16 september 2024

Cyberweerbaarheid

Cybersecurity

Cybersecuritywetgeving

Maar wat is dan inzicht, en waar moet ik beginnen? In de context van cybersecurity kunnen we deze vraag meer algemeen benaderen of juist heel concreet maken. Algemeen, bijvoorbeeld vanuit de wens om te begrijpen wat het niveau van cybersecurity door de gehele organisatie is. Of meer specifiek, op een bepaald element zoals technische kwetsbaarheden in de infrastructuur of in een applicatie. Specifiek kan ook zijn ten opzichte van elementen uit specifieke wet- en regelgeving, richtlijnen of raamwerken (zoals NIS2, of ISO 27001) of in relatie tot bepaalde sectorgerelateerde dreigingen of risico’s.

Compliance of risk?

“Bij de ene organisatie neemt men cybersecurity heel serieus, bij de andere staat cybersecurity nog in de kinderschoenen”, vertelt Kees Plas, Partner BDO Advisory Technology. “Om vast te stellen waar uw organisatie staat en welke beheersmaatregelen eventueel nodig zijn, is een volledig, of juist meer specifiek inzicht zeer waardevol. Dat inzicht begint ook bij het onderscheiden van de doelstelling; is dat assessment risicogebaseerd of juist compliance-gericht?” 

Het eerste handelt over de vraag wat de huidige stand van uw beveiliging is en wat uw cyberdreigingen en -risico’s zijn. Bij compliance is de hoofdvraag in hoeverre u voldoet aan een norm, wet of intern kader. Plas: “Er wordt weleens neergekeken op een compliance-gedreven assessment, omdat daarmee alleen het hoognodige zou worden gedaan. Het kan echter een uitstekend vertrekpunt zijn en prima hand in hand gaan met een risicogebaseerde aanpak, zolang dat laatste wel het uitgangspunt is.”      

Assessments zijn niet alleen algemeen of heel specifiek in te richten, maar ook heel gelaagd op te bouwen. Zo is het mogelijk een compliance assessment te laten doen voor een specifieke wet, zoals de AVG of de Cyberbeveiligingswet en daar specifieke elementen, zoals cloud-security of penetratietesten aan toe te voegen. “Een risicogebaseerd assessment kan gericht zijn op specifieke risico’s in een bepaalde sector zoals de zorg, overheid of financiële sector, of juist de inrichting van een bepaald proces, zoals business continuity. Vanuit ISO27001-perspectief kan ook risicogebaseerd worden gekeken naar organisatorisch, mensgerichte en/of fysiek elementen; of specifiek naar de technische inrichting, via een penetratietest of het aanvalsoppervlak van de organisatie.” 

Plas: “Elementen die met elkaar een integraal inzicht bieden en ook los van elkaar benaderd kunnen worden met specifieke assessments. Met hoofdvragen als: welke technische kwetsbaarheden bevatten onze systemen, netwerken en/of applicaties? In hoeverre zijn onze organisatie en onze keten veilig georganiseerd en weerbaar tegen cyberincidenten? In hoeverre vormt het gedrag van onze medewerkers een risico? Kan iedereen hier zomaar binnen komen, en welke cybersecurity gerelateerde kwetsbaarheden bevat onze fysieke beveiliging?”

Waardevolle inzichten voor uw situatie

Een assessment levert pas waardevolle inzichten op wanneer het goed aansluit bij de behoefte en de bredere context waarbinnen een organisatie opereert. Die behoefte en context zijn, bijvoorbeeld, voor een zorginstelling heel anders dan voor een transportbedrijf en voor gemeente weer anders dan een retailer. Of het nu gaat om wettelijke eisen of specifieke dreigingen in de sector. Het assessment moet scherp zijn afgestemd op en direct te vertalen zijn naar uw organisatie, met concrete en praktische adviezen voor uw situatie. Een route die begint met een gesprek over het vertrekpunt en huidige volwassenheidsniveau van cybersecurity bij uw organisatie; een gesprek waarin de organisatie ook de context, doelstelling, ambitie en middelen in overweging neemt.

Plas: “BDO is voor alle invalshoeken, zowel vanuit compliance en governance als technisch perspectief, een onafhankelijke partner, met audit & assurance-dna. Onze specialisten kunnen onderwerpen niet alleen vanuit vaktechnische expertise benaderen, maar ook vanuit het oogpunt van een auditor en kunnen uw organisatie zodoende goed voorbereiden op certificering.”  

Het juiste assessment 

Cybersecurity begint dus met inzicht; in status, niveau, compliance en volwassenheid van uw cybersecurity. De keuze voor het juiste cybersecurity assessment helpt daarbij. Maar wat maakt een assessment goed? “Het ene assessment is het andere niet en het kan lastig zijn om door de bomen het bos te zien.” 

Hoe voorkomt u dat een assessment niet tot het gewenste inzicht leidt? Of juist een vals gevoel van zekerheid creëert. Dankzij het inzicht van onze ervaren en onafhankelijke cybersecurityspecialisten. Zij analyseren met u het vertrekpunt en de ambitie, en helpen u met het selecteren van het assessment dat precies het juiste inzicht biedt voor uw organisatie. Wij helpen u te bepalen wat u wilt bereiken met het assessment om vervolgens op basis van kenmerken van uw organisatie samen tot het best passende assessment te komen. De uitvoering van het assessment is in handen van een team van ervaren en gecertificeerde cyberprofessionals, met onder andere cybersecurity-adviseurs, technische specialisten, risicomanagers en juridische experts.

Over de auteurs

  • Kees Plas

    Kees Plas is Partner Advisory bij BDO Digital. Kees heeft jarenlange ervaring op het gebied van technologie implementaties, Cloud diensten, Managed Cyber en Security en Risk vraagstukken over een breed klantensegment. Kees heeft een achtergrond bij internationale technologie bedrijven en zijn focus vanuit zowel strategisch, tactisch als operationeel niveau is met name op profit organisaties gericht.

    BDO

  • Robert van Vianen

    BDO

Gerelateerd nieuws

Public cloud en de Rijksoverheid in de praktijk

We kunnen niet meer om het onderwerp heen: public cloud zoals aangeboden door onder andere Microsoft (Azure), Amazon (AWS) en Google (GCP) wordt door de Rijksoverheid steeds meer gebruikt. De komende jaren zullen we tijdens onze onderzoeken steeds vaker informatiesystemen tegenkomen die gebruik maken van de public cloud en gevraagd worden om hier iets van te vinden.

Data & Privacy

Onderzoek naar informatiebeveiliging is ‘wake up-call’

Een ADR-onderzoek naar de omgang met vertrouwelijke informatie bij de politie toont aan dat de beveiliging van die informatie onvoldoende op orde is. Het korps is te kwetsbaar voor kwaadwillenden die op zoek zijn naar politie-informatie. Naar aanleiding van het rapport heeft de politie direct maatregelen genomen.

Data & Privacy

Het belang van meer aandacht voor IT en cybersecurity voor de jeugd

De digitalisering van onze samenleving verloopt in een razend tempo. Informatie en operationele technologieën zijn niet meer weg te denken uit ons leven. Het samenkomen van computers, wereldwijde connectiviteit, mobiele apparatuur, robotisering, cloud technologie en Artificiële Intelligentie (AI) transformeert onze wereld. Daarin ligt een potentiële belofte dat alles sneller, efficiënter, beter en gemakkelijker wordt, overal en continue. Deze digitalisering en technologische ontwikkelingen bieden kansen en mogelijkheden voor zowel organisaties als de samenleving.

Data & Privacy

Nederland wil met 8 landen EU-regels digitale economie vereenvoudigen

Meer dan 10 nieuwe EU-wetten voor de digitale economie zijn van kracht of komen eraan. Die verbeteren concurrentie en consumentenbescherming op terreinen als digitale platforms, kunstmatige intelligentie, productveiligheid en data. Al deze regels bij elkaar kunnen echter ook onsamenhangend of overlappend zijn en zo onnodig mkb-ondernemers belemmeren. Minister Dirk Beljaarts (Economische Zaken) heeft vandaag bij de EU Telecomraad in Brussel met België, Duitsland, Estland, Finland, Griekenland, Ierland, Slowakije en Zweden de Europese Commissie opgeroepen om dit aan te pakken.

Data & Privacy

Meer nieuws