Security services

Elke organisatie bevat waardevolle informatie, waarvan het niet de bedoeling is dat dit naar buiten komt. Om te voorkomen dat bedrijfsinformatie op straat komt te liggen, heb je uiteraard beveiligingsmaatregelen getroffen. Deze maatregelen geven echter niet altijd de garantie dat gegevens daadwerkelijk veilig zijn. Een kritische analyse door deskundigen geeft direct inzicht of jouw IT-beveiliging voldoende is.

Onze Security Services

Je kunt kiezen uit de volgende Security Services:

Penetratietest

Laat je organisatie ‘hacken’ op de reeds getroffen securitymaatregelen doormiddel van een penetratietest.

Onze penetratietest is een gecontroleerde aanval op een systeem, service of functie binnen jouw organisatie. De toegevoegde waarde van een penetratietest voor jouw organisatie is: het testen van de websitebeveiliging, toegang tot een interne server of een webshop. Deze penetratietest onderscheidt zich doordat:

• Je inzicht krijgt in de effectiviteit van reeds getroffen security maatregelen en detecteert risico’s nog voordat ze problemen veroorzaken;
• Je voldoet aan wet- en regelgeving, zoals PCI of het ICT-beveiligingsassessment DigiD;
• Je van onze security experts een gedetailleerd adviesrapport krijgt met onder andere quick wins, software updates en -patches;
• Je het risico op imagoschade door het lekken van waardevolle informatie kan beperken;
• De penetratietest scant op de 25+ bekende kwetsbaarheden zoals SQL-injectie en XSS (o.a. OWASP top-10 en CWE top-25);
• Wij door onze kennis en expertise een hoge kwaliteitsstandaard kunnen bieden.

Over de Penetratietest

Standaard bestaat de penetratietest uit een vulnerability scan (kwetsbaarhedenanalyse) en de exploitatie hiervan. De penetratietest kan worden uitgebreid met onder andere een insider attack, phishing email, USB aanval of het kraken van wachtwoorden. Hieronder lees je een algemene beschrijving van onze methodiek.

Beschrijving

Technisch gezien is een penetratietest een gecontroleerde aanval op een systeem van buitenaf met als doel kwetsbaarheden van het systeem bloot te leggen. Er worden doorgaans dezelfde methoden en technieken gebruikt als bij een echte aanval, zodat een echte aanval zo realistisch mogelijk kan worden nagebootst.

De penetratietest wordt echter uitgevoerd door een legitieme partij in overleg met de partij die eigenaar is van het systeem. Daarnaast is een penetratietest niet destructief waardoor het geen invloed heeft op het correct functioneren van het doelsysteem.

Een penetratietest wordt in de markt ook wel aangeduid als vulnerability scan. Wij maken hierin echter een onderscheid. Bij een vulnerability scan wordt op grotendeels geautomatiseerde wijze in kaart gebracht welke kwetsbaarheden zich mogelijk in een systeem bevinden. Bij een penetratietest worden de resultaten van de vulnerability scan uitgebreid handmatig gevalideerd en wordt door de ethical hacker onderzocht in welke mate kwetsbaarheden daadwerkelijk te exploiteren zijn. Een vulnerability scan maakt altijd deel uit van een penetratietest.

Een penetratietest bestaat uitsluitend uit een technisch onderzoek, waarbij de procedurele en/of bedrijfsmatige aspecten van de beveiliging van het systeem, zoals incident afhandeling of configuratie management, niet worden meegenomen. Een ethical hacker simuleert een aanval en probeert op die manier kwetsbaarheden van het systeem te ontdekken en uit te buiten.

Tijd is een belangrijke factor bij penetratietesten. Hoe meer tijd wordt geïnvesteerd in de penetratietest, des te groter de kans op succes. Uiteraard worden de kosten ook hoger naarmate men langer test. Om zo efficiënt mogelijk met de beschikbare tijd om te gaan is enige voorkennis voor de ethical hacker van belang.

Doel

Het doel van een penetratietest is het in kaart brengen van het beveiligingsniveau van één of meerdere systemen. De bevindingen van een penetratietest bestaan uit kwetsbaarheden die op systemen gevonden zijn. In de penetratietests uitgevoerd door onze business partner wordt het risico van een kwetsbaarheid geclassificeerd van “Laag” tot “Kritiek”. Indien een kwetsbaarheid “Kritiek” wordt bevonden, wordt de opdrachtgever direct op de hoogte gesteld en is direct actie gewenst. Zodoende kunnen adequate maatregelen getroffen worden om de kwetsbaarheden te verhelpen voordat deze uitgebuit kunnen worden door hackers.

Aanpak

Tijdens de penetratietest worden publiek en commercieel beschikbare tools en kennis gebruikt, zoals informatie die beschikbaar is in publieke databases of blogs, om de aanval uit te voeren. Tijdens de penetratietest wordt een aantal stappen doorlopen:
• Intake en voorbereiding
• Een vulnerability scan;
• De exploitatie fase (hackerstest);
• Password profiling (optioneel)
• Rapportage en advies;
• Hertest (optioneel).

Rapportage

Rapportage vindt zo snel mogelijk plaats na het onderzoek om eventuele kwetsbaarheden direct te kunnen verhelpen. De tester maakt uitgebreid verslag van de kwetsbaarheden die gevonden zijn en zal advies geven aan de organisatie hoe de kwetsbaarheden het beste verholpen kunnen worden.

Voor iedere kwetsbaarheid wordt bepaald wat het risico is dat deze kwetsbaarheid met zich meebrengt. Het risico is het resultaat van de kans dat de kwetsbaarheid daadwerkelijk geëxploiteerd wordt en de impact die deze kwetsbaarheid heeft op de organisatie. De impact uit zich in een schade, welke financieel kan zijn, bijvoorbeeld in het geval van de uitval van een systeem, maar kan ook imagoschade betekenen, bijvoorbeeld in het geval er gegevens lekken.

Privacy nulmeting

Krijg inzicht in waar je als organisatie staat ten opzichte van de nieuwe Privacy wetgeving.

De bescherming van persoonsgegevens en privacy heeft veel aandacht gekregen de afgelopen periode, niet in de laatste plaats door grote hacks waarbij enorme hoeveelheden persoonsgegevens gelekt zijn. Op Europees niveau heeft dit geleid tot de totstandkoming van de Algemene Verordening Gegevensbescherming, die naar verwachting begin 2018 van kracht wordt. Voor het verkrijgen van inzicht in de huidige situatie van de eigen organisatie dien je eerst een ‘Privacy nulmeting’ te doen.

Algemene verordening Gegevensbescherming

Deze verordening vervangt de huidige privacyrichtlijn uit 1995, die niet langer voldoet
in het vernieuwde speelveld van clouddiensten, e-commerce en digitale verwerkingen van zeer gevoelige gegevens. Wanneer de verordening van kracht wordt, zullen de sancties op privacy schendingen fors toenemen (tot maximaal 2% van de jaaromzet). Bovendien zal men verplicht worden tot het aanstellen van een functionaris gegevensbescherming (“Data Protection Officer”) en is men verplicht tot het uitvoeren van risicoanalyses ten aanzien van de verwerking van persoonsgegevens.”

Gevolgen voor jouw organisatie

De overheid verlangt van organisaties dat zij adequate maatregelen treffen voor de bescherming van alle gegevens die identificeerbaar zijn tot personen. Dit betekent enerzijds dat de organisatie voldoende inzicht moet hebben in de plaatsen waar de organisatie (identificeerbare) persoonsgegevens verwerkt, anderzijds dien je passende en proportionele maatregelen getroffen te hebben om deze gegevens te beschermen tegen bewust en onbewust uitlekken.

Bij deze maatregelen dien je acht te nemen van de internationale best practices en stand van de techniek. Weinig organisaties hebben alle gegevensverwerkingen adequaat geregistreerd en missen daarom het overzicht van de gevoeligheid en de omvang van persoonsgegevens. Dit maakt de beveiliging lastig. Bovendien is men hierdoor nauwelijks in staat om in geval van een lek, de oorzaak en impact van het lek vast te stellen en kan men niet binnen de gestelde termijn van 48 uur na ontdekking van het lek de toezichthouder en alle gedupeerden in voldoende mate informeren.

Hoe voldoe je aan de nieuwe privacywetgeving?

Voldoen aan de nieuwe privacywetgeving betekent inzicht krijgen in de verwerkingen in jouw organisatie, zorgen voor een adequate bescherming van de persoonsgegevens en de juiste maatregelen treffen zodat je voorbereid bent op een eventueel datalek. Bescherming van persoonsgegevens dient aandacht te krijgen binnen het bestaande security management
systeem; het verlangt een integrale aanpak van maatregelen die ingrijpen op processen en
organisatie (Beleid), cultuur en awareness (Mens) en technische beveiliging (Techniek). Maar alles begint bij inzicht.

Privacy nulmeting

Voor het verkrijgen van dit inzicht dien je eerst een ‘Privacy nulmeting’ te doen. De Privacy nulmeting beoordeelt de bescherming van jouw persoonsgegevens en legt eventueel kwetsbare onderdelen bloot. Hierdoor kunt je gericht maatregelen treffen en jouw organisatie voorbereiden op de nieuwe wetgeving. De Privacy nulmeting stelt onafhankelijk, op basis van feiten, vast op welke punten de organisatie voldoet aan de nieuwe wetgeving. Wij identificeren samen met jou welke (identificeerbare) persoonsgegevens in de organisatie gebruikt worden en in welke delen van de ICT infrastructuur de gegevens verwerkt worden.

Onze experts beoordelen het beveiligingsniveau aan de hand van objectieve waarnemingen van de infrastructuur en systemen en onze ethical hackers onderzoeken jullie infrastructuur op kwetsbaarheden door het uitvoeren van penetratietesten. Met deze gecombineerde aanpak krijg je inzicht in zowel de structurele tekortkomingen in jullie infrastructuur alsmede in de operationele kwetsbaarheden, bijvoorbeeld als gevolg van lekken in hard- en software. Uiteraard krijg je van ons een helder rapport met actuele privacy risico’s en adviezen hoe je deze risico’s kunt verkleinen.

Security Operations Center

Laat 24×7 je systemen en netwerk 24x7x365 in de gaten houden (Detectie en analyse).

Door de hoge mate van digitalisering worden organisaties steeds meer afhankelijk van de IT-omgeving voor het uitvoeren van de dagelijkse operatie.

Het ontbreken van (voldoende) inzicht binnen de eigen (complexer wordende) netwerkinfrastructuur zorgt ervoor dat veel organisaties kwetsbaar worden voor (al dan niet) bewuste cyberaanvallen op de bedrijfskritische informatie en systemen met alle risico’s van dien. De Security Operations Center zorgt ervoor dat organisaties controle krijgen over (kritische) informatiestromen en dat de informatiebeveiliging continu wordt aangepast naar de laatste ontwikkelingen.

Vanuit het Security Operations Center (SOC) draagt onze uitvoerende security partner ervoor dat er niet alleen wordt gedetecteerd en geanalyseerd, maar zij hebben ook een adviserende rol. Zij zorgen ervoor dat je meer inzicht en grip krijgt op de complete informatiebeveiliging.

Hoe werkt het Security Operations Center?

Een team van hoog opgeleide securityanalisten (hbo/wo) houdt jullie systemen en netwerk 24x7x365 in de gaten. Op basis van de informatie verzameld door sensoren vindt in het SOC een analyse plaats van alle aan security gerelateerde gebeurtenissen in het netwerk. Daarbij wordt door de analisten o.a. gebruik gemaakt van de meest actuele Threat Intelligence informatie uit zowel publieke als besloten bronnen wereldwijd. Naast verschillende automatische analyses worden incidenten ook in de diepte onderzocht door middel van ‘’Security Intelligence’’.

Daarnaast heb je vanuit gepersonaliseerde live dashboards (aangepast op de normen die voor jouw sector van toepassing zijn, bijvoorbeeld ISO27001 of NEN7510) direct inzicht in het huidige beveiligingsniveau van je infrastructuur.

In samenwerking met een security officer en analist wordt op basis van de geïdentificeerde security incidenten gezocht naar maatregelen om het beveiligingsniveau van jouw organisatie doorlopend te verhogen, zowel technisch als beleidsmatig. In periodiek terugkerende overleggen worden opgeleverde rapportages met de organisatie besproken en eventueel bijgestuurd naar vooraf vastgelegde doelstellingen.

Standaard inbegrepen in het SOC:

• Plaatsing van sensoren en aanleg koppeling naar het Security Operations.
• 24x7x365 detectie van security incidenten in log- en en-event informatie.
• 24x7x365 Incident respons en mitigatieadvies van kritieke incidenten.
• 24×7 Toegang tot security dashboard voor inzage in dreigingsniveau en detailinformatie.
• Maandelijkse en kwartaal maatwerkrapportages op technisch en beleidsmatig niveau.
• Security Bulletins met informatie en advies over actuele dreigingen.
• Indien van toepassing on site consultant met informatie en advies over actuele dreigingen.
• Regelmatig overleg op operationeel, tactisch en strategisch niveau.
• Concrete maatregelen zowel technisch als organisatorisch
• 100% Nederlandse entiteit en standaard communicatie in het Nederlands

Het uit handen geven van de informatiebeveiliging aan een derde partij is een ingrijpende beslissing, wij begrijpen dat hier maatwerk voor nodig is. Daarom zullen wij samen met onze security partner op zoek gaan naar een oplossing die naadloos aansluit bij de behoeften van jouw organisatie.

Meer weten?

Wil je meer weten over onze Security Services zoals de Penetratietest, Privacy Nulmeting of Security Operating Centre? Neem contact op met jouw accountmanager of met Joris Rooijackers, onze Software Security Advisor via telefoonnummer: +31 40 250 9010 of vul het contactformulier in:

Over veiligenflexibelondernemen.nl

Veiligenflexibelondernemen.nl is een initiatief van Comsoft direct en Bechtle direct in Nederland. Comsoft en Bechtle vertalen ICT klantstrategieën door naar complete werkplekoplossingen. Zo kunt u bij ons terecht voor een breed scala aan software en hardware oplossingen en bieden wij op maat gemaakt persoonlijk advies, zodat u flexibel, veilig en duurzaam kunt blijven ondernemen.

Neem contact met ons op

t. +31 (20) 206 53 90

e. info@comsoft.nl

De Corridor 5
3621 ZA Breukelen

Comsoft direct
Bechtle Comsoft direct