IT Local Outsourcing

Cyber Security Assessment Tool (CSAT)

Een veilige IT-omgeving? Voldoen aan de NIS2-richtlijn? De CSAT is de perfecte eerste stap. Je krijgt via deze beproefde tool inzicht in waar jouw bedrijf staat op het gebied van security. En vanuit die basis ga je (met ons) aan de slag om je bedrijf beter digitaal te beveiligen.

Laat nu een CSAT-scan uitvoeren
Onze Cyber Security Assessment Tool (CSAT) geeft je snel en goed inzicht in hoe jouw IT-omgeving ervoor staat op security-gebied. Na een grondige technische scan en het doornemen van een uitgebreide vragenlijst ontvang je een helder rapport. Daarin zie je precies waar de kwetsbaarheden binnen jouw bedrijf zitten. En kun je met de actiepunten gericht aan de slag om - samen met ons - jouw IT-omgeving veiliger te maken.

Basis voor security journey en NIS2

De CSAT-scan is de eerste stap in onze security journey, onze aanpak waarmee we in drie stappen zorgen voor een veilige IT-omgeving van jouw bedrijf. En is direct een goede basis om te gaan voldoen aan de NIS2-richtlijn.

Cyber Security Assessment Tool
Cyber Security Assessment Tool

De CSAT: een beproefde assessment-tool

CIS 18-framework, NIS2 én Zero-trust

De CSAT is een beproefde assessment-tool op security-gebied die aansluit bij internationale standaarden:

CIS 18-framework
De tool is ontwikkeld door een team van beveiligingsexperts en is gebaseerd op het CIS 18-framework. Dat is een internationaal geaccepteerd raamwerk van 18 controls, die zijn ontwikkeld door het Center for Internet Security (CIS). Iedere control kun je zien als een onderwerp of beheersinstrument waaronder beveiligingsmaatregelen hangen. Er zijn drie niveaus (Implementation Groups):

  • IG1 met 56 maatregelen, een goede basis voor mkb-bedrijven.
  • IG2 met 130 maatregelen, voor bedrijven in de zakelijke dienstverlening die met veel gevoelige informatie werken.
  • IG3 met 153 maatregelen, voor bedrijven die zeer volwassen zijn op het gebied van cybersecurity en bijvoorbeeld een security-manager in dienst hebben.

NIS2
De tool analyseert ook vanuit de uitgangspunten van NIS2, de Europese richtlijn voor cyberbeveiliging, de Europese richtlijn. Daardoor heb je als bedrijf direct dus een goede basis in handen om NIS2-proof te worden. Goed om te weten: de CSAT is een hulpmiddel en de uitkomst van de scan bepaalt niet of je aan de NIS2-richtlijn voldoet. Daarvoor moet je een aanvullende audit door een accountant of certificeringsbedrijf laten uitvoeren.

Zero Trust
Het uitvoeren van een assessment via de CSAT past daarnaast naadloos in een Zero Trust-beleid waarin je alle medewerkers, apparaten en applicaties beveiligt, waar die zich ook bevinden en zonder dat dit een belemmering vormt voor de productiviteit van je bedrijf.

Image

De 18 controls van het CIS 18-framework

  1. Inventariseren van hardware en software
  2. Inventariseren van geautoriseerde en niet-geautoriseerde software
  3. Beveiligen van configuraties van hardware en software
  4. Continu bijwerken van software
  5. Beveiligen van netwerkconfiguraties
  6. Beheersen van de toegang tot systeembronnen en gegevens
  7. Continu monitoren en analyseren van logbestanden
  8. Beveiligen van de configuratie van mobiele apparaten en apparaten op afstand
  9. Beveiligen van gegevens op rust en in beweging
  10. Beveiligen van e-mail
  11. Beveiligen van webbrowsers
  12. Beveiligen van accounts van gebruikers en beheerders
  13. Beperken van toegang tot netwerken en systemen vanaf ongeautoriseerde netwerken
  14. Beheersen van het gebruik van uitneembare media
  15. Beveiligen van draadloze toegangspunten
  16. Beveiligen van systeemprocessen
  17. Beveiligen van toegang tot veilige configuratie­hulpprogramma's
  18. Beveiligen van toegang tot beveiligingsbewakings­hulpprogramma's

Hoe werkt zo'n CSAT-scan?

Image

Technische analyse en vragenlijst

De CSAT bestaat uit een uitgebreide technische analyse en een vragenlijst. De geautomatiseerde scan checkt op een snelle en effectieve manier je bedrijfsnetwerk, endpoints en je Microsoft 365- en Azure-omgeving. Alle mogelijke kwetsbaarheden. komen aan het licht. Aanvullend loopt onze security-specialist samen met jou of met een collega de vragenlijst door. Daardoor ontstaat er ook een helder beeld van de securityprocessen en -procedures van jouw organisatie.

Een paar voorbeelden van wat de scan zoal aanraakt:

Infrastructuur en devices

Staan er onveilige, verouderde apparaten in je bedrijf? Zijn alle verbindingen veilig? Zijn er firewalls actief? Kun je devices op afstand blokkeren?

Applicaties

Met welke applicaties werken je medewerkers en hoe staat het met de veiligheid daarvan?

Updates en patches

Zijn de laatste updates en patches van alle programma’s en apparaten geïnstalleerd?

Data

Waar staan de data? Op devices van je medewerkers, op een eigen server en/of op een server in een extern datacenter? Maken medewerkers gebruik van externe harde schijven of usb-sticks? Staan de data veilig?

Back-ups

Zijn er actuele back-ups aanwezig? En zijn deze juist en veilig opgeslagen? Kun je back-ups weer gemakkelijk terugzetten?

Inloggen

Gebruikt je bedrijf tweefactorauthenticatie? Loggen je medewerkers in met een sterk wachtwoord? Zitten er externe gebruikers in je Microsoft-omgeving?

Werkplek

Hebben alle medewerkers de juiste rechten die passen bij hun rol of functie?

Processen, procedures en beleid

Hoe gaan je medewerkers met data en wachtwoorden om? Mailen ze bestanden of delen ze bestanden? Wat is het bedrijfsbeleid bij gevoelige data? Hoe ga je binnen jouw bedrijf om met het versleutelen en vernietigen van data? En wat doe je bij malware en het voorkomen daarvan?
Cyber Security Assessment Tool

Resultaat: een helder adviesrapport

De CSAT levert als resultaat een management-samenvatting en een zeer uitgebreid en helder adviesrapport op. Inclusief actiepunten voor jouw bedrijf. Dit rapport bespreken we met je. We geven aan wat je bedrijf goed voor elkaar heeft, maar ook waar risico’s liggen, hoe groot deze risico’s zijn en hoe we ze kunnen minimaliseren. 

Full scan of quick scan, afhankelijk van jouw type bedrijf

We bieden de CSAT aan in twee varianten: een full scan en een quick scan. Jouw type bedrijf bepaalt de keuze. Beide varianten bieden je in ieder geval een goede basis om te voldoen aan NIS2.

Omschrijving

Full scan

Quick scan

Vooral geschikt voor:

Grote bedrijven en bedrijven die veel met gevoelige informatie werken

Mkb (tot circa 300 medewerkers)

Inzicht:

Holistisch inzicht in de volledige security-hygiëne

Holistisch inzicht in essentiële security-hygiëne

Technische scan:

Uitgebreide scan
In scope: endpoints (uitgebreid), inclusief Linux-machines en netwerkdevices | lokale Active Directory | e-mail: DNS-check | Microsoft 365-omgeving |  Azure-tenant (uitgebreid) | SharePoint on-premises | inclusief Google Workspace and AWS

Basisscan
In scope: endpoints (basic) | lokale Active Directory | e-mail: DNS-check | Microsoft 365-omgeving | Azure-tenant (beperkt aantal datasets)

Vragenlijst:

Rapportage:

Management-samenvatting + zeer uitgebreid rapport

Management-samenvatting + uitgebreid rapport

Volledige CIS-controls:

CIS-niveau

IG1, IG2 en IG3 (alle 153 maatregelen)

IG1 (56 maatregelen)

Basis om te voldoen aan NIS2:

Basis voor Zero Trust-beleid:

Volledige mapping naar het Zero Trust-principe van Microsoft

Gedeeltelijke mapping naar het Zero Trust-principe van Microsoft, alles wat valt onder IG1 is gelinkt

Doorlooptijd:

Circa 1 tot 2 weken

Circa 1 week

Zo ziet het CSAT-scan-traject eruit:

Intake

We starten met een intake. Daarin spreken we het traject met je door, bespreken we de scope van de assessment en stemmen we de verwachtingen op elkaar af. Ook bespreken we de technische vereisten.

Duur: circa 1 uur (quick scan) of circa 3 uur (full scan).