Wie komt in aanmerking

De pakketten START, MEDIUM en PLUS richten zich tot sterk groeiende of gegroeide kmo’s die:

• door hun dagelijkse kernactiviteiten sterk afhankelijk zijn van IT
• fungeren als een kritische dienstverlener naar andere organisatie of kmo’s toe
• gevoelige (al dan niet persoonsgebonden) data verwerken als onderdeel van de kernactiviteiten

De uitbreidingspakketen richten zich tot hybride en (volledige) cloud-gebaseerde organisaties of organisaties die software ontwikkelen.

Welke dienstverlening bieden we aan

Met elk van onze pakketten stellen wij een begeleiding voor waarbij we de kmo helpen bij het begrijpen in hoeverre het vandaag gewapend is tegen alledaagse aanvallen (bvb. ransomware, denial of service, data leaks, enz.). Daarna ligt de focus op het opstellen van een haalbaar plan met concrete, risicogebaseerde aanbevelingen. Tenslotte  bieden we bij MEDIUM en PLUS de begeleiding aan bij het implementeren van deze aanbevelingen. 

Binnen pakket START

voorzien we één uitgebreide workshop om de cybermaturiteit te bepalen op basis van geldende good practices. Aansluitend voorzien we vier mandagen voor de technische testen waarbij de voorgestelde testen worden bepaald in samenspraak met de klant (en zijn eventuele vaste IT-partner).  De mogelijke testen zijn: 

• perimeterscan
• interne hacker simulatie
• mail gateway assessment

De resterende dagen worden voorzien voor het opstellen en toelichten van een verbeterplan voor verhoging van de cybersecurity maturiteit en definiëren van quick wins. Bijkomende testen en implementatie begeleiding is mogelijk middels een upgrade naar het Medium- of Plus pakket.

In het pakket MEDIUM

voorzien we één uitgebreide workshop om de cybermaturiteit te bepalen op basis van een gestandaardiseerd controleraamwerk. Aansluitend voorzien we vier mandagen voor de technische testen waarbij de voorgestelde testen worden bepaald in samenspraak met de klant.  De mogelijke testen zijn: 

• perimeterscan
• verificatie van kritieke systemen
• interne hacker simulatie
• phising simulatie
• mail gateway assessment

De resterende dagen worden voorzien voor het opstellen en toelichten van een verbeterplan voor verhoging van de cybersecurity maturiteit en definiëren van quick wins. Binnen het Medium pakket voorzien we ook het nodige aantal mandagen voor de begeleiding en coaching van de implementaties van de verbeteracties. Bijkomende testen en implementatie begeleiding is mogelijk middels een upgrade naar het Plus pakket.

Voor het pakket PLUS

berust onze aanpak op een algemeen aanvaard controleraamwerk met onderliggende categorieën die tal van basis- tot zeer geavanceerde controles bevattenen. Het raamwerk geeft ons een gestructureerd kader waartegen wij evalueren, een strategie bepalen en de vooruitgang in maturiteit kunnen meten. Wij gebruiken deze dan ook als rode draad doorheen dit programma.

Onze analyse bestaat uit drie stappen:

• Een eerste stap is familiarisatie, hierbij gaan wij inzicht verwerven op basis van een interactieve sessie en documentatie inzage.
• De tweede stap is een op workshops gebaseerde evaluatie met als doel een screening van de algemene IT architectuur vanuit een beveiligingsperspectief.
• De derde stap omvat een aantal technische kwetsbaarheid testen zoals:
  • scannen van het externe aanvalsoppervlak
  • verificatie van kritische (systeem)configuraties
  • mail gateway assessment
  • phishing oefening
  • scenario-gebaseerde testen

Bepaling van strategie en aanbevelingen

In een volgende stap gaan we bepalen wat de strategie en aanbevelingen rond de nemen acties en maatregelen om de cybersecurity maturiteit te verhogen. We kijken vanuit verschillende hoeken:

• organisatorische vs. technische vs. mens-gedreven maatregelen
• strategische vs. tactische maatregelen
• risico-gedreven aanpak voor prioritisatie
• rekening houdend met specifieke regelgeving
• ...

Bij het uitzetten van de strategie zullen we de organisatie ook inzicht geven hoe het haar cybersecurity maturiteit kan verhogen (volgens het CIS CSC Top 20 model), en waar er eventueel keuzes of afwegingen kunnen gemaakt worden naar diepgang van de maatregelen. Dit zal ervoor zorgen dat de strategie maximaal op maat van de organisatie gebouwd wordt. Voor de implementatie van deze strategie kan de kmo rekenen op onze ondersteuning.

Mogelijke uitbreidingspakketten

Cloudbeveiliging

Het eerste uitbreidingspakket, Cloudbeveiliging, zal organisaties helpen bij het identificeren van opportuniteiten ter verbetering van cybersecurity in, rond en naar de cloud. Cloud oplossingen geven kmo’s de mogelijkheid om snel en eenvoudig te schalen en schakelen naargelang het succes van de organisatie, zonder vooraf grote investeringen te moeten maken. Cyber beveiliging is binnen deze context ook een belangrijk aandachtspunt. In ons eerste uitbreidingspakket gaan we samen met jullie kijken in hoeverre de reeds bestaande cloud infrastructuur afdoende beschermd is, en welk potentieel er is voor jullie organisatie om hierop verder te bouwen.

Veilige Software Verbetertraject

Het tweede uitbreidingspakket, Veilige Software Verbetertraject, richt zich specifiek op organisaties die hun dienstverlening baseren op software (en hiervoor vaak zelf ook softwareontwikkeling uitvoeren). Het ontwikkelen van veilige software is een domein op zich met vele uitdagingen en valkuilen, waarvan het belang steeds toeneemt door het alomtegenwoordig zijn van allerhande software. Het vermijden van cybersecurity risico’s binnen dergelijke software is van cruciaal belang voor organisaties, vandaar dat wij een pakket aanbieden dat specifiek hierop gericht is, om organisaties te helpen zich hierin verder te verbeteren, zowel vanuit een technisch als organisatorisch perspectief.

Duurtijd traject en gevraagde inspanningen

• Start: 9 mensdagen
• Medium: 21 mensdagen, waarvan minstens 9 voor advies en begeleiding
• Plus: 38 mensdagen, waarvan tot 20 dagen voor advies en begeleiding
• Uitbreidingspakketten: 15 mensdagen

Elk traject vraagt een inspanning van de kmo, onder meer voor het verzamelen van de nodige en nuttige informatie en de medewerking tijdens de interviews en workshops. De inspanningen om verbeterpunten (coaching) te implementeren, zijn afhankelijk van het overeengekomen implementatieplan. Tevens vragen we bepaalde toegangen, licenties of tools tijdens analyse of bij het implementeren van gerichte verbeteringen, beschikbaar te stellen.

Eindresultaat

Onafhankelijk van het gekozen pakket streven we maximaal na om:

• Nieuwe inzichten in de mogelijk organisatorische en technische cyberkwetsbaarheden binnen je organisatie mee te geven.
• Adviseren van potentiële quick-wins en vrij toegankelijke en/of betaalbare oplossingen die eenvoudig te implementeren zijn.
• Een strategisch kader en verbeterplan aan te leveren om het beveiligingsbeleid zelfstandig verder uit te werken op lange termijn.

Via het cloud beveiligingspakket zijn zwakke configuraties binnen je cloudomgeving opgelost en maak je vanaf nu optimaal gebruik van de beveiligingsfuncties reeds inbegrepen in je huidige licentie.

Via het pakket ‘veilige software ontwikkeling’ heb je een verbeterplan om de software ontwikkelingsprocessen binnen je organisatie op korte en lange termijn beter te aligneren met beste praktijken uit de branche.

Kostprijs

• START: € 9.880,00 (excl. btw)  ➔  te betalen door de kmo: € 4.940,00 (excl. btw)
• MEDIUM: € 19.455,15 (excl. btw) ➔  te betalen door de kmo: € 9.727,58 (excl. btw)
• PLUS: € 34.345,65 (excl. btw)➔  te betalen door de kmo: € 17.172,83 (excl. btw)
• UITBREIDINGSPAKKET 1: € 16.283,78 (excl. btw) ➔  te betalen door de kmo: € 8.141,89 (excl. btw)
• UITBREIDINGSPAKKET 2: € 17.057,76 (excl. btw) ➔  te betalen door de kmo: € 8.528,88 (excl. btw)

Meer informatie

Voor meer informatie, kan je altijd contact opnemen met pascal.tops@pwc.com of onze website www.pwc.be bezoeken.