Waarmee kunnen we u helpen?
Alle antwoorden op uw vragen
Over ICT beveiliging zijn 1001 vragen te stellen. Het is vooral een onderwerp waar de meeste organisaties zich liever niet mee bezig willen houden. Die richten zich liever op hun core activiteiten. Helaas is dat niet realistisch. Elke organisatie moet zich afvragen of ze goed beveiligd en is en er alles aan doet om te voorkomen dat ze het slachtoffer wordt van cybercriminaliteit of een datalek. Hieronder beantwoorden wij de ons meest gestelde vragen. Staat uw vraag er niet tussen of wilt u persoonlijk uitleg neem dan gerust contact op met ons op info@tt3p.nl.
-
Ik ben een MKB of MKB+ organisatie. Is een ICT Scan of Audit wel geschikt voor mijn organisatie?
Ja absoluut. Het is een “must”. Computercriminelen richten zich meer en meer op MKB en MKB+ bedrijven. Juist omdat die nog te weinig hebben georganiseerd op het gebied van informatiebeveiliging. MKB bedrijven hebben vaak geen specialisten in huis en werken met externe ICT leveranciers, die ook niet altijd de juiste competenties in huis hebben en niet de hele scope van informatiebeveiliging beheersen. Kijk hier voor een voorbeeld van hoe dat tot grote problemen kan leiden voor een MKB bedrijf.
Onze scan en audits zijn betaalbaar en toegankelijk voor MKB en MKB+. Ze hebben tegelijkertijd de hoge kwaliteit van corporate en grootzakelijke audits, waar de oorsprong van onze expertise ligt.
-
Ik kan een gratis scan krijgen van mijn ICT leverancier. Waarom zou ik een scan door TT3P laten doen?
Niets is gratis. Voor veel organisaties zijn deze 'gratis scans' een manier om met u als klant in contact te komen en u te verleiden met hen in zee te gaan. In werkelijkheid is een scan natuurlijk niet gratis. U betaalt daar ruimschoots voor als u producten of diensten gaat afnemen bij de aanbieder van de 'scan'. En is het advies dat u ontvangt onafhankelijk of staat het advies in dienst van de aanbieder van ICT diensten? Cyber Security is een teer onderwerp met mogelijk verstrekkende gevolgen voor uw organisatie. Laat een analyse over aan onafhankelijke specialisten en investeer hierin. U verdient een analyse van TT3P altijd terug!
-
Is een security audit duur?
Een security audit is een investering om datgene te voorkomen dat echt duur is, namelijk de gevolgen van falende ICT Security. De financiële gevolgen van:
- Onderbreking van uw bedrijfsactiviteit
- Chantabele positie
- Herstel- en juridische werkzaamheden
- Hoge boetes
- Schadeclaims van benadeelden
- Reputatieschade
- Management tijd
Een security audit is een investering in uw informatiebeveiliging en een fractie van de kosten die u heeft als uw security faalt. We kennen overigens naast de security audit ook de security scan. Een instapbeveiligingsonderzoek tegen lagere kosten. U zou kunnen overwegen om daarmee ‘in te stappen’. TT3P levert juist zeer betaalbare diensten. Kijk hier naar de verschillende opties.
-
Is een security scan of security audit alleen geschikt voor organisaties die nog niets geregeld hebben?
Daar kunnen we kort in zijn: Nee! Een informatiebeveiliging scan (een instapbeveiligingsonderzoek) of een informatiebeveiliging audit (de uitgebreide vorm van beveiligingsonderzoek) zijn geschikt voor elke organisatie. Heeft u zelf ICT security capaciteit in huis en al voorzieningen getroffen? Dan kunt u ons inzetten om bevestigd te krijgen door een onafhankelijke partij dat u uw beveiliging op orde heeft. Staat security bij u nog in de kinderschoenen? Dan zijn wij uw startpunt. Met de uitkomst van onze analyses weet u precies waar u moet beginnen en wat de hoogste prioriteit verdient. Investeer op een geïnformeerde wijze in uw security!
-
Is het scannen of auditen van ICT Security wettelijk verplicht?
Nee het scannen en auditen is niet wettelijk verplicht, maar het gene waar de onderzoeken zich op richten wel. U bent volgens de Algemene Verordening Gegevensbescherming (AVG) “Artikel 32 - EU-AVG - "Beveiliging van de verwerking" wettelijk verplicht uw informatie te beveiligen. Dat is dan ook precies waar de ICT Security Scan en de ICT Security Audit van TT3P zich op richten. Indirect helpen wij u dus om aan uw wettelijke verplichting te voldoen.
-
Kan ik ook een audit laten uitvoeren op een ander bedrijf?
Dat kan zeker. Sterker nog TT3P voert zeer regelmatig audits uit bij organisaties in opdracht van een andere organisatie. Neem hier als voorbeeld een organisatie die van plan is een andere organisatie over te nemen. De overnemende partij wil natuurlijk wel weten of de organisatie die ze gaan overnemen voldoende goed is ingericht op het gebied van ICT Security.
Een ander voorbeeld is het auditen van een leverancier. Als u met uw organisatie waardevolle bedrijfsgegevens in handen geeft bij een leverancier (en dat gebeurt heel regelmatig) wilt u natuurlijk ook weten dat deze uw bedrijfsinformatie goed beveiligt.
Een Third Party Audit biedt in dit soort gevallen uitkomst. Lees hier meer over de Third Party Audit.
-
Kost een security scan of security audit mij en mijn organisatie veel tijd?
Als dat al waar zou zijn, dan moet u die tijd natuurlijk gewoon investeren. Een ransomware aanval, bedrijfsonderbreking of een datalek kost u een veelvoud van de tijd van een informatiebeveiliging audit of informatiebeveiliging scan. De werkelijkheid is dat het u beperkt tijd kost. Natuurlijk hebben wij u en mogelijk enkele collega’s nodig voor ons onderzoek. Dat kost doorgaans een paar uurtjes tijd. De rest doen wij. U ontvangt van ons een gericht rapport met adviezen en u kunt verantwoorde beslissingen gaan nemen over ICT security.
-
Mag ik het rapport van de scan of de audit ook aan anderen laten zien om aan te tonen dat ik mijn informatiebeveiliging op orde heb?
Een terechte vraag want er wordt in toenemende mate door belanghebbenden (opdrachtgevers, partners, overname partijen, private equity partijen, banken en overige financiers) naar deze informatie gevraagd.
Alle scan en auditrapporten worden (uiteraard) uw eigendom en kunt deze informatie inzetten zoals u dat wilt. Het scanrapport is bedoeld voor de interne organisatie om snel verbeteringen te kunnen aanbrengen en is vanwege de beperkte aard minder geschikt voor publicatie. Het auditrapport is dat wel, maar bevat natuurlijk wel vertrouwelijke informatie waarvan wij zien dat organisaties die in praktijk liever niet zomaar extern delen. In dat geval kunt waarschijnlijk beter ons Cyber Security Certificaat gebruiken. Lees hier meer over het Cyber Security Certificaat.
-
Mijn ICT leverancier heeft dit toch allemaal onder controle?
We vertrouwen erop dat u met een goede ICT leverancier werkt. Een ICT security audit of een ICT security scan kunt het beste laten doen door een onafhankelijke partij die geen belangen heeft bij de verkoop van ICT security oplossingen. TT3P is onafhankelijk. Daarnaast is het zo dat een ICT leverancier vaak niet het hele security gebied bestrijkt. Wij beoordelen maatregelen die door een ICT leverancier zijn of worden geleverd, maar kijken ook naar organisatorische aspecten bij u intern. Die hebben doorgaans niet de aandacht van een ICT leverancier. Met een onafhankelijke audit kunt u zelf het beste beoordelen of uw ICT leverancier u de juiste adviezen geeft en of u verantwoorde investeringen doet in ICT Security.
-
Mijn organisatie laat al ICT audits of ICT assessments uitvoeren. Heb ik dan nog een ICT Security Scan of Audit nodig?
Ja. Een reguliere ICT Audit of ICT Assessment behandelt natuurlijk ook wel beveiligingsaspecten, maar dat is vaak maar een (te beperkt) deel van het onderzoek en in de regel is dat onvoldoende. Zeker in het huidige landschap van cybercriminaliteit, waarin de methodieken van computercriminelen steeds geavanceerder worden. IT-auditing is het vakgebied dat zich bezighoudt met het beoordelen van de brede automatisering van een organisatie en de organisatie van de automatisering. Een ICT Security Scan of Audit behandelt juist exclusief alle facetten van informatiebeveiliging. Hierbij kunt u bijvoorbeeld denken aan de menselijke kant van informatiebeveiliging: de rol van medewerker in het geheel van informatiebeveiliging. Of, zoals wij het ook wel noemen: de human firewall (de menselijke firewall). Daarnaast kijken wij ook naar verplichtingen die voor uw ICT-organisatie voorvloeien uit privacywetgeving (de AVG / GDPR). De scope van onze scans en audits:
- Management en AVG
- Inventarisatie en beheer van hardware-middelen
- Inventarisatie en beheer van software-middelen
- Netwerkbeveiliging
- Continu beheer van kwetsbaarheden
- Rollen en rechten (human firewall)
- Configuratie en wijzigingenbeheer
- Softwareontwikkeling
-
Waarom zou ik jaarlijks een scan of audit doen?
De vraag stellen is hem bijna beantwoorden. ICT Security is niet statisch. Computercriminelen zijn dat natuurlijk ook niet. Een scan of een audit is altijd een momentopname. U hoeft zo’n scan natuurlijk niet ieder kwartaal te doen, maar jaarlijks is wel het minimum.
Bij TT3P kunt u vooraf afspreken een jaarlijkse scan of audit te doen. Wij houden dan natuurlijk ook bij wanneer uw onderzoek weer plaats moet vinden en plannen dat met u in. We houden u scherp en zorgen ervoor dat de aandacht voor informatiebeveiliging niet versloft binnen uw organisatie.
Daarnaast kunt u de prijs voor de scan of audit direct vastleggen voor de toekomst. Er is veel vraag naar auditing en er is te weinig aanbod door beperkte beschikbaarheid van specialisten. Toekomstig zullen de prijzen van scans en audits dan ook toenemen.
-
Wat is het verschil tussen een ICT Security Scan en een ICT Security Audit?
Een security scan is een ‘instapbeveiligingsonderzoek’. Het is een lichtere vorm van beveiligingsonderzoek die natuurlijk wel alle aspecten van ICT Security bevat. De scan richt zich op onderzoek naar de beheersmaatregelen (alles wat uw organisatie al dan niet aan technische maatregelen heeft ingericht om beveiligingsproblemen te voorkomen), maar bevat nog geen daadwerkelijke controle op de aanwezigheid en de werking daarvan. De scan wordt gestart met een online interview met uw organisatie en vindt dus op afstand plaats. Dat geldt ook voor het bespreken van de resultaten. Dat scheelt namelijk veel tijd en dus kosten. Het rapport bevat een praktische lijst met checks en aanbevelingen.
Een security audit is een uitgebreid onderzoek door onze auditor bij uw organisatie op locatie. Hierbij wordt niet alleen gekeken naar de technische beheersmaatregelen, maar ook naar alle voorzieningen die zijn getroffen om ervoor te zorgen dat deze maatregelen blijven werken. We noemen dat de organisatorische maatregelen. Het treffen van dergelijke maatregelen volgt als een verplichting uit de privacywetgeving:
“Artikel 32 - EU-AVG - "Beveiliging van de verwerking"
Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen, treffen de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen.”
De security audit kenmerk zich doordat er daadwerkelijk controle bij u intern wordt uitgevoerd op de werking van de technische en organisatorische beheersmaatregelen. Uit de security audit volgt een uitgebreid auditrapport met omschrijving van de onderzoekswerkzaamheden, de uitkomsten daarvan, een praktische lijst met checks en aanbevelingen en gedetailleerde toelichtingen.
Uiteindelijk adviseren wij onze opdrachtgevers om een security audit te laten uitvoeren, maar als u inschat dat een scan voorlopig voldoende passend is bij uw organisatie dan kan dat een prima eerste stap zijn. De scan brengt door de aard van het onderzoek minder kosten met zich mee. En u kunt natuurlijk altijd besluiten om in een later stadium een security audit te laten doen.
In beide gevallen (bij scan en audit) worden wij uw ICT Security partner die u altijd kunt raadplegen of ICT Security of privacy vraagstukken of bij calamiteiten. Denk hierbij aan ramsomware aanvallen, hacks en datalekken.