Quickscans Beveiliging

Quickscans Beveiliging

“Je moet niet de hele olifant in één keer willen opeten”

Een volledige volwassenheidsmeting van de beveiliging (zoals we die voor andere organisaties uitvoeren) ging voor deze organisatie veel te ver. De resultaten uit een volledige meting zou ze doen verdrinken in de hoeveelheid maatregelen die ze nog moesten nemen om de risico’s volledig af te dekken. Ze zouden door de bomen het bos niet meer zien en zouden niet weten waar ze moesten beginnen. Er was op managementniveau in het verleden onvoldoende aandacht geweest voor beveiliging en het nieuwe management kreeg, na een incident, de opdracht om daar nu toch echt verandering in te brengen.

De klant stelde de volgende vraag

Ons werd gevraagd om inzicht te verschaffen in de status van de beveiliging en een meerjarenplan te ontwikkelen waarmee de beveiliging weer op peil kon worden gebracht.

De aanpak

Tijdens de verkennende gesprekken werd al snel duidelijk dat het management binnen de organisatie niet wist waar ze moesten beginnen. Er waren nog zoveel onderwerpen aan te pakken dat het moeilijk was om gerichte keuzes te maken.

Ons voorstel was om vooral geen volledige volwassenheidsmeting uit te voeren maar te beginnen met een aantal quickscans om de grootste issue’s eerst aan te kunnen pakken. We hebben daarvoor de methodiek van de volwassenheidsmeting gebruikt maar hebben hem in stukken geknipt, hiermee kunnen ze na verloop van tijd alle gegevens samen voegen om toch tot een meer volledig beeld te komen.

We hebben het eerst gekeken naar de meest kritische processen en de meest kritische gebouwen waarin de processen worden uitgevoerd en waar de IT is gehuisvest.

Het resultaat

Het resultaat was inzicht in de grootste dreigingen en in de maatregelen die eenvoudig genomen konden worden (het zogenaamde “low hanging fruit”). Hiermee werden de grootste risico’s weg genomen en kon men met meer vertrouwen verder bouwen aan de verbetering van de beveiliging.

De kans dat ze door een groot incident getroffen zouden worden werd hiermee verkleind.

Het gevolg

Het gevolg is dat men niet alleen inzicht krijgt in de status van de beveiliging en de grootste risico’s die de organisatie bedreigen maar men krijgt ook beveiligingsbewustzijn binnen het hoogste management van de organisatie.

Het grote bijkomende voordeel is dat de resultaten van de quickscans later samengevoegd kunnen worden om tot een nog vollediger beeld te komen.