Bij nagenoeg iedere organisatie is cybersecurity een cruciaal aandachtspunt”, weet Nandenie Moenielal, Lead Consultancy & Business Development. “De vraag is alleen of de juiste maatregelen worden genomen en de prioriteiten op orde zijn. Een security assessment dient als een ‘thermometer’ om te bepalen hoe ze ervoor staan op het gebied van digitale weerbaarheid.”

“Een assessment laat niet alleen zien wat nodig is en beter kan, maar maakt ook beleid en maatregelen meetbaar voor CISO’s en het management”, zegt Cyber Security Consultant Michael van Stokrom. “Samen met onze klanten bepalen we de te nemen stappen en we kunnen hen hierin begeleiden via CISO as a Service, waarmee we security structureel in de organisatie integreren.”

Bedrijfscontinuïteit

Moenielal: “IT wordt steeds meer een bedrijfskritiek onderdeel van processen waarvoor dit voorheen niet het geval was. Zo zijn machines en systemen van operationele technologie gekoppeld aan bedrijfs- en informatiesystemen. De gevolgen van een aanval kunnen enorm zijn. Als hackers sluisdeuren, kranen of navigatie overnemen, is dat niet alleen gevaarlijk voor de bedrijfscontinuïteit, maar voor de hele maatschappij.”

De waarde van een assessment is blijvend, zegt van Stokrom. “Door de implementatie kunnen nieuwe valkuilen aan het licht komen, en er blijven dreigingen opkomen die we nu niet eens vermoeden. Het assessment is een continu proces van beoordelen en verbeteren. Dat vraagt om inzet en betrokkenheid van het management, wat door de aantoonbaar- en meetbaarheid wordt gestimuleerd.”

Een security assessment bestaat uit 18 controles, zegt van Stokrom. “We beginnen met een inventarisatie van software, hardware, data en kennis. Zijn versies en configuraties actueel? Klopt het licentiemodel? We voeren technische checks en steekproeven uit, waardoor kwetsbaarheden in de organisatie, het gedrag en de processen zichtbaar worden. In onze assessments komen mensen, processen en techniek samen.”

Toekomstbestendig

De controlepunten bestaan vooral uit het stellen van vragen en het onderbouwen van antwoorden. Dit vormt de nulmeting, die inzicht geeft in risico’s en blinde vlekken. Op basis daarvan ontwikkelt Legian een plan van aanpak, dat via een dashboard gevolgd kan worden. “Het management ziet snel de resultaten en kan waar nodig bijsturen,” zegt Moenielal. “Dit voorkomt ad-hocmaatregelen en ondersteunt een strategisch, toekomstbestendig securitybeleid.”

Dit komt doordat de security roadmap zowel breed als gedetailleerd is, zegt Moenielal. “We kijken niet alleen naar tools, versies en configuraties, maar bijvoorbeeld ook naar leveranciers, toegangsrechten en back-upmanagement. Daarnaast zijn wij volledig onafhankelijk en behartigen we uitsluitend de belangen van onze klanten. Bovendien is onze dienstverlening integraal. Wij ondersteunen ook bij vraagstukken over cloud, infrastructuur en het afstemmen van IT op de business.  ”

Van Stokrom: “Of bedrijven nu wel of niet over de juiste mankracht en kennis beschikken, wij kunnen ze helpen naar de volgende fase. De wereldsituatie zal cybersecurity blijven uitdagen, en geen organisatie kan dit alleen aan. Het vraagt om een partner met kennis van IT, cybersecurity en de specifieke processen en uitdagingen van een vakgebied.”