Deze vraag onderzoekt of uw organisatie gebruik maakt van moderne cyberbeveiligingstools zoals ransomware detectie, EDR systemen (Endpoint Detection en Response) en Security Information and Event Managent (SIEM). Dergelijke systemen brengen een significante bijdrage in het beschermen van uw ICT-omgeving tegen kwaadaardige software en helpen met het minimaliseren van de impact van een mogelijke cyberaanval door proactieve (geautomatiseerde) mitigatie. Het gebruik van dergelijke systemen toont aan dat uw organisatie proactief stappen onderneemt om haar digitale middelen te beschermen.

Deze vraag onderzoekt of uw organisatie specifieke maatregelen heeft genomen ter preventie van Ransomware aanvallen. Organisaties welke niet adequaat zijn beveiligd tegen Ransomware, geven aan veel moeite te hebben om te herstellen van een Ransomware incident. Het nemen van maatregelen kan helpen om de impact van een mogelijke ransomware-aanval te minimaliseren en de veerkracht van uw organisatie tegen dergelijke dreigingen te versterken.

Deze vraag onderzoekt of uw organisatie regelmatig initiatieven neemt om de beveiliging van haar systemen en netwerken te versterken, een proces dat ook wel ‘hardening’ wordt genoemd. Hardenen kan door verwijderen, uitschakelen, onbereikbaar maken of beperken van functionaliteiten en communicatie-openingen. Voorbeelden zijn technische services, communicatie-protocollen, software, gebruikersaccounts en systeemdiensten. Hardening heeft ook een duidelijke relatie met logische toegangsbeveiliging (authenticatie & toegangscontrole).

Deze vraag onderzoekt of uw organisatie netwerksegmentatie gebruikt als een beveiligingsstrategie. Netwerksegmentatie houdt in dat uw netwerk wordt opgedeeld in meerdere segmenten, waardoor de beweging tussen segmenten kan worden gecontroleerd en beperkt, wat helpt om de verspreiding van bedreigingen te voorkomen. Voorbeelden hiervan zijn het scheiden van het kantoornetwerk en het gastennetwerk, alsook het scheiden van het kantoornetwerk van het servernetwerk. 

Deze vraag onderzoekt of er binnen uw organisatie een monitoringssysteem aanwezig is waarmee de algehele status, gezondheid en integriteit van de systemen op afstand beoordeeld kan worden. Een dergelijk systeem is een essentieel onderdeel van een effectief cybersecuritybeleid, omdat het doorlopend de gezondheid, prestaties en ongeoorloofde onregelmatigheden van uw systemen bewaakt.

Deze vraag onderzoekt of uw organisatie proactieve maatregelen neemt voor cyberbeveiliging door middel van het structureel beoordelen van systemen (monitoring) en het verwerken van geregistreerde gebeurtenissen (loganalyses). Deze 'tools' kunnen helpen bij het vroegtijdig detecteren van potentiele beveiligingslekken, mogelijke aanvallen en helpt met het efficiënt afhandelen van incidenten, waardoor de impact van eventuele beveiligingsinbreuken kan worden verkleint.

Deze vraag onderzoekt of uw organisatie gebruik maakt van een essentiële cyberbeveiligingstool als een centraal beheerde en gemonitorde antivirus scanner. Een dergelijke systeem, wanneer deze actief in de gaten wordt gehouden, helpt met het beoordelen van de gezondheid en integriteit van de apparaten binnen uw ICT-omgeving. Het systeem geeft welliswaar reactief inzicht in mogelijke actuele besmettingen, maar stelt uw organisatie wel in staat om na signalering in te kunnen grijpen om erger te voorkomen.

Deze vraag onderzoekt of er gebruik wordt gemaakt van een tweede factor, naast gebruikersnaam en wachtwoord, tijdens de inlogprocedure van een eindgebruiker. Het gebruik van Multi-Factor Authenticatie is een van de meest effectieve manieren om, op een relatief eenvoudige manier, de beveiliging van uw IT-omgeving te verbeteren. Multi-Factor Authenticatie (MFA) voegt een extra beveiligingslaag toe door een tweede verificatiestap aan het gebruikersaccount toe te voegen. Dit betekent dat wanneer iemand probeert in te loggen, de gebruiker wordt gevraagd om naast de gebruikersnaam en het wachtwoord ook extra verificatie uit te voeren, bijvoorbeeld via een Authenticator-app of een telefoonoproep. Hierdoor wordt de zekerheid vergroot dat het inlogverzoek daadwerkelijk afkomstig is van de betreffende gebruiker. 

Deze vraag onderzoekt of er gebruik wordt gemaakt van geavanceerde technologieen op het gebied van Identity Driven Security zoals Single Sign-On, Conditionele toegang, bescherming tegen identiteitsfraude, etc. Gebruikersaccounts vormen tegenwoordig de belangrijkste sleutel voor toegang tot uw ICT-omgeving. Het toepassen van geavanceerde beveiliging op uw gebruikersaccounts vergroot significant de zekerheid dat het inlogverzoek daadwerkelijk afkomstig is van de betreffende gebruiker.

Deze vraag onderzoekt het eventuele gebruik van gedeelde accounts in plaats van uitsluitend gebruik te maken van persoonsgebonden accounts binnen uw organisatie. Het gebruik van persoonsgebonden accounts betekent dat elke gebruiker een unieke identiteit heeft, wat bijdraagt aan de beveiliging door het mogelijk te maken activiteiten te traceren en de toegang tot informatie te beheren. Gedeelde accounts kunnen een risico vormen omdat ze de verantwoordelijkheid verdunnen en het moeilijker maken om acties te koppelen aan individuele gebruikers.

Deze vraag onderzoekt in hoeverre de toegang tot uw bedrijfsapplicaties en data wordt gereguleerd op basis van een rechtenmatrix of Role Based Access Control (RBAC). RBAC is een methode waarbij toegangsrechten worden toegekend aan gebruikers op basis van hun rol binnen de organisatie. De rol heeft vervolgens toegang tot aangewezen resources als bedrijfsapplicaties en data. RBAC helpt bij het beheren van wie toegang heeft tot welke informatie en kan bijdragen aan het verbeteren van de algehele beveiliging van uw bedrijfsdata en applicaties. Het stelt uw organisatie daarnaast in staat om eenvoudiger de toegang tot gevoelige gegevens efficient te reguleren en controleren. 

Indien ja, controleert u regelmatig de daadwerkelijke toegang tot uw bedrijfsdata en applicaties tegenover uw rechtenmatrix?

Deze vraag onderzoekt of uw organisatie regelmatig controleert of de daadwerkelijke toegang tot bedrijfsdata en applicaties overeenkomt met de rechtenmatrix. Met andere woorden, het gaat erom of de toegangsrechten die medewerkers hebben in de praktijk overeenkomen met de toegangsrechten die ze volgens de rechtenmatrix zouden moeten hebben. In praktijk kan het, veelal door organische groei, individuele uitzonderingen of foutieve configuraties, voorkomen dat er buiten de rechtenmatrix toegang ontstaat. Dit is een belangrijk aspect van cybersecurity omdat ongeautoriseerde toegang tot gevoelige bedrijfsinformatie kan leiden tot datalekken of andere beveiligingsincidenten. Regelmatige controles helpen om eventuele afwijkingen te identificeren en tijdig te corrigeren.

Deze vraag onderzoekt de beveiligingsmaatregelen die uw organisatie heeft genomen om bedrijfsdata te beschermen, met name door middel van versleuteling. Versleuteling is een methode om gegevens onleesbaar te maken voor iedereen die niet over de juiste sleutel beschikt om ze te decoderen. Dit betekent dat zelfs als een kwaadwillende toegang krijgt tot uw data, ze deze niet kunnen lezen of gebruiken zonder de juiste decryptiesleutel. Het is een cruciaal onderdeel van een robuuste cybersecuritystrategie en door adequaat zorg te dragen dat data wordt versleuteld, bent u niet afhankelijk van de betrouwbaarheid van specifieke leveranciers en vult uw organisatie tevens de verantwoordelijkheid als data-eigenaar in. Voorbeelden van versleuteling zijn; versleuteling van harde schijven, mobiele apparaten en usb-­sticks die bedrijfsinformatie bevatten. Denk daarnaast ook aan de manier waarop uw data in cloud-oplossingen of op servers wordt opgeslagen.

Deze vraag onderzoekt het gebruik van gevoeligheidslabels als een extra beveiligingslaag om de toegang tot vertrouwelijke gegevens te beheren. Gevoeligheidslabels kunnen worden toegepast op documenten en e-mails om aan te geven hoe gevoelig of vertrouwelijk de informatie is. Deze labels kunnen helpen bij het automatiseren van toegangscontroles en beveiligingsbeleid, waardoor wordt voorkomen dat onbevoegden toegang krijgen tot gevoelige informatie. Gevoeligheidslabels kunnen daarnaast bijdragen om te voldoen aan verschillende voorschriften en normen die dataclassificatie en -bescherming vereisen. Het is een belangrijk onderdeel van een uitgebreide data governance en cybersecurity strategie.

Deze vraag onderzoekt de aanwezigheid van lange termijn back-ups in uw organisatie. Het structureel maken en controleren van back-ups van uw bedrijfsdata zorgt ervoor dat u een geverifieerde recente kopie heeft in het geval van (abusievelijk) dataverlies of een cyberaanval zoals Ransomware. De best-practice is op basis van de zogenaamde '3-2-­1 regel'; zorg voor 3 versies van uw data (uw productiedata en twee back-­ups), organiseer dit op 2 verschillende media (bijvoorbeeld op fysieke harde schijf, tape of in de cloud), met 1 kopie op een andere locatie voor noodherstel (bijvoorbeeld een ander datacenter of een kluis buiten uw kantoorgebouw).

Indien ja,  worden het back-up systeem regelmatig getest en gemonitord?

Deze vraag onderzoekt of uw organisatie het back-up systeem controleert op correcte werking en inhoud. Het regelmatig testen van back-ups zorgt ervoor dat de back-upprocedure correct werkt en dat de gegevens kunnen worden hersteld in geval van nood. Het monitoren van back-ups helpt bij het identificeren van eventuele problemen of inconsistenties in de back-upgegevens. Dit is een essentieel onderdeel van een effectief back-up- en herstelbeleid, omdat het helpt om de betrouwbaarheid en effectiviteit van uw back-ups te waarborgen.

Indien ja, heeft u een beleid voor het herstelproces vanuit de back-up wanneer de bedrijfsvoering stil komt te liggen door een cyberaanval of bij dataverlies?

Deze vraag onderzoekt de aanwezigheid van een herstelprocedure vanuit een back-up in geval van een calamiteit. Regelmatige back-ups van bedrijfsdata zorgen ervoor dat u een kopie van uw gegevens heeft in het geval van dataverlies of een cyberaanval. Een herstelbeleid /-procedure, aan de andere kant, is een gedetailleerd plan dat beschrijft hoe uw organisatie de bedrijfsvoering kan hervatten en verloren gegevens kan herstellen na een dergelijk incident. Het hebben van zo’n beleid kan helpen om de downtime te minimaliseren en de continuïteit van de bedrijfsvoering te waarborgen in het geval van een cyberincident.

Deze vraag onderzoekt in hoeverre de bestuurder voldoende niveau van bewustwijn en opleiding heeft op het gebied van Cybersecurtity, een verplichting onder de NIS2 wetgeving. Als de bestuurder goed opgeleid en geïnformeerd is over cybersecurity, kan hij/zij betere beslissingen nemen over investeringen in beveiliging, beleid en procedures. Het kan daarnaast ook helpen bij het bevorderen van een cultuur van beveiligingsbewustzijn binnen de organisatie.

Deze vraag onderzoekt of er binnen uw organisatie een noodvoorzieningenplan aanwezig is, zodat uw organisatie daarmee voorbereid is op onvoorziene beveiligingsincidenten. Een goed noodvoorzieningenplan omvat procedures voor het reageren op, herstellen van en leren van beveiligingsincidenten. Het helpt uw organisatie om de impact van een incident te minimaliseren, de hersteltijd te verkorten en toekomstige incidenten te voorkomen. Het is dus belangrijk om te beoordelen of uw organisatie een dergelijk plan heeft en hoe effectief het is. Het kan zijn dat een organisatie voor zijn dienstverlening afhankelijk is van andere organisaties. Het is daarom evengoed van belang om alternatieve toeleveranciers in de keten te identificeren, zodat de continuïteit van de dienstverlening niet verstoord wordt indien een toeleverancier (tijdelijk) uitvalt.

Deze vraag onderzoekt of er binnen uw organisatie bedrijfscontinuïteitsplannen en crisisbeheersingsprotocollen aanwezig zijn. Deze plannen en protocollen zijn ontworpen om de continuïteit van bedrijfsactiviteiten te waarborgen en de impact van een crisis te minimaliseren. Ze omvatten procedures voor het snel herstellen van kritieke bedrijfsfuncties en het beheren van communicatie tijdens en na een crisis. Het is dus cruciaal om te beoordelen of uw organisatie dergelijke plannen en protocollen heeft, en door deze regelmatig te toetsen, hoe effectief ze zijn.

Deze vraag onderzoekt of er binnen uw organisatie een mogelijkheid bestaat om incidenten te registreren en, wanneer nodig, extern te delen. Deze vraag is belangrijk in het kader van de NIS2-richtlijn, omdat het vermogen van een organisatie om incidenten te registreren en extern te delen een cruciale rol speelt in de algehele cyberbeveiligingsstrategie. Het delen van informatie over incidenten kan helpen bij het identificeren van nieuwe bedreigingen en kwetsbaarheden, en kan andere organisaties waarschuwen voor mogelijke risico’s. Bovendien kan het bijdragen aan de ontwikkeling van best practices en normen voor incidentrespons.

Deze vraag onderzoekt in hoeverre uw organisatie invulling geeft aan Risicomanagement. Een volledige risicoanalyse rondom informatiebeveiliging houdt in dat uw organisatie een systematische beoordeling heeft uitgevoerd van alle mogelijke informatiebeveiligingsrisico’s welke op de organisatie van toepassing (kunnen) zijn. Dit omvat het identificeren van mogelijke bedreigingen en kwetsbaarheden, het beoordelen van de mogelijke impact en waarschijnlijkheid van deze risico’s, en het nemen van passende maatregelen om deze risico’s te beheersen. Als uw organisatie in het afgelopen jaar zo’n analyse heeft uitgevoerd, betekent dit dat uw organisatie proactief nadenkt over, en bezig is met, het beschermen van haar informatie en het beheersen van de bijbehorende risico’s. Het geeft inzicht in hoeverre uw organisatie voldoet aan de best-practices en normen voor informatiebeveiliging. Als uw organisatie zo’n analyse niet heeft uitgevoerd, kan dit een indicatie zijn dat uw organisatie mogelijk niet voldoende voorbereid is op informatiebeveiligingsrisico’s. Het is belangrijk om regelmatig dergelijke analyses uit te voeren om ervoor te zorgen dat uw organisatie haar informatie effectief beschermt.

Deze vraag onderzoekt in hoeverre uw organisatie invulling geeft aan Risicomanagement. Een cybersecurity scan is een specifieke evaluatie van de beveiligingsmaatregelen van uw organisatie om potentiële kwetsbaarheden en risico’s te identificeren. Als uw organisatie in het afgelopen jaar een dergelijke scan heeft laten uitvoeren, betekent dit dat uw organisatie actief stappen heeft ondernomen om haar cyberbeveiliging te beoordelen en mogelijk te versterken om een passend niveau van weerbaarheid te bereiken. Dit toont aan dat uw organisatie zich bewust is van de potentiële cyberdreigingen en proactief maatregelen neemt om deze te mitigeren. Als uw organisatie geen cybersecurity scan heeft laten uitvoeren, kan dit betekenen dat uw organisatie mogelijk niet volledig voorbereid is op (actuele vormen van) cyberdreigingen. Het is belangrijk om regelmatig dergelijke scans uit te voeren om ervoor te zorgen dat uw organisatie haar cyberbeveiliging up-to-date houdt en eventuele risico’s effectief kan beheersen. Het is altijd beter om proactief te zijn als het gaat om cyberbeveiliging. Het kan u helpen om kostbare datalekken en andere cyberbeveiligingsincidenten te voorkomen.

Deze vraag onderzoekt in hoeverre uw organisatie invulling geeft aan Risicomanagement. Het aanbieden van Cybersecurity- / Security Awareness trainingen kan helpen om het bewustzijn van cyberdreigingen te vergroten en de weerbaarheid van uw organisatie tegen dergelijke dreigingen te versterken. Uit diverse onderzoeken is gebleken dat veel incidenten ontstaan door menselijke fouten. Trainingen kunnen derhalve bijdragen om incidenten te voorkomen die kunnen leiden tot beveiligingsinbreuken.

Deze vraag onderzoekt in hoeverre uw organisatie invulling geeft aan Risicomanagement door actief het cyberbewustzijn van de medewerkers te controleren door middel van praktijksimulaties, zoals phishing via e-mail. Dergelijke tests kunnen helpen bij het identificeren van (onbedoeld) onverantwoord of potentieel gevaarlijk gedrag van uw medewerkers zodat uw organisatie hierop kan bijsturen door de algehele cyberbeveiligingscultuur binnen de organisatie te verbeteren, bijvoorbeeld door middel van trainingen over cyberveiligheid.

Deze vraag onderzoekt of uw organisatie een volledig overzicht heeft van alle gebruikte software en systemen, inclusief Software as a Service (SaaS) applicaties en plug-ins/add-ins in software zoals Microsoft Office. Denk bij systemen aan zowel de fysieke systemen (laptops, desktops, servers, printers, conference-, telecom- en alarmsystemen) als digitale systemen. Het hebben van een volledig overzicht is cruciaal voor effectief cybersecuritybeheer, omdat het helpt bij het identificeren van mogelijke kwetsbaarheden en het waarborgen dat alle systemen en software up-to-date en veilig zijn. Dit omvat ook het bijhouden van de licenties en het waarborgen dat alle gebruikte software legaal en conform de licentievoorwaarden is. Als u niet alle software en systemen in beeld heeft, kan dit leiden tot beveiligingsrisico’s door beveiligingslekken vanuit niet bijgewerkte software en/of systemen.