Veel bedrijven worstelen met informatiebeveiliging, omdat er steeds meer op hen af komt. Niks doen is geen optie, dus waar begin je? Binnen een week de status van de informatiebeveiliging bepalen op basis van gegevens uit de IT-omgeving en direct starten met verbeteringen? In dit blog leg ik uit hoe je dit kunt aanpakken.
We zien dat organisaties snel en eenvoudig de status van hun beveiliging willen toetsen. Wat gaat er goed en waar laten we steken vallen? Welke kwetsbaarheden hebben prioriteit? Voor deze behoefte hebben we de Cyber Security Assessment Tool (CSAT) ontwikkeld. Dit is een praktische tool die je inzet om het bedrijfsnetwerk, alle endpoints, fileservers, configuraties, rechten en rollen te scannen en te inventariseren. Op basis hiervan geeft CSAT praktische aanbevelingen en een actieplan om de informatiebeveiliging te verbeteren.
Processen onder de loep nemen
Naast de technische inventarisatie is het ook van cruciaal belang om te kijken naar de processen. Zijn de medewerkers goed geïnformeerd? Hoe voorkom je dat bedrijfsgegevens op de eigen devices van medewerkers komen? Wat zijn de stappen na een malware-infectie? Processen vormen een cruciaal onderdeel van de informatiebeveiliging. Daarom bieden we CSAT aan als scan in combinatie met een uitgebreide questionnaire. Hiermee brengen we beleid, cultuur en processen in beeld. Deze scan duurt in totaal vier dagen, vanaf de installatie tot de presentatie van het actieplan.
Voldoen aan GDPR en AVG
Vanaf 25 mei 2018 is de GDPR wetgeving van kracht. Direct voldoen aan deze wetgeving is een hoge eis. Het vereist veel budget en inspanning van de organisatie. CSAT helpt met het inventariseren van de benodigde stappen om de juiste technische maatregelen te nemen. Het identificeert persoonsgegevens e, zodat helder wordt waar deze zich in uw IT-omgeving bevinden. In samenwerking met de auditor IsoSecure bieden we ook een GDPR-audit aan. Hiermee leer je welke actiepunten er zijn om richting compliance te werken en in welke zaken je het eerste zou moeten investeren.
Continu de informatiebeveiliging blijven verbeteren
Het is een valkuil om direct voor het hoogste niveau van informatiebeveiliging te gaan. Dat zal een enorme druk geven op het budget én de organisatie. Daarom geeft CSAT op dertien verschillende onderdelen een aparte score voor de volwassenheid. Zo zie je waar de gaten zitten en waar je op moet focussen. Prioriteiten kunnen bijvoorbeeld het kiezen van een betere firewall zijn of het vernieuwen van de netwerkprinters, maar ook het oefenen van een hack of het opstellen van richtlijnen. De CSAT scan brengt de big next step in kaart, zodat investeringen en de bedrijfsrisico’s met elkaar in verhouding blijven.
Deze insteek geeft je een heldere cyber security roadmap. Waar staat het bedrijf op het gebied van informatiebeveiliging en waar ga je naartoe? Dat is precies waar de Autoriteit Persoonsgegevens, het overheidsorgaan dat de GDPR in Nederland handhaaft, naar kijkt: ben je je bewust van de risico’s en streef je continue verbetering na?
CSAT doorloopt ook de Microsoft Cloud
De tool richt zich zowel op de on-premises IT-omgeving als de Microsoft Cloud diensten; Office 365, en SharePoint Online. CSAT verzamelt informatie over accounts, firewall instellingen, geïnstalleerde applicaties, het OS/Service Pack en fileshares. Daarnaast worden gebruikers en groepen opgehaald uit Active Directory en Azure AD. Het programma spoort zo externe gebruikers en ongebruikte accounts op en markeert verdachte accounts. CSAT zet ook Infocyte Hunt in tijdens de scan, waarmee malware wordt opgespoord die voorbij uw verdedigingssystemen heeft geworsteld en zich in het netwerk heeft genesteld. CSAT gebruikt agents die zichzelf na het scannen verwijderen. Daardoor is slechts een minimale inspanning van de IT-afdeling nodig.
Van analyse naar actie
CSAT geeft aandachtsgebieden weer en komt met een praktisch actieplan. Constateert CSAT bijvoorbeeld dat werknemers gevoelige informatie buiten de organisatie delen, dan adviseert CSAT het toepassen van documentbeveiliging. Met deze insteek weet je binnen een week waar je staat met de informatiebeveiliging en wat je vervolgens te doen staat. Vanwege de verwachte interesse zal CSAT ook in licentie aan partners beschikbaar worden gesteld.
Meer weten over CSAT? Bekijk hier de onderdelen en kosten.