Cyberrisicorapport

Het cyberrisicorapport biedt een gestructureerd overzicht van de cyberbeveiligingsrisico's, de huidige beveiligingssituatie en risicobeperkende strategieën van een organisatie. Gebruik dit rapport om duidelijkheid, transparantie en bruikbare inzichten te krijgen over cyberbeveiligingsrisico's en de mogelijke impact daarvan op uw bedrijfsdoelstellingen.

Dit verslag dient als strategisch communicatiemiddel om de kloof tussen technische cyberbeveiligingsactiviteiten en zakelijke besluitvorming te overbruggen. Het stelt het management in staat geïnformeerde, op risico's gebaseerde beslissingen te nemen en cyberbeveiligingsinitiatieven af te stemmen op algemene bedrijfsdoelen.

Maak uw analysedashboard met behulp van de aanpasbare rapportagefuncties. Pas de beelden en de lay-out aan en voeg verhalen toe voor bestuursdiscussies. U kunt uw dashboard ook delen met Boards-sites, waardoor u rapporten naadloos kunt delen en publiceren binnen het Diligent One-platform.

Toegang tot rapportagesjablonen in het Activiteitencentrum

Voorwaarde

De rapportagesjablonen moeten voor u worden geïmplementeerd en ingeschakeld in uw Activiteitencentrum. Neem voor hulp contact op met uw Customer Success Manager.

Zie voor informatie over het openen en gebruiken van rapportsjablonen in Activiteitencentrum.

Dashboards koppelen met Boards-sites

Voor informatie over het verbinden van Activiteitencentrum-dashboards met Boards-sites, raadpleegt u Diligent One: Activiteitencentrum-dashboards koppelen met Boards-sites .

De dashboardstructuur begrijpen

Het cyberrisicorapport biedt verschillende belangrijke functies die zijn ontworpen om uitgebreide inzichten in cyberrisico's te bieden en gegevensgestuurde besluitvorming te vergemakkelijken. De dashboardstructuur bestaat uit zes tabbladen waarmee u een verhaal kunt schrijven en resultaten aan uw bestuur kunt presenteren. Het bevat visuals en KPI's die de huidige en opkomende cyberdreigingen en beveiligingslekken aangeven, een historisch overzicht van de prestaties en verbeteringen op het gebied van cyberbeveiliging van uw organisatie. Selecteer elk tabblad hieronder voor meer informatie.

Op dit tabblad vindt u een beknopt overzicht van essentiële inzichten op het gebied van cyberbeveiliging die zijn toegesneden op discussies op bestuursniveau. U ziet contextuele informatie naast belangrijke statistieken die uit andere gedeelten van het rapport zijn geselecteerd, zodat het bestuur geïnformeerde beslissingen kan nemen op basis van een duidelijk en gericht verhaal.

Beschikbare afbeeldingen

De volgende afbeeldingen zijn beschikbaar in dit gedeelte:

Samenvatting

Gebruik dit gedeelte om een strategische context te geven, trends te benadrukken en risicobeperkende maatregelen in detail te beschrijven, waardoor leidinggevenden snel beslissingen kunnen nemen.

Dreigingslandschap

Deze visuele weergave geeft inzicht in de huidige bedreigingen van de cyberbeveiliging en geeft een overzicht van de relevante bedreigingen waarmee uw organisatie wordt geconfronteerd.

Benchmarken

Dit gedeelte belicht historische cyberbeveiligingsrisico's van platforms zoals BitSight, waardoor vergelijkingen met industriestandaarden mogelijk zijn.

  • BitSight-risicobeoordelingenDe BitSight-risicobeoordelingen zijn numerieke scores tussen 250 tot 900, gebaseerd op realtime, objectieve en niet-hinderlijke gegevens die uit openbaar beschikbare bronnen beschikbaar zijn. Gebruik de lijndiagrammen om historische cyberbeveiligingsbeoordelingen van uw organisatie te bekijken. Met deze visualisatie kunt u de trend van de effectiviteit van cyberbeveiliging in de loop van de tijd volgen.
  • NIST-ontwikkelingskader voor cyberbeveiligingHet ontwikkelingskader, ontwikkeld door het National Institute of Standards and Technology (NIST), biedt gestructureerde richtlijnen, best practices en standaarden om uw organisatie te helpen cyberbeveiligingsrisico's te beheren en te verminderen. Deze ontwikkelingsniveaus variëren van 'Ad hoc' tot 'Geoptimaliseerd', wat de voortgang aangeeft van initiële, ongestructureerde werkwijzen naar volledig geoptimaliseerde en geïntegreerde cyberbeveiligingsprocessen.

Belangrijkste risico's

Lees meer over de meest urgente cyberbeveiligingsrisico's, inclusief hun status en eventuele maatregelen die nodig zijn om deze risico's te beperken.

  • SamenvattingMaak een beknopt overzicht van de meest kritieke risico's die zijn geïdentificeerd, hun trends en eventuele veranderingen sinds de laatste beoordeling.
  • RisicoregisterBenadruk kritieke risico's die aanzienlijke veranderingen hebben laten zien sinds hun laatste beoordeling. De tabel bevat risico's die als kritiek worden beschouwd op basis van ernst, risicoclassificatiefactoren en andere overeengekomen criteria. Het beschrijft inspanningen zoals herstelplannen, de eigenaar van het risico en het tijdschema voor de aanpak van de risico's.
  • Kritiek risico te laatDeze visuele weergave toont de status van kritieke risico's, waarbij onderscheid wordt gemaakt tussen risico's die op tijd zijn voltooid en risico's die al eerder hadden moeten worden voltooid.

Incidenten

In dit gedeelte wordt een overzicht gegeven van de frequentie en aard van de gerapporteerde cyberbeveiligingsincidenten, waarbij deze informatie in een begrijpelijke vorm wordt gepresenteerd.

  • SamenvattingGeeft een samenvatting van het aantal kritieke incidenten dat in elk kwartaal is gemeld, samen met de acties die zijn ondernomen om deze op te lossen en eventuele lopende acties.
  • Incidenten per kwartaalDit diagram toont het aantal cyberincidenten dat binnen elk kwartaal van het jaar wordt geregistreerd en gerapporteerd.

Initiatieven

Lees meer over de lopende of voorgestelde cyberbeveiligingsinitiatieven om de beveiliging van uw organisatie te verbeteren.

  • Voltooid en ResultatenBenadrukt belangrijke initiatieven die zijn voltooid en hun impact.
  • GeprioriteerdBenadrukt enkele belangrijke of strategische initiatieven die in het volgende kwartaal prioriteit hebben gekregen en de impact ervan.

Op dit tabblad vindt u definities en uitleg van alle belangrijke termen, KPI's en technische concepten die in het cyberrisicorapport zijn opgenomen, zodat u deze snel kunt raadplegen. Het stelt u in staat om een gemeenschappelijk, toegankelijk begrip te hebben van de complexe of technische taal die elders in het verslag wordt gebruikt, waardoor duidelijke communicatie en effectievere besluitvorming worden ondersteund.

De volgende terminologieën worden uitgelegd in dit gedeelte:

  • Beheer van beveiligingslekken is een proactief proces dat is gericht op het identificeren, beoordelen, beperken en controleren van beveiligingslekken in de systemen, netwerken en software van een organisatie om cyberbeveiligingsrisico's te verminderen.

  • Scanprogramma's worden gebruikt om beveiligingslekken te identificeren en beveiligingsrisico's binnen de IT-infrastructuur van een organisatie te beoordelen. Deze tools helpen bij de continue bewaking en analyse van systemen om zwakke plekken in de beveiliging op te sporen die door aanvallers kunnen worden misbruikt.

  • Met Penetratietesten worden kwetsbaarheden, zwakke plekken en beveiligingslekken in de IT-infrastructuur van een organisatie geïdentificeerd en beveiligingsmaatregelen beoordeeld, potentiële aanvalsvectoren bepaald en risico's bij organisaties beperkt voordat echte aanvallers deze kunnen misbruiken.

  • SIEM-software (Security Incident and Event Management) consolideert de beveiligingsgegevens en gebeurtenissen van een organisatie in realtime. IT speelt een cruciale rol bij het identificeren, beheren en beantwoorden van beveiligingsincidenten door een uitgebreid overzicht te bieden van de beveiligingssituatie van een organisatie.

  • Incidentbeheer is een gestructureerd proces om de gevolgen van beveiligingsincidenten te minimaliseren, de normale werking snel te herstellen en toekomstige gebeurtenissen te voorkomen.

  • NIST CSF-cyberbeveiligingsraamwerk is een raamwerk dat gestructureerde richtlijnen, best practices en standaarden biedt voor het identificeren, beschermen, detecteren, beantwoorden en herstellen van cyberdreigingen.

Op dit tabblad kunt u de status van audits van producten of services bijhouden en verwijzen naar algemene raamwerken, zoals systeem- en organisatiecontroles 2 (SOC 2) en Health Insurance Portability and Accountability Act (HIPAA). U krijgt een samenvatting van recente auditresultaten, identificeert gebieden waar niet aan de voorschriften wordt voldaan en ziet welke producten of domeinen hun controle hebben doorstaan.

Beschikbare afbeeldingen

De volgende afbeeldingen zijn beschikbaar in dit gedeelte:

Naleving/audit

Gebruik dit gedeelte om de status van uw auditrapporten per product of dienst vast te leggen.

Status auditrapport (per product/service)Dit diagram illustreert de status van audits die zijn uitgevoerd op verschillende producten of diensten. Het geeft aan welk product of welke dienst is gecontroleerd, welke verschillende auditraamwerken zijn gebruikt zoals SOC2 en HIPAA en wat de status van deze audits is.

Beveiligingstraining

In dit gedeelte kunt u de analyse van uw beveiligingstraining volgen en het voltooiingsrapport van uw campagne voor beveiligingsbewustzijn voorbereiden.

Voltooiing van de campagne voor beveiligingsbewustzijn In dit diagram wordt de voltooiing van beveiligingsbewustmakingsprogramma's bijgehouden, waarbij het percentage medewerkers of aannemers wordt aangegeven dat verplichte of vrijwillige training op het gebied van cyberbeveiliging heeft voltooid.

Penetratietest

Gebruik dit gedeelte om openstaande geïdentificeerde problemen samen te vatten op basis van ernst en de gemiddelde tijd die nodig is om problemen met een hoog risico op te lossen.

  • Openstaande geïdentificeerde problemen per ernst Dit diagram geeft de intensiteit weer van openstaande problemen die tijdens audits of nalevingscontroles zijn vastgesteld. De ernst wordt gemeten als kritiek, hoog, gemiddeld of laag. Dit helpt inzicht te krijgen in het aandeel van de problemen op basis van de ernst ervan.

  • Gemiddelde tijd om problemen met een hoog risico op te lossen Deze statistiek houdt de gemiddelde tijd bij die nodig is om problemen met een hoog risico op te lossen die tijdens audits zijn vastgesteld en geeft inzicht in de efficiëntie van de respons van uw organisatie op kritieke beveiligingslekken.

Dit tabblad toont de robuustheid van het responsplan voor incidenten van uw organisatie. Het wordt ondersteund door kwantitatieve gegevens en benadrukt de detectie, diagnose, herstel en preventie van incidenten.

Beschikbare afbeeldingen

De volgende afbeeldingen zijn beschikbaar in dit gedeelte:

Incidentbeheer

Gebruik dit gedeelte om perioden te identificeren, te markeren en uit te leggen met aanzienlijke ongebruikelijke stijgingen of dalingen in de cyberbeveiligingsincidenten van uw organisatie. U kunt commentaar en gegevens opnemen die zijn vastgelegd in het incidentbeheersysteem van uw organisatie.

Incidententrend per kwartaalU krijgt een hoge statistiek voor het genereren van waarschuwingen of het aantal incidenten dat gedurende een bepaalde periode is geregistreerd, zoals maandelijks, driemaandelijks of halfjaarlijks. De risico's in dit diagram zijn gecategoriseerd op basis van hun ernstniveau op een schaal van kritiek, hoog, gemiddeld en laag.

Identificatie van incidenten

Gebruik dit gedeelte om een hoge statistiek voor te bereiden voor het genereren van waarschuwingen of het aantal incidenten dat gedurende een bepaalde periode is geregistreerd, zoals maandelijks, driemaandelijks of halfjaarlijks.

Incidententrend per kwartaalIn dit diagram worden incidenten gecategoriseerd op basis van de bronnen waaruit ze zijn verzameld. De informatie in dit diagram is afkomstig uit de volgende bronnen:

  • Audit verwijst naar incidenten die tijdens uw beveiligingscontroles zijn vastgesteld.

  • Doorlopende monitoring betreft incidenten die worden geïdentificeerd via geautomatiseerde systemen die het netwerk en de systemen van uw organisatie continu controleren op eventuele afwijkingen of beveiligingsschendingen.

  • Door klanten gemeld betreft incidenten zijn incidenten die door klanten zijn gemeld. Dit kunnen feedback of klachten zijn van klanten die problemen hebben ondervonden die op een beveiligingsincident kunnen duiden.

  • Gemelde medewerkers betreft incidenten die door uw medewerkers zijn gemeld. Medewerkers kunnen verdachte activiteiten of mogelijke beveiligingsschendingen opmerken en deze melden aan het IT- of beveiligingsteam.

Openbaarmaking van incidenten

Gebruik dit gedeelte om cyberbeveiligingsincidenten te rapporteren en te analyseren die op basis van kwantitatieve en kwalitatieve factoren als materiaal worden beschouwd.

8K Disclosure verwijst naar een rapport dat is vereist door de Amerikaanse Securities and Exchange Commission (SEC). Alle beursgenoteerde ondernemingen moeten dit rapport indienen om belangrijke gebeurtenissen bekend te maken die van invloed kunnen zijn op aandeelhouders of beleggers. Het doel van het 8K Disclosure-rapport is om te zorgen voor transparantie en tijdige rapportage van belangrijke bedrijfsgebeurtenissen, waaronder cyberbeveiligingsincidenten die als belangrijk worden beschouwd.

  • Laatste update toont de meest recente datum waarop het openbaarmakingsrapport van een bedrijf is bijgewerkt.

  • Datum van openbaarmaking toont de datum waarop het openbaarmakingsrapport van een bedrijf is ingediend.

  • Bedrijf geeft de naam weer van het bedrijf dat een openbaarmakingsrapport heeft ingediend.

Dit tabblad is gericht op het proactieve proces van het identificeren, beoordelen, beperken en controleren van beveiligingslekken in de systemen, netwerken en software van uw organisatie.

Beschikbare afbeeldingen

De volgende afbeeldingen zijn beschikbaar in dit gedeelte:

Beheer van beveiligingslekken

Geef een overzicht van de huidige beveiligingslekken binnen uw organisatie en benadruk risicovolle activa en kritieke beveiligingslekken die onmiddellijke aandacht vereisen.

Beveiligingslekken in de productieGebruik het diagram om inzicht te krijgen in de historische gegevens die het aandeel van open en herstelde beveiligingslekken tonen om de toewijzing van resources voor herstel te beoordelen. De rode lijn geeft de open beveiligingslekken weer en de grijze lijn de opgeloste beveiligingslekken.

Gevoeligheid voor beveiligingslekken

Evalueer hoe snel en effectief uw organisatie reageert op geïdentificeerde beveiligingslekken.

Open beveiligingslekken in de productieDit diagram geeft inzicht in het responsniveau van uw organisatie bij de resultaten van gemelde beveiligingslekken. Het diagram bevat statistieken zoals de gemiddelde tijd tot actie en/of de gemiddelde tijd tot herstel, gemeten aan de hand van een SLA die is gedefinieerd in uw beleid voor beveiligingsbeheer, om uw responssnelheid te laten zien.

SLA voor herstel

Bied updates over SLA's. Dit zijn geformaliseerde overeenkomsten waarin de verwachte termijnen en verantwoordelijkheden voor het oplossen en verhelpen van geïdentificeerde beveiligingslekken worden vastgelegd.

Hoge en kritieke beveiligingslekken in de infrastructuur - SLA-nalevingDit diagram toont het percentage beveiligingslekken dat binnen de vereiste deadline is verholpen, op basis van de ernst van het risico.

Gebruik dit gedeelte om risico's van uw leveranciers en informatiesystemen van derden te beoordelen en beheren. In dit gedeelte wordt de voortgang van uw organisatie geëvalueerd bij het identificeren van deze risico's en de maatregelen die zijn genomen om deze te beheersen.

Beschikbare afbeeldingen

De volgende afbeeldingen zijn beschikbaar in dit gedeelte:

Classificatie van derden en leveranciers

Categoriseer leveranciers op basis van de ernst van de services die ze leveren, zoals kritiek, hoog, gemiddeld of laag risico. Deze classificatie helpt prioriteit te geven aan inspanningen voor het beheren van risicovollere relaties.

Leveranciers op classificatieGebruik deze visuele weergave om leveranciers te categoriseren op basis van het risiconiveau dat ze voor uw organisatie inhouden. In dit diagram worden leveranciers ingedeeld in categorieën zoals kritiek, hoog, gemiddeld en laag risico.

Risicobeoordelingen van derden en leveranciers

Identificeer risico's die verbonden zijn aan externe leveranciers door cijfers zoals het aantal en percentage leveranciers op te nemen in de SLA's voor risicobeoordeling.

Leveranciers binnen de SLA voor risicobeoordelingenGebruik dit diagram om te bepalen of risicobeoordelingen voor externe leveranciers worden uitgevoerd binnen de overeengekomen SLA-tijdlijnen. De SLA bepaalt de frequentie en deadlines voor het uitvoeren van risicobeoordelingen, met name voor leveranciers die zijn geïdentificeerd als hoog of kritiek risico.