Onderdeel van FORTEZZA Groep

  070 327 7281  sales@fortezza-groep.nl

CIS Controls gap-analyse:

weet waar je staat als het gaat om informatiebeveiliging

In de afgelopen jaren is het aantal beveiligingsincidenten met 400 procent toegenomen. Niet zo gek. Organisaties werken najouw samen met leveranciers, implementeren slimme apparaten en sensoren, en hebben te maken met gevoelige persoonsgegevens. Hieruit vloeien weer risico’s voort op het gebied van digitale beveiliging. Weet je trouwens hoe kwetsbaar jouw organisatie op dit moment is voor ransomware, malware, of hacks? Het is goed om regelmatig te polsen wat de securityrisico’s zijn voor jouw organisatie, zeker omdat een IT-omgeving regelmatig verandert. Het CIS Control Framework, inclusief gap-analyse, biedt hiervoor een pragmatische aanpak.

Wat is het CIS Controls Framework?

CIS staat voor Center for Internet Security, een non-profit organisatie die verschillende controls heeft opgesteld voor het beveiligen van IT-systemen en data. Dit zijn praktische maatregelen om informatiebeveiliging op een optimale manier in te voeren én te borgen. Deze 18 CIS Controls (en 170 subcontrols) zijn uitgegroeid tot een internationale standaard. Verder zijn er drie implementatiegroepen te onderscheiden, gebaseerd op het risicoprofiel van een organisatie en de beschikbare resources:

  • IG1 – minimale standaard van cybersecurity, 56 essentiële maatregelen (subcontrols).
  • IG2 – bojouwt verder op de controls uit IG1.
  • IG3 – complete set aan maatregelen.

Een bank heeft bijvoorbeeld een ander risicoprofiel en behoort daardoor tot een andere implementatiegroep dan een retailer of mkb-bedrijf. Het CIS Controls Framework is een praktische methodiek om betaalbaar en in relatief korte periode de risico’s voor een organisatie te ontdekken en de juiste maatregelen te treffen.

 
Lees meer over al onze diensten
Baboelal Prewien on white

Meer weten?
Bel met Prewien Baboelal
+31 (0) 655 784 683

Gap-analyse om informatiebeveiligingsrisico’s te ontdekken

Het kan lastig zijn om zelf aan de slag te gaan met het CIS Controls Framework. Voldoe je nu wel of niet aan de vereisten van een control? Het framework is redelijk zwart-wit. Als je niet 100% scoort op bijvoorbeeld de control ‘data protection’ of ‘account (user) management’, dan voldoe je niet aan die maatregel. Bovendien is het goed om een onafhankelijke evaluatie te doen, zodat je een objectieve blik krijgt van de huidige risico’s voor jouw organisatie.

Als we voor onze klanten aan de slag gaan met een analyse van hun digitale beveiliging, dan starten we met een gap-analyse. We inventariseren werkprocessen, de technologieën die binnen een organisatie worden gebruikt, en onderzoeken hoe het ervoor staat met de security awareness van medewerkers. Afhankelijk van de implementatiegroep (IG1, IG2, of IG3) bekijken we de onderdelen die het belangrijkst zijn om het minimale beveiligingsniveau van die implementatiegroep te behalen. Na deze gap-analyse is het duidelijk waar zich de risico’s bevinden, wat de veiligheidseisen zijn en wat er nog moet gebeuren om aan die eisen te voldoen.

Onze aanpak CIS Controls Gap-analyse

Aandachtspunten voor een goede basis van cybersecurity richten zich onder andere op het tijdig patchen van software, het trainen van het veiligheidsbewustzijn van medewerkers, het maken van back-ups, het toewijzen van de juiste rollen en rechten, en het versleutelen van gevoelige informatie. Wat er precies nodig is voor jouw organisatie en wat de status is van deze beveiligingsmaatregelen, ontdekken we met de gap-analyse. Die ziet er als volgt uit:

  1. Kick-off. We bespreken wat een gap-analyse precies inhoudt, inclusief de scope en het doel ervan. Ook bepalen we tot welke implementatiegroep jouw organisatie behoort om de juiste controls mee te nemen in onze analyse.
  2. Inventarisatie. We gaan in gesprek met verschillende betrokkenen, zoals medewerkers die verantwoordelijk zijn voor HR, IT, finance en legal, om relevante informatie op te halen.
  3. Rapportage. U krijgt een helder overzicht van de huidige en gewenste situatie, welke risico’s er bestaan en hoe u die het beste kunt beperken. Hierbij geven we aan welke risico’s de hoogste prioriteit hebben, zodat u direct maatregelen kunt toepassen. U ontvangt van ons een rapportage en een mondelinge toelichting op onze bevindingen.

Vaak trekken we de gap-analyse breder dan alleen de technologieën, waarop het CIS Control Framework is gericht. We kijken ook naar de factoren mens, proces en beleid, nemen het Capability Maturity Model (CMM) als benchmark en beschouwen de resultaten eveneens vanuit het NIST-framework. Zo ontstaat er een volledig beeld in hoeverre je in control kunt komen wat betreft jouw weerbaarheid op cybersecurityvlak. Verder is het mogelijk om een prioriteitenroadmap op te stellen waarmee je reële en concrete handvatten krijgt om dit gefaseerd en gebudgetteerd te realiseren.

Ik wil een GAP-analyse

CIS Controls gap-analyse voor informatiebeveiliging

Of je nu het CIS Controls Framework gebruikt of een andere methodiek: het is belangrijk dat je regelmatig checkt hoe het ervoor staat met jouw digitale beveiliging. Het doel is natuurlijk dat je zo veilig mogelijk wilt werken en jouw informatie wilt beschermen tegen onbevoegden. Maar daarvoor moet je wel eerst weten waar voor jouw organisatie de risico’s zitten. En dat ontdek je met de gap-analyse.

Vervolgens is het natuurlijk belangrijk om de digitale beveiliging van jouw organisatie te borgen en de juiste maatregelen te implementeren. Bij Fortezza hebben we niet alleen cyberspecialisten die jouw huidige situatie grondig kunnen analyseren, maar die ook direct actie kunnen ondernemen om jouw beveiligingsniveau te verbeteren. Zo pakt u direct de kwetsbaarheden aan en bojouwt u aan een veilige organisatie en IT-infrastructuur.

Aan de slag met het ontdekken van digitale kwetsbaarheden voor jouw organisatie? We helpen u graag verder. Neem vrijblijvend contact op.

Andere kennisartikelen

Windows 11 en Cybersecurity: Hoe je veilig overstapt naar een nieuw besturingssysteem

10-03-2025

Windows 11 en Cybersecurity: Hoe je veilig overstapt naar een nieuw besturingssysteem Op 14 oktober 2025 stopt Microsoft met de ondersteuning voor Windows 10. Dit betekent dat er geen updates, technische ondersteuning of beveiligingsfixes meer worden aangeboden. Hierdoor wordt het systeem kwetsbaarder voor cyberdreigingen. Een overstap naar Windows 11 is daarom belangrijk, maar hoe zorg je ervoor dat dit veilig gebeurt? Het antwoord ligt in een goede voorbereiding en extra

Lees meer »

Hoe Fortezza een organisatie hielp bij het versterken van hun cybersecurity

10-02-2025

Hoe Fortezza een organisatie hielp bij het versterken van hun cybersecurity Cyberdreigingen worden steeds geavanceerder, en organisaties staan voor de uitdaging om hun digitale weerbaarheid te vergroten tegen mogelijke aanvallen. Onlangs hielp Fortezza een klant, actief in de grafische industrie, met een doordachte aanpak om hun cybersecurity naar een hoger niveau te tillen. In deze klantcasus delen we hoe ons team dit heeft aangepakt, welke uitdagingen zich voortdeden en wat

Lees meer »
Niejouwe wetgeving Europa

NIS2 Board Room Training: Concrete voordelen voor uw organisatie

23-09-2024

NIS2 Board Room Training: Concrete voordelen voor uw organisatie In het snel veranderende digitale landschap is cybersecurity een strategische prioriteit geworden die directe aandacht van het bestuur vereist. De nieuwe NIS2-richtlijn onderstreept dit door specifieke opleidingseisen voor bestuursleden van essentiële en belangrijke entiteiten te introduceren. Onze NIS2 Board Room Training biedt concrete voordelen die uw organisatie helpen om niet alleen te voldoen aan de wettelijke eisen, maar ook om sterker

Lees meer »
Bekijk meer

Onze cybersecuritydiensten

Je ziet het: we leveren uiteenlopende diensten om jouw digitale beveiliging op orde te krijgen en te houden. Je kunt ons benaderen voor:

CISO as a Service: In het huidige, snel veranderende IT-landschap is het essentieel om de juiste strategische beslissingen te nemen op het gebied van informatiebeveiliging. Onze CISO as a Service biedt jou een ervaren Chief Information Security Officer die jouw organisatie helpt met het ontwikkelen, implementeren en handhaven van een effectieve informatiebeveiligingsstrategie. Deze service is gericht op het beschermen van jouw gevoelige data, het beheren van risico’s en het waarborgen van compliance, zodat jouw organisatie zowel veilig als in lijn met de laatste regelgeving opereert.

Managed Vulnerability Scanning Service: In een wereld waar digitale dreigingen continu evolueren, is het van cruciaal belang om proactief kwetsbaarheden in jouw netwerken, systemen en applicaties op te sporen. Onze Managed Vulnerability Scanning Service biedt jou een uitgebreide en gestructureerde aanpak voor het identificeren en mitigeren van cybersecurity-risico’s. Deze service is ontworpen om moderne organisaties te ondersteunen in het naleven van wet- en regelgeving en biedt best practices op het gebied van cybersecurity. Door regelmatig en systematisch te scannen, helpen we jou de veiligheid van jouw IT-omgeving te waarborgen en te anticiperen op mogelijke beveiligingsuitdagingen.

Vertrouw op onze expertise om jouw digitale beveiliging niet alleen op orde te krijgen, maar ook te houden in een voortdurend veranderende digitale wereld.

Aan de slag met cybersecurity

Je kunt bouwen op ons onafhankelijke advies en onze consultancydiensten en met een gerust hart (een deel van) jouw digitale beveiliging aan ons overlaten. Heb je vragen over wat onze securityspecialisten voor je kunnen betekenen? Neem gerust contact op.

Contact
Contact