Third Party Memorandum (certificaat)

Veelgestelde vragen

Is een security audit duur?

Een security audit is een investering om datgene te voorkomen dat echt duur is, namelijk de gevolgen van falende ICT Security. De financiële gevolgen van:

  • Onderbreking van uw bedrijfsactiviteit
  • Chantabele positie
  • Herstel- en juridische werkzaamheden
  • Hoge boetes
  • Schadeclaims van benadeelden
  • Reputatieschade
  • Management tijd

Een security audit is een investering in uw informatiebeveiliging en een fractie van de kosten die u heeft als uw security faalt. We kennen overigens naast de security audit ook de security scan. Een lichtere vorm van beveiligingsonderzoek tegen lagere kosten. U zou kunnen overwegen om daarmee ‘in te stappen’. BICT Groep levert met TT3P juist zeer betaalbare diensten.

Jullie hebben dit als ICT leverancier tot allemaal onder controle?

Natuurlijk heeft u aan ons een kundige ICT leverancier. Een ICT security audit of een ICT security scan kunt evenwel het beste laten doen door een onafhankelijke partij die geen belangen heeft bij de verkoop van ICT security oplossingen. Onze partner TT3P is onafhankelijk. Zij beoordelen maatregelen die door een ICT leverancier zijn of worden geleverd, maar ook organisatorische aspecten bij u intern.

Kan ik ook een audit laten uitvoeren op een ander bedrijf?

Dat kan zeker. Sterker nog TT3P voert zeer regelmatig audits uit bij organisaties in opdracht van een andere organisatie. Neem hier als voorbeeld een organisatie die van plan is een andere organisatie over te nemen. De overnemende partij wil natuurlijk wel weten of de organisatie die ze gaan overnemen voldoende  goed is ingericht op het gebied van ICT Security.

Een ander voorbeeld is het auditen van een leverancier. Als u met uw organisatie waardevolle bedrijfsgegevens in handen geeft bij een leverancier (en dat gebeurt heel regelmatig), wilt u natuurlijk ook weten dat deze uw bedrijfsinformatie goed beveiligt.

Een Third Party Audit biedt in dit soort gevallen uitkomst. Lees hier meer over The Third Party Audit

Ik ben een MKB of MKB+ organisatie. Is een ICT Scan of Audit wel geschikt voor mijn organisatie?

Ja absoluut. Het is een “must”. Computercriminelen richten zich meer en meer op het MKB en MKB+. Juist omdat die nog te weinig hebben georganiseerd op het gebied van informatiebeveiliging. Die hebben vaak geen specialisten in huis en werken met externe ICT leverancier, die ook niet altijd de juiste competenties in huis hebben en niet de hele scope van informatiebeveiliging beheersen. Kijk voor een voorbeeld hier.

Onze scan en audits zijn betaalbaar en toegankelijk voor MKB en MKB+. Ze hebben tegelijkertijd de hoge kwaliteit van corporate en grootzakelijke audits, waar de oorsprong van onze expertise ligt.

Mijn organisatie laat al ICT audits of ICT assessments uitvoeren. Heb ik dan nog een ICT Security Scan of Audit nodig?

Ja. Een reguliere ICT Audit of ICT Assessment behandelt natuurlijk ook wel beveiligingsaspecten, maar dat is vaak maar een (te beperkt) deel van het onderzoek en in de regel is dat onvoldoende. Zeker in het huidige landschap van cybercriminaliteit, waarin de methodieken van computercriminelen steeds geavanceerder worden. IT-auditing is het vakgebied dat zich bezighoudt met het beoordelen van de brede automatisering van een organisatie en de organisatie van de automatisering. Een ICT Security Scan of Audit behandelt juist exclusief alle facetten van informatiebeveiliging. Hierbij kunt u bijvoorbeeld denken aan de menselijke kant van informatiebeveiliging: de rol van medewerker in het geheel van informatiebeveiliging. Of, zoals wij het ook wel noemen: de human firewall (de menselijke firewall). Daarnaast kijken wij ook naar verplichtingen die voor uw ICT-organisatie voorvloeien uit privacywetgeving (de AVG / GDPR). De scope van onze scans en audits:

  • Management en AVG
  • Inventarisatie en beheer van hardware-middelen
  • Inventarisatie en beheer van software-middelen
  • Netwerkbeveiliging
  • Continu beheer van kwetsbaarheden
  • Rollen en rechten (human firewall)
  • Configuratie en wijzigingenbeheer
  • Softwareontwikkeling

Is een security scan of security audit alleen geschikt voor organisaties die nog niets geregeld hebben?

Daar kunnen we kort in zijn: Nee! Een informatiebeveiliging scan (de lichtere vorm van beveiligingsonderzoek) of een informatiebeveiliging audit (de grondige vorm van beveiligingsonderzoek) zijn geschikt voor elke organisatie. Heeft u zelf ICT security capaciteit in huis en al voorzieningen getroffen? Dan kunt u ons inzetten om bevestigd te krijgen door een onafhankelijke partij dat u uw beveiliging op orde heeft. Staat security bij u nog in de kinderschoenen? Dan zijn wij uw startpunt. Met de uitkomst van onze scans en audits weet u precies waar u moet beginnen en wat de hoogste prioriteit verdient. Investeer op een geïnformeerde wijze in uw security!

Kost een security scan of security audit mij en mijn organisatie veel tijd?

Als dat al waar zou zijn, dan moet u die tijd natuurlijk gewoon investeren. Een ransomware aanval, bedrijfsonderbreking of een datalek kost u een veelvoud van de tijd van een informatiebeveiliging audit of informatiebeveiliging scan. De werkelijkheid is dat het u beperkt tijd kost. Natuurlijk hebben wij u en mogelijk enkele collega’s nodig voor ons onderzoek. Dat kost doorgaans een paar uurtjes tijd. De rest doen wij. U ontvangt van ons een gericht rapport met adviezen en u kunt verantwoorde beslissingen gaan nemen over ICT security.

Is het scannen of auditen van ICT Security wettelijk verplicht?

Het scannen en auditen is niet wettelijk verplicht, maar het gene waar de onderzoeken zich op richten wel. U bent volgens de Algemene Verordening Gegevensbescherming (AVG) “Artikel 32 - EU-AVG - "Beveiliging van de verwerking" wettelijk verplicht uw informatie te beveiligen. Dat is dan ook precies waar de ICT Security Scan en de ICT Security Audit van TT3P zich op richten. Indirect helpen wij u dus om aan uw wettelijke verplichting te voldoen.

Waarom zou ik jaarlijks een scan of audit doen?

De vraag stellen is hem bijna beantwoorden. ICT Security is niet statisch. Computercriminelen zijn dat natuurlijk ook niet. Een scan of een audit is altijd een momentopname. U hoeft zo’n scan natuurlijk niet ieder kwartaal te doen, maar jaarlijks is wel het minimum.

Bij BICT Groep en TT3P kunt u vooraf afspreken een jaarlijkse scan of audit te doen. Wij houden dan natuurlijk ook bij wanneer uw onderzoek weer plaats moet vinden en plannen dat met u in. We houden u scherp en zorgen ervoor dat de aandacht voor informatiebeveiliging niet versloft binnen uw organisatie.

Daarnaast kunt u de prijs voor de scan of audit direct vastleggen voor de toekomst. Er is veel vraag naar auditing en er is te weinig aanbod door beperkte beschikbaarheid van specialisten. Toekomstig zullen de prijzen van scans en audits dan ook toenemen.

Wat is het verschil tussen een ICT Security Scan en een ICT Security Audit?

Een security scan is een ‘instapbeveiligingsonderzoek’. Het is een lichtere vorm van beveiligingsonderzoek die natuurlijk wel alle aspecten van ICT Security bevat. De scan richt zich op onderzoek naar de beheersmaatregelen (alles wat uw organisatie al dan niet aan technische maatregelen heeft ingericht om beveiligingsproblemen te voorkomen), maar bevat nog geen daadwerkelijke controle op de aanwezigheid en de werking daarvan. De scan wordt gestart met een online interview met uw organisatie en vindt dus op afstand plaats. Dat geldt ook voor het bespreken van de resultaten. Dat scheelt namelijk veel tijd en dus kosten. Het rapport bevat een praktische lijst met checks en aanbevelingen.

Een security audit is een grondig onderzoek door onze auditor bij uw organisatie op locatie. Hierbij wordt niet alleen gekeken naar de technische beheersmaatregelen, maar ook naar alle voorzieningen die zijn getroffen om ervoor te zorgen dat deze maatregelen blijven werken. We noemen dat de organisatorische maatregelen. Het treffen van dergelijke maatregelen volgt als een verplichting uit de privacywetgeving:

“Artikel 32 - EU-AVG - "Beveiliging van de verwerking"

Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen, treffen de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen.”

De security audit kenmerk zich doordat er daadwerkelijk controle bij u intern wordt uitgevoerd op de werking van de technische en organisatorische beheersmaatregelen. Uit de security audit volgt een uitgebreid auditrapport met omschrijving van de onderzoekswerkzaamheden, de uitkomsten daarvan, een praktische lijst met checks en aanbevelingen en gedetailleerde toelichtingen.

Uiteindelijk adviseren wij onze opdrachtgevers om een security audit te laten uitvoeren, maar als u inschat dat een scan voorlopig voldoende passend is bij uw organisatie dan kan dat een prima alternatief zijn. De scan brengt door de aard van het onderzoek minder kosten met zich mee. En u kunt natuurlijk altijd besluiten om in een later stadium een security audit te laten doen.

In beide gevallen (bij scan en audit) worden wij uw ICT Security partner die u altijd kunt raadplegen of ICT Security of privacy vraagstukken of bij calamiteiten. Denk hierbij aan ramsomware aanvallen, hacks en datalekken.

Mag ik het rapport van de scan of de audit ook aan anderen laten zien om aan te tonen dat ik mijn informatiebeveiliging op orde heb?

Een terechte vraag want er wordt in toenemende mate door belanghebbenden (opdrachtgevers, partners, overname partijen, private equity partijen, banken en overige financiers) naar deze informatie gevraagd.

Alle scan en auditrapporten worden (uiteraard) uw eigendom en kunt deze informatie inzetten zoals u dat wilt. Het scanrapport is bedoeld voor de interne organisatie om snel verbeteringen te kunnen aanbrengen en is vanwege de beperkte aard minder geschikt voor publicatie. Het auditrapport is dat wel, maar bevat natuurlijk wel vertrouwelijke informatie waarvan wij zien dat organisaties die in praktijk liever niet zomaar extern delen. In dat geval kunt waarschijnlijk beter ons Third Party Memorandum (TPM) gebruiken. Neem contact met ons op voor deze dienst.

IT diensten

Interesse? Neem contact met ons op