Cloud Scan

In vier tot zes weken inzicht in de risico’s, configuratiefouten en compliance-gaps in uw cloudomgeving. Getoetst aan NIS2, DORA en de Cyberbeveiligingswet.

De meeste organisaties draaien tegenwoordig minstens een deel van hun infrastructuur in de cloud. Microsoft 365, Azure, AWS, Google Workspace en vaak een combinatie. Wat begon als een paar gebruikersaccounts is in een paar jaar uitgegroeid tot een complex landschap van workloads, identiteiten, integraties en data.

Tegelijkertijd is de Europese wetgeving fors aangescherpt. NIS2 verplicht middelgrote en grote organisaties in essentiële sectoren tot risicobeheer en incidentmelding. DORA legt vergelijkbare eisen op aan financiële instellingen, met expliciete aandacht voor cloud leveranciers als ‘critical third-party providers’. En de Cyberbeveiligingswet, de Nederlandse implementatie van NIS2, voegt daar nationale verplichtingen aan toe.

De Cloud Scan brengt in een afgebakende periode in kaart waar uw cloud omgeving staat ten opzichte van die nieuwe verplichtingen. Geen 200-pagina groot rapport, maar een werkbaar overzicht waarmee u prioriteiten kunt stellen.

Wilt u weten waar u staat?

Wat onderzoeken we

De scan kijkt naar drie lagen: techniek, governance en compliance. Concreet zijn dit de onderwerpen die we doorlichten:

  • Identiteits- en toegangsbeheer: MFA-coverage, privileged accounts, conditional access, lifecycle van gebruikersaccounts;
  • Configuratiehygiëne: beveiligingsbaselines van uw cloudtenants, afwijkingen op CIS-benchmarks, exposed services;
  • Logging en detectie: wordt er gelogd, wat wordt er gelogd en zou u een aanval ook daadwerkelijk zien?
  • Dataclassificatie en bewaartermijnen: waar staat welke data en past dat bij uw juridische verplichtingen?
  • Backup- en herstelvermogen: kunt u bij een ransomware-incident binnen aanvaardbare tijd herstellen?
  • Verwerkers en derde partijen: welke leveranciers hebben toegang tot wat en hoe is dat contractueel geregeld?
  • NIS2 / DORA-mapping: waar staat u op de specifieke verplichtingen uit deze wetgeving?

Hoe gaat het in de praktijk?

Week 1: kick-off en toegang

We starten met een korte werksessie waarin we de scope afbakenen: welke tenants, welke workloads, welke afdelingen. U geeft ons read-only toegang tot de relevante cloud omgevingen, of we werken samen met uw beheerder die de checks zelf uitvoert. Geen software-installaties op uw systemen, geen agents.

Week 2 tot 4: onderzoek en gesprekken

Onze adviseurs voeren de technische checks uit en spreken met een aantal sleutelfiguren in uw organisatie: de cloud-beheerder, de CISO of veiligheidscoördinator en iemand vanuit de business die afhankelijk is van de cloud omgeving. Het beeld dat daaruit ontstaat is rijker dan een puur technische scan en geeft context bij de bevindingen.

Week 5 tot 6: rapport en presentatie

U ontvangt een rapport van twintig tot dertig pagina’s: bevindingen, risicoduiding en een prioriteitenmatrix. We presenteren de uitkomsten aan uw directie of MT en bespreken welke verbeteringen en quick wins er zijn en waar een langer traject nodig is. U kunt daarna zelf aan de slag, of de uitvoering bij ons of een andere partij beleggen.

Wat krijgt u concreet

  • Een rapport met bevindingen per onderzoeksgebied, geclassificeerd naar risiconiveau;
  • Een mapping van uw cloud omgeving tegen de relevante NIS2- en DORA-verplichtingen (afhankelijk van uw sector);
  • Een prioriteitenmatrix met concrete vervolgstappen: wat eerst, wat later, wat optioneel;
  • Een presentatie aan directie of MT van ongeveer anderhalf uur;
  • Een leverancier neutraal advies — wij verkopen geen cloud platformen of beveiligingsproducten.

Doorlooptijd en investering

De doorlooptijd is meestal vier tot zes weken, afhankelijk van de omvang en complexiteit van uw cloud omgeving. De investering wordt op maat gemaakt op basis van de scope, denk aan het aantal cloudtenants, workloads en de diepgang van de toetsing tegen NIS2 of DORA. Een offerte ontvangt u binnen vijf werkdagen na de intake.

Wilt u weten waar uw cloudomgeving staat?