Security Self Assessment

AssA ofwel ADD security self Assessment is een gratis online methode om eenvoudig te zien wat het niveau van de IT beveiliging van uw organisatie of bedrijf is.Deze test bestaat uit een aantal eenvoudige ja/neen-vragen en een korte, passieve* technische test van de veiligheid van uw organisatie. Na het doorlopen van de test krijgt u een volledig rapport toegestuurd met een stand van zaken van uw globaal ICT beveiligingsniveau en een aantal tips over hoe u de overall beveiliging van uw omgeving kan verbeteren.* Passieve test betekent dat uw infrastructuur op geen enkele manier actief getest of aangevallen gaat worden maar wij op basis van publiek opvraagbare, normale internetverkeer gaan testen.
Evalueert u hoe gevoelig de informatie in uw bedrijf is?
Zijn uw gevoelige gegevens geïdentificeerd en geclassificeerd?
Bent u zich bewust van uw verantwoordelijkheid met betrekking tot de geïdentificeerde gevoelige gegevens?
Zijn de meest gevoelige gegevens extra beveiligd of versleuteld?
Is het beheer van persoonlijke privégegevens onderhevig aan specifieke procedures?
Zijn alle medewerkers in staat om gevoelige en niet-gevoelige data te identificeren en correct te beveiligen?
Voert u risco-evaluaties uit voor informatieveiligheid?
Pakt u de resultaten over de kwetsbaarheid aan, te beginnen bij de hoge risico’s, en vervolgens de lagere?
Zijn gebeurtenissen die de bedrijfsprocessen kunnen onderbreken geïdentificeerd en werd de impact van de potentiële bijbehorende onderbrekingen ingeschat?
Beschikt u over een recent plan voor bedrijfscontinuïteit dat werd getest en regelmatig wordt bijgewerkt?
Voert u regelmatig een risico-evaluatie uit om het vereiste niveau van bescherming voor de data en de informatie aan te passen?
Identificeert u de mogelijke risico’s in uw bedrijfsprocessen om verstoringen bij de gegevensverwerking of opzettelijk misbruik te voorkomen?
Op welk niveau wordt het beheer informatie veiligheid toegepast?
Voorziet de raad van bestuur een budget voor informatieveiligheid?
Maakt informatieveiligheid deel uit van het bestaande risicobeheerspraktijken van de bestuurders?
Keurt de directie het beleid van het bedrijf rond informatieveiligheid goed en communiceert het dit op gepaste wijze aan de medewerkers?
Worden de raad van bestuur en de directie regelmatig geïnformeerd over de laatste ontwikkelingen op het vlak van beleid, normen, procedures en richtlijnen rond informatieveiligheid?
Maakt ten minste één kaderlid deel uit van de managementstructuur die verantwoordelijk is voor de beveiliging van gegevens en van de bescherming van persoonlijke informatie?
Beschikt uw bedrijf over een informatie veiligheidsteam of een specifieke informatieveiligheidsfunctie?
Is er een erkende informatieveiligheidsspecialist of een bevoegd team dat de kennis in het bedrijf coördineert en de directie assisteert bij het beslissingsproces?
Is de aangeduide informatieveiligheidsspecialist of het bevoegde team verantwoordelijk voor het evalueren en systematisch bijwerken van het beleid rond informatieveiligheid gebaseerd op belangrijke veranderingen of incidenten?
Worden de haalbaarheid en de doeltreffendheid van het beleid rond informatieveiligheid en de efficiëntie van het informatieveiligheidsteam regelmatig geëvalueerd door een onafhankelijk orgaan?
Heeft de aangeduide informatieveiligheidsspecialist of het bevoegde team voldoende zichtbaarheid en ondersteuning om te interveniëren bij elk initiatief rond informatie(veiligheid) binnen het bedrijf?
Zijn verschillende managers verantwoordelijk voor verschillende soorten data?
Hoe behandelt uw bedrijf de risico's voor informatieveiligheid die gepaard gaan met leveranciers die toegang hebben tot uw gevoelige informatie?
Worden aannemers en leveranciers geïdentificeerd met een ID-badge met een recente foto?
Beschikt u over beleidslijnen voor achtergrondcontroles voor aannemers en leveranciers?
Wordt de toegang tot de gebouwen en informatiesystemen automatisch ingetrokken wanneer de opdracht van een aannemer of leverancier afloopt?
Weten leveranciers hoe en aan wie ze verlies of diefstal van informatie onmiddellijk moeten melden binnen uw bedrijf?
Zorgt uw bedrijf ervoor dat leveranciers hun software en toepassingen bijwerken met beveiligingspatches?
Evalueert uw bedrijf regelmatig de computer- en netwerkbeveiliging?
Beschikt u over procedures om menselijke dreigingen voor uw informatiesystemen (bv. oneerlijkheid, social engineering en misbruik van vertrouwen) te evalueren?
Vraagt uw bedrijf rapporten van veiligheidsaudits aan zijn aanbieders van informatiediensten?
Wordt het nut van elk type opgeslagen gegevens ook geëvalueerd tijdens de veiligheidsaudits?
Voert u een audit van uw informatieprocessen en -procedures uit met het oog op de naleving van de andere bestaande beleidslijnen en normen binnen het bedrijf?
Test u regelmatig en registreert u de geïdentificeerde dreigingen?
Evalueert uw bedrijf potentiëleinformatieveiligheidsrisico's bij het introduceren van nieuwe technologieën?
Wanneer u overweegt om nieuwe technologieën te implementeren, evalueert u dan hun potentiële impact op het bestaande beleid voor informatieveiligheid?
Neemt u beschermende maatregelen om het risico bij de implementatie van nieuwe technologieën te beperken?
Zijn de processen voor het implementeren van nieuwe technologieën gedocumenteerd?
Kan uw bedrijf bij de implementatie van nieuwe technologieën beroep doen op partnerschappen voor gezamenlijke inspanningen en voor het delen van kritieke beveiligingsinformatie?
Wordt het informatieveiligheidsbeleid van uw bedrijf vaak gezien als een belemmering voor technologische opportuniteiten?
Is informatieveiligheid aanwezig in uw bedrijf?
Zijn sommige bewustmakingssessies over informatieveiligheid aangepast aan de activiteiten van de medewerkers?
Worden de medewerkers opgeleid om alert te zijn voor hiaten in de informatieveiligheid?
Beschikt uw bedrijf over richtlijnen voor gebruikers om zwakke punten of bedreigingen bij de beveiliging van systemen of diensten te rapporteren?
Weten medewerkers hoe ze gegevens van kredietkaarten en persoonsgegevens correct moeten beheren?
Krijgen externe gebruikers (indien relevant) ook een gepaste opleiding over informatieveiligheid en regelmatige updates van de beleidslijnen en procedures binnen de organisatie?
Hoe gebruikt u wachtwoorden binnen uw bedrijf?
Implementeerde uw bedrijf een algemeen aanvaard beleid rond wachtwoorden dat ook wordt afgedwongen?
Kunt u garanderen dat alle wachtwoorden binnen uw bedrijf niet worden opgeslagen in gemakkelijk toegankelijke bestanden, slecht, blanco of standaard zijn of zelden worden gewijzigd, zelfs op mobiele apparaten?
Voelt u zich goed beschermd tegen ongeoorloofde fysieke toegang tot systemen?
Zijn gebruikers en aannemers zich bewust van hun verantwoordelijkheid om ook apparatuur die onbeheerd wordt achtergelaten te beveiligen (uitloggen)?
Werden medewerkers opgeleid om social engineering te herkennen en te reageren op deze bedreiging?
Bestaat er een bedrijfsbeleid voor het correcte gebruik van internet en sociale media?
Bestaan er binnen het bedrijf algemene communicatierichtlijnen en -processen voor medewerkers, ook over de relaties met de pers en de sociale media?
Bestaat er een tuchtprocedure voor medewerkers die de communicatierichtlijnen van het bedrijf overtreden?
Screent een specifieke communicatieverantwoordelijke of team het internet om de risico’s en de status van de e-reputatie na te trekken?
Heeft uw bedrijf zijn aansprakelijkheid geëvalueerd voor handelingen van medewerkers of andere interne gebruikers of aanvallers die het systeem gebruiken om misdrijven te plegen?
Heeft uw bedrijf maatregelen genomen om te voorkomen dat een medewerker of andere interne gebruiker andere sites aanvalt?
Meet en rapporteert uw bedrijf aspecten van informatieveiligheid en volgt het deze op?
Worden audittrajecten en logs over de incidenten bewaard en worden proactieve acties ondernomen zodat het incident zich niet opnieuw voordoet?
Controleert uw bedrijf de naleving van wettelijke en reglementaire vereisten (bv. geheimhouding van data)?
Heeft uw bedrijf eigen instrumenten ontwikkeld om het management bij te staan bij het evalueren van de beveiligingsstatus en om het bedrijf in staat te stellen potentiële risico’s sneller te verkleinen?
Worden controlerapporten en incidenten gerapporteerd aan de autoriteiten en aan andere belangengroepen, zoals een sectorfederatie?
Beschikt uw bedrijf over een stappenplan voor informatieveiligheid inclusief doelstellingen, evaluatie van de vooruitgang en potentiële samenwerkingsmogelijkheden?
Hoe worden systemen in uw bedrijf bijgewerkt?
Is een kwetsbaarheidsscan een regelmatig geplande onderhoudstaak binnen het bedrijf?
Worden toepassingen beoordeeld en getest na aanpassingen aan het besturingssysteem?
Kunnen gebruikers zelf controleren op het bestaan van toepassingen waarvoor geen patches werden uitgevoerd?
Zijn de gebruikers zich ervan bewust dat zij het besturingssysteem en de toepassingen, inclusief de beveiligingssoftware, van hun mobiele apparaten ook moeten bijwerken?
Zijn de gebruikers opgeleid om een legitiem waarschuwingsmelding (waarbij toestemming wordt gevraagd voor een update) of een valse antivirusmelding te herkennen en om het veiligheidsteam correct te waarschuwen indien iets verkeerds of verdachts gebeurd is?
Is uw bedrijf voorbereid om informatie-veiligheidsincidenten te behandelen?
Wordt de toegang tot elektronische informatiesystemen en gebouwen beperkt door beleidslijnen en procedures?
Past uw bedrijf een privacy beleid toe met vermelding van de informatie die het verzamelt (bv. over uw klanten: fysieke adressen, e-mailadressen, browserhistorieken enz.) en verwerkt?
Vermelden de beleidslijnen en procedures de methodes die worden gebruikt voor de fysieke toegangscontrole tot beveiligde ruimtes (bv. deursloten, systemen voor toegangscontrole of videobewaking)?
Wordt de toegang tot gebouwen en informatiesystemen automatisch ingetrokken wanneer medewerkers niet meer in dienst zijn?
Worden gevoelige data geclassificeerd (uiterst vertrouwelijk, gevoelig, uitsluitend voor intern gebruik, ...) en wordt een inventaris van de toegestane gebruikers opgesteld?
Mogen de medewerkers van uw bedrijf hun eigen persoonlijke toestellen, zoals mobiele telefoons en tablets, gebruiken om bedrijfsinformatie op te slaan of over te dragen?
Past uw bedrijf een algemeen aanvaard “Bring Your Own Device” (BYOD) beleid toe?
Zijn mobiele toestellen beveiligd tegen ongerechtigde gebruikers?
Worden alle toestellen en verbindingen permanent geïdentificeerd op het netwerk?
Is encryptie geïnstalleerd op alle mobiele toestellen om de vertrouwelijkheid en de integriteit van de data te beschermen?
Is men er zich in het hele bedrijf van bewust dat ook als de individuele gebruiker aansprakelijk is voor een toestel, het bedrijf nog altijd aansprakelijk is voor de data?
Voorzorgsmaatregelen tegen gegevensverlies?
Zijn voldoende personeelsleden in staat om een opvraagbare back-up- en archiefkopieën te creëren?
Is de apparatuur beveiligd tegen stroompannes door een permanente stroomvoorziening, zoals multiple feeds, noodstroomvoeding (ups), noodgenerator enz.?
Worden de back-upmedia regelmatig getest om te garanderen dat zij kunnen worden hersteld binnen de tijdsspanne vermeld in de herstelprocedure?
Past uw bedrijf rapporteringsprocedures voor verloren of gestolen mobiele apparatuur toe?
Krijgen medewerkers een opleiding over wat ze moeten doen wanneer informatie per ongeluk wordt gewist en hoe ze informatie kunnen herstellen bij rampen?
Is uw bedrijf voorbereid om informatieveiligheidsincidenten te behandelen?
Behandelt uw procedure verschillende soorten incidenten, gaande van DDoS (Distributed Denial of Service) tot inbreuken op de vertrouwelijkheid, enz., evenals manieren om deze af te handelen?
Beschikt uw bedrijf over een plan aangaande de communicatie over incidentbeheer?
Weet u welke autoriteiten u moet verwittigen in geval van incidenten alsook de wijze waarop dit dient te gebeuren?
Heeft uw bedrijf contactinformatie uitgesplitst en geïdentificeerd voor elk soort incident?
Doet u beroep op een interne communicatieverantwoordelijke voor contacten met medewerkers en hun families?
De SSL/HTTPS website die u wilt nakijken.
Uw e-mail domein

ADD en BA Consulting gebruiken de ingevulde contactgegevens om u het rapport cyberrisk te kunnen bezorgen, en u persoonlijk te contacteren in verband met dit rapport.