Een security scan is een ‘instapbeveiligingsonderzoek’. Het is een lichtere vorm van beveiligingsonderzoek die natuurlijk wel alle aspecten van ICT Security bevat. De scan richt zich op onderzoek naar de beheersmaatregelen (alles wat uw organisatie al dan niet aan technische maatregelen heeft ingericht om beveiligingsproblemen te voorkomen), maar bevat nog geen daadwerkelijke controle op de aanwezigheid en de werking daarvan. De scan wordt gestart met een online interview met uw organisatie en vindt dus op afstand plaats. Dat geldt ook voor het bespreken van de resultaten. Dat scheelt namelijk veel tijd en dus kosten. Het rapport bevat een praktische lijst met checks en aanbevelingen.
Een security audit is een grondig onderzoek door onze auditor bij uw organisatie op locatie. Hierbij wordt niet alleen gekeken naar de technische beheersmaatregelen, maar ook naar alle voorzieningen die zijn getroffen om ervoor te zorgen dat deze maatregelen blijven werken. We noemen dat de organisatorische maatregelen. Het treffen van dergelijke maatregelen volgt als een verplichting uit de privacywetgeving:
“Artikel 32 - EU-AVG - "Beveiliging van de verwerking"
Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen, treffen de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen.”
De security audit kenmerk zich doordat er daadwerkelijk controle bij u intern wordt uitgevoerd op de werking van de technische en organisatorische beheersmaatregelen. Uit de security audit volgt een uitgebreid auditrapport met omschrijving van de onderzoekswerkzaamheden, de uitkomsten daarvan, een praktische lijst met checks en aanbevelingen en gedetailleerde toelichtingen.
Uiteindelijk adviseren wij onze opdrachtgevers om een security audit te laten uitvoeren, maar als u inschat dat een scan voorlopig voldoende passend is bij uw organisatie dan kan dat een prima alternatief zijn. De scan brengt door de aard van het onderzoek minder kosten met zich mee. En u kunt natuurlijk altijd besluiten om in een later stadium een security audit te laten doen.
In beide gevallen (bij scan en audit) worden wij uw ICT Security partner die u altijd kunt raadplegen of ICT Security of privacy vraagstukken of bij calamiteiten. Denk hierbij aan ramsomware aanvallen, hacks en datalekken.