Testen van je beveiliging
Als ondernemer besteed je mogelijk veel tijd, aandacht en geld aan de digitale beveiliging van je onderneming. Omdat digitale beveiliging vaak niet tastbaar is, kan het lastig zijn om zicht te krijgen op de staat van je digitale beveiliging. Hierdoor kan het zijn dat je IT-omgeving kwetsbaar is voor cybercriminelen, zonder dat je het weet. Laat daarom regelmatig de beveiliging van je onderneming testen door een externe partij. Dit kan bijvoorbeeld in de vorm van een audit, risicoanalyse of penetratietest (pentest).
Wanneer laat ik een test uitvoeren?
Er zijn verschillende momenten waarop het zinvol is je digitale beveiliging te laten testen. Bijvoorbeeld bij het implementeren van een nieuw systeem of applicatie, het doorvoeren van veranderingen in je IT-omgeving of simpelweg als dit al een tijd lang niet gedaan is (een periodieke check dus). Voor elke situatie zijn er andere mogelijkheden om de beveiliging te testen. Het testen van je beveiliging kost geld, dus is het belangrijk om een duidelijk beeld te hebben van wat je wilt testen en op welke manier.
Hoe test ik de digitale beveiliging van mijn onderneming?
Als je wilt weten of de beveiliging van jouw organisatie in orde is, kan je dit op verschillende manieren testen. Om je een beeld te geven van de mogelijkheden hebben we hieronder een selectie gemaakt van enkele veel voorkomende methodes en hulpmiddelen, op verschillende niveaus.
Mogelijkheden
- Een risicoanalyse is een abstracte manier om mogelijke risico's en dreigingen in kaart te brengen. Aan elk risico wordt een kans en impact toegekend. Op deze manier krijg je inzicht welke risico's het meest reëel zijn en waar de impact het grootst is. Dit geeft je een richtlijn waar je kunt beginnen om mogelijke risico's te beperken. Bekijk het handige Stappenplan voor een risicoanalyse.
- Een audit is een proces waarbij een auditor toetst of jouw omgeving voldoet aan een vooraf opgesteld normenkader. Hierbij kan je denken aan bepaalde privacyrichtlijnen, zoals de AVG, of ISO-standaarden waaraan jouw organisatie moet doen. Bij een audit is het belangrijk je te realiseren dat de betekenis van de resultaten van een audit sterk afhangt van het vooraf opgestelde normenkader.
- Om je beveiliging op een meer flexibele manier te testen kan je een pentest uit laten voeren. Bij een pentest probeert een geautoriseerde beveiligingsspecialist (de pentester) de digitale beveiliging van jouw onderneming te omzeilen of te doorbreken op dezelfde manier als een echte hacker dit zou doen. Op deze manier krijgt de pentester inzicht in de effectiviteit van de digitale beveiliging van jouw onderneming en kan hij mogelijke risico's en kwetsbaarheden in kaart brengen.
- Als je een nieuwe applicatie lanceert of als een bestaande applicatie grote veranderingen heeft ondergaan, kun je een code review uit laten voeren. Hierbij wordt de broncode van een specifieke applicatie onderzocht op mogelijke kwetsbaarheden.
- Het is ook mogelijk om je infrastructuur te (laten) testen op veel voorkomende kwetsbaarheden door het uitvoeren van een geautomatiseerde security scan. Deze scan kan bijvoorbeeld per maand, dag en zelfs live worden uitgevoerd om de status van jouw omgeving in de gaten te houden.
Waar moet ik op letten?
Om de beveiliging van je onderneming zo effectief mogelijk te laten testen, zonder dat je hier (veel) hinder van ondervindt, is een goede voorbereiding van belang. De onderstaande punten kunnen hierbij helpen.
- Essentieel is dat het duidelijk is wat de onderzoeksvraag is. Stel jezelf de volgende vragen:
- Wat is het uiteindelijke doel van de test?
- Welke vragen moeten beantwoord worden?
- Welke informatie wil je krijgen?
- Spreek ook af in welke vorm de antwoorden op deze vragen en de bevindingen gedeeld worden. Dit is veelal in de vorm van een rapport met daarin onder andere de beschrijving van de methodiek, de scope, de bevindingen en aanbevelingen. Het is verstandig om een conceptrapport te vragen, om te zien of deze voldoet aan jouw wensen. Tot slot is het belangrijk dat de bevindingen vertrouwelijk behandeld worden. Maak hier goede afspraken over met de tester.
- Bepaal de scope van je test. Welke omgeving, apparaten of applicaties moeten getest worden? Welke testmethodes mogen gebruikt worden? Wat zijn cruciale systemen of processen die absoluut niet gehinderd mogen worden? Geef daarbij ook de gewenste diepgang van de tests aan. Als een tester op gevoelige informatie stuit, moeten er duidelijke afspraken zijn dat deze informatie niet bekeken wordt.
- Maak een duidelijke planning om te voorkomen dat de dagelijkse werkzaamheden hinder ondervinden. Stel een harde deadline, vermijd drukke periodes en wees je ervan bewust dat testen zoals een pentest soms veel technische capaciteit kunnen vragen. Doe dit dus niet op een moment dat het erg druk is.
- Afhankelijk van het type test is het ook belangrijk informatie, systemen en ondersteuning beschikbaar te stellen voor de tester.
- Bij een code review moet de broncode beschikbaar zijn voor de tester.
- Bij een audit kan vooraf en/of gedurende de audit om informatie gevraagd worden (zoals bijvoorbeeld gegevens over het bedrijf, handleidingen en/of procedures).
- Bij een pentest kan de vooraf verstrekte informatie verschillen, afhankelijk van de manier waarop je de pentest wilt laten uitvoeren. Zo kan je een pentest laten uitvoeren waarbij de tester geen informatie of inloggegevens van het systeem heeft (een zogenaamde black box test) om een zo realistisch mogelijk scenario te bouwen. Dit kost echter meer tijd (en geld) waardoor ook gekozen kan worden om de testers vooraf informatie te verstrekken zoals inloggegevens en een overzicht van de apparaten in het netwerk.
Keuzehulp voor securitytesten
Wil je weten welke testen er zoal zijn en welke test past bij je doelen? Cyberveilig Nederland heeft een "Buyers guide Securitytesten" samengesteld. Handig naslagwerk voor ondernemingen die een securitytest willen inkopen.
Pentest bij DTC legt 'zero day' kwetsbaarheid bloot
Het DTC liet onlangs een pentest uitvoeren op de IT-systemen die zij voor notificatiedienstverlening gebruikt. Tot ieders verrassing stuitte de pentester op een ‘zero day’ (bij de fabrikant nog niet bekende) kwetsbaarheid in een ticketsysteem dat door veel securityteams gebruikt wordt. Het DTC doet verslag van deze ontdekking in een ‘ondernemersverhaal’.