Welke technische oplossingen moet je kiezen om je cyber security op orde te krijgen? En niet onbelangrijk: hoe past dit binnen je budget? Daar kom je achter met de CSAT-scan.
Door een CSAT-scan te laten uitvoeren krijg je:
1. Een objectief(!) beeld is van jouw huidige cyber security
2. Een advies welke maatregelen je moet nemen om deze score te verbeteren
Deze adviezen zijn verdeeld in 3 categorieën van urgent tot maatregelen die op langere termijn kunnen worden genomen.
Door een CSAT-scan te laten uitvoeren pak je op een gestructureerde manier de (continue) verbetering van de beveiliging van jouw IT-omgeving aan. Dit is in de eerste plaats van belang voor jouw eigen organisatie. Maar de resultaten zijn ook bij uitstek geschikt om aan externe partijen (zoals jouw accountant en klanten) te laten zien waar je staat op het gebied van cyber security.
De Cyber Security Assessment voeren we uit met onze CSAT-tool die gebaseerd is op het CIS 18 Security Framework.
CIS 18 is opgezet door het non-profit Center for Internet Security en wordt wereldwijd toegepast en erkend. Het is een Security Framework dat, en dat is de grote kracht ervan, op een objectieve manier duidelijk maakt hoe de ICT-beveiliging van jouw bedrijf ervoor staat.
CIS 18 is een lijst met 18 praktische “controls” (=maatregelen). Afhankelijk van je bedrijf en de risico’s zijn er meer of minder van die 18 controls van toepassing. Ieder van deze 18 controls is weer onderverdeeld in een aantal subcontrols (safeguards genaamd). Omdat lang niet alle safeguards voor iedere organisatie van toepassing zijn, zijn deze weer verdeeld in drie niveaus; Implementatiegroep 1 tot en met 3. Klinkt lastig? Valt mee hoor:
Niet alle controls en safeguards zijn voor ieder bedrijf van toepassing. Dat hangt af van de risico’s die uw bedrijf loopt. De 18 controls en hun safeguards zijn daarvoor verdeeld in drie zogenaamde Implementation Groups.
Implementation Group 1
Deze eerste Implementation Group bevat de maatregelen die elk bedrijf zou moeten nemen om te zorgen dat je als het ware de basishygiëne van je cybersecurity op orde hebt. De maatregelen uit Implementation Group 1 zijn in feite voor ieder bedrijf dus een vereiste. Voor de meeste mkb-bedrijven zal het implementeren van de controls uit deze groep ook voldoende zijn; zij hoeven niet verder te gaan met de maatregelen uit de volgende Implementation Groups.
Implementation Group 2
Iets grotere bedrijven of organisaties die extra risico lopen omdat ze gevoelige gegevens verwerken, zoals bijvoorbeeld artsen, accountants, advocaten of verzekeringskantoren, kunnen, nadat ze de maatregelen uit Implementation Group 1 hebben doorgevoerd, verder gaan met de maatregelen uit Implementation Group 2.
Implementation Group 3
Implementation Group 3 bevat de maatregelen die bedoeld zijn voor grote bedrijven, die de maatregelen uit de eerste twee groepen al hebben en die over kennis, ervaring en middelen beschikken om ook de resterende CIS 18-maatregelen te nemen.
Als voorbeeld nemen we even Control 1 – Inventory and Control of Enterprise Assets. Hieronder zie je dat deze Control uit vijf Safeguards bestaat waarvan alleen de eerste twee onder Implementation Group 1 vallen (aangegeven door de groene bolletjes rechts), de Group die voor de meeste mkb-bedrijven volstaat.
Een groot voordeel van het gebruik van het CIS 18 Control Framework is het feit dat je aan externe partijen aantoonbaar kunt maken welke beveiligingsmaatregelen je hebt getroffen, bijvoorbeeld aan jouw accountant en klanten. Wanneer je werkt met CIS 18 kun je namelijk aangeven welke Controls en Safeguards jouw bedrijf ingericht heeft en zo een objectief beeld geven wat de status van jouw ICT-beveiliging is.
Voor het uitvoeren van een CSAT-scan maken we gebruik van gespecialiseerde software met de naam, tromgeroffel...: CSAT (Cyber Security Assessment Tool). De CSAT software wordt door een Security Consultant van WSB in de IT-omgeving geïnstalleerd. Vervolgens worden er twee acties uitgevoerd.
1.
Bij de scan van je IT-omgeving worden de end-points (on-premise servers, laptops, PC’s, etc), de Active Directory en de Cloud omgeving (Azure, Microsoft 365, SharePoint, etc.) meegenomen.
2.
De Security Consultant neemt de vragenlijst met je door en registreert alle antwoorden in CSAT. Het doornemen van de vragenlijst is van groot belang voor het totaalbeeld, omdat hiermee de organisatorische en beleidsmatige kanten van cyber security worden besproken.
3.
Aan de hand van de resultaten van de scan en de antwoorden op de vragenlijst bepaalt CSAT per CIS-control de huidige situatie. De resultaten worden vervolgens aan gepresenteerd evenals de maatregelen die op korte, middellange en lange termijn moeten worden genomen om je cyber security te verbeteren. In overleg kan daarna een actieplan worden opgesteld, passend bij jouw organisatie en budget, om de maatregelen uit te voeren. Daarbij beginnen we natuurlijk met de meest urgente acties die het grootste effect hebben.
Een Cyber Security Assessment is 4 dagen werk en kent een gemiddelde doorlooptijd van 2 tot 3 weken.
Meldingen