Hoe weten jullie eigenlijk je of jullie ICT wel veilig is?

Deze vraag is steeds vaker te horen, zeker in een omgeving waar de ICT mogelijk door externen is ingericht en wordt beheerd. 

Zie hier ook de white paper secirity testen.

Jullie ICT’ers doen hun uiterste best om alles zo veilig mogelijk in te richten en te houden. Maar is jullie organisatie echt veilig? Hoe komen je daar achter? Jullie houden – vanzelfsprekend –  alle preventieve en bestrijdende software op beveiligingsgebied up-to-date. Maar zijn jullie daarmee wel veilig? Er zijn diverse mogelijkheden om dat te (laten) testen.

Regelmatige securityscan
Een veelgebruikte check is met behulp van een regelmatige (geautomatiseerde) securityscan. Die kijkt vooral naar veel voorkomende kwetsbaarheden in de ICT-infrastructuur. Jullie kunnen diverse (gratis) checks vinden op internet die jullie in ieder geval een aardig beeld geven of jullie goed bezig zijn. Een voorbeeld vind je bijbvorbeeld hier. Een professionele beveiligingsscan uitgevoerd door een externe partij is natuurlijk ook mogelijk, en heeft misschien zelfs wel de voorkeur.

Ethische hacker inschakelen
Een penetratietest of pentest kunnen jullie inzetten om te controleren of jullie beveiliging te omzeilen of te doorbreken is. Daarbij gaat een pentester – een (externe) beveiligingsspecialist – te werk als een echte hacker. Zo’n ‘ethische’ inbreker noemt men ook wel ‘white hat’-hacker, in tegenstelling tot de ‘black hat’-cyberdief die jullie met zijn inbraak schade wil berokkenen. In het uiteindelijke rapport doet deze persoon verslag van de risico’s en kwetsbaarheden.

Dreigingen in kaart brengen
Iets abstracter is het (regelmatig) uitvoeren van een risicoanalyse om eventuele dreigingen in kaart te brengen. In het Digital Trust Center van het ministerie van Economische Zaken en Klimaat vinden jullie een handig stappenplan om zo’n analyse (zelf of via externen) uit te voeren. Eventueel kan zo’n analyse gebaseerd zijn op een (externe) audit die de beveiliging in jullie organisatie toetst aan het beleid of de kaders en normen die u heeft opgesteld.

Bepaal vooraf het doel
Omdat er aan het testen van jullie ICT-infrastructuur en -omgeving een behoorlijk kostenplaatje kan hangen, is het verstandig om vooraf te formuleren wat jullie precies willen (laten) testen, wat het uiteindelijke doel is en wat er met of naar aanleiding van de resultaten moet gebeuren. Daarmee kunt jullie  dan gespecialiseerde partijen in de markt benaderen.

Een handig hulpje daarbij kan de door EZK aanbevolen ‘buyers guide securitytesten’ van Cyberveilig Nederland zijn. Daarin vindt u een overzicht van de verschillende testvormen en -mogelijkheden.