Een security-assessment, hoe vaak moet je dat eigenlijk doen?

Regelmatig publiceren we blogs en artikelen over het doen van een security-assessment. Over hoe belangrijk dat is om inzicht te krijgen in de status van de cyberveiligheid van de organisatie, en voor het proactief aanpakken van het securitybeleid. Daarnaast hameren we er steeds op dat het doen van een assessment niet iets eenmaligs is, maar periodiek moet worden herhaald om vinger aan de pols te blijven houden en cybercriminelen steeds een stap voor te blijven.

Want hoe beter je op de hoogte bent – én blijft – van de kwetsbaarheden, hoe beter je in staat bent om de cyberweerbaarheid van de organisatie doorlopend te optimaliseren. Zo kun je uiteenlopende beveiligingsrisico’s beheersen en blijf je nieuwe vormen van cybercrime voor.

De vraag die we regelmatig van onze klanten krijgen is: hoe vaak moet ik zo’n assessment eigenlijk doen? Wat is de optimale frequentie, zonder dat het overkill wordt? Dat hangt natuurlijk af van een aantal aspecten, die we hieronder kort toelichten.

  • Omvang en complexiteit van de organisatie

Niet alleen grote multinationals worden slachtoffer van cybercriminaliteit. Hackers zien ook het midden- en kleinbedrijf steeds vaker als een gemakkelijk(er) doelwit. Cyberbeveiliging is dan ook onmisbaar voor élke organisatie met een online aanwezigheid.

Maar security-assessments variëren in complexiteit en methodologie, en kunnen daarom worden afgestemd op de behoeften van elke willekeurige organisatie, ongeacht zijn grootte of IT-infrastructuur.

  • Budget

Vaak wordt gedacht dat security-assessments alleen zijn weggelegd voor organisaties die veel geld te besteden hebben. Niets is minder waar. Een security assessment hoeft namelijk niet veel te kosten om effectief te zijn en security kan al binnen enkele dagen verbeterd worden.

Je kunt namelijk gebruikmaken van software die je allang in huis hebt. Denk bijvoorbeeld aan een virusscanner. En eventuele extra’s die voor optimale dataveiligheid zorgen, kun je meestal afstemmen op de financiële draagkracht van jouw organisatie.

Maar wat je budget ook is, vergeet niet dat het proactief aanpakken van cyberveiligheid altijd goedkoper is dan het herstellen van de directe en indirecte financiële gevolgen van een cyberaanval.

  • Compliance

Vrijwel iedere organisatie heeft te maken met dataprivacyvoorschriften zoals vastgesteld in de AVG. Daarnaast komt er steeds meer specifieke cybersecurityregelgeving vanuit de EU, met als doel om Europa beter te beschermen tegen cyberaanvallen. Een voorbeeld hiervan is NIS 21).

Om te kunnen voldoen aan dit soort wet- en regelgeving is een periodieke scan een must. Het documenteren van het security- en privacybeleid is hierbij essentieel, omdat het op die manier kan worden gebruikt als naslagwerk tijdens audits.

1) KvK: Europese cyberwetten: dit gaan ze voor je bedrijf betekenen

 

 

Bij QS solutions maken we gebruik van onze in-house ontwikkelde Cyber Security Assessment Tool (CSAT), die ook wereldwijd wordt ingezet door Microsoft. Deze tool scant de hybride IT-omgeving en verzamelt relevante beveiligingsdata uit verschillende bronnen. Daarnaast gebruikt CSAT een vragenlijst om gegevens te verzamelen over het securitybeleid en andere belangrijke indicatoren.

Over het algemeen is ons advies om – afhankelijk van de grootte en complexiteit van de organisatie – twee tot vier keer per jaar een security-assessment uit te voeren, waarvan één of twee keer een volledig assessment, inclusief datacollectie, vragenlijst en een compleet rapport. Dit is nodig om de roadmap en planning van actiepunten te kunnen blijven bijschaven en volgen.

Daarnaast adviseren we om tussentijds één of twee datachecks te doen met behulp van de scans. Zo blijf je doorlopend op de hoogte van de kwetsbaarheden en risico’s, en kun je hier tijdig actie op ondernemen.

Ook al biedt geen enkele cyberbeveiligingsmethode 100% garantie om een aanval te voorkomen, het uitvoeren en proactief opvolgen van periodieke assessments zorgt er wél voor dat jouw organisatie zo goed mogelijk beschermd is én blijft.

Stappenplan voor een betere cyberveiligheid

In ons whitepaper ‘Security Assessment: de eerste stap in cyberveiligheid’ gaan we dieper in op het belang van periodieke security assessments. Hoe volwassen is jouw organisatie op het gebied van cyberveiligheid? Wat zijn de kwetsbaarheden en waar liggen die? Welke stappen kun je nemen om de veiligheid te verbeteren en waar zouden je prioriteiten moeten liggen? Concrete, bruikbare informatie die jij meteen kunt toepassen.

Wil je hier meer over weten?

WHITEPAPER LEZEN