Direct hulp nodig? Bel of app ons noodnummer.

040-2095020

Audit

  • 27 jan, 2020

Alles over IT Security Audits & Security Testing

Blue Team

Voor de ene organisatie is een IT-security audit vaste prik, voor het andere bedrijf blijft het een overweging die steeds weer terugkeert. Want hoe essentieel is een security audit? Wat gaat het nog opleveren terwijl er al is geïnvesteerd in IT-security oplossingen? Moet alles dan niet gewoon altijd veilig zijn?

Security audit: wat is de meerwaarde?

Ja, net zoals u mag verwachten dat een nieuwe koffiemachine functioneert, mag u ook eisen dat securityoplossingen hun werk doen. Echter betekent het hebben van securityoplossingen niet dat u geen risico op een cyberaanval meer loopt. Allereest zijn niet alle dreigingen af te vangen met een securityproduct. Daarnaast kan het ook voorkomen dat iets (per ongeluk) niet goed wordt gebruikt door collega’s, waardoor er sprake is van schijnveiligheid.

Een onafhankelijke security audit dus is écht van meerwaarde en zeker niet iets om op te beknibbelen. Hoe dat precies zit? In dit artikel leggen we er alles over uit!
 

IT-security is een continu proces

Laten we direct voorop stellen: aannames over de staat van uw IT-security zijn funest. Het is volkomen begrijpelijk te denken dat u er warm bij zit na het maken van investeringen in cybersecurity. Maar helaas: het continu veilig houden van uw IT-infrastructuur is nooit een eenmalige actie. Monitoring en inzicht zijn essentieel. Gelukkig zijn steeds meer bedrijven hier al van op de hoogte.

Tegenwoordig zijn er voor aanvallers zoveel mogelijkheden IT-omgevingen te infiltreren, dat zelfs de organisaties die security erg serieus nemen last hebben van gaten op zijn tijd. Kijk maar naar Microsoft: die rollen niet voor niets regelmatig beveiligingsupdates uit. Dat heeft alles te maken kwetsbaarheden die zo nu en dan ontstaan, mede door de snel ontwikkelende technologieën.

Daarnaast blijft het natuurlijk een groot probleem dat niet iedereen securityminded handelt en securityoplossingen verkeerd gebruikt. Dan valt er al snel een gat in uw digitale omheining.

Beveiligingslekken zijn vaak onopvallend

Het meest uitdagende is dat deze beveiligingslekken niet altijd direct zichtbaar zijn. Wanneer uw CV-ketel kuren vertoont, merkt u dat waarschijnlijk direct: uw verwarmingen springen bijvoorbeeld niet meer aan. Wanneer uw securitybeleid gaten heeft, is het pas zichtbaar wanneer het mis gaat. Dan is er al schade. Natuurlijk wilt u dit voorkomen.

Wat levert een security audit concreet op?

IT-security audits geven helder inzicht in de cyberweerbaarheid van uw IT-infrastructuur en organisatie. Het stelt u in staat een realistische beoordeling van eventuele veiligheidsrisico’s te maken. Op die manier bent u beter op de hoogte van de staat van beveiliging en is het mogelijk doeltreffende oplossingen te realiseren voordat eventuele problemen zich aandienen.

IT-security audits: wat is er mogelijk?

Wanneer u een cyber security specialist vraagt wat een security audit inhoudt, is de kans aanwezig dat u verschillende reacties krijgt. Dat heeft er alles mee te maken dat er verschillende manieren zijn om de staat van uw IT-security te meten. Daarnaast heeft ook niet elke audit dezelfde scope of reikwijdte. Een security audit is dus een breed begrip.

Wat kan er worden onderzocht in zo’n audit?

U bent zich er waarschijnlijk al lang van bewust dat er op uiteenlopende vlakken bedreigingen op de loer liggen. Een security audit kan onderzoeken hoe weerbaar u bent tegen – onder andere – de volgende cyberdreigingen:

1. Weerbaarheid tegen Malware

In hoeverre bent u beschermd tegen de dreiging van Malware zoals Trojan Horses, Spyware, Worms en – niet onbelangrijk – Ransomware?

2. Distributed Denial of Service-aanvallen

Zeker wanneer de online infrastructuur van uw organisatie continu (misschien zelfs 24/7) beschikbaar moet zijn, is de bekende DDoS-aanval een ramp. Daarbij valt de hacker meestal een webserver aan door deze te overbelasten, waardoor de boel niet meer werkt zoals het hoort.

3. Phishing-aanvallen

Datadiefstal en gegevensinbreuken hebben regelmatig een phishing-aanval als oorzaak. Heeft een aanvaller de juiste inloggegevens te pakken gekregen door phishing? Dan kan hij bij veel bedrijven meteen overal bij zonder last te hebben van beveiligingsmaatregelen. Is uw organisatie beschermd tegen phishing? En hoeveel kan een hacker wanneer hij toch in heeft weten te loggen?

4. Onveilige wachtwoorden

Daarop voortbordurend: wat voor wachtwoordbeleid heeft uw organisatie? In sommige gevallen vinden er zonder dat er een phishing-actie aan ten grondslag ligt toch account-takeovers plaats. Hoe dat kan? Doordat inloggegevens veel te eenvoudig te raden zijn.

5. Onoplettende werknemers

Slechte wachtwoorden hangen vaak samen met onoplettende werknemers. Veel gaten in de cyberweerbaarheid vallen – onbedoeld – door werknemers die niet voldoende securityminded optreden. Zijn uw werknemers in basis voldoende opgeleid veilig te handelen? En gebruiken ze alle securityoplossingen op de juiste manier?

6. Toegang tot (gevoelige) data

Dat men op moet passen voor ransomware en phishing is inmiddels wel bekend bij organisaties. Maar hoe zit het met de beveiliging rondom klantgegevens? Of andere gegevens zoals de code van een klant? Een security audit kan zich dus ook richten op klant-specifieke securityvragen.

7. Fysieke infiltratie

Er zijn vooral veel manieren waarop hackers via de digitale omgeving binnen komen. Maar wist u dat uw fysieke beveiliging een net zo belangrijk onderdeel is van uw cybersecuritybeleid? Een fysieke penetratietest kijkt hoe eenvoudig derden bij belangrijke locaties zoals serverruimtes kunnen komen.

Verschillende security scans

Hoe uitgebreid zo’n audit is, hangt natuurlijk af van de soort test waar u voor kiest. Er zijn tests die alle aspecten van uw securitybeleid uitpluizen, maar er zijn ook snelle scans die u een tussentijds overzicht geven van de situatie van één onderdeel binnen de algehele cybersecurity koepel. Hier een greep uit de soorten tests die u tegen kan komen in uw zoektocht naar audits:

Vulnerability Scan

Met een Vulnerability Scan krijgt u inzicht in de veelvoorkomende (digitale) kwetsbaarheden. Deze scan kijkt dus niet naar kwetsbaarheden zoals de manier waarop medewerkers met phishingacties om gaan, maar puur naar eventuele problemen in de infrastructuur. Deze scan is automatisch en daarmee redelijk algemeen van aard, maar wel een fijne eerste stap om meer inzicht te krijgen.

Pentest

Een pentest – ook wel penetratietest – gaat heel wat stappen verder. Hierbij gaat een (team van) ethisch hacker(s) verschillende aanvallen simuleren op uw infrastructuur. De werkwijze komt precies overeen met die van aanvallers. Ook zwakke schakels zoals de mens kunnen worden meegenomen in de aanpak, wat maakt dat de pentest een zeer realistisch beeld geeft van de cyberweerbaarheid van uw organisatie.

Lees hier over veelvoorkomende misvattingen over de penetratietest.

Code review

Bij een code review kijkt een security expert naar hoe veilig de broncode van uw software of (web)applicatie is. De specialist controleert de broncode regel voor regel op eventuele kwetsbaarheden of fouten. Het securitybeleid van uw organisatie wordt meegenomen om de toetsing contextgericht plaats te laten vinden.

Nulmeting of IT-Scan

Waar een Vulnerability Scan geautomatiseerd de veelvoorkomende digitale kwetsbaarheden bovenwater tovert, kijkt een nulmeting of cyber security audit vaak op een zelfde globale wijze naar het complete geheel. Is er een securitybeleid? Wordt er gebruik gemaakt van MFA? Van VPN? Security experts gaan een uitgebreide checklist af om veelvoorkomende securitymissers naar voren te halen. Zo weet u hoe u er in de algemene basis voor staat.

Audits tbv ISO-certificeringen

Tot slot zijn er nog de audits ten behoeve van ISO-certificeringen. Bij deze certificeringen moet u als organisatie voldoen aan hele specifieke informatiebeveiligingseisen. Er zijn veel organisaties die gespecialiseerd zijn in het afnemen van IT-security audits die al deze eisen onder de loep nemen, zodat u precies weet hoe ver u van de certificering vandaan bent. En of u hem hebt gehaald natuurlijk.

Interesse in een IT-security audit?

IP4Sure biedt verschillende scans en tests waarmee u inzicht krijgt in de cyberweerbaarheid van uw organisatie. Zo zijn pentests een belangrijk specialisme van ons. Ook bieden we Vulnerability Scans, Code reviews, Nulmetingen en Fysieke penetratietests. 

Wilt u advies over welke test bij uw securityvraagstuk past? Neem dan vrijblijvend contact met ons op.

Inschrijven nieuwsbrief

Lees ook...

Cyber security

  • 18 apr, 2024

10 WiFi tips: Wat kan een hacker ermee?

Zijn er in Nederland eigenlijk nog wel bedrijven zonder WiFi-netwerken? De friettent? De bakker? Nee, ook die hebben een WiFi…

Lees verder

Detection & Response

  • 9 apr, 2024

Wat is een SOC (Security Operations Center)?

Een Security Operations Center (SOC) is al lang niet meer alleen voor de hele grote jongens. Steeds meer uiteenlopende organisaties…

Lees verder

Threatlandschap

  • 26 mrt, 2024

Hoeveel Smart Home apparaten zijn een poort naar China?

Recent kopte de NOS met “Amerikaanse overheid kan bij e-mail van Nederlandse overheden en kritieke bedrijven”. Het is niet ondenkbaar…

Lees verder

Human Factor

  • 25 feb, 2024

90% van werknemers neemt bewust beveiligingsrisico’s

De mens als belangrijke factor binnen de cyber security is op zichzelf niets nieuws: met social engineering spelen hackers al decennia lang in op…

Lees verder

Uw cyber security bespreken en advies ontvangen?

Afspraak maken

Vragen over cyber security? Bel ons vrijblijvend op:

+31 40-2444666

Afspraak maken

"*" geeft vereiste velden aan

Naam*
Privacy policy*