Risk assessment

In de eerste fase van het risk assessment wordt een inventarisatie gemaakt van de (informatiebeveiligings-) doelstellingen van de organisatie en de mogelijke risico’s die deze doelen in gevaar kunnen brengen. Vervolgens gaan we gezamenlijk door een aantal mogelijke risico’s heen waarvan de kans en impact wordt bepaald, en een eerste aanzet wordt gegeven voor de risicobehandeling. De uitkomst van deze fase is een rapport met een uitwerking van de inventarisatie, en een advies voor te nemen vervolgstappen.

De inventarisatie kan worden opgevolgd door een adviesaudit. Hierbij wordt een verdiepingsslag gemaakt op de gedefinieerde risico’s waarbij we verder ingaan op de (al dan niet) aanwezige maatregelen binnen de organisatie. Hiermee verifiëren we de inventarisatie en kunnen we concrete acties per risico bepalen die de kans of impact kunnen verlagen. De uitkomst van deze audit is een rapport met bevindingen en adviezen.

Naast de adviesaudit voeren wij altijd een pentest (technisch security onderzoek door een ethical hacker) uit. Hiermee kunnen we enerzijds benoemde risico’s verifiëren, of eventueel nieuwe risico’s blootleggen die nog niet bij de organisatie bekend zijn. Afhankelijk van de uitkomst van de inventarisatie bepalen we waar de focus ligt van de pentest. Dit kan betekenen dat we een verkenning doen van het aanvalsoppervlak, een of meer applicaties gaan testen, of het netwerk doorlichten. Een combinatie is ook mogelijk. Van de pentest leveren wij een rapportage op met bevindingen, een risico score en adviezen om de bevindingen te verhelpen.

In aanvulling op de adviesaudit en pentest kan worden gekozen voor het uitvoeren van een phishing simulatie. Op deze manier kan worden getoetst in hoeverre medewerkers voldoende getraind zijn om een dergelijke mail te herkennen. Ook kunnen wij op andere manieren oefeningen of trainingen uitvoeren om het bewustzijn onder medewerkers te vergroten. Afhankelijk van de bepaalde risico’s en wensen bepalen we samen wat de beste aanpak is.