Cybersecurity assessments: waarom, hoe en wat?

Cybersecurity assessments: waarom, hoe en wat?

Cyberweerbaarheid is een agendapunt dat steeds belangrijker wordt voor organisaties. Toch heeft slechts 12,5% van de mkb-bedrijven de cyberbeveiliging goed geregeld. Hoe scoort jouw organisatie op cybersecurity? Door een cybersecurity assessment te doen, met behulp van de internationaal erkende CIS Critical Security Controls.

De CIS Controls zijn opgesteld door het Center for Internet Security. Het is een internationaal erkende representatie van hoogwaardige cybersecuritymaatregelen. Aan de hand van de CIS Controls meten securityspecialisten welke maatregelen jouw organisatie heeft getroffen. En de specialisten zetten dit af tegen hun baseline. Aan de hand van de uitslag wordt een optimalisatieplan opgesteld voor de cyberbeveiliging van jouw organisatie. Ik neem je mee in het belang en het verloop van een cybersecurity assessment.  

Waarom een cybersecurity assessment?

Cyberdreigingen en -aanvallen komen steeds vaker voor. Ook hun impact wordt groter. Door de mogelijke cybersecuritymaatregelen te treffen, verklein je de kans dat je wordt aangevallen door hackers. En wordt je toch aangevallen? Dan verkleinen de cybersecuritymaatregelen de impact van de aanval.

Veel mkb-bedrijven maken al gebruik van technische voorzieningen, zoals antivirussoftware, een firewall en een back-up van belangrijke data. Het is een goed begin van cyberweerbaarheid, maar je kunt nog veel meer maatregelen treffen. Een cybersecurity assessment wijst uit welke maatregelen dit zijn.

Zicht op dreiging

Toch lijkt de drempel hoog te liggen om een cybersecurity assessment te laten doen. Bijna de helft van de mkb-bedrijven denkt dat zij niet interessant is voor hackers. Maar hackers richten zich steeds meer op individuele organisaties en medewerkers. De grootte van de organisatie maakt hierin geen verschil. Gelukkig zijn er steeds meer organisaties die hun IT-systemen en data optimaal beveiligen.

Gevolgen van een cyberaanval

En de schade loopt vaak flink op: cruciale bedrijfsgegevens kunnen verloren gaan, je imago kan een deuk krijgen, je bedrijfsvoering kan wekenlang platliggen én je data kan gegijzeld worden. Waardoor je een bedrag moet overmaken naar de hacker om je gegevens weer terug te krijgen. Door al deze gevolgen is de gemiddelde schade per cyberaanval ongeveer 78.700 euro.

Zelfs als de bedrijfsvoering weer operationeel is, kan de cyberaanval nog een risico vormen voor de desbetreffende organisatie. Als de hacker nog privacygevoelige gegevens in handen heeft, dan gebruikt de hacker de informatie om alsnog losgeld te eisen. Of de hacker verkoopt de informatie aan andere groeperingen. Met alle gevolgen van dien.

Hoe gaat een cybersecurity assessment in z’n werk?

De meest nauwkeurige aanpak van een cybersecurity assessment verloopt in vijf stappen, namelijk:

1. Verwachtingen en relevante factoren
Een bijeenkomst waarin je samen met securityspecialisten jouw verwachtingen en doelen bespreekt. Om vervolgens samen de cybervolwassenheid te bepalen, op basis van de omvang, complexiteit en privacygevoeligheid van jouw organisatie.

2. Informatie verzamelen
De specialisten inventariseren in welke mate de overeengekomen CIS Controls aanwezig en geautomatiseerd zijn binnen je organisatie. Dit wordt gedaan door alle hardware en software in jouw IT-omgeving te controleren. De specialisten controleren ook het beleid en de processen in je organisatie.

3. Informatie analyseren
De specialisten analyseren de data met een cybersecurity assessment-tool. Ook stellen de experts de risico’s op van de deels of niet-geïmplementeerde maatregelen. Uit deze analyses blijkt het cybersecurityniveau waar je organisatie zich in bevindt.

4. Bevindingen en adviezen
De specialisten kijken naar de aanwezige en niet-aanwezige cybersecuritymaatregelen (op basis van de CIS Controls) en zetten deze af tegen hun baseline. Er is één baseline voor ieder type organisatie. Vervolgens stellen de specialisten hun bevindingen en adviezen op.

5. Bespreken
De specialisten bespreken de bevindingen en de adviezen met jou en je stakeholders. Tot slot vormen de specialisten een optimalisatieplan, mocht dit de wens zijn van jouw organisatie.

Cybervolwassenheid vergroten

Dit gestructureerde assessment met de CIS Controls heeft als voordeel dat je het optimalisatieplan in fases kunt implementeren. Is de basis van de cyberweerbaarheid in orde? Dan heb je al een belangrijke stap gemaakt. Vandaaruit optimaliseer je de cyberveiligheid met de ‘foundational’ controls. Als laatste neem je maatregelen op organisatieniveau. Welke maatregelen je neemt, is afhankelijk van jouw budget of organisatorische capaciteit tot veranderen.

Cybersecurity: een doorlopend proces

Hoe nauwkeurig en noodzakelijk een cybersecurity assessment ook is, het blijft een momentopname. Vandaar adviseer ik je om jaarlijks een assessment uit te laten voeren. Zodat je steeds je cybersecurityniveau kunt bijstellen en je cybervolwassenheid kunt blijven vergroten. Een cybersecurity assessment is ook een handig hulpmiddel om jouw stakeholders mee te nemen in de resultaten van genomen acties.

En ook de IT-technologieën en cybercriminaliteiten blijven zich in een snel tempo ontwikkelen. Wat vandaag logische maatregelen zijn, is morgen misschien verouderd en dus minder veilig. Cybersecurity is dus een proces om continu te onderhouden.

Nu is het jouw beurt

Wil jij ook profiteren van een cybersecurity assessment? Vind dan een goede IT-partner met securityspecialisten. Die niet alleen cybersecurity assessments uitvoeren, maar ook poolshoogte blijven nemen tijdens het uitvoeren van het implementatieplan. Als securityspecialist werk ik dagelijks op deze manier. Neem gerust contact op met mij voor meer informatie over de mogelijkheden van een cybersecurity assessment voor jouw organisatie.

Download het IT-paper ‘Cybersecurity’

Benieuwd naar álle adviezen om de cyberweerbaarheid in je organisatie te verhogen? Download het IT-paper. En bekijk de podcastserie ‘Hack van de dam’, die cybersecurity thema’s belicht vanuit drie belangrijkste perspectieven: IT, werkwijze en gedrag. 

Dit artikel is een bijdrage van Avantage, een Ricoh company.