Een volledige risico-analyse op het gebied van IT en cyber security, uitgevoerd volgens het risk management framework passend bij jouw organisatie. Beoordeel, identificeer en verbeter jouw securitymaatregelen op basis van de risk appetite van jouw organisatie.
Wil je als organisatie weten:
- Hoe krijg ik een volledig beeld van alle securitydreigingen die van toepassing zijn op mijn organisatie, wat hun businessimpact zou zijn en welke maatregelen ik kan nemen om deze te mitigeren?
- Welke risico’s heb ik als het gaat om bedrijfsimago, waardedaling van mijn bedrijf en mijn medewerkersbescherming?
- Kan ik bepaalde maatregelen versoepelen en besparen omdat dit niet de kern van mijn core business kan raken?
- In het kader van ISO 27001 certificering of andere wet- en regelgeving of audit heb ik een gedegen en compleet IT-risico-inventarisatie nodig (bijv. voor een ISMS). Hoe kan ik dit zo snel en efficiënt mogelijk doen?
- Ik wil een kosten-batenanalyse van securitymaatregelen die we nog moeten/willen nemen. Hoe maak ik deze inzichtelijk?
Met een Security Risk Assessment door Computest krijg je antwoorden op deze vragen.
Wat is een Security Risk Assessment?
Iedere organisatie houdt zich bezig met riskmanagement, om te bepalen welke maatregelen kostenefficiënt zijn. Met een Security Risk Assessment worden de IT-risico’s en cyberdreigingen die van toepassing zijn op jouw organisatie in kaart gebracht, en gaan we op zoek naar gepaste maatregelen voor risico’s die de “risk-appetite” van de organisatie overschrijden.
Wat doen we bij een Security Risk Assessment?
De Computest Security Risk Assessment / Risk Analysis start met een IT-risico-inventarisatie. Hiermee krijgen wij en jij een overzichtelijk beeld van de IT-omgeving van jouw organisatie, en een goed beeld van de (grootste) risico’s die van toepassing zijn op jouw organisatie.
Computest maakt gebruik van de RAVIB-methode om een business impact analyse te maken. Bij deze analyse worden alle informatiesystemen geïnventariseerd en wordt een beoordeling gemaakt van het belang van de beschikbaarheid, integriteit en vertrouwelijkheid (BIV) van de systemen. Dit levert direct een overzicht op en inzicht in de kritische IT-leveranciers.
Vervolgens worden de dreigingen (threats) in kaart gebracht voor de organisatie. Van alle dreigingen wordt het risico bepaald aan de hand van de kans en de impact van die dreiging. Dit leidt tot een risico-waarde per dreiging. Tevens wordt voor iedere dreiging bekeken of het een geaccepteerd risico is, of dat er maatregelen genomen kunnen worden.
Risk-appetite bepalen
Door te kijken naar de risico-scores, wordt de “risk-appetite” voor de organisatie bepaald. Dat wil zeggen, de mate van risico die jouw organisatie accepteert. Alle risico’s die hoger scoren dan de risk-appetite, moeten worden geadresseerd met mitigerende maatregelen. Waar mogelijk worden de risico’s ook uitgedrukt in directe kosten (schade) of imagoschade. De te nemen maatregelen kunnen worden gekoppeld aan ISO27001 normen.
In veel gevallen zal de mens (medewerker) de zwakste schakel zijn. Deze risico’s zijn lastiger te kwantificeren en ook moeilijk te controleren. Een belangrijk basisaspect is een gedegen intern securitybeleid (quick wins) en training van personeel op het gebied van security-awareness. Computest kan helpen om werkbare suggesties aan te leveren voor het gebruik van tools voor data opslag en transport, evenals meer grip krijgen op de interne IT en endpoints van de medewerkers.
Wat krijg je na een Security Risk Assessment?
De security consultant levert een pragmatisch en handzaam rapport op die gericht is op de business met alle actuele security dreigingen (threats) en risico's, inclusief een kosten-batenanalyse. Specifiek voor jouw organisatie. Hierin staan alle risico's in een ISO-proof overzicht met hierin welke risico's van toepassing zijn en wat hun impact en kans is voor de organisatie, gecodeerd in geel/oranje/rood. Hierdoor heb je concrete en organisatie specifieke data voor het bepalen van het benodigde budget voor cyber security binnen de risk appetite.
Naast de risico-analyse bevat het rapport ook quick wins en tips voor het direct oplossen of verminderen van risico's op het gebied van cyber security. Onze security consultants koppelen eventuele bevindingen direct terug, ook als deze buiten de scope van het assessment vallen.
Door het proces van risico-inventarisatie wat de security specialist samen met de organisatie doorloopt, ontstaat er verbeterde communicatie tussen IT, management en andere afdelingen binnen de organisatie. Een security risk assessment uitvoeren vergt een goede samenwerking tussen verschillende groepen in de organisatie, zodat de het delen van informatie efficiënter en beter gaat. Het uitvoeren van een Security Risk Assessment levert daarmee ook verhoogde productiviteit op. Alle stakeholders in de organisatie zullen na het risk assessment in staat zijn om zelf analyses uit te voeren op basis van de vastgestelde matrix / het systeem voor risico-analyse. Daarnaast zal het beslissingsproces op gebied van IT en security binnen de organisatie wordt blijvend versneld en efficiënter, omdat de keuzes voor bepaalde risico's al vaststaan en besproken zijn, en op data berusten in plaats van onderbuikgevoel.
Waarom Security Risk Assessment door Computest laten uitvoeren?
We hebben veel vaste klanten omdat zij en wij de toegevoegde waarde zien van een lange termijn samenwerking. Onze klanten kiezen voor Computest vanwege de prettige samenwerking, onze flexibiliteit en de uitgebreide en vrijelijk gedeelde security kennis van onze securityspecialisten. Daarnaast kiezen organisaties specifiek bij deze dienst voor Computest, omdat:
- Wij bieden risicomanagement met een expert die technische IT én business begrijpt
- Team van zeer ervaren specialisten, waarbij de technische kennis vaak verder rijkt dan die van onze gemiddelde concurrent.
- We baseren onze aanpak op onze jarenlange ervaring in de securitybranche, waarin we honderden klanten jaar in jaar uit hebben geholpen met hun security maturity te verhogen en hun cyber security te verbeteren.
- We bieden concrete oplossingen voor technische vraagstukken en kunnen helpen met het realiseren van slimme, veilige oplossingen.
Geïnteresseerd in een Risk Assessment voor jouw organisatie? Neem dan contact op via info@computest.nl, bel +31 (0)88 733 13 37 of laat je gegevens achter in ons contactformulier en wij bellen je zsm terug.