CYBER SECURITY.
CYBER SECURITY.
Preventie
Inzicht
Cyberlab

De security assessment: wat kun je verwachten? (1/2)

21 augustus, 2019

Dat het belangrijk is voor bedrijven om zorgvuldig om te gaan met de gegevens op hun netwerken, wordt regelmatig bevestigd in het nieuws. Datalekken zijn niet alleen dodelijk voor de reputatie van een onderneming, het kan ook flinke boetes opleveren als achteraf blijkt dat de beveiliging niet op orde was. Maar hoe weet je zeker dat je er alles aan hebt gedaan om je zakelijke data te beveiligen? Heb je alle onderdelen van je netwerk(en) wel in kaart gebracht? Weet je welke data waar staat? Weet je welke data privacygevoelig is? Weet je welke apparaten je medewerkers gebruiken en zijn die apparaten goed beveiligd? Worden de logs bewaard? Zijn de security-processen duidelijk voor iedereen in de organisatie? Is er überhaupt wel een uitgewerkt ICT-beveiligingsbeleid? Op deze vragen, en nog veel meer, krijg je antwoord als je een security assessment uit laat voeren door een externe security-specialist. In deze blogserie vertel ik je hoe dat bij ons in zijn werk gaat.

Een security-assessment van IP4Sure neemt ongeveer een week in beslag en kent verschillende fases. We inventariseren eerst de huidige situatie door de medewerkers te interviewen en we brengen de infrastructuur globaal in kaart. Vervolgens voeren we op basis van deze inventarisatie een (beperkte) kwetsbaarheidstest uit om te kijken welke beveiligingsrisico’s er zichtbaar worden. Afsluitend volgt er een evaluatie met een uitgebreid testrapport, een onderbouwd advies en een eventueel vervolgtraject. Vandaag bespreken we het eerste gedeelte: de nulmeting.

Nulmeting

De nulmeting begint met interviews met de medewerkers van een organisatie. Met welke medewerkers we deze gesprekken voeren, is afhankelijk van allerlei factoren en het zal van bedrijf tot bedrijf verschillen. Het liefst spreken we mensen uit alle geledingen van de organisatie, om een zo compleet en realistisch mogelijk beeld te krijgen. Vaak is dat met de Security Officer of de IT-manager, maar ook de eindgebruiker kan ons van nuttige informatie voorzien.

De gesprekken nemen ongeveer een dag in beslag en hier stellen wij uiteenlopende vragen over de gebruikte techniek en de processen. Wie is er bijvoorbeeld verantwoordelijk voor het toewijzen en invorderen van rechten? Worden de logbestanden bewaard en kan de organisatie zien wanneer mensen inloggen of gegevens benaderen? Hoe lang worden de logs bewaard? Wat gebeurt er als een medewerker een nieuw wachtwoord aanvraagt? Hoe wordt dit verzoek gevalideerd? Wordt de wachtwoordwijziging vastgelegd? Wat gebeurt er met de toegewezen rechten als een medewerker uit dienst treedt? Hoe wordt er data uitgewisseld? Gaat dat bijvoorbeeld via WeTransfer, Dropbox of e-mail? Weet men dit überhaupt? En nog belangrijker: is er een beveiligingsbeleid? Weten de gebruikers wat er van hen verwacht wordt? Al dit soort vragen – en nog veel meer – zorgen ervoor dat we aan het eind van de dag een redelijk scherp beeld hebben van waar de acute veiligheidsrisico’s binnen een organisatie liggen.

Wat komt er in deze gesprekken naar voren?

Wat ik regelmatig aantref bij bedrijven is dat de opvolging van het veiligheidsbeleid niet goed is geregeld – als er al een beleid is. Er wordt bijvoorbeeld geen actie op beveiligingsmeldingen ondernomen of de medewerkers worden niet gecontroleerd op naleving van de regels. Daarnaast gebeurt het regelmatig dat zaken als een wachtwoordwijziging of een wijziging in gebruikersrechten niet worden vastgelegd. Wanneer een organisatie dan een jaar later een incident inzichtelijk moet maken, zijn heel veel factoren niet meer te herleiden, wat grote gevolgen kan hebben: de wetgever vereist immers dat je aantoonbaar kan maken dat je beveiliging op orde was als er een incident heeft plaatsgevonden. Ook zie ik vaak dat de data van bedrijven niet geclassificeerd is. Persoonsgegevens moeten aan strengere beveiligingseisen voldoen dan algemene data. Of misschien heeft de organisatie concurrentiegevoelige data, zoals patenten. Ook die wil je natuurlijk zo goed mogelijk beveiligen, bijvoorbeeld met encryptie. Toch passen de meeste Nederlandse bedrijven nog altijd geen encryptie toe op gevoelige gegevens.

Dit soort beveiligingsproblemen (en meer) is eerder regel dan uitzondering bij Nederlandse bedrijven. Gelukkig zijn ze in de regel vrij eenvoudig op te lossen, maar dan moet je natuurlijk wel van het bestaan op de hoogte zijn.

De gebruikte technologie

Nadat we de processen in kaart hebben gebracht, gaan we het over de technologie hebben. Welke beveiligingstechnieken worden er bijvoorbeeld gebruikt? Is het netwerk gesegmenteerd? Zijn er rapportages en alerts? Kan men duidelijk zien wat er in het netwerk gebeurt? Is de firewall modern genoeg om met de dreigingen van vandaag de dag om te gaan? Wanneer we alle verkregen informatie combineren en analyseren, kunnen we al een basisadvies uitbrengen. Dit is het laaghangende fruit, wat eigenlijk direct opgelost zou kunnen en moeten worden. Want we kunnen wel de gaten in het hek gaan dichten, maar als de poort openstaat, heeft dat weinig zin…

Meer weten? In deel twee van dit blog ga ik wat dieper in op de kwetsbaarheidsscan en de eindevaluatie.

Wij werken met veel plezier o.a. voor