Alhoewel we inhoudelijk vaak spreken van security audits, penetratietesten, scans en beveiligingscontroles, is het einddoel vanzelfsprekend het belangrijkste: zeker zijn dat onze informatie veilig is. De naam van het onderwerp geeft dit eigenlijk ook al aan: informatiebeveiliging. Als we spreken over informatiebeveiliging staan altijd 4 noemers centraal: beschikbaarheid, integriteit, vertrouwelijkheid en controleerbaarheid. Deze 4 noemers waarborgen gezamenlijk de betrouwbaarheid van een informatiessysteem.

Een security audit geeft invulling aan controleerbaarheid. Een audit is een middel om aantoonbaar te maken dat er (gelet op factoren als dreiging en waarde) voldoende maatregelen zijn getroffen om het juiste beschikbaarheids-, integriteits- en vertrouwelijkheidsniveau te kunnen garanderen.

Classity heeft verschillende typen security audits waarmee steeds vanuit een ander perspectief de betrouwbaarheid van een informatiesysteem (of een ondersteunende infrastructuur) wordt beoordeeld.

De internet security scan
Deze scan richt zich primair op het netwerk dat de systemen bevat die vanaf internet wordt benaderd. Na de internet security scan weet u of uw firewall goed is ingesteld, uw systemen up to date zijn en er geen rare configuratiefouten zijn gemaakt die een hacker toegang geven tot uw internet servers of interne bedrijfsnetwerk.

De website penetratietest
De website penetratietest gaat verder waar de internet security scan ophoudt. Elk bitje van de website wordt tijdens de penetratietest omgedraaid. Als uw website fouten bevat zoals Cross Site Scripting, SQL Injection of andere aan gebruikersinput gerelateerde fouten, dan komt de penetratietester hier achter.

De interne netwerkscan
Vaak wordt geroepen: de grootste dreiging komt van binnenuit. Tijdens de interne netwerk scan wordt uw interne netwerk in kaart gebracht en uitgebreid getest op kwetsbaarheden. De belangrijkste kwetsbaarheden, waar u intern de grootste verbetering mee kunt realiseren, worden uitgewerkt in concrete aanbevelingen. uw systeembeheerders weten direct waar ze moeten beginnen.

De security audit informatiesysteem
Als van een specifiek informatiesysteem in kaart moet worden gebracht wat de sterke en de zwakke punten zijn, kan Classity ook op het specifieke systeem een audit uitvoeren. Onderwerpen die in een dergelijke audit aan bod komen zijn logische toegangsbeveiliging, security updates, hardening, backup en recovery, monitoring, beheer, etcetera. Classity kan hierbij gebruik maken van interne normen en richtlijnen, maar de bevindingen ook baseren op een eigen best-practise normenset. De eigen normen set is gebaseerd op controls die echt iets bijdragen aan de beveiliging van het systeem. Controls die het risico nauwelijks terugdringen, maar wel veel beheerinspanning kosten, worden (tenzij er een duidelijke dreiging voor is) vermeden. We vereisen immers niet allemaal het beveiligingsniveau van de nederlandse bank.

De audit op maat
Uiteraard is het mogelijk om op basis van specifieke wensen een auditprogramma op maat te maken. Dus ook als uw organisatie vanuit een ISO 27001 / SOX / SAS70 / ... auditverplichting ondersteuning nodig heeft, helpt Classity u graag met een bij uw situatie passende security audit.

Wilt u meer informatie over security audits? Neem dan contact op. Wij helpen u graag verder.