Absolute Security
Spreek met een architect
ASSESSMENT·BESTUURBAARHEIDS-DIAGNOSE

Bestuurbaarheids-diagnose

Krijg in een paar dagen scherp waar je regie over cybersecurity wel en niet werkt.

Tools en mensen zijn er. De vraag is of het bestuur kan aantonen dat de organisatie in control is. Onze hero-diagnose legt die regie bloot. We kijken mee als senior architect, niet als auditor of leverancier.

Plan een diagnoseBekijk de werkwijze
Doorlooptijd2 tot 3 weken
InzetSenior architect, enkele dagen
Voor wieCISO of Security Manager, midmarket
§ 01 · Het vraagstuk

Wanneer een diagnose nodig is

Je herkent jezelf waarschijnlijk in één van deze drie situaties. Geen oordeel, wel een patroon dat we vaker zien bij organisaties met 500 tot 10.000 werkplekken.

Patroon 01

Het bestuur stelt vragen die niemand intern kan beantwoorden.

"Lopen wij risico op deze nieuwe wet." "Zijn wij er klaar voor als het misgaat." Het antwoord komt niet, of komt fragmentarisch.

Patroon 02

Tools zijn aanwezig, maar de samenhang ontbreekt.

SOC, SIEM, IAM, GRC. Allemaal aanwezig, allemaal eigenaar. Niemand bewaakt het geheel als systeem.

Patroon 03

Compliance-rapportage voelt als improviseren.

Elk kwartaal opnieuw uitvinden welke cijfers waar vandaan komen. Het kost te veel tijd en de uitkomst overtuigt niemand echt.

§ 02 · Uitkomst

Wat de diagnose oplevert

Geen rapport om door te bladeren en weg te leggen. De uitkomst is iets dat je kunt gebruiken in de eerstvolgende RvB-vergadering, en in alle daarna.

01

Een rapport dat het bestuur kan lezen en gebruiken.

Korte tekst, helder beeld, geen jargon. Wat werkt, wat niet, en welke vragen het bestuur zelf moet stellen. Genoeg context om te beslissen, niet meer dan dat.

02

Een handelingsperspectief met prioriteiten en tijdlijn.

Drie tot vijf bewegingen die er nu toe doen, met onderbouwing waarom juist deze. Per beweging een indicatie van inzet, doorlooptijd en wie het belegt.

03

Een gedeelde taal binnen de organisatie over wat regie betekent.

CISO, IT, finance en bestuur praten daarna over hetzelfde. Dat is niet zacht. Het bepaalt of een tweede gesprek productief is, of opnieuw begint.

§ 03 · Werkwijze

Hoe de diagnose verloopt

Vijf stappen, in twee tot drie weken. Geen vaste sjabloon. We kalibreren op je context, maar het ritme blijft.

  1. 01

    Voorbereiding

    Documentatie en context. Beleid, organogram, recente bestuursnotities, audit-bevindingen. Een eerste gesprek van een uur om aannames te toetsen.

    Week 1, dag 1 tot 2
  2. 02

    Gesprekken

    Met CISO, IT-management, een vertegenwoordiger uit het primair proces, en waar relevant de CFO of een lid van de RvB. Vier tot zes sessies van 45 minuten. Geen interview-script, wel een rode draad.

    Week 1 tot 2
  3. 03

    Operationele review

    SOC-output, risicoregister en incident-history van het laatste jaar. We zoeken niet naar wat ontbreekt. We zoeken naar of wat er ligt, gebruikt wordt voor regie.

    Week 2
  4. 04

    Synthese en validatie

    Wij schrijven, je toetst. Een tussenversie aan de CISO voor feitelijke correcties. Geen consensus-ronde. De architect blijft eigenaar van de conclusies.

    Week 2 tot 3
  5. 05

    Rapportage en presentatie

    Eindrapport, plus een mondelinge presentatie aan het overleg dat je kiest. RvB, audit committee, MT. Een uur is genoeg.

    Week 3
§ 04 · Deelnemers

Wie deelneemt

Een diagnose is een gesprek tussen mensen, niet een uitvraag bij een afdeling. We houden de kring klein en de gesprekken concreet.

Aan jouw kant

De CISO is opdrachtgever en gesprekspartner.

Eén centrale contactpersoon, doorgaans de CISO of Security Manager. Daaromheen een werkbare kring stakeholders waarmee we spreken.

Aan onze kant

Eén senior architect, van begin tot eind.

Geen team, geen junior die het werk doet. De architect die het eerste gesprek voert, schrijft het rapport en presenteert het.

Hans Raaijmakers
Senior architect en oprichter. Kwart eeuw in security governance, finance en publieke sector.
§ 05 · Investering

Scope en doorlooptijd

Wat dit kost hangt af van je context en omvang. Wel zijn we vooraf duidelijk over de inzet en doorlooptijd, zodat je weet wat je vraagt.

Doorlooptijd2 tot 3 weken

Vanaf het kick-off-gesprek tot de eindpresentatie. Geen versnelling op verzoek. Het ritme is onderdeel van de kwaliteit.

Inzet aan onze kantEnkele dagen architect-werk

Verspreid over de doorlooptijd. Inclusief voorbereiding, gesprekken, synthese, eindrapport en de presentatie aan het overleg.

TariefOp aanvraag

Een vast bedrag per diagnose, na het oriënterend gesprek. Geen uurtje-factuurtje, geen scope-creep.

§ 06 · Afgrenzing

Wat dit niet is

Eerlijk over wat we niet doen, zodat je niet teleurgesteld raakt. Voor elk van deze drie kunnen we je verwijzen naar een partij die het wel goed kan.

Geen vendor-pitch verpakt als advies.

We hebben geen partnerships met leveranciers. Als een tool past, zeggen we dat. Als er één teveel is, zeggen we dat ook.

Geen audit met checklist.

Een audit beoordeelt of je voldoet aan een norm. Een diagnose beoordeelt of je regie werkt. Twee verschillende vragen.

Geen technische pentest.

We breken niets in. Voor pentesting werken we graag samen met gespecialiseerde partijen, en interpreteren hun output in context.

TERUG·PLAN EEN DIAGNOSE

Wil je weten of je regie ook werkelijk werkt?

Plan een diagnose