Risico calculator

Stap 1 van 14

Bepaal in 5 minuten welke privacy en compliance risico's jouw organisatie loopt. Om uw beveiligingsrisico's in te schatten stellen we vragen vanuit 5 fundamentele perspectieven:

Dreigingsprofiel

Op basis van de meest recente versies van het NCSC “Cybersecuritybeeld Nederland” en het “Hiscox Cyber Readiness Report” dat per sector het dreigingsprofiel beschrijft.

Toepasselijkheid

Er worden 4 ICT infrastructuur modellen gespecificeerd op basis van actualiteit en voorkomen in Nederland.

Volwassenheid

Op basis van het “ITScore maturity model for Information Security” van Gartner group.

Weerbaarheid

Op basis van de beveiligingsmaatregelen zoals die gespecificeerd zijn in de ISO27001 (Annex A)

Impact

Op basis van de Baseline toets BIO (BBN) vragen set van de overheid.

1

Dreigingsprofiel

2

Impact

3

Toepasselijkheid

4

Volwassenheid

5

Weerbaarheid
Dreigingsprofiel

Op basis van statistiek blijkt dat sommige branches harder geraakt worden door cybercrime dan andere.
Dreigingsprofiel*
Opereert uw organisatie in één van de volgende branches: Financiële dienstverlening, Gezondheidszorg, Productie, Webshop, Onderwijs. En/of beheert uw organisatie hoogwaardige kennis, militaire of politiek gevoelige informatie en/of grote hoeveelheden (>5000 personen) privacy gevoelige gegevens?
- Ja
- Nee

1

Dreigingsprofiel

2

Impact

3

Toepasselijkheid

4

Volwassenheid

5

Weerbaarheid
Impact

De schade die kan ontstaan wanneer een organisatie wordt getroffen door een incident op het gebied van informatiebeveiliging of privacy bescherming bepaalt in hoge mate het risico van de organisatie. Deze vraag richt zich op drie typen van schadelijke incidenten.
Meer over de verschillende vormen van schade 
Impact*
Geef aan wat de maximale schade is (worse case scenario) wanneer één van de bovengeschetste incidenten met de geschetste gevolgschade optreedt. NB. De kosten zijn vaak hoger dan verwacht. Probeer een conservatieve schatting te maken.

Klik hier voor meer toelichting over de antwoorden
- Extreem; de schade per incident bedreigt mogelijk het voortbestaan van de organisatie
- Groot; de schade per incident is mogelijk niet meer op te vangen binnen de vastgestelde ruimte binnen de begroting van de organisatie.
- Aanzienlijk; de schade per incident is op te vangen binnen de vastgestelde ruimte binnen de begroting van de organisatie.
- Gering; de schade per incident is aanvaardbaar.

1

Dreigingsprofiel

2

Impact

3

Toepasselijkheid

4

Volwassenheid

5

Weerbaarheid
Toepasselijkheid
Afhankelijk van wijze waarop de ICT infrastructuur is ingericht liggen meer- of minder taken en verantwoordelijkheden voor informatiebeveiliging en privacy bescherming bij de eigen organisatie.
Toepasselijkheid*
De volgende vier ICT profielen beschrijven situaties waarbij de toepasselijkheid varieert van 1) minimaal afhankelijk, maximaal uitbesteed, naar 4) maximaal afhankelijk, minimaal uitbesteed. Welke van de volgende vier ICT profielen past het beste bij uw organisatie.
- Profiel 1.
  - Voor de primaire bedrijfsprocessen niet afhankelijk van de ICT infrastructuur.
  - Medewerkers hebben een PC, laptop, tablet en/of smartphone maar gebruiken die uitsluitend in combinatie met pakketten zoals Office 365.
  - Voor de administratieve processen van de organisatie wordt externe software gebruikt.
- Profiel 2.
  - Voor de primaire bedrijfsprocessen afhankelijk van de ICT infrastructuur.
  - Maakt gebruik van software voor het uitvoeren van bedrijfsprocessen i.c.m. pakketten zoals Office 365.
  - Een zakelijke dienstverlener beheert de persoonlijke werkstations en de lokale ICT voorzieningen.
- Profiel 3.
  - Voor het uitvoeren van de bedrijfsprocessen primair afhankelijk van een goed functionerende ICT infrastructuur.
  - Afhankelijk van maatwerk software die lokaal- of in de cloud door een zakelijke dienstverlener gehost en beheerd wordt.
  - Medewerkers gebruiken apparaten met Office 365 en GSM diensten die door een zakelijke dienstverlener beheerd worden.
- Profiel 4.
  - Voor het uitvoeren van de bedrijfsprocessen primair afhankelijk van een goed functionerende ICT infrastructuur die voor een deel in eigen beheer is.
  - Gebruikt een lokale en/of cloud omgeving om zelf maatwerk software te beheren.
  - Persoonlijke werkstations en lokale infrastructuur zijn in eigen beheer.

1

Dreigingsprofiel

2

Impact

3

Toepasselijkheid

4

Volwassenheid

5

Weerbaarheid
Volwassenheid
Volwassenheid*
De wijze waarop een organisatie informatiebeveiliging en privacy bescherming organisatorisch heeft ingebed en structureel uitvoert wordt beschreven door de volgende 3 volwassenheidsniveaus. Welke van de niveaus past het beste bij uw organisatie.
- 1. Initieel;
  - Taken voor informatiebeveiliging worden ad-hoc en reactief uitgevoerd.
  - Afhankelijk van individuele personen en/of toeleveranciers.
  - Directie is bewust van risico’s maar er is geen organisatiebrede aanpak.
  - De beveiligingsmaatregelen zijn ICT gebaseerd, afhankelijk van de aanwezige kennis en niet op elkaar afgestemd.
- 2. Herhalend;
  - Taken voor informatiebeveiliging worden gecoördineerd door één persoon die informeel is aangewezen.
  - De behoefte aan informatiebeveiliging wordt gaande een invoeringstraject van een nieuw bedrijfsmiddel of dienst vastgesteld.
  - Directie is bewust van beveiliging en problemen worden geïdentificeerd en opgelost.
  - De beveiligingsmaatregelen zijn afgestemd op best practises.
- 3. Gedefinieerd;
  - Taken voor informatiebeveiliging zijn formeel toegewezen.
  - Er is een organisatie brede aanpak voor informatiebeveiliging en privacybescherming gebaseerd op gedocumenteerd beleid en processen.
  - De directie stelt beveiligingsdoelen en controleert of deze worden behaald.
  - De beveiligingsmaatregelen worden op basis van risicomanagement opgezet.

1

Dreigingsprofiel

2

Impact

3

Toepasselijkheid

4

Volwassenheid

5

Weerbaarheid
Weerbaarheid

Het voorkomen van incidenten op het gebied van informatiebeveiliging en privacybescherming gebeurt door het treffen van maatregelen. De volgende zes thema’s met bijbehorende maatregelen behoren tot de kern van de wettelijke eisen. Ga voor ieder thema na in hoeverre uw organisatie maatregelen treft in overeenstemming met de beschrijving en geef hiervoor een rapport cijfer van 0 (geen van deze maatregelen zijn geïmplementeerd) tot 10 (alle maatregelen zijn overeenkomstig geïmplementeerd).

1

Dreigingsprofiel

2

Impact

3

Toepasselijkheid

4

Volwassenheid

5

Weerbaarheid
Weerbaarheid
Veilig personeel (1 – 10);*
de organisatie besteed aandacht aan informatiebeveiliging en privacy bescherming in haar Human Relations Management (HRM) processen. Er is een gedocumenteerde gedragscode met verwijzing naar disciplinaire maatregelen en een geheimhoudingsovereenkomst die formeel onderdeel zijn van de arbeidsovereenkomst. Voorafgaand aan het dienstverband is er een screening en tijdens het dienstverband is er voldoende aandacht voor bewustwording, opleiding en training ten aanzien van informatiebeveiliging en privacy bescherming.
Voer een nummer in van 1 tot 10.

1

Dreigingsprofiel

2

Impact

3

Toepasselijkheid

4

Volwassenheid

5

Weerbaarheid
Weerbaarheid
Bedrijfsmiddelen (1 – 10);*
de organisatie maakt uitsluitend gebruik van persoonlijke werkstations (PC, laptop, tablet en/of smartphone) die centraal door een gespecialiseerde afdeling of service provider worden beveiligd en beheerd volgens actuele beveiliging “Best Practises”: antivirus, automatische updates, beveiligde instellingen, disc encryptie, beperkte rechten, toegangsbeheer, schermbeveiliging etc.
Voer een nummer in van 1 tot 10.

1

Dreigingsprofiel

2

Impact

3

Toepasselijkheid

4

Volwassenheid

5

Weerbaarheid
Weerbaarheid
Toegangsbeveiliging (1 – 10);*
een zo beperkt mogelijke toegang tot applicaties, systemen en diensten wordt persoonlijk en formeel toegewezen en geautoriseerd op basis van de rol van de medewerker en een gedocumenteerde autorisatietabel. De toegang wordt onmiddellijk ingetrokken na einde dienstverband of bij wijziging van de rol. De wachtwoorden zijn strikt persoonlijk en voldoen aan een beschreven wachtwoorden beleid. Het gebruik van internet diensten en SAAS applicaties verloopt via een beveiligde verbinding (HTTPS, VPN) en op basis van tweefactor authenticatie. Verhoogde privileges worden aan zo min mogelijk medewerkers uitgedeeld.
Voer een nummer in van 1 tot 10.

1

Dreigingsprofiel

2

Impact

3

Toepasselijkheid

4

Volwassenheid

5

Weerbaarheid
Weerbaarheid
Fysieke beveiliging (1 – 10);*
de locatie van de organisatie is beveiligd met gecertificeerd hang- en sluitwerk en er zijn beveiligde gebieden, ruimtes en/of kasten voor de beveiliging van bedrijfsmiddelen, media en documentatie. De locatie heeft een alarmsysteem voor inbraak en brand. Bedrijfsmiddelen en media worden aan het einde van de levensduur veilig verwijderd.
Voer een nummer in van 1 tot 10.

1

Dreigingsprofiel

2

Impact

3

Toepasselijkheid

4

Volwassenheid

5

Weerbaarheid
Weerbaarheid
Acquisitie en leveranciers relaties (1 – 10);*
informatiebeveiliging en privacy bescherming spelen een belangrijke rol bij het aangaan van leveranciersrelaties. Bij acquisitie van bedrijfsmiddelen (bv. PC’s, laptops, servers, (SAAS) applicaties) en diensten worden relevante beveiligingseisen in het selectietraject altijd meegenomen. In leveranciersovereenkomsten worden relevante beveiligingsaspecten opgenomen en indien van toepassing ook eisen voor de toeleveringsketen (de leveranciers van de leveranciers). De dienstverlening van leveranciers wordt periodiek beoordeeld en wijzigingen in de dienstverlening worden formeel afgehandeld.
Voer een nummer in van 1 tot 10.

1

Dreigingsprofiel

2

Impact

3

Toepasselijkheid

4

Volwassenheid

5

Weerbaarheid
Weerbaarheid
Incidenten beheer (1 – 10);*
er is een centraal punt waar incidenten met betrekking tot informatiebeveiliging en privacy bescherming, onder andere datalekken, gemeld kunnen worden. De incidenten worden formeel vastgelegd en procedureel afgehandeld door een daartoe aangewezen persoon die direct een oorzaakanalyse uitvoert en maatregelen treft om verdere schade te voorkomen. Deze persoon volgt ook actief (externe) bronnen waar incidenten gepubliceerd worden (leveranciers, NCSC, CERT). Corrigerende maatregelen worden genomen om herhaling te voorkomen en meldplichtige datalekken worden bij de Autoriteit Persoonsgegevens (en eventueel bij de betrokkenen) gerapporteerd.
Voer een nummer in van 1 tot 10.
Hidden
Weerbaarheid totaal*

Conclusie*
Conclusie
Graag geven we een conclusie met aanbevelingen en een passende aanpak, specifiek op maat voor uw organisatie. Welke optie past het best bij uw situatie?
- We hebben zelf de benodigde kennis op het gebied van Informatie beveiliging en de verschillende normeringen (of hier ISO27001 danwel NEN7510).
- Informatie beveiliging is belegd binnen de organisatie, maar extra kennis en capaciteit kan ons zeker helpen.
- We willen graag in een gestructureerde samenwerking naar compliance en certificering werken, met een vastgesteld budget en doorlooptijd.
- We denken na over informatie beveiliging, compliance en certificering, maar we zijn ons alleen aan het oriënteren.

Na verzending wordt uw invoer berekend en ontvangt u de uitslag binnen enkele minuten in uw mailbox.
Naam*
Voornaam Achternaam
Bedrijfsnaam*
Welk framework is voor u van belang?*
E-mailadres*

Binnen 5 minuten een risicoprofiel

Conform NEN7510 en ISO 27001

Bedrijfsrisico’s inzichtelijk zonder investering.

Voorkom risico op hoge boetes

Door specialisten in ISO, NEN en BIO

Het is niet eenvoudig om het cyber security risico precies te bepalen. Er zijn een aantal factoren die hierin meespelen:

Dreigingsprofiel: Met welke actuele dreigingen heeft deze organisatie te maken op het gebied van informatiebeveiliging en privacy bescherming.

Toepasselijkheid: De mate waarin de organisatie zelf moet zorgen voor de beveiligingsmaatregelen en beveiligingsprocessen.

Volwassenheid: Het volwassenheidsniveau van de organisatie in relatie tot security en privacy.

Weerbaarheid: Hoe goed de organisatie is beveiligd. Welke veiligheidsmaatregelen zijn reeds getroffen.

Impact: Hoe erg is het als een organisatie te maken krijgt met een beveiligings- of privacy incident?

Bereken uw bedrijfsrisico’s binnen 5 minuten

Direct berekenen

Het implementeren van ISO 27701 binnen uw organisatie.

Hoe groot is mijn cyber security risico?

Wat is de schade die ik oploop als gevolg van een cyber aanval en hoe groot is de kans dat mij dat overkomt?

Stel dat ik me beter wil gaan beveiligen of anderen eisen dat ik aan een beveiligingsnorm zoals ISO27001 of NEN7510 voldoe. Kost me dat veel tijd en moeite of kan dit relatief makkelijk uitgevoerd worden.

Dit zijn legitieme vragen in een wereld waarin de cyber aanvallen aan de orde van de dag zijn en grote schade aanrichten, en waarin certificering eisen op het gebied van informatiebeveiliging steeds vaker aan organisaties opgelegd worden.

Onderstaand een aantal opdrachtgevers van Isatis Cyber Security:

Vroeger een traject van dagen, nu een kwestie van minuten?

Om het cyber security risico en de mate van ISO27001 / NEN7510 compliance van een organisatie te bepalen zijn meerdere factoren van belang waardoor een uitgebreid onderzoek (scan) nodig is om hier in detail achter te komen. Zo’n onderzoek is gelijk een flinke investering.

Voor organisaties die zich eerst willen oriënteren is een wat minder gedetailleerd onderzoek ook voldoende.

Hierin voorziet de beveiligingscalculator. De calculator is gebaseerd op de eerder genoemde risico- en compliance factoren en maakt handig gebruik van internationaal gepubliceerde classificatie mechanismen om snel tot een resultaat te komen. Door het beantwoorden van een beperkt aantal vragen en het slim classificeren- en combineren van resultaten komt de beveiligingscalculator snel tot een goed algemeen inzicht in de situatie.

Risico calculator

Risico calculator

Stap 1 van 14

Dreigingsprofiel

Toepasselijkheid

Volwassenheid

Weerbaarheid

Impact

Dreigingsprofiel

Impact

Toepasselijkheid

Volwassenheid

Weerbaarheid

Weerbaarheid

Weerbaarheid

Weerbaarheid

Weerbaarheid

Weerbaarheid

Weerbaarheid

Conclusie

Binnen 5 minuten een risicoprofiel

Conform NEN7510 en ISO 27001

Bedrijfsrisico’s inzichtelijk zonder investering.

Voorkom risico op hoge boetes

Door specialisten in ISO, NEN en BIO

Het is niet eenvoudig om het cyber security risico precies te bepalen. Er zijn een aantal factoren die hierin meespelen:

Bereken uw bedrijfsrisico’s binnen 5 minuten

Hoe groot is mijn cyber security risico?

Onderstaand een aantal opdrachtgevers van Isatis Cyber Security:

Vroeger een traject van dagen, nu een kwestie van minuten?

Toelichting antwoorden

1. Extreem

2. Groot

3. Aanzienlijk

4. Gering

Verschillende vormen van schade

1. Beschikbaarheid

2. Integriteit

3. Vertrouwelijkheid

Door deze incidenten kunnen verschillende vormen van schade ontstaan.