PwC Enterprise Advisory
Ondernemingen hebben baat bij een goede basis cyberbeveiliging. De kern van het aanbod van PwC richt zich op een grondige analyse, het uitwerken van een cybersecurity plan en coaching bij het uitrollen van gerichte verbeteringen. We streven hierbij steeds naar pragmatische en direct toepasbare en kostenefficiënte oplossingen en quick wins. Zo behaalt je organisatie een goede cybersecurity maturiteit.
Wie komt in aanmerking
De pakketten START, MEDIUM en PLUS richten zich tot sterk groeiende of gegroeide ondernemingen die:
- door hun dagelijkse kernactiviteiten sterk afhankelijk zijn van IT
- fungeren als een kritische dienstverlener naar andere organisatie of ondernemingen toe
- gevoelige (al dan niet persoonsgebonden) data verwerken als onderdeel van de kernactiviteiten
De uitbreidingspakketen richten zich tot hybride en (volledige) cloud-gebaseerde organisaties of organisaties die software ontwikkelen.
Welke dienstverlening bieden we aan
Met elk van onze pakketten stellen wij een begeleiding voor waarbij we de onderneming helpen bij het begrijpen in hoeverre het vandaag gewapend is tegen alledaagse aanvallen (bvb. ransomware, denial of service, data leaks, enz.). Daarna ligt de focus op het opstellen van een haalbaar plan met concrete, risicogebaseerde aanbevelingen. Tenslotte bieden we bij MEDIUM en PLUS de begeleiding aan bij het implementeren van deze aanbevelingen.
Binnen pakket START
voorzien we één uitgebreide workshop om de cybermaturiteit te bepalen op basis van geldende good practices. Aansluitend voorzien we vier mandagen voor de technische testen waarbij de voorgestelde testen worden bepaald in samenspraak met de klant (en zijn eventuele vaste IT-partner). De mogelijke testen zijn:
- perimeterscan
- interne hacker simulatie
- mail gateway assessment
De resterende dagen worden voorzien voor het opstellen en toelichten van een verbeterplan voor verhoging van de cybersecurity maturiteit en definiëren van quick wins. Bijkomende testen en implementatie begeleiding is mogelijk middels een upgrade naar het Medium- of Plus pakket.
In het pakket MEDIUM
voorzien we één uitgebreide workshop om de cybermaturiteit te bepalen op basis van een gestandaardiseerd controleraamwerk. Aansluitend voorzien we vier mandagen voor de technische testen waarbij de voorgestelde testen worden bepaald in samenspraak met de klant. De mogelijke testen zijn:
- perimeterscan
- verificatie van kritieke systemen
- interne hacker simulatie
- phising simulatie
- mail gateway assessment
De resterende dagen worden voorzien voor het opstellen en toelichten van een verbeterplan voor verhoging van de cybersecurity maturiteit en definiëren van quick wins. Binnen het Medium pakket voorzien we ook het nodige aantal mandagen voor de begeleiding en coaching van de implementaties van de verbeteracties. Bijkomende testen en implementatie begeleiding is mogelijk middels een upgrade naar het Plus pakket.
Voor het pakket PLUS
berust onze aanpak op een algemeen aanvaard controleraamwerk met onderliggende categorieën die tal van basis- tot zeer geavanceerde controles bevatten. Het raamwerk geeft ons een gestructureerd kader waartegen wij evalueren, een strategie bepalen en de vooruitgang in maturiteit kunnen meten. Wij gebruiken deze dan ook als rode draad doorheen dit programma.
Onze analyse bestaat uit drie stappen:
- Een eerste stap is familiarisatie, hierbij gaan wij inzicht verwerven op basis van een interactieve sessie en documentatie inzage.
- De tweede stap is een op workshops gebaseerde evaluatie met als doel een screening van de algemene IT architectuur vanuit een beveiligingsperspectief.
- De derde stap omvat een aantal technische kwetsbaarheid testen zoals:
- scannen van het externe aanvalsoppervlak
- verificatie van kritische (systeem)configuraties
- mail gateway assessment
- phishing oefening
- scenario-gebaseerde testen
Bepaling van strategie en aanbevelingen
In een volgende stap gaan we bepalen wat de strategie en aanbevelingen zijn rond de nemen acties en maatregelen om de cybersecurity maturiteit te verhogen. We kijken vanuit verschillende hoeken:
- organisatorische vs. technische vs. mens-gedreven maatregelen
- strategische vs. tactische maatregelen
- risico-gedreven aanpak voor prioritisatie
- rekening houdend met specifieke regelgeving
- ...
Bij het uitzetten van de strategie zullen we de organisatie ook inzicht geven hoe het haar cybersecurity maturiteit kan verhogen (volgens het CIS CSC Top 20 model), en waar er eventueel keuzes of afwegingen kunnen gemaakt worden naar diepgang van de maatregelen. Dit zal ervoor zorgen dat de strategie maximaal op maat van de organisatie gebouwd wordt. Voor de implementatie van deze strategie kan de onderneming rekenen op onze ondersteuning.
Mogelijke uitbreidingspakketten
Cloudbeveiliging
Het eerste uitbreidingspakket, Cloudbeveiliging, zal organisaties helpen bij het identificeren van opportuniteiten ter verbetering van cybersecurity in, rond en naar de cloud. Cloud oplossingen geven ondernemingen de mogelijkheid om snel en eenvoudig te schalen en schakelen naargelang het succes van de organisatie, zonder vooraf grote investeringen te moeten maken. Cyber beveiliging is binnen deze context ook een belangrijk aandachtspunt. In ons eerste uitbreidingspakket gaan we samen met jullie kijken in hoeverre de reeds bestaande cloud infrastructuur afdoende beschermd is, en welk potentieel er is voor jullie organisatie om hierop verder te bouwen.
Veilige Software Verbetertraject
Het tweede uitbreidingspakket, Veilige Software Verbetertraject, richt zich specifiek op organisaties die hun dienstverlening baseren op software (en hiervoor vaak zelf ook softwareontwikkeling uitvoeren). Het ontwikkelen van veilige software is een domein op zich met vele uitdagingen en valkuilen, waarvan het belang steeds toeneemt door het alomtegenwoordig zijn van allerhande software. Het vermijden van cybersecurity risico’s binnen dergelijke software is van cruciaal belang voor organisaties, vandaar dat wij een pakket aanbieden dat specifiek hierop gericht is, om organisaties te helpen zich hierin verder te verbeteren, zowel vanuit een technisch als organisatorisch perspectief.
Duurtijd traject en gevraagde inspanningen
- Start: 9 mensdagen
- Medium: 21 mensdagen, waarvan minstens 9 voor advies en begeleiding
- Plus: 38 mensdagen, waarvan tot 20 dagen voor advies en begeleiding
- Uitbreidingspakketten: 15 mensdagen
Elk traject vraagt een inspanning van de onderneming, onder meer voor het verzamelen van de nodige en nuttige informatie en de medewerking tijdens de interviews en workshops. De inspanningen om verbeterpunten (coaching) te implementeren, zijn afhankelijk van het overeengekomen implementatieplan. Tevens vragen we bepaalde toegangen, licenties of tools tijdens analyse of bij het implementeren van gerichte verbeteringen, beschikbaar te stellen.
Eindresultaat
Onafhankelijk van het gekozen pakket streven we maximaal na om:
- Nieuwe inzichten in de mogelijk organisatorische en technische cyberkwetsbaarheden binnen je organisatie mee te geven.
- Adviseren van potentiële quick-wins en vrij toegankelijke en/of betaalbare oplossingen die eenvoudig te implementeren zijn.
- Een strategisch kader en verbeterplan aan te leveren om het beveiligingsbeleid zelfstandig verder uit te werken op lange termijn.
Via het cloud beveiligingspakket zijn zwakke configuraties binnen je cloudomgeving opgelost en maak je vanaf nu optimaal gebruik van de beveiligingsfuncties reeds inbegrepen in je huidige licentie.
Via het pakket ‘veilige software ontwikkeling’ heb je een verbeterplan om de software ontwikkelingsprocessen binnen je organisatie op korte en lange termijn beter te aligneren met beste praktijken uit de branche.
Kostprijs
- START: € 9.880,00 (excl. btw)
- MEDIUM: € 19.455,15 (excl. btw)
- PLUS: € 34.345,65 (excl. btw)
- UITBREIDINGSPAKKET 1: € 16.283,78 (excl. btw)
- UITBREIDINGSPAKKET 2: € 17.057,76 (excl. btw)
VLAIO komt bij kmo’s en maatwerkbedrijven tussen voor 50% van de kostprijs. Bij ondernemingen die niet voldoen aan de kmo-criteria maar wel onder de NIS2-richtlijn vallen bedraagt de tussenkomst van VLAIO 35% van de kostprijs.
Meer informatie
Meer informatie en contactgegevens via onze website www.pwc.be.