Cyberweerbaarheidstoets MKB

InformationSecure.nl wil door middel van advies een bijdrage leveren aan het cyberveiliger maken van Nederland. In verschillende artikelen op deze site wordt dit uitgewerkt.

In dit artikel laten we een cyberweerbaarheidstoets MKB zien. Wat zijn de belangrijkste punten om rekening te houden bij het verhogen van cyberweerbaarheid in uw bedrijf? Deze toets is een zelftoets welke kan worden doorgelopen. In het plaatje onder deze tekst is een voorbeeld geplaatst waarbij elke vraag met groen, oranje of rood wordt beantwoord. Wanneer de toets geen 100% score heeft dan is er nog werk aan de winkel om de cyberweerbaarheid van uw bedrijf te verhogen.

Indien u uitleg of hulp nodig heeft neem dan contact met ons op.

De cyberweerbaarheidstoets MKB

1. Is er een up-to-date informatiebeveiligingsbeleid opgesteld en geïmplementeerd in overeenstemming met de ISO27001:2022 norm?
2. Zijn er procedures voor de identificatie, beoordeling en behandeling van informatiebeveiligingsrisico’s?
3. Wordt er regelmatig een risicobeoordeling uitgevoerd om kwetsbaarheden in de IT-systemen en processen te identificeren?
4. Is er een incidentresponsplan opgesteld en getest om adequaat te kunnen reageren op beveiligingsincidenten?
5. Wordt er regelmatig training en bewustwording gegeven aan medewerkers over informatiebeveiliging en privacy?
6. Is er een systeem voor het beheren van toegangsrechten en worden gebruikersaccounts regelmatig gecontroleerd en geüpdatet?
7. Worden er regelmatig back-ups gemaakt van belangrijke bedrijfsgegevens en zijn deze op een veilige locatie opgeslagen?
8. Worden kwetsbaarheden in IT-systemen en software regelmatig gepatcht en geüpdatet om bekende beveiligingslekken te dichten?
9. Worden mobiele apparaten, zoals smartphones en tablets, beheerd met passende beveiligingsmaatregelen, zoals encryptie en wachtwoordbeleid?
10. Worden externe leveranciers en partners beoordeeld op hun informatiebeveiligingsmaatregelen voordat ze toegang krijgen tot bedrijfssystemen of data?
11. Is er een duidelijk beleid voor het gebruik van cloud-diensten en worden deze diensten regelmatig gecontroleerd op beveiligingsmaatregelen?
12. Worden netwerkbeveiligingsmaatregelen, zoals firewalls en intrusion detection/prevention systems (IDS/IPS), gebruikt om ongeautoriseerde toegang te voorkomen?
13. Wordt er regelmatig logbestanden gecontroleerd op verdachte activiteiten of inbreuken op de informatiebeveiliging?
14. Zijn fysieke beveiligingsmaatregelen, zoals toegangscontrole en cameratoezicht, geïmplementeerd om onbevoegde toegang tot bedrijfsruimten te voorkomen?
15. Wordt er gebruik gemaakt van versleutelingstechnieken voor het beschermen van vertrouwelijke informatie, zoals klantgegevens en financiële gegevens?
16. Wordt er regelmatig een penetratietest of vulnerabilityscans uitgevoerd om de beveiliging van systemen en applicaties te testen op kwetsbaarheden en zwakke punten?
17. Wordt de informatiebeveiligingsstatus regelmatig gerapporteerd aan het management en wordt hierop actie ondernomen?
18. Is er een business continuity & disaster recovery plan opgesteld om te kunnen omgaan met noodsituaties en de continuïteit van de bedrijfsvoering te waarborgen?
19. Worden er regelmatige cyberweerbaarheid oefeningen uitgevoerd waarbij aanvallen, incidenten worden geoefend?
20. Wordt er regelmatig een evaluatie uitgevoerd van de effectiviteit van de informatiebeveiligingsmaatregelen en worden verbeteringen doorgevoerd waar nodig?

Zie onderstaande plaatje. De file is gratis te downloaden via InformationSecure.nl