16 september 2024

Cyberweerbaarheid

Cybersecurity

Cybersecuritywetgeving

Maar wat is dan inzicht, en waar moet ik beginnen? In de context van cybersecurity kunnen we deze vraag meer algemeen benaderen of juist heel concreet maken. Algemeen, bijvoorbeeld vanuit de wens om te begrijpen wat het niveau van cybersecurity door de gehele organisatie is. Of meer specifiek, op een bepaald element zoals technische kwetsbaarheden in de infrastructuur of in een applicatie. Specifiek kan ook zijn ten opzichte van elementen uit specifieke wet- en regelgeving, richtlijnen of raamwerken (zoals NIS2, of ISO 27001) of in relatie tot bepaalde sectorgerelateerde dreigingen of risico’s.

Compliance of risk?

“Bij de ene organisatie neemt men cybersecurity heel serieus, bij de andere staat cybersecurity nog in de kinderschoenen”, vertelt Kees Plas, Partner BDO Advisory Technology. “Om vast te stellen waar uw organisatie staat en welke beheersmaatregelen eventueel nodig zijn, is een volledig, of juist meer specifiek inzicht zeer waardevol. Dat inzicht begint ook bij het onderscheiden van de doelstelling; is dat assessment risicogebaseerd of juist compliance-gericht?” 

Het eerste handelt over de vraag wat de huidige stand van uw beveiliging is en wat uw cyberdreigingen en -risico’s zijn. Bij compliance is de hoofdvraag in hoeverre u voldoet aan een norm, wet of intern kader. Plas: “Er wordt weleens neergekeken op een compliance-gedreven assessment, omdat daarmee alleen het hoognodige zou worden gedaan. Het kan echter een uitstekend vertrekpunt zijn en prima hand in hand gaan met een risicogebaseerde aanpak, zolang dat laatste wel het uitgangspunt is.”      

Assessments zijn niet alleen algemeen of heel specifiek in te richten, maar ook heel gelaagd op te bouwen. Zo is het mogelijk een compliance assessment te laten doen voor een specifieke wet, zoals de AVG of de Cyberbeveiligingswet en daar specifieke elementen, zoals cloud-security of penetratietesten aan toe te voegen. “Een risicogebaseerd assessment kan gericht zijn op specifieke risico’s in een bepaalde sector zoals de zorg, overheid of financiële sector, of juist de inrichting van een bepaald proces, zoals business continuity. Vanuit ISO27001-perspectief kan ook risicogebaseerd worden gekeken naar organisatorisch, mensgerichte en/of fysiek elementen; of specifiek naar de technische inrichting, via een penetratietest of het aanvalsoppervlak van de organisatie.” 

Plas: “Elementen die met elkaar een integraal inzicht bieden en ook los van elkaar benaderd kunnen worden met specifieke assessments. Met hoofdvragen als: welke technische kwetsbaarheden bevatten onze systemen, netwerken en/of applicaties? In hoeverre zijn onze organisatie en onze keten veilig georganiseerd en weerbaar tegen cyberincidenten? In hoeverre vormt het gedrag van onze medewerkers een risico? Kan iedereen hier zomaar binnen komen, en welke cybersecurity gerelateerde kwetsbaarheden bevat onze fysieke beveiliging?”

Waardevolle inzichten voor uw situatie

Een assessment levert pas waardevolle inzichten op wanneer het goed aansluit bij de behoefte en de bredere context waarbinnen een organisatie opereert. Die behoefte en context zijn, bijvoorbeeld, voor een zorginstelling heel anders dan voor een transportbedrijf en voor gemeente weer anders dan een retailer. Of het nu gaat om wettelijke eisen of specifieke dreigingen in de sector. Het assessment moet scherp zijn afgestemd op en direct te vertalen zijn naar uw organisatie, met concrete en praktische adviezen voor uw situatie. Een route die begint met een gesprek over het vertrekpunt en huidige volwassenheidsniveau van cybersecurity bij uw organisatie; een gesprek waarin de organisatie ook de context, doelstelling, ambitie en middelen in overweging neemt.

Plas: “BDO is voor alle invalshoeken, zowel vanuit compliance en governance als technisch perspectief, een onafhankelijke partner, met audit & assurance-dna. Onze specialisten kunnen onderwerpen niet alleen vanuit vaktechnische expertise benaderen, maar ook vanuit het oogpunt van een auditor en kunnen uw organisatie zodoende goed voorbereiden op certificering.”  

Het juiste assessment 

Cybersecurity begint dus met inzicht; in status, niveau, compliance en volwassenheid van uw cybersecurity. De keuze voor het juiste cybersecurity assessment helpt daarbij. Maar wat maakt een assessment goed? “Het ene assessment is het andere niet en het kan lastig zijn om door de bomen het bos te zien.” 

Hoe voorkomt u dat een assessment niet tot het gewenste inzicht leidt? Of juist een vals gevoel van zekerheid creëert. Dankzij het inzicht van onze ervaren en onafhankelijke cybersecurityspecialisten. Zij analyseren met u het vertrekpunt en de ambitie, en helpen u met het selecteren van het assessment dat precies het juiste inzicht biedt voor uw organisatie. Wij helpen u te bepalen wat u wilt bereiken met het assessment om vervolgens op basis van kenmerken van uw organisatie samen tot het best passende assessment te komen. De uitvoering van het assessment is in handen van een team van ervaren en gecertificeerde cyberprofessionals, met onder andere cybersecurity-adviseurs, technische specialisten, risicomanagers en juridische experts.

Over de auteurs

  • Kees Plas

    Kees Plas is Partner Advisory bij BDO Digital. Kees heeft jarenlange ervaring op het gebied van technologie implementaties, Cloud diensten, Managed Cyber en Security en Risk vraagstukken over een breed klantensegment. Kees heeft een achtergrond bij internationale technologie bedrijven en zijn focus vanuit zowel strategisch, tactisch als operationeel niveau is met name op profit organisaties gericht.

  • Robert van Vianen

    Robert van Vianen is Partner Risk Services - Cyber Security & Privacy bij BDO Digital.

    BDO

Gerelateerd nieuws

Cyberwet werkt in de rechtszaal, maar niet in de opsporing

De Wet Computercriminaliteit III (Wet CCIII), die op 1 maart 2019 in werking trad, heeft de mogelijkheden voor de opsporing en vervolging van digitale criminaliteit aanzienlijk verbreed. Uit een omvangrijke evaluatie van het WODC (wetenschappelijk Onderzoek- en Datacentrum) blijkt dat de nieuwe strafbaarstellingen en bevoegdheden in de praktijk veelvuldig worden benut, maar dat beperkte opsporingscapaciteit en internationale componenten de volledige potentie van de wet remmen.

AP: uitvoering anti-witwaswet alleen verantwoord bij aantoonbare effectiviteit en privacybescherming

De Autoriteit Persoonsgegevens (AP) plaatst kritische kanttekeningen bij een wetsvoorstel voor de Nederlandse uitvoering van nieuwe Europese anti-witwaswetregels. Het gaat om een wetsvoorstel om nieuwe Europese regels tegen witwassen en terrorismefinanciering in te voeren in Nederland. Hoewel de wetgeving veel kansen biedt om de bestrijding van financiële criminaliteit te verbeteren, leiden de nieuwe regels ook tot het verzamelen en delen van meer gevoelige persoonsgegevens en tot vergaande uitbreiding van bevoegdheden. Daarom pleit de AP voor een verplichte evaluatie en voldoende waarborgen.

Grondrechten als de 'Rode Draad' bij AI Act

De Europese AI-verordening, die vanaf augustus 2026 grotendeels van kracht wordt, markeert een historisch keerpunt in de regulering van technologie. In een nieuw rapport waarschuwt het College voor de Rechten van de Mens dat de bescherming van grondrechten geen 'invuloefening' is, maar een fundamentele verschuiving vraagt van zowel bedrijven als toezichthouders.

Datacenters zijn energiecentrales voor informatie

Elektriciteit is een unieke energiedrager: energie wordt verplaatst door elektronen. De ontdekking ervan was een evolutionair proces, maar met de ontdekking van elektromagnetische inductie door Michael Faraday werden de fundamentele natuurwetten zichtbaar en toepasbaar. Een energiedrager is geen brandstof; hij transporteert slechts energie. Die energie kan worden opgewekt met uiteenlopende brandstoffen: gas, kernenergie, zonne-energie of waterkracht. Uiteindelijk hebben al deze bronnen één historische oorsprong: de zon. Zonder de oerknal en onze zon zouden er geen aarde, geen wind of regen, geen fossiele brandstoffen en zelfs geen uranium bestaan.
Meer nieuws