Cybersecurity checklist

Doe de gratis scan

Hoe staat het met jouw cybersecurity? Ben je goed bezig of loop je risico’s? Beantwoord de onderstaande vragen en wij mailen je een rapportage op maat, waardoor je meteen weet of je in actie moet komen of rustig kunt slapen. Het invullen duurt ongeveer 10 minuten.

Beantwoord onderstaande vragen

Stap 1 van 5

20%

1. Binnen mijn verantwoordelijkheidsgebied werkt het volgende aantal medewerkers: (hoe groter de organisatie, des te aannemelijker is het dat er personeel is dat de gelegenheid of zelfs taak heeft om naar informatiebeveiliging te kijken)(Vereist)

Weet niet

N.v.t.

<10

<25

<50

<100

>100

2. De gemiddelde jaaromzet van mijn onderneming is: (hoe hoger de jaaromzet, des te aannemelijker is het dat er budget kan worden vrijgemaakt voor informatiebeveiliging)(Vereist)

Weet niet

N.v.t.

<1 M

<5 M

<10 M

<15 M

>15 M

3. Mijn onderneming is actief in de volgende bedrijfstak(Vereist)

(zie https://www.ncsc.nl/over-ncsc/wettelijke-taak/wat-gaat-de-nis2-richtlijn-betekenen-voor-uw-organisatie/samenvatting-nis2-richtlijn)

4. De volwassenheid van mijn onderneming schat ik volgens CMM (https://nl.wikipedia.org/wiki/Capability_Maturity_Model) in als:(Vereist)

Weet niet

N.v.t.

Ad-hoc

Beheerst

Gestandaardiseerd

Gemonitord

Geoptimaliseerd

(Hoe hoger de volwassenheid van de organisatie, des te aannemelijker is het dat ze processen - o.a. voor informatiebeveiliging - op orde hebben)

5. Mijn onderneming verwerkt de volgende soorten gegevens(Vereist)

Weet niet

N.v.t.

Bijzondere persoonsgegevens

Financiële persoonsgegevens

Algemene persoonsgegevens

Anders

(zie https://www.autoriteitpersoonsgegevens.nl/themas/basis-avg/privacy-en-persoonsgegevens/wat-zijn-persoonsgegevens#bijzondere-persoonsgegevens) (Bijzondere en algemene persoonsgegevens moeten volgens de AVG afdoende beveiligd zijn tegen uitlekken)

6. In mijn onderneming is tenminste één medewerker belast met uitvoering en opvolging van beleid m.b.t. de Algemene Verordening Gegevensbescherming (AVG)(Vereist)

Weet niet

N.v.t.

Helemaal mee oneens

Mee oneens

Niet oneens of mee eens

Mee eens

Helemaal mee eens

(zie https://www.autoriteitpersoonsgegevens.nl/themas/basis-avg/avg-algemeen/de-avg-in-het-kort) (Dit kan een part-time functie, nevenfunctie of uitbestede functie zijn)

7. Onze onderneming heeft een IT beveiligingsbeleid dat met regelmaat onder de aandacht wordt gebracht bij al onze medewerkers(Vereist)

Weet niet

N.v.t.

Helemaal mee oneens

Mee oneens

Niet oneens of mee eens

Mee eens

Helemaal mee eens

(Het hebben van een geregistreerd en bekend informatiebeveiligingsbeleid is fundamenteel voor de uitvoering van informatiebeveiliging)

8. Mijn onderneming is maar in beperkte mate afhankelijk van onze leveranciers voor wat betreft operationele zaken(Vereist)

Weet niet

N.v.t.

Helemaal mee oneens

Mee oneens

Niet oneens of mee eens

Mee eens

Helemaal mee eens

(Stel dat een of meerdere leveranciers uitvallen door bijv. cyberaanvallen, hoe lang kan uw onderneming dan voortbestaan?)

9. Mijn onderneming is maar in beperkte mate afhankelijk van onze IT leverancier(s)(Vereist)

Weet niet

N.v.t.

Helemaal mee oneens

Mee oneens

Niet oneens of mee eens

Mee eens

Helemaal mee eens

(U kunt volledig afhankelijk zijn van uw IT dienstverlener als u bijv. uw IT volledig hebt uitbesteed)

10. Mijn onderneming kan enige tijd functioneren zonder IT, bijv. door op papier fakturen te registreren(Vereist)

Weet niet

N.v.t.

Helemaal mee oneens

Mee oneens

Niet oneens of mee eens

Mee eens

Helemaal mee eens

(Dit staat los van de vorige vraag, die gaat over LEVERANCIERS, deze vraag gaat over uw primaire proces)

11. Onze mobiele apparatuur (laptops, telefoons) worden centraal beheerd en zijn volgens bedrijfsstandaarden beveiligd(Vereist)

Weet niet

n.v.t.

Helemaal mee oneens

Mee oneens

Niet oneens of mee eens

Mee eens

Helemaal mee eens

(Mogelijk worden deze "standaarden" afgedwongen door uw IT leverancier(s) of ze worden in uw eigen informatiebeveiligingsbeleid geformuleerd)

12. In de selectie van onze leveranciers wordt rekening gehouden met hun informatiebeveiligingsbeleid(Vereist)

Weet niet

n.v.t.

Helemaal mee oneens

Mee oneens

Niet oneens of mee eens

Mee eens

Helemaal mee eens

(Als opdrachtgever is het van belang dat u niet wordt aangevallen via de kwetsbaarheden van uw leveranciers)

13. Onze leveranciers worden jaarlijks beoordeeld op hun prestaties o.a. op basis van hun rapportages(Vereist)

Weet niet

n.v.t.

Helemaal mee oneens

Mee oneens

Niet oneens of mee eens

Mee eens

Helemaal mee eens

(Hun prestaties kunnen worden beoordeeld op basis van - regelmatige - gesprekken en/of de rapportages die ze opleveren t.a.v. hun prestaties, zodat u waar voor uw geld krijgt)

14. De verschillende bedreigingen voor mijn onderneming worden regelmatig geanalyseerd en treffende maatregelen zijn genomen(Vereist)

Weet niet

n.v.t.

Helemaal mee oneens

Mee oneens

Niet oneens of mee eens

Mee eens

Helemaal mee eens

(Beter voorkomen dan genezen! Dus van tevoren al een afweging maken waar de risico's liggen en daar passende maatregelen tegen treffen is beter dan afwachten)

15. De effectiviteit van genomen maatregelen wordt regelmatig geëvalueerd en maatregelen worden desnoods aangepast(Vereist)

Weet niet

n.v.t.

Helemaal mee oneens

Mee oneens

Niet oneens of mee eens

Mee eens

Helemaal mee eens

(Meten is weten! Door te evalueren en bij te sturen kunt u maatregelen/processen verbeteren)

16. Mijn onderneming is niet afhankelijk van inhuurkrachten, stagiaires en/of leerlingen(Vereist)

Weet niet

n.v.t.

Helemaal mee oneens

Mee oneens

Niet oneens of mee eens

Mee eens

Helemaal mee eens

(Het is beter om voor de primaire processen niet afhankelijk te zijn van inhuurkrachten, maar in te zetten op vaste krachten die goed zijn opgeleid)

17. Het gemiddelde personeelsverloop in mijn onderneming is over het algemeen laag(Vereist)

Weet niet

n.v.t.

Helemaal mee oneens

Mee oneens

Niet oneens of mee eens

Mee eens

Helemaal mee eens

(Waardoor kennis en kunde bewaard blijft en de kans op fouten afneemt)

18. In mijn onderneming hebben alle medewerkers het vereiste opleidingsniveau en/of kennis(Vereist)

Weet niet

n.v.t.

Helemaal mee oneens

Mee oneens

Niet oneens of mee eens

Mee eens

Helemaal mee eens

(Waardoor de kans op fouten en herstelkosten fors wordt verminderd)

19. In mijn onderneming organiseren we regelmatig training en activiteiten op het gebied van Security Awareness(Vereist)

Weet niet

n.v.t.

Helemaal mee oneens

Mee oneens

Niet oneens of mee eens

Mee eens

Helemaal mee eens

(Het percentage van succesvolle cyberaanvallen via bijv. phishing is zonder meer fors te noemen, dus door medewerkers bewust te maken van de gevaren neemt het risico af)

20. Security Awareness trainingen zijn verplicht voor alle medewerkers(Vereist)

Weet niet

n.v.t.

Helemaal mee oneens

Mee oneens

Niet oneens of mee eens

Mee eens

Helemaal mee eens

(Deze trainingen dienen te worden herhaald, het liefst in een specifiek programma, en door iedereen te worden bijgewoond om efficiënt te zijn)

21. Het aandeel van investeringen in IT beveiligingsmaatregelen (als percentage van het totale IT budget) is:(Vereist)

Weet niet

N.v.t.

Heel klein

Klein

Middelmatig

Groot

Heel groot

(Dit is een indicatie van hoe serieus uw onderneming is in het actief verlagen van cyberrisico's)

22. Het aandeel van investeringen in IT opleidingen als percentage van het opleidingsbudget is:(Vereist)

Weet niet

N.v.t.

Heel klein

Klein

Middelmatig

Groot

Heel groot

(Om het risico op fouten en gerelateerde herstelkosten te beperken)

23. In mijn onderneming zijn er medewerkers specifiek verantwoordelijk voor het beheer van wijzigingen(Vereist)

Weet niet

n.v.t.

Helemaal mee oneens

Mee oneens

Niet oneens of mee eens

Mee eens

Helemaal mee eens

(Ongecontroleerde wijzigingen aan hardware, software of configuraties is een grote bron van kwetsbaarheden en risico's op het gebied van beveiliging en continuïteit)

24. In mijn onderneming zijn er medewerkers specifiek verantwoordelijk voor informatiebeveiliging(Vereist)

Weet niet

n.v.t.

Helemaal mee oneens

Mee oneens

Niet oneens of mee eens

Mee eens

Helemaal mee eens

(Als er specifieke beveiligingstaken zijn ingericht voor medewerkers, is de kans op efficiënte beveiligingsmaatregelen navenant groter)

25. De essentiele applicaties in mijn onderneming zijn ondergebracht in de Cloud(Vereist)

Weet niet

n.v.t.

Helemaal mee oneens

Mee oneens

Niet oneens of mee eens

Mee eens

Helemaal mee eens

(Cloud omgevingen zijn over het algemeen gecentraliseerd en ingericht met het oog op beveiliging. Wees wel alert op de abonnementspecifieke eigen verantwoordelijkheden https://learn.microsoft.com/nl-nl/azure/security/fundamentals/shared-responsibility#division-of-responsibility)

26. In mijn onderneming gebruiken we de volgende soorten software:(Vereist)

Weet niet

N.v.t.

Eigen ontwikkeling

Maatwerk

Een mix

Commercieel beschikbaar

(Voor eigen software of maatwerk moeten meer controlemaatregelen worden genomen dan voor commercieel beschikbare software welke door leveranciers en andere gebruikers wordt getest)

27. In mijn onderneming zijn alle IT componenten onderhevig aan wijzigingsbeleid en -registratie, formele standaarden en richtlijnen(Vereist)

Weet niet

n.v.t.

Helemaal mee oneens

Mee oneens

Niet oneens of mee eens

Mee eens

Helemaal mee eens

(Voldoende controle over componenten, zoals servers, routers, firewalls etc. is essentieel om een voldoend beveiligingsniveau te kunnen garanderen)

28. Alle gebruikersrechten worden vastgelegd in rollen en/of groepen en daar is een duidelijk overzicht van(Vereist)

Weet niet

n.v.t.

Helemaal mee oneens

Mee oneens

Niet oneens of mee eens

Mee eens

Helemaal mee eens

(Rechten moeten aan rollen worden bedeeld en in deze rollen zitten personen. De makkelijkste methode om dit vast te leggen is een matrix)

29. De gebruikersrechten worden met regelmaat geëvalueerd en waar nodig aangepast(Vereist)

Weet niet

n.v.t.

Helemaal mee oneens

Mee oneens

Niet oneens of mee eens

Mee eens

Helemaal mee eens

(Naast het vastleggen van rollen en rechten, moet het overzicht actueel worden gehouden)

30. Alle belangrijke acties en veranderingen (bijv. van gebruikersprivileges) worden door de systemen gelogd (z.g. audit-bestanden)(Vereist)

Weet niet

n.v.t.

Helemaal mee oneens

Mee oneens

Niet oneens of mee eens

Mee eens

Helemaal mee eens

(Aanvallers zullen als eerste proberen om hogere rechten te bemachtigen en dit kan alleen worden opgemerkt als logs worden bijgehouden en geanalyseerd)

31. Verdachte gebeurtenissen in de systeemlogs worden gesignaleerd, geëvalueerd en gerapporteerd(Vereist)

Weet niet

n.v.t.

Helemaal mee oneens

Mee oneens

Niet oneens of mee eens

Mee eens

Helemaal mee eens

(Naast veranderingen aan gebruikerprivileges, kunnen ook verdachte transacties of inlogtijden worden gevonden en gerapporteerd)

32. In mijn onderneming zijn de kritieke IT componenten (hardware, software, databases etc.) bekend en geregistreerd(Vereist)

Weet niet

n.v.t.

Helemaal mee oneens

Mee oneens

Niet oneens of mee eens

Mee eens

Helemaal mee eens

(Als de z.g. "kroonjuwelen" bekend zijn, dan kunnen er toepasselijke maatregelen worden genomen om ze te beschermen)

33. Leveranciers, klanten of andere noodzakelijke buitenstaanders hebben geen of anders een sterk gecontroleerde toegang tot de omgeving(Vereist)

Weet niet

n.v.t.

Helemaal mee oneens

Mee oneens

Niet oneens of mee eens

Mee eens

Helemaal mee eens

(Soms is het noodzakelijk voor de -IT - leverancier om op uw netwerk in te loggen voor bijv. het verlenen van ondersteuning. Dit moet dan wel veilig gebeuren)

34. In mijn onderneming zijn alle communicatie en gegevensopslag versleuteld en gebruiken we 2-factor authenticatie om in te loggen(Vereist)

Weet niet

n.v.t.

Helemaal mee oneens

Mee oneens

Niet oneens of mee eens

Mee eens

Helemaal mee eens

(Vooral opslag van servers en laptops kan het best worden versleuteld op hardware niveau en voor het inloggen een 2e factor zoals een code op mobiele app)

35. Updates en patches aan software worden nauwgezet geïnstalleerd en hierover ontvang ik rapportage(Vereist)

Weet niet

n.v.t.

Helemaal mee oneens

Mee oneens

Niet oneens of mee eens

Mee eens

Helemaal mee eens

(Ter voorkoming van misbruik van kwetsbaarheden in software is het essentieel dat software updates zo snel mogelijk na het uitkomen van een z.g. "patch" worden uitgevoerd)

36. Niet gebruikte apparatuur met opslagcapaciteiten wordt volgens een gedefinieerd proces afgevoerd en onbruikbaar gemaakt(Vereist)

Weet niet

n.v.t.

Helemaal mee oneens

Mee oneens

Niet oneens of mee eens

Mee eens

Helemaal mee eens

(Ongebruikte laptops of andere IT apparatuur, kunnen gegevens bevatten die op straat terecht komen als ze niet grondig worden verwijderd)

37. Er worden regelmatig beveiligingstests uitgevoerd op verschillende IT onderdelen en waar nodig wordt actie ondernomen en gerapporteerd(Vereist)

Weet niet

n.v.t.

Helemaal mee oneens

Mee oneens

Niet oneens of mee eens

Mee eens

Helemaal mee eens

(Beveiligingstests worden uitgevoerd door onafhankelijke experts en hun rapportage is onmisbaar om de IT omgeving afdoende te beveiligen)

38. De benodigde hersteltijd van individuele (IT) componenten na een (beveiligings)incident is gedefiniëerd(Vereist)

Weet niet

n.v.t.

Helemaal mee oneens

Mee oneens

Niet oneens of mee eens

Mee eens

Helemaal mee eens

(Met name van kritische componenten moet bekend zijn hoe lang het duurt voor ze vervangen/gerepareerd zijn en of de tijd die ermee gemoeid is moet acceptabel zijn)

39. Er zijn afdoende maatregelen zijn genomen om na een calamiteit, IT of anderszins, zo snel mogelijk weer operationeel te zijn en dat wordt ook getest(Vereist)

Weet niet

n.v.t.

Helemaal mee oneens

Mee oneens

Niet oneens of mee eens

Mee eens

Helemaal mee eens

(Naast belangrijke IT componenten, kan bijv. ook een bedrijfshal of kantoor van het hoogste belang zijn voor de continuïteit)

40. Er is een backupschema overeenkomstig de crucialiteit van systemen en restores worden regelmatig getest(Vereist)

Weet niet

n.v.t.

Helemaal mee oneens

Mee oneens

Niet oneens of mee eens

Mee eens

Helemaal mee eens

(Het backup schema houdt rekening met de benodigde/acceptabele hersteltijd van systemen en gegevens en moet voor de zekerheid worden getest)

Dit waren alle vragen. We willen alleen nog weten wie jij bent, zodat we de resultaten van de scan met je kunnen delen.

Naam(Vereist)

Voornaam Achternaam

E-mailadres(Vereist)

Telefoonnummer

Ik wil nog het volgende kwijt

Wilt u een gesprek met ons?(Vereist)

Nee

Akkoordverklaring(Vereist)

Met het versturen van dit formulier ga ik akkoord met het verwerken van mijn gegevens conform de algemene voorwaarden van 4you.

Cybersecurity checklist

Doe de gratis scan

Beantwoord onderstaande vragen

Bel of mail ons

Kom langs

Volg ons