Basis voor security journey en NIS2
De CSAT-scan is de eerste stap in onze security journey, onze aanpak waarmee we in drie stappen zorgen voor een veilige IT-omgeving van jouw bedrijf. En is direct een goede basis om te gaan voldoen aan de NIS2-richtlijn.
De CSAT: een beproefde assessment-tool
CIS 18-framework, NIS2 én Zero-trust
De CSAT is een beproefde assessment-tool op security-gebied die aansluit bij internationale standaarden:
CIS 18-framework
De tool is ontwikkeld door een team van beveiligingsexperts en is gebaseerd op het CIS 18-framework. Dat is een internationaal geaccepteerd raamwerk van 18 controls, die zijn ontwikkeld door het Center for Internet Security (CIS). Iedere control kun je zien als een onderwerp of beheersinstrument waaronder beveiligingsmaatregelen hangen. Er zijn drie niveaus (Implementation Groups):
- IG1 met 56 maatregelen, een goede basis voor mkb-bedrijven.
- IG2 met 130 maatregelen, voor bedrijven in de zakelijke dienstverlening die met veel gevoelige informatie werken.
- IG3 met 153 maatregelen, voor bedrijven die zeer volwassen zijn op het gebied van cybersecurity en bijvoorbeeld een security-manager in dienst hebben.
NIS2
De tool analyseert ook vanuit de uitgangspunten van NIS2, de Europese richtlijn voor cyberbeveiliging, de Europese richtlijn. Daardoor heb je als bedrijf direct dus een goede basis in handen om NIS2-proof te worden. Goed om te weten: de CSAT is een hulpmiddel en de uitkomst van de scan bepaalt niet of je aan de NIS2-richtlijn voldoet. Daarvoor moet je een aanvullende audit door een accountant of certificeringsbedrijf laten uitvoeren.
Zero Trust
Het uitvoeren van een assessment via de CSAT past daarnaast naadloos in een Zero Trust-beleid waarin je alle medewerkers, apparaten en applicaties beveiligt, waar die zich ook bevinden en zonder dat dit een belemmering vormt voor de productiviteit van je bedrijf.
De 18 controls van het CIS 18-framework
- Inventariseren van hardware en software
- Inventariseren van geautoriseerde en niet-geautoriseerde software
- Beveiligen van configuraties van hardware en software
- Continu bijwerken van software
- Beveiligen van netwerkconfiguraties
- Beheersen van de toegang tot systeembronnen en gegevens
- Continu monitoren en analyseren van logbestanden
- Beveiligen van de configuratie van mobiele apparaten en apparaten op afstand
- Beveiligen van gegevens op rust en in beweging
- Beveiligen van e-mail
- Beveiligen van webbrowsers
- Beveiligen van accounts van gebruikers en beheerders
- Beperken van toegang tot netwerken en systemen vanaf ongeautoriseerde netwerken
- Beheersen van het gebruik van uitneembare media
- Beveiligen van draadloze toegangspunten
- Beveiligen van systeemprocessen
- Beveiligen van toegang tot veilige configuratiehulpprogramma's
- Beveiligen van toegang tot beveiligingsbewakingshulpprogramma's
Hoe werkt zo'n CSAT-scan?
Technische analyse en vragenlijst
De CSAT bestaat uit een uitgebreide technische analyse en een vragenlijst. De geautomatiseerde scan checkt op een snelle en effectieve manier je bedrijfsnetwerk, endpoints en je Microsoft 365- en Azure-omgeving. Alle mogelijke kwetsbaarheden. komen aan het licht. Aanvullend loopt onze security-specialist samen met jou of met een collega de vragenlijst door. Daardoor ontstaat er ook een helder beeld van de securityprocessen en -procedures van jouw organisatie.
Een paar voorbeelden van wat de scan zoal aanraakt:
Infrastructuur en devices
Staan er onveilige, verouderde apparaten in je bedrijf? Zijn alle verbindingen veilig? Zijn er firewalls actief? Kun je devices op afstand blokkeren?Applicaties
Met welke applicaties werken je medewerkers en hoe staat het met de veiligheid daarvan?Updates en patches
Zijn de laatste updates en patches van alle programma’s en apparaten geïnstalleerd?Data
Waar staan de data? Op devices van je medewerkers, op een eigen server en/of op een server in een extern datacenter? Maken medewerkers gebruik van externe harde schijven of usb-sticks? Staan de data veilig?Back-ups
Zijn er actuele back-ups aanwezig? En zijn deze juist en veilig opgeslagen? Kun je back-ups weer gemakkelijk terugzetten?Inloggen
Gebruikt je bedrijf tweefactorauthenticatie? Loggen je medewerkers in met een sterk wachtwoord? Zitten er externe gebruikers in je Microsoft-omgeving?Werkplek
Hebben alle medewerkers de juiste rechten die passen bij hun rol of functie?Processen, procedures en beleid
Hoe gaan je medewerkers met data en wachtwoorden om? Mailen ze bestanden of delen ze bestanden? Wat is het bedrijfsbeleid bij gevoelige data? Hoe ga je binnen jouw bedrijf om met het versleutelen en vernietigen van data? En wat doe je bij malware en het voorkomen daarvan?Resultaat: een helder adviesrapport
Full scan of quick scan, afhankelijk van jouw type bedrijf
We bieden de CSAT aan in twee varianten: een full scan en een quick scan. Jouw type bedrijf bepaalt de keuze. Beide varianten bieden je in ieder geval een goede basis om te voldoen aan NIS2.
Omschrijving
Full scan
Quick scan
Vooral geschikt voor:
Grote bedrijven en bedrijven die veel met gevoelige informatie werken
Mkb (tot circa 300 medewerkers)
Inzicht:
Holistisch inzicht in de volledige security-hygiëne
Holistisch inzicht in essentiële security-hygiëne
Technische scan:
Uitgebreide scan
In scope: endpoints (uitgebreid), inclusief Linux-machines en netwerkdevices | lokale Active Directory | e-mail: DNS-check | Microsoft 365-omgeving | Azure-tenant (uitgebreid) | SharePoint on-premises | inclusief Google Workspace and AWS
Basisscan
In scope: endpoints (basic) | lokale Active Directory | e-mail: DNS-check | Microsoft 365-omgeving | Azure-tenant (beperkt aantal datasets)
Vragenlijst:
Rapportage:
Management-samenvatting + zeer uitgebreid rapport
Management-samenvatting + uitgebreid rapport
Volledige CIS-controls:
CIS-niveau
IG1, IG2 en IG3 (alle 153 maatregelen)
IG1 (56 maatregelen)
Basis om te voldoen aan NIS2:
Basis voor Zero Trust-beleid:
Volledige mapping naar het Zero Trust-principe van Microsoft
Gedeeltelijke mapping naar het Zero Trust-principe van Microsoft, alles wat valt onder IG1 is gelinkt
Doorlooptijd:
Circa 1 tot 2 weken
Circa 1 week
Zo ziet het CSAT-scan-traject eruit:
Intake
We starten met een intake. Daarin spreken we het traject met je door, bespreken we de scope van de assessment en stemmen we de verwachtingen op elkaar af. Ook bespreken we de technische vereisten.
Duur: circa 1 uur (quick scan) of circa 3 uur (full scan).