Elke verbetering begint met het verkrijgen van inzicht. Inzicht in de huidige situatie en in het doel, ofwel: de gewenste situatie. Inzicht is het begin van doelgerichte verbeteringen. Het identificeren van knelpunten, kwetsbaarheden en vooral ook niet-geadresseerde risico’s vormen het startpunt voor de verbeteringen op weg naar een doelbewust gekozen hoger niveau van cybersecurity binnen uw organisatie.
Maar wat is dan inzicht, en waar moet ik beginnen? In de context van cybersecurity kunnen we deze vraag meer algemeen benaderen of juist heel concreet maken. Algemeen, bijvoorbeeld vanuit de wens om te begrijpen wat het niveau van cybersecurity door de gehele organisatie is. Of meer specifiek, op een bepaald element zoals technische kwetsbaarheden in de infrastructuur of in een applicatie. Specifiek kan ook zijn ten opzichte van elementen uit specifieke wet- en regelgeving, richtlijnen of raamwerken (zoals NIS2, of ISO 27001) of in relatie tot bepaalde sectorgerelateerde dreigingen of risico’s.
“Bij de ene organisatie neemt men cybersecurity heel serieus, bij de andere staat cybersecurity nog in de kinderschoenen”, vertelt Kees Plas, Partner BDO Advisory Technology. “Om vast te stellen waar uw organisatie staat en welke beheersmaatregelen eventueel nodig zijn, is een volledig, of juist meer specifiek inzicht zeer waardevol. Dat inzicht begint ook bij het onderscheiden van de doelstelling; is dat assessment risicogebaseerd of juist compliance-gericht?”
Het eerste handelt over de vraag wat de huidige stand van uw beveiliging is en wat uw cyberdreigingen en -risico’s zijn. Bij compliance is de hoofdvraag in hoeverre u voldoet aan een norm, wet of intern kader. Plas: “Er wordt weleens neergekeken op een compliance-gedreven assessment, omdat daarmee alleen het hoognodige zou worden gedaan. Het kan echter een uitstekend vertrekpunt zijn en prima hand in hand gaan met een risicogebaseerde aanpak, zolang dat laatste wel het uitgangspunt is.”
Assessments zijn niet alleen algemeen of heel specifiek in te richten, maar ook heel gelaagd op te bouwen. Zo is het mogelijk een compliance assessment te laten doen voor een specifieke wet, zoals de AVG of de Cyberbeveiligingswet en daar specifieke elementen, zoals cloud-security of penetratietesten aan toe te voegen. “Een risicogebaseerd assessment kan gericht zijn op specifieke risico’s in een bepaalde sector zoals de zorg, overheid of financiële sector, of juist de inrichting van een bepaald proces, zoals business continuity. Vanuit ISO27001-perspectief kan ook risicogebaseerd worden gekeken naar organisatorisch, mensgerichte en/of fysiek elementen; of specifiek naar de technische inrichting, via een penetratietest of het aanvalsoppervlak van de organisatie.”
Plas: “Elementen die met elkaar een integraal inzicht bieden en ook los van elkaar benaderd kunnen worden met specifieke assessments. Met hoofdvragen als: welke technische kwetsbaarheden bevatten onze systemen, netwerken en/of applicaties? In hoeverre zijn onze organisatie en onze keten veilig georganiseerd en weerbaar tegen cyberincidenten? In hoeverre vormt het gedrag van onze medewerkers een risico? Kan iedereen hier zomaar binnen komen, en welke cybersecurity gerelateerde kwetsbaarheden bevat onze fysieke beveiliging?”
Een assessment levert pas waardevolle inzichten op wanneer het goed aansluit bij de behoefte en de bredere context waarbinnen een organisatie opereert. Die behoefte en context zijn, bijvoorbeeld, voor een zorginstelling heel anders dan voor een transportbedrijf en voor gemeente weer anders dan een retailer. Of het nu gaat om wettelijke eisen of specifieke dreigingen in de sector. Het assessment moet scherp zijn afgestemd op en direct te vertalen zijn naar uw organisatie, met concrete en praktische adviezen voor uw situatie. Een route die begint met een gesprek over het vertrekpunt en huidige volwassenheidsniveau van cybersecurity bij uw organisatie; een gesprek waarin de organisatie ook de context, doelstelling, ambitie en middelen in overweging neemt.
Plas: “BDO is voor alle invalshoeken, zowel vanuit compliance en governance als technisch perspectief, een onafhankelijke partner, met audit & assurance-dna. Onze specialisten kunnen onderwerpen niet alleen vanuit vaktechnische expertise benaderen, maar ook vanuit het oogpunt van een auditor en kunnen uw organisatie zodoende goed voorbereiden op certificering.”
Cybersecurity begint dus met inzicht; in status, niveau, compliance en volwassenheid van uw cybersecurity. De keuze voor het juiste cybersecurity assessment helpt daarbij. Maar wat maakt een assessment goed? “Het ene assessment is het andere niet en het kan lastig zijn om door de bomen het bos te zien.”
Hoe voorkomt u dat een assessment niet tot het gewenste inzicht leidt? Of juist een vals gevoel van zekerheid creëert. Dankzij het inzicht van onze ervaren en onafhankelijke cybersecurityspecialisten. Zij analyseren met u het vertrekpunt en de ambitie, en helpen u met het selecteren van het assessment dat precies het juiste inzicht biedt voor uw organisatie. Wij helpen u te bepalen wat u wilt bereiken met het assessment om vervolgens op basis van kenmerken van uw organisatie samen tot het best passende assessment te komen. De uitvoering van het assessment is in handen van een team van ervaren en gecertificeerde cyberprofessionals, met onder andere cybersecurity-adviseurs, technische specialisten, risicomanagers en juridische experts.
