16 september 2024

Cyberweerbaarheid

Cybersecurity

Cybersecuritywetgeving

Maar wat is dan inzicht, en waar moet ik beginnen? In de context van cybersecurity kunnen we deze vraag meer algemeen benaderen of juist heel concreet maken. Algemeen, bijvoorbeeld vanuit de wens om te begrijpen wat het niveau van cybersecurity door de gehele organisatie is. Of meer specifiek, op een bepaald element zoals technische kwetsbaarheden in de infrastructuur of in een applicatie. Specifiek kan ook zijn ten opzichte van elementen uit specifieke wet- en regelgeving, richtlijnen of raamwerken (zoals NIS2, of ISO 27001) of in relatie tot bepaalde sectorgerelateerde dreigingen of risico’s.

Compliance of risk?

“Bij de ene organisatie neemt men cybersecurity heel serieus, bij de andere staat cybersecurity nog in de kinderschoenen”, vertelt Kees Plas, Partner BDO Advisory Technology. “Om vast te stellen waar uw organisatie staat en welke beheersmaatregelen eventueel nodig zijn, is een volledig, of juist meer specifiek inzicht zeer waardevol. Dat inzicht begint ook bij het onderscheiden van de doelstelling; is dat assessment risicogebaseerd of juist compliance-gericht?” 

Het eerste handelt over de vraag wat de huidige stand van uw beveiliging is en wat uw cyberdreigingen en -risico’s zijn. Bij compliance is de hoofdvraag in hoeverre u voldoet aan een norm, wet of intern kader. Plas: “Er wordt weleens neergekeken op een compliance-gedreven assessment, omdat daarmee alleen het hoognodige zou worden gedaan. Het kan echter een uitstekend vertrekpunt zijn en prima hand in hand gaan met een risicogebaseerde aanpak, zolang dat laatste wel het uitgangspunt is.”      

Assessments zijn niet alleen algemeen of heel specifiek in te richten, maar ook heel gelaagd op te bouwen. Zo is het mogelijk een compliance assessment te laten doen voor een specifieke wet, zoals de AVG of de Cyberbeveiligingswet en daar specifieke elementen, zoals cloud-security of penetratietesten aan toe te voegen. “Een risicogebaseerd assessment kan gericht zijn op specifieke risico’s in een bepaalde sector zoals de zorg, overheid of financiële sector, of juist de inrichting van een bepaald proces, zoals business continuity. Vanuit ISO27001-perspectief kan ook risicogebaseerd worden gekeken naar organisatorisch, mensgerichte en/of fysiek elementen; of specifiek naar de technische inrichting, via een penetratietest of het aanvalsoppervlak van de organisatie.” 

Plas: “Elementen die met elkaar een integraal inzicht bieden en ook los van elkaar benaderd kunnen worden met specifieke assessments. Met hoofdvragen als: welke technische kwetsbaarheden bevatten onze systemen, netwerken en/of applicaties? In hoeverre zijn onze organisatie en onze keten veilig georganiseerd en weerbaar tegen cyberincidenten? In hoeverre vormt het gedrag van onze medewerkers een risico? Kan iedereen hier zomaar binnen komen, en welke cybersecurity gerelateerde kwetsbaarheden bevat onze fysieke beveiliging?”

Waardevolle inzichten voor uw situatie

Een assessment levert pas waardevolle inzichten op wanneer het goed aansluit bij de behoefte en de bredere context waarbinnen een organisatie opereert. Die behoefte en context zijn, bijvoorbeeld, voor een zorginstelling heel anders dan voor een transportbedrijf en voor gemeente weer anders dan een retailer. Of het nu gaat om wettelijke eisen of specifieke dreigingen in de sector. Het assessment moet scherp zijn afgestemd op en direct te vertalen zijn naar uw organisatie, met concrete en praktische adviezen voor uw situatie. Een route die begint met een gesprek over het vertrekpunt en huidige volwassenheidsniveau van cybersecurity bij uw organisatie; een gesprek waarin de organisatie ook de context, doelstelling, ambitie en middelen in overweging neemt.

Plas: “BDO is voor alle invalshoeken, zowel vanuit compliance en governance als technisch perspectief, een onafhankelijke partner, met audit & assurance-dna. Onze specialisten kunnen onderwerpen niet alleen vanuit vaktechnische expertise benaderen, maar ook vanuit het oogpunt van een auditor en kunnen uw organisatie zodoende goed voorbereiden op certificering.”  

Het juiste assessment 

Cybersecurity begint dus met inzicht; in status, niveau, compliance en volwassenheid van uw cybersecurity. De keuze voor het juiste cybersecurity assessment helpt daarbij. Maar wat maakt een assessment goed? “Het ene assessment is het andere niet en het kan lastig zijn om door de bomen het bos te zien.” 

Hoe voorkomt u dat een assessment niet tot het gewenste inzicht leidt? Of juist een vals gevoel van zekerheid creëert. Dankzij het inzicht van onze ervaren en onafhankelijke cybersecurityspecialisten. Zij analyseren met u het vertrekpunt en de ambitie, en helpen u met het selecteren van het assessment dat precies het juiste inzicht biedt voor uw organisatie. Wij helpen u te bepalen wat u wilt bereiken met het assessment om vervolgens op basis van kenmerken van uw organisatie samen tot het best passende assessment te komen. De uitvoering van het assessment is in handen van een team van ervaren en gecertificeerde cyberprofessionals, met onder andere cybersecurity-adviseurs, technische specialisten, risicomanagers en juridische experts.

Over de auteurs

  • Kees Plas

    Kees Plas is Partner Advisory bij BDO Digital. Kees heeft jarenlange ervaring op het gebied van technologie implementaties, Cloud diensten, Managed Cyber en Security en Risk vraagstukken over een breed klantensegment. Kees heeft een achtergrond bij internationale technologie bedrijven en zijn focus vanuit zowel strategisch, tactisch als operationeel niveau is met name op profit organisaties gericht.

    BDO

  • Robert van Vianen

    BDO

Gerelateerd nieuws

Bescherm uw online content tegen web scraping door AI aanbieders

Wereldwijd lopen er momenteel rechtszaken tegen aanbieders en ontwikkelaars van (veelal general purpose) AI-tools die hun systemen hebben getraind met grote hoeveelheden data waarop auteursrechten of databankrechten van derden rusten.

Data & Privacy

De privacy-aspecten van het regeerakkoord

Deze Prinsjesdag presenteerde het kabinet-Schoof de begroting voor het aankomende jaar. Hierbij gaf het kabinet ook inzicht in de wetten waar de Tweede Kamer het aankomende jaar op zal stemmen. De overheid werd afgelopen weken bekritiseerd door verschillende experts; met een aantal nieuwe wetten zou de overheid verstrekkende bevoegdheden voor zichzelf creëren. Deze datahonger staat haaks op de privacybelangen van de burger. In dit artikel zetten we de aankomende wetgeving kort uiteen.

Data & Privacy

Nederlandse Privacy Awards 2025: inschrijvingen geopend

Op 28 januari 2025, tijdens de Europese Dag van de Privacy, organiseert Privacy First de jaarlijkse uitreiking van de Nederlandse Privacy Awards. De prijzen worden uitgereikt aan ondernemingen, overheden en organisaties die uitblinken in privacybewuste oplossingen en informatiebescherming. Kent u een organisatie met dé oplossing voor een privacyvriendelijke toekomst? Schrijf de betreffende organisatie dan in voor de Nederlandse Privacy Awards!

Data & Privacy

Illegaal AI-project Transactiemonitoring Nederland voor de rechter

De stichting Human Rights in Finance stond afgelopen woensdag 11 september in de rechtszaal tegenover De Nederlandsche Bank. De toezichthouder moet, volgens de stichting, optreden tegen de vijf grootbanken en garanderen dat de uitbestedingsovereenkomst van banken met Transactiemonitoring Nederland opgezegd wordt. De omstreden samenwerking tussen de overheid, toezichthouders en banken wordt door partijen ontkend, maar uit eigen documenten blijkt dat de samenwerking al in 2020, op initiatief van Ministerie van Financien, is ontstaan. De Rotterdamse rechtbank buigt zich nu over de vraag of de toezichthouder een einde moet maken aan de vermeende gedoogstructuur.

Data & Privacy

Meer nieuws