgesteld door het Center for Internet Security (CIS). Het framework bestaat uit security elementen (controls) en subcontrols, verdeeld over drie groepen: Basic, Foundational en Organizational.

Basic controls hebben te maken met de basishygiëne van de cyberveiligheid. Implementatie van de eerste zes controls geeft al 80% dekking van de cybervolwassenheid. Vervolgens kunnen we op die basis diverse security bouwstenen plaatsen, die gericht zijn op het optimaliseren van de cyberveiligheid (Foundational). Tenslotte zijn er nog vier controls gericht op de organisatorische aspecten van cyberveiligheid. Hoe uitgebreid de subcontrols in beschouwing worden genomen, hangt af van de omvang, complexiteit en privacygevoeligheid van de organisatie.

De gedachte achter CIS is dat de cyberveiligheid van de organisatie in belangrijke mate op orde is – en risico’s zijn geminimaliseerd – wanneer een organisatie de voornoemde controls heeft geïmplementeerd. Het invoeren van de maatregelen gaat gefaseerd; startend bij Basic en via Foundational naar Organizational.

Het CIS framework is de perfecte manier om de cybersecurity volwassenheid van jouw organisatie gestructureerd te meten en van daaruit een concreet actieplan te creëren om de cyberveiligheid van de organisatie te optimaliseren. Daarvoor gebruiken we een vijfstappenplan. De eerste stap is een ‘scoping’ workshop waarin we jouw verwachtingen van het assessment doorspreken en samen bepalen welke subcontrols relevant zijn voor het assessment. Als tweede gaan we voor die subcontrols informatie verzamelen, die we bij jou verifiëren voordat we – stap 3 – de informatie met behulp van een assessment tool analyseren. Daaruit komt een score tevoorschijn die de mate van volwassenheid van het cybersecurity niveau binnen jouw organisatie weergeeft. Daarbij wordt ook de informatie geïnterpreteerd, worden risico’s in kaart gebracht en conclusies getrokken. Aansluitend, in stap 4, stellen we een adviesrapport voor je op, waarin we concrete aanbevelingen doen om de cyberveiligheid in jouw organisatie te optimaliseren. Tenslotte worden de uitkomsten en het advies van het assessment aan jou (en eventuele andere belanghebbenden) gepresenteerd.

RESULTAAT

Ons Cybersecurity Assessment geeft inzicht in de cyberrisico’s binnen de organisatie en de wijze waarop de organisatie de beveiliging heeft gedefinieerd. Het assessment is het startpunt voor een verbeterprogramma om de cyberveiligheid te optimaliseren.