Wat voor security issues wil je precies in kaart brengen? Zelfs het simpel scannen van een netwerk van buitenaf zonder toestemming kan al problemen opleveren. Want ben je aan het scannen simpelweg voor je eigen informatie of ben je aan het voorbereiden om een echte aanval uit te voeren?

Eerste wat je zou moeten doen is een advocaat erbij betrekken. Eentje die verstand op dit gebied heeft.

Lol, misschien dat je werkgever beter een specialist kan inhuren... ? Je werkt zeker voor een detacheerder die plots ICT beveiligingsdiensten wil gaan leveren (en zelf geen verstand van zaken heeft) ? ;)

Met de eerste zin geef je zelf al aan waar je moet gaan zoeken en vragen. Ben je een stagiair?
Tacktisch: CISSP, CISA
Operationeel: Cisco, CheckPoint, F5, Juniper

Beste Trembling, misschien dat dit een opstapje is: http://www.managementexecutive.nl/downloaden/2286/Informatiebeveiliging-wat-mag-u-ervan-verwachten
En een tip aan de andere reageerders: als je niks zinnigs te zeggen hebt, reageer dan gewoon niet...

Misschien heb je gelijk, maar de vraagstelling is op zijn minst gezegd erg warrig. Het komt op mij over als iemand met weinig tot geen verstand van informatiebeveiliging die vanuit een 13-in-een-dozijn opleidingsinstituut beveiligingstrainingen verkoopt en op basis van dit "onderzoek" kijkt hoe de markt het beste benaderd kan worden met de juiste cursus. De vraagstelling zou van een bedrijf als IIR afkomstig kunnen zijn. Bottlenecks op de verschillende niveau's benoemen, flashy folder erbij waarbij gesuggereerd wordt dat de bottlenecks behandeld en opgelost worden, zelfgemaakte cursus erachter, docent erbij zoeken en voila, weer een cursus op de markt gezet.

Terug naar de vraagstelling. Als je een onderzoek wilt uitvoeren, dan zul je je moeten houden aan de onderzoeksregels. Wat is je probleemstelling? Wat is je onderzoeksvraag? Wat is de scope van je onderzoek? Heb je een onderzoeksplan? "Het een en ander in kaart zetten m.b.t. security issues bij Nederlandse bedrijven" is geen onderzoeksvraag. De scope is onduidelijk. Welke bedrijven? MKB? ZZP'ers? Multinationals? Bedrijven met een budget die zich met beveiliging op de drie genoemde niveaus professioneel bezig kunnen houden?

Daarnaast : wat versta je onder "security issues"? Ik kan er wel een paar noemen die bij veel bedrijven matig zijn geregeld: security monitoring, disaster recovery testing, security awareness (kennis, houding, gedrag), management support, technical compliancy. Als je denkt dat deze pijnpunten met aan te bieden diensten of softwareoplossingen verholpen kunnen worden, dan zit je er naast en steek je je onderzoek verkeerd in. Zo heb ik nog wel wat op te merken, maar het idee is denk ik wel duidelijk.

Kortom, ik ben benieuwd naar de achtergrond van deze vraag en verwacht veel meer informatie voordat we met een nuttig antwoord op de proppen kunnen komen.

Mooie pdf in die link het legt goed uit wat het verschil tussen: Operationeel, tactisch of strategisch. D PDCA cyclus is er ook.
Ik zou die driehoek met de brede basis (operationeel beneden) liever andersom getekend zien met de punt naar beneden (strategisch) in een wankel evenwicht ondersteund door frameworks en door controlerende instanties.

Het fundament waar alles op gebouwd wordt is het beleid (strategie) waaruit de architectuur/engineering (tactiek) moet komen die door de operatie zijn invulling krijgt. Door te beginnen met de operatie wordt de verwachting gewekt dat dat leidt tot de strategie. Dat is verkeerde insteek en vanuit de operatie en vanuit de leiding/bestuur.
In het artikel wordt op pag3 - 52) de verwachtingskloof genoemd waarbij de tactische laag uitgehold wordt.

Het document is uit 2002. De organisitorische beschrijving is verrassend aktueel en goed toepasbaar. De verwijzingen naar de normen en richtlijnen is helaas achterhaald ze hebben andere namen gekregen en er is het nodige aan toegevoegd.
VIB voor de overheid loopt nu met http://www.noraonline.nl/wiki/NORA_online bs7799 is overgegaan naar http://www.iso.org/iso/home/standards/management-standards/iso27001.htm Voor de techniek heb je SANS en het NCSC. Het laatste zijn frameworks met COBIT ITIL ITSM voor een prudent ICT inrichting.

De meeste vraag naar security diensten?
Dat is een lastige vraag niet om de techniek of de situatie maar naar de inschatting van de marktkansen m.b.t. advisering dan wel bodyshopping. Als het echte probleem de strategie is maar de bestuurders/leiding zien dat niet zo, dan:
++ Prachtige marktkansen voor advisering en mogelijk vervolgopdrachten maar er zal geen martkvraag komen.
Als het tachtisch beleid bij veel bedrijven zo is dat outsourcing en afkoop van de taken zoals de security als de oplossing gezien wordt, dan:
++ Prachtige marktvragen voor bodyshopping echter je gaat belanceringen op het grensvlek van ethiek aanprakelijkheid van datalekken en andere verwachtignen die niet correct zijn en mogelijk onhoudbaar blijken. De kansen voor de langere termijn zijn onzeker.

Een markt volwassen maken? http://www.mkb.nl/index.php?pageID=4&messageID=10143 'Cyber security onvoldoende op netvlies van ondernemers']
https://www.rijksoverheid.nl/documenten/rapporten/2015/10/14/cybersecuritybeeld-nederland-csbn-2015
http://www.binnenlandsbestuur.nl/digitaal/kennispartners/kpn-lokale-overheid/cybersecuritybeeld-ook-doorgedrongen-tot-de.9459109.lynkx Het doorgedrongen leest in het artikel als "er niet bekend mee"