SECWATCH^® -Security Assessment

Bij gegevensbeveiliging in de kantooromgeving wordt er meestal alleen gedacht aan een kast die op slot kan, het installeren van een bepaald softwarepakket of een back-up. Wellicht nog antivirus en een firewall. Daarmee lijkt het hoofdstuk informatiebeveiliging bij veel bedrijven in het MKB te zijn gesloten. U staat vervolgens toch verbaasd te kijken als er ineens cruciale en vaak geheime gegevens over uw bedrijf ergens op het internet zwerven! U heeft toch immers afdoende geïnvesteerd in een duur stuk software?

SECWATCH^® heeft een andere visie op informatiebeveiliging waardoor het bovenstaande probleem kan worden geëlimineerd. Alleen een firewall is niet voldoende. Alleen een antivirusprogramma, of een 'kastje' plaatsen, beschermt u echt niet tegen aanslagen op uw bedrijfsinformatie. Een zorgvuldig uitgebalanceerd totaal beveiligingsplan is nodig om ervoor te zorgen dat uw bedrijfsinformatie afdoende beveiligd is. Daarbij begrijpen we dat overcomplexiteit niet in het belang van uw organisatie is. We maken er dus geen dikke bijbel van. Informatiebeveiliging heeft betrekking op al uw apparatuur en zit verweven in al uw bedrijfsprocessen. Wij zien informatiebeveiliging als een continu proces, dat permanent aangepast en bijgewerkt moet worden.

3.2.1 Assessment Informatiebeveiliging is het geheel van preventieve, detectieve, repressieve en correctieve maatregelen alsmede procedures en processen die de beschikbaarheid, exclusiviteit en integriteit van alle vormen van informatie binnen een organisatie of een maatschappij garanderen, met als doel de continuïteit van de informatie en de informatievoorziening te waarborgen en de eventuele gevolgen van beveiligingsincidenten tot een acceptabel, vooraf bepaald niveau te beperken. Men doet dit door het treffen van de noodzakelijke organisatorische, procedurele en technische maatregelen die gebaseerd zijn op een (organisatieafhankelijke) risicoanalyse of een wettelijke verplichting. In Nederland valt hierbij te denken aan de WBP (Wet Bescherming Persoonsgegevens), de Telecommunicatiewet en andere vigerende wet- en regelgeving. Informatiebeveiliging wordt vaak ten onrechte als ICT-verantwoordelijkheid beschouwd. Informatiebeveiliging mondt vaak uit in het treffen van ICT-maatregelen, maar die vloeien voort uit risicoanalyses ten aanzien van de bedrijfsprocessen en kwetsbaarheidsanalyses ten aanzien van de geautomatiseerde ondersteuning van die processen. (Bron: Wikipedia)

Door middel van een beveiligingscan (ook wel security audit genoemd) wordt een overzicht gemaakt van de aanwezige beveiligingsmaatregelen op uw bedrijfsnetwerk. U ziet in één oogopslag of uw beveiliging op de juiste wijze is geconfigureerd, of de software (services) actueel zijn en u krijgt tevens een risico-inventarisatie van uw omgeving en systemen. U ziet zo niet alleen of uw firewall juist is geconfigureerd, maar ook hoe die firewall omgaat met diverse 'inbraaktechnieken' en hoe (en of) deze worden herkend en geblokkeerd. Tevens inventariseren we hoe up-to-date de (software) omgeving is, maar ook uw (web)servers worden onder de loep genomen; hoe is de beveiligde toegang geregeld? Kunnen wij met een SQL-Injection of Cross-Site scripting toch gegevens naar voren halen? Daarnaast kijken we naar het beleid; -wie heeft toegang tot welke informatie en waarom (of waarom niet), hoe wordt vertrouwelijke (klant)informatie behandeld?, en vele andere vraagstukken passeren de revue.

De (informatie-, beleids- en topologie-) -beveiligingsscan van SECWATCH^® gaat echter nog een stap verder. We kijken naar de omgang van en met informatie, dus ook informatievernietiging. Daarnaast toetsen de kwaliteit van uw omgeving door inzet van technische hulpmiddelen (we simuleren een inbraak en voeren een 'gecontroleerde aanval' uit op uw systeem) en maken ook een risicoprofiel van uw onderneming: -Hoe interessant is bepaalde informatie van uw onderneming voor derden en hoe makkelijk krijgen we toegang tot die informatie?; hoeveel inspanning is er voor nodig om die informatie uit uw onderneming te bemachtigen en met welk risico?

Daarbij kunnen meerdere deel expertises mee worden genomen, zoals (maar niet gelimiteerd tot);

• Risico analyse
• External Ethical hacking audit (Technische perimeter en services analyse)
• Vulnerability audit (Technische analyse van externe en interne systemen)
• Web audit (Diepgaande inspectie op uw website)
• Procesaudit (Bedrijfsanalyse op WBP, SAS70 en andere)

Deze analyse vindt zowel plaats met behulp van onze geautomatiseerde tools als met een dosis gezond verstand. Onze adviseurs zijn beveiligingsprofessionals en op de hoogte van de meest recente kennis op het gebied van computerbeveiliging en onze technische scans worden uitgevoerd met zeer hoogwaardige en actuele software. Het resultaat van de beveiligingsscan wordt beschreven in een voor iedereen begrijpelijke rapportage, waarin zowel voor de ondernemer/eigenaar, als de manager en het technische personeel aanbevelingen worden opgenomen. Op basis van het rapport wordt het gewenste niveau van beveiliging bepaald. Daarbij wordt in de regel een BIV-klasse (beschikbaarheid, integriteit (=betrouwbaarheid) en vertrouwelijkheid (=exclusiviteit)) bepaald, vaak uitgebreid met een indicatie voor controleerbaarheid (het belang om achteraf toegang en transacties te kunnen verifiëren).

Een goed informatiebeveiligingsbeleid betekent dus niet alleen het aanbrengen van technische beveiligingen, het betekent ook bescherming van de communicatie, het continu checken van het proces en het doorvoeren van een bedrijfsprotocol. Wij kijken als externe breder en dieper in uw organisatie waardoor we op alle drie niveaus kunnen aangeven waar zich kritieke of zwakke punten bevinden. Samen met u zoeken we dan naar de meest geschikte oplossing (best practice) die zowel qua kosten als fysieke haalbaarheid het best past bij uw organisatie. Maatwerk en een persoonlijke aanpak garanderen dat u zich bij ons veilig voelt en wij uw situatie zo goed begrijpen dat we de optimale oplossing kunnen aandragen. De juiste aandacht voor uw informatiebeveiliging!

Daarnaast zijn onze assessments en audits zeer scherp geprijsd, werken we met duidelijke en overzichtelijke staffels gerelateerd aan werkvolume, hanteren we vaak vaste prijzen en helpen wij u en uw IT-beheer met concrete handvatten en oplossingen. Voor, tijdens en NA een assessment assisteren wij u volledig.

Bent u overtuigd geraakt van het nut en de noodzaak van een security audit?, neem dan contact met ons op voor een vrijblijvend intakegesprek.