CYBER SECURITY.
CYBER SECURITY.
Preventie
Inzicht
Cyberlab

De security assessment: wat kun je verwachten? (2/2)

21 augustus, 2019

In deel 1 van dit blog, bespraken we hoe het eerste gedeelte van een security assessment bij IP4Sure eruitziet. We zagen hoe we middels interviews met de medewerkers en IT-specialisten van de organisatie een beeld krijgen van hoe de situatie er nu voor staat: welke data is privacygevoelig? Waar staat de data opgeslagen? Worden er logs bewaard? Is het beveiligingsbeleid duidelijk voor iedereen binnen de organisatie? Welke technologie wordt er gebruikt en wat moet er vervangen worden? Op basis van al deze informatie kunnen we een basisadvies uitbrengen (het laaghangende fruit) en bepalen op welk gedeelte van het netwerk we een kwetsbaarheidsscan loslaten.

Een onderdeel van onze security-assessment is een (beperkte) kwetsbaarheidsscan. Voor alle duidelijkheid: dit is geen scan van het complete netwerk. Het is vooral bedoeld om aan te tonen dat er altijd wel bepaalde zaken niet op orde zijn en wat het belang is van zo’n scan.

Uit de gesprekken die we tijdens de nulmeting voerden, kwam naar voren waar de focus van de kwetsbaarheidsscan zou moeten liggen: Waar staat de privacygevoelige data? Welke onderdelen van het netwerk zijn via het internet te benaderen? Welke processen moeten worden aangescherpt? Op basis van deze informatie selecteren we het meest risicovolle gedeelte van het netwerk dat we gaan testen op kwetsbaarheden. Hier komen vrijwel altijd zaken uit naar voren die een beveiligingsrisico vormen.

Dat wil natuurlijk niet zeggen dat er in andere gedeelten van het netwerk geen kwetsbaarheden zitten en een vast onderdeel van ons advies is om een continu proces in te stellen van kwetsbaarheidsscans voor het hele netwerk. Wat nu veilig lijkt, kan immers volgende week onveilig zijn, omdat er aan de lopende band nieuwe kwetsbaarheden bijkomen. Bovendien moeten alle apparaten die met het netwerk verbinden goed beveiligd zijn. Denk bijvoorbeeld aan mobiele telefoons of laptops van werknemers. Kunnen deze bij diefstal eenvoudig worden gewist op afstand, zonder dat de medewerker meteen al zijn vakantiefoto’s kwijt is?

Welke oplossingen je daarvoor moet gebruiken laten we overigens in het midden tijdens de nulmeting. We kunnen weliswaar alle beveiligingsproducten leveren, zoals een doorlopende kwetsbaarheidsscan, maar indien de klant gebruik wil maken van zijn eigen vaste leverancier, dan is dat natuurlijk geen enkel probleem. Hetzelfde geldt voor alle andere aspecten van ons rapport, zoals bijvoorbeeld het advies voor ‘next generation’ firewalls of moderne virusscanners: wij kunnen deze zaken leveren, maar dat is geen onderdeel van ons advies. Het belang van de nulmeting is dat deze zaken worden geïmplementeerd en het is aan de klant om te bepalen met wie hij daarvoor in zee gaat.

De eindevaluatie

Het uiteindelijke rapport dat we opleveren na een assessment is behoorlijk uitgebreid en kent meerdere ‘lagen’. Een van die lagen is de ROGG-lijst. Dat staat voor Rood (groot gevaar), Oranje, Geel en Groen (veilig). Naast deze classificatie voegen we ook een kolom toe die aangeeft wat de impact is en hoe makkelijk een oplossing is te implementeren. Deze kolom loopt van licht naar donkerblauw, waarbij donkerblauw het moeilijkst is om te implementeren. Het liefst heb je per onderdeel dus ‘groen’ en ‘lichtblauw’. Een advies wat wij organisaties geven is om de onderdelen die op rood of oranje staan, gecombineerd met lichtblauw (weinig impact) als eerste op te lossen. Zo kun je al heel snel stappen maken.

Daarnaast schrijven wij een volledig rapport van gemiddeld 40 pagina’s dik. Dit is erg technisch-inhoudelijk en vooral bedoeld voor de IT-specialisten binnen de organisatie. Tot slot leveren we ook een management-samenvatting (waar de ROGG-lijst onderdeel van is), die we nog in een gesprek op locatie komen toelichten aan het management en de IT-leidinggevenden.

Beveiliging is een continu proces

Hoewel een security-assessment veel onveilige aspecten van de IT-infrastructuur kan blootleggen bij een organisatie, is het natuurlijk voornamelijk bedoeld als ‘proof of concept’.  Je kunt op basis van de assessment al veel zaken oplossen, door bijvoorbeeld verouderde apparatuur te vervangen, onbeveiligde en niet-gedecodeerde privacygevoelige data beter te beschermen, of te zorgen voor naleving van het beveiligingsbeleid. Maar je moet je er als organisatie vooral van bewust zijn dat het daarmee niet stopt. Er komen ieder dag nieuwe dreigingen bij en er worden iedere dag nieuwe kwetsbaarheden gevonden. Zie het daarom vooral als de eerste stap naar een veiliger toekomst.

Wij werken met veel plezier o.a. voor