Informatiebeveiliging testen

Security Audits

Met behulp van security audits kunnen bedrijven zorgen dat het beveiligingsniveau op orde komt maar daarna ook op orde blijft.  Security Audits kunnen in verschillende vormen en frequenties worden uitgevoerd. Hieronder vindt u een aantal voorbeelden van audits, controles en inventarisaties die wij uitvoeren:

Interne audit

Een interne audit is een activiteit die vooral bij de wat grotere organisaties al plaats vindt. Het verschil met de ICCM security audits of ISO-27001 audit is dat er uitsluitend intern (binnen de afdeling) gerapporteerd wordt. De uitkomsten kunnen door de organisatie gebruikt worden als verbeterpunt. Veel interne audits zijn operationeel van aard; er wordt gekeken naar de juistheid van uitvoer van opgesteld beleid en er worden steekproeven uitgevoerd op basis van onze praktijkervaringen bij andere bedrijven. Een aantal voorbeelden van controlepunten kunnen zijn:

  • Welke accounts zijn er in de domein-controller aanwezig; zijn alle gebruikers nog in dienst, welke rechten hebben de accounts en voldoen de accounts en bijbehorende wachtwoorden aan de opgestelde eisen? 
  • Clean desk policy; er worden ronden gelopen door het bedrijf om vast te stellen of geen gevoelige gegevens op de bureau’s liggen
  • Controle toegangssysteem; welke passen zijn de afgelopen week gebruikt, welke passen al langer dan een maand niet? Soms worden alle medewerkers bij aankomt gevraagd de pas te tonen zodat kan worden vastgesteld dat iedereen zijn eigen pas gebruikt

Voordeel van het inzetten van BSM bij dit soort audits is dat wij onafhankelijk zijn en zonder ‘werkrelatie’ ook de manager en de directeur de bevindingen kunnen terugkoppelen zodat correcties waar nodig kunnen worden doorgevoerd.

Pre-audit voor ISO 27001 Certificering

Net als bij interne audits doen we controles op de punten waarop wij verwachten dat de auditors van de certificerende instantie zullen gaan controleren. Omdat wij dit soort audits ook regelmatig meemaken weten wij goed hoe u kunt worden voorbereid op een dergelijke audit. 

Risico analyses

Soms zijn er in een organisatie al informatiebronnen voor kwetsbaarheden. Echter, welke kwetsbaarheid is nu gevaarlijk en welke eigenlijk niet? Hiervoor is kennis nodig zodat de risico matrix (waarschijnlijkheid op de ene as, impact op de tweede) goed ingevuld kan worden. Vaak is er op de werkvloer veel meer bekend over aanwezige risico’s. In interviews proberen wij medewerkers uit te leggen dat het centraal vastleggen en doorgeven van bekende risico’s in het belang is van het voortbestaan van het bedrijf. Nadat dit begrip er is, verzamelen wij nieuwe, nuttige inzichten voor het management over de werkelijke risico’s die gelopen worden.

Leveranciers en product beoordelingen

Eigenlijk is dit geen audit maar het lijkt er wel erg op. We beoordelen de huidige situatie van leveranciers, producten en diensten in een specifiek deelgebied om daarna een beoordeling te kunnen doen van betrouwbaarheid en risico’s verbonden aan leveranciers en welk(e) nieuwe producten geïmplementeerd kunnen worden om een organisatie te verbeteren. Alhoewel we brede IT kennis hebben, en dus ook kunnen beoordelen of uw algehele IT budget marktconform is, ligt de focus bij dit soort opdrachten meestal op security producten en diensten. Voorbeelden van vragen zijn;

  • Hoe is de financiële positie van mijn leverancier?
  • Is het contract met de leverancier op orde? (waar liggen de risico’s als iets ‘down’. gaat?)
  • Welke SPAM oplossing moet ik kiezen?
  • Ik wil monitoring of SIEM, wat moet ik doen en is open source de beste keuze?
  • Welke Web Application Firewall is voor ons geschikt?
  • Is onze infrastructuur voldoende redundant?
  • Ik weet dat we backups ingekocht hebben, maar werken die echt en kunt u dat testen?

Ons motto bij security adviezen: De oplossing moet veilig maar zeker ook werkbaar zijn. Een goede security oplossing maakt het veiliger en makkelijker voor de eindgebruiker.