Security assessment
ICT wordt steeds complexer, dit geldt ook voor ICT-beveiliging. ICT-systemen, en met name de bijbehorende data zijn voor veel bedrijven, het spreekwoordelijke hart van de organisatie, die ook 24/7 beschikbaar moeten zijn. Je realiseert volledige en solide beveiliging alleen door de juiste combinatie van beleids- en technische maatregelen.
Protify kan jouw organisatie hiermee helpen, door de aan IT gerelateerde risico’s inzichtelijk te maken op basis van een security assessment. Je krijgt inzicht in de risico’s en kwetsbaarheden van jouw organisatie en een gedegen en helder advies ten aanzien van jouw IT-infrastructuur en gerelateerde securitymaatregelen. Daarbij krijg je ook inzicht in de status en volwassenheid van jouw IT-security, aan de hand van het CMM volwassenheidsmodel. Wij adviseren jouw organisatie de juiste maatregelen te nemen en de juiste prioriteit hiervan te bepalen.
Krijg de volgende ICT-beveiligingsvragen beantwoord voor jouw organisatie:
-
Hoe kun je de ICT-systemen en data van jouw organisatie op een goede én eenvoudige manier beschermen?
-
Hoe bepaal je de juiste prioriteit met betrekking tot beveiliging?
-
Houd je naast techniek ook rekening gehouden met beleid, wet- en regelgeving?
-
Hoe monitor je dit proces?
-
Inzicht in de top 10: snel uit te voeren acties om direct verschil te maken (quick wins)
-
Advies op strategisch niveau
-
Een advies met betrekking tot een roadmap
-
Wat is het volwassenheidsniveau van jouw organisatie
Ook levert het een bewijs bij aanbesteding of als een leverancier bepaalde eisen stelt aan jouw organisatie. Zo kun je bewijs leveren aan bedrijven die met jou willen samenwerken en dit inzichtelijk maken.
Een security assessment geeft inzicht in de huidige situatie met betrekking tot getroffen maatregelen ten aanzien van IT-security, informatiebeveiliging en bedrijfscontinuïteit. De beoordeling wordt uitgevoerd op basis van de volgende beheersmaatregelen (controls), die zijn onderverdeeld in zes thema’s:
-
Organisatie;
-
De mens;
-
IT-architectuur;
-
Technisch;
-
Identiteit- en toegangsbeheer;
-
Continuïteitsmanagement
Per thema wordt er op basis van vragenlijsten, per onderdeel soms wel 50 vragen doorlopen, zo krijg je als organisatie inzicht hoe de processen en zaken zijn georganiseerd. In de vragen per thema zijn de industriestandaarden meegenomen: ISO 27001, NIST CSF, CIST en CSIRT.
De antwoorden op de vragen worden gescoord in het CMM volwassenheidsmodel. Waarbij je streeft naar een minimaal gewenst niveau en in de schaal van 0-5 wordt getoond hoe jouw organisatie ervoor staat.
Aan de hand van de vragenlijsten worden diverse inzichten gevisualiseerd:
-
Grafieken per gekozen norm
-
Grafieken van de zes thema’s.
Samenwerking Protify en Aragorn
ICT-beveiliging strekt verder dan alleen techniek of beleid, daarom besloten Protify en Aragorn sinds 2021 een samenwerking te starten met als doel: het complete ICT-beveiligingslandschap van organisaties in kaart te brengen en nog beter te beveiligen. Aragorn onderscheidt zich door diepgaande kennis van ICT-infrastructuren en bijbehorende ICT-beveiliging. Gecombineerd met de kennis van Protify op het gebied van IT en informatie (beveiliging), risicomanagement en bedrijfscontinuïteit, kunnen we samen jouw organisatie helpen op alle aspecten voor het uitvoeren van een IT security assessment. Beide organisaties zijn ISO 27001 gecertificeerd.
In control: ‘Tell me, show me, proof me’
De IT-omgeving van organisaties wordt steeds groter, er komen steeds dingen bij en er moet meer data worden verwerkt. Daardoor worden de risico’s die je als organisatie loopt alleen maar groter. Wil jij inzicht krijgen in de risico’s die jouw organisatie loopt? En zorgen dat niet slechts de IT-manager hiervan op de hoogte is? Tijdens de security assessment worden de volgende drie principes toegepast: ‘tell me, show me, proof me’. Het blijft dus niet alleen bij een interview en slechts één voorbeeld. We gaan daadwerkelijk kijken naar de inrichting en implementatie.
Let wel het blijft een momentopname, op het moment dat er bijvoorbeeld nieuwe applicaties of netwerkcomponenten bijkomen verandert de situatie. Dus zie de scan als een nulmeting.
Bij een security assessment beoordelen we alle aspecten, waarbij alle zes de thema’s uitvoerig worden behandeld. Hierbij wordt specifiek aandacht besteed aan alle onderdelen betrekking tot beleid, procedures, processen, inrichting en implementatie. Ook voeren wij waar mogelijk automatische scans uit om te kijken hoe jouw organisatie ervoor staat. Een security assessment wordt uitgevoerd op basis van het ‘proof me’ principe waarbij aangetoond dient te worden hoe het beleid is geïmplementeerd. Een security assessment is voor MKB+_organisaties die beschikken over een IT-manager en/of IT-team.
Proces: Interviews medewerkers
Tijdens een security assessment worden de ook de medewerkers van jouw organisatie betrokken door interviews af te nemen. HR-medewerkers, productiemedewerkers, IT-managers tot aan directie worden een ochtend tot meerdere dagen geïnterviewd afhankelijk van de grootte en het type organisatie. Naar aanleiding van deze interviews en visuele inspectie, wordt een rapportage opgemaakt, waar het CMM volwassenheidsmodel een onderdeel in vormt, inclusief adviezen per thema met aanbevelingen. Aan jouw organisatie is dan de keuze of je hier zelf mee aan de slag wil gaan of dit graag doet in de vorm van een project; IT-security programma, waarbij wij als Protify een maatwerk aanpak bieden voor jouw organisatie.
Aan de slag
Nadat de security assessment is uitgevoerd, dien je de inrichting en implementatie van informatiebeveiliging en IT-security gestructureerd aan te pakken en dit vast onderdeel te maken van jouw bedrijfsprocessen. Een securityprogramma moet daarom een integraal onderdeel vormen met het strategische beleid van jouw organisatie en zijn afgestemd op de (midden) lange termijn doelen en de gerelateerde (bedrijfs)risico’s. Het succes van het securityprogramma hangt af van de betrokkenheid van de directie en organisatie en dient daarom ook te worden gebudgetteerd.
Antwoord op jouw ICT-beveiligingsvragen?
Wil je zicht op de IT-security van jouw organisatie en weten welke potentiële risico’s jouw organisatie loopt? Neem contact met ons op en we bespreken gezamenlijk wat de beste aanpak is.