Het komt bij veel organisaties voor: ze investeren in een uitgebreid advies van een externe partij, maar uiteindelijk belandt de securitytest toch ongebruikt in de bureaulade. Puur omdat andere gang van zaken urgenter aanvoelen. Hoe zorgt u ervoor dat de verbeteringen daadwerkelijk worden doorgevoerd?
Het verhogen van cyberweerbaarheid start altijd met inzicht. Een Pentest, Vulnerability Assessment, Inlooptest of Security Audit geeft handvaten om de cybersecurity van een organisatie doeltreffend te verbeteren. Omdat cyberveiligheid iets is dat nooit in de bureaulade terecht mag komen, geven we wat tips om er zeker van te zijn dat de cybersecurity verbeteringen daadwerkelijk worden opgepakt.
Zelf securitytest bevindingen oplossen
Wat u zelf nog kan doen om ervoor te zorgen dat plannen of testuitslagen voortaan niet ongebruikt in een bureaulade verdwijnen? Laten we dieper in gaan op een handig stappenplan waarmee u de implementatie van cybersecurity verbeteringen na een securitytest waarborgt:
1. Plan een evaluatie voor de securitytest
Het is hoe dan ook een aanrader een evaluatie in te plannen. Niet alleen om na te gaan of het proces naar wens is gelopen: ook om samen actief bezig te zijn met de resultaten uit de test. Vaak verhoogt het de motivatie om er daadwerkelijk iets mee te doen. Daarnaast weet u zeker dat iedereen op de hoogte is van de situatie wanneer er een gezamenlijke evaluatie plaats vindt.
2. Maak de evaluatie inhoudelijk
Laat de evaluatie tellen en leg niet alleen een vergrootglas op het proces, maar ook de resultaten. Wat is de impact van de bevindingen op uw organisatie? Wat vindt u ervan? Is het een verrassing? Kunnen er al conclusies getrokken worden uit de bevinden over achterliggende oorzaken?
3. Evalueer met interne betrokkenen en de opdrachtnemer
Ga niet met een te kleine groep om de tafel zitten. Betrek iedereen die betrokken is bij de securitytest én het verhelpen van de bevindingen in het gesprek. Zo kan iedereen nog vragen erover stellen. Als uw securityteam goed snapt wat de opdrachtnemer bedoelt in de rapportage, is de kans dat ze aan de slag gaan met de bevindingen groter.
4. Verdeel de componenten per verantwoordelijke
Afhankelijk van hoe uitgebreid de securitytest was, is het handig van te voren te bekijken welke componenten om verbetering vragen. Vaak is het ene team verantwoordelijk voor de infrastructuur en het andere voor de applicaties. Sommige componenten kunnen zelfs uitbesteed zijn aan een externe partij.
Maak duidelijk wie verantwoordelijk is voor welke verbetering. Door dit soort afspraken te maken, pakt iedereen sneller zijn of haar verantwoordelijkheid om de oplossingen door te voeren. Het werk is verdeeld en u weet precies wie u aan moet spreken voor updates over de stand van zaken.
5. Voer de korte termijn verbeteringen direct uit
Als het goed is, staat in de securitytest een classificering van alle verbeterpunten. Ga direct met de belangrijksten aan de slag, zodat u weet dat de grootste bedreigingen zéker uit de weg zijn geruimd. Overleg eventueel tijdens de evaluatie al welke stappen er nodig zijn om direct in actie te komen. Monitor het proces door nog een extra evaluatiemoment in te plannen.
6. Zet verbeterpunten voor de lange termijn in de agenda
De meeste organisaties voelen de ernst van het oplossen van korte termijn verbeterpunten wel. Die krijgen doorgaans vrij snel aandacht. Maar die lange termijn punten? Die verdwijnen pas écht vaak in de bureaulade.
Verlies deze dan ook niet in het oog en stippel een lange termijn roadmap uit. Zet deze direct in de agenda’s van de verantwoordelijken. Informeer tussentijds of ze eraan toe komen de oplossing te implementeren.
7. Controleer of alles is opgelost
Zet desnoods ook in uw eigen agenda een herinnering dat u zo nu en dan moet vragen of alle verbeterpunten al zijn nagelopen. Werkt een post-it met “securitytest monitoren” op uw beeldscherm beter? Ga dan zeker voor die optie! Zorg ervoor dat u bovenop het proces blijft zitten.
8. Zet een hertest op de planning
De allerbeste stok achter de deur om verbeteringen door te voeren, is toch wel het plannen van een tweede securitytest. Door meteen een tweede test af te spreken met een externe partij, heeft u een deadline om naartoe te werken. Een hertest werkt vaak heel motiverend, omdat iedereen natuurlijk wil dat die tweede test laat zien dat alles is opgelost.
9. Maak securitytests een vast onderdeel in het securityprogramma
Is een test een terugkerende aangelegenheid? Dan neemt het team het verhelpen van bevindingen van zo’n securitytest vaak sneller serieus. Door hierbij samen te werken met een vaste security opdrachtnemer, vereenvoudigt u dit systematische proces. Daarnaast blijft u structureel op de hoogte van de cybergezondheid van uw organisatie én bouwt u aan een stevige digitale omgeving.
Advies of hulp nodig?
Zou u graag ondersteuning willen bij het toepassen van de verbeteringen uit een securitytest? Neem dan vrijblijvend contact met ons op voor een kennismaking.
