3 redenen voor een IT security audit

Niemand zit te wachten op een IT security audit. Een vreemde die rondneust in de IT-systemen om zwakheden te ontdekken… Toch is het noodzakelijk dat dit regelmatig gebeurt. Daarvoor zijn een aantal redenen te noemen.

Allereerst is het belangrijk voor uw eigen positie als de IT beveiliging op orde is. U bent degene die wordt aangesproken op risico’s en u moet verantwoording afleggen over hoe die risico’s kunnen bestaan en waarom er geen beleid op is. Voor de grotere bedrijven is het niets nieuws als plotseling een audit wordt gedaan.

Een aantal categorieën bedrijven behoren periodiek een DPIA uit te voeren, waarbij data security ook technisch gewaarborgd moet zijn. Er kunnen dus wettelijke redenen zijn om een IT security audit te doen. Zo wilt u wellicht compliant zijn aan de AVG of voldoen aan een bepaald normenkader zoals ISO 27000, NEN 7510/11, etc.

Daarnaast kunnen partners en klanten van u vergen een IT security audit te laten uitvoeren alvorens de samenwerking aan te gaan. Regelmatig hoort u dat een groot en bekend softwarepakket een bepaald virus bevat en dat verspreid naar alle gebruikers. Zo was er in 2018 een populair, Europees CRM software gehackt. Een virus werd via de data in dat pakket verstuurd aan alle bekende e-mailadressen, om zo een digitale epidemie te veroorzaken. Om dit te voorkomen vragen (de grotere) bedrijven vaak om eerst een IT security audit te laten doen voordat ze met u de overeenkomst aangaan.

Kortom, er zijn drie redenen waarom een IT security audit belangrijk is om periodiek te doen:

  • Uw eigen positie is in het geding;
  • Het kan wettelijk verplicht zijn;
  • Het kan door partners opgelegd worden.

En dan hebben we het nog niet eens gehad over de daadwerkelijke risico’s die bedrijven lopen, want dat is uiteindelijk wat u wilt voorkomen. In 2018 werd ongeveer 30% van de grote bedrijven aangevallen. Ook het MKB loopt risico’s, juist vanwege het feit dat zij vaak geen security experts binnen het bedrijf hebben.

Wat is een IT security audit?

Een IT security audit gaat verder dan bijvoorbeeld een vulnerability scan. De vulnerability scan is gericht op het netwerk zelf. We testen het netwerk door verschillende aanvallen uit te voeren. Het is goed om dat periodiek te herhalen en daarbij de nieuwste technieken en ontwikkelingen mee te nemen.

Een IT security audit gaat zoals gezegd verder. Dat is echt een beveiligingsonderzoek. Het plan dat daarvoor wordt opgesteld gaat dus veel verder en dat doen we veel meer in samenwerking met de klant.

Eerst moet de scope worden bepaald. We kijken naar wat voor soort bedrijf u heeft. Verschillende bedrijven hebben verschillende IT structuren. De een is doorgaans vatbaarder of geliefder dan de ander. Ook wordt vaak voor verschillende doeleinden gehackt.

Een grote accountantsorganisatie of bank wordt doorgaans getarget om financiële informatie te achterhalen en om te kijken of transacties kunnen worden onderschept en gegijzeld. Bij een groot juridisch dienstverlener zal het gaan om vertrouwelijke informatie te achterhalen en een informatiepositie te bouwen. Bij MKB bedrijven gaat het vaak om het gijzelen van systemen om daar losgeld voor te krijgen.

De scope van de IT security audit is dus veel breder dan een vulnerability scan. Bij een IT security audit wordt ook gekeken op welke wijze uw bedrijf risico’s loopt en wat het meest voor de hand ligt. Daarnaast moet de scope ook op een technisch niveau worden bepaald. We bepalen met u welke onderdelen we meenemen in de IT security audit, bijvoorbeeld:

  • Website audit
  • Netwerk (incl. hardware en software)
  • (Kwalificatie van) personeel
  • Data- en financiële transacties
  • SaaS oplossing audit
  • Partnerscan

Wij geven uiteraard indicaties en aanbevelingen. Wat is in uw geval verstandig om zeker mee te nemen in de IT security audit? Uiteraard bepaald u uiteindelijk wat we doen en meenemen. Daarna start de inventarisatie: wat gaan we doen en hoe?

De inventarisatie: wat en hoe?

Belangrijk om vooraf duidelijk te hebben is wie waarvoor verantwoordelijk is. Zo hebben we wel medewerking vanuit uw bedrijf nodig. Vanuit HR zullen we bijvoorbeeld gegevens moeten ontvangen over bepaalde medewerkers die verantwoordelijk zijn voor bepaalde activiteiten, denk aan een interne boekhouder die de transacties verzorgd of de IT-manager die alle systemen beheert.

Als u wilt dat we partners onderzoeken, zult u dat bijvoorbeeld met de partners moeten overeenstemmen. Wij kunnen uiteraard niet een organisatie cold-callen met de mededeling dat we die middag even een scan komen doen.

Kort gezegd gaan we de scope af die we zojuist hebben gedefinieerd. Per onderdeel stellen we acties voor en bepalen we wat daarvoor nodig is. Er komt een actieplan waarin duidelijk is wat we gaan doen en wat we daarvoor nodig hebben. Op sommige onderdelen zullen we ook uitleggen hoe we het doen, om u zo de zekerheid te bieden dat er geen overlast zal zijn. Omdat een IT security audit ingrijpend is, zijn we graag transparant.

Uiteindelijk zullen we het hele actieplan nog eens samen met u doorlopen om er zeker van te zijn dat u het eens bent met wat we gaan doen. Uiteindelijk is een IT security audit erg ingrijpend in de organisatie. U moet er rekening mee houden dat er zaken boven water kunnen komen die u liever niet had ontdekt. Vaak gaat het goed en hoeven we alleen technische aanbevelingen te doen. Maar we kunnen zomaar een datalek op het spoor komen of bijvoorbeeld fraude constateren bij de financiële afdeling. We gaan daar altijd discreet mee om.

Het uitvoeren van de IT security audit

Bij het uitvoeren van de IT security audit werken we het actieplan af. De acties die zijn bepaald voor de verschillende onderdelen worden uitgevoerd. Zo wordt bijvoorbeeld de awareness van het personeel gecheckt door phishingmails te sturen. We proberen de (zakelijke) devices van het personeel binnen te dringen. We onderzoeken de kwalificaties van bijvoorbeeld uw ICT-afdeling: wie werkt daar, waarin zijn zij gespecialiseerd en mist er bijvoorbeeld bepaalde expertise binnen het team op het gebied van security? We kijken naar het het gedrag van het personeel:

– Hoe wordt omgegaan met e-mail (awareness)?
– Hoe ziet het password management eruit?
– Hoe is het ‘bring your own device-beleid’?
– Worden devices met vertrouwelijke informatie onbeheerd achtergelaten?
– Worden door het personeel apps gebruikt die niet in kaart zijn gebracht en wel mogelijk een risico vormen?

Uiteraard proberen we op allerhande manieren uw systemen binnen te dringen of gevoelige informatie te achterhalen. Kort gezegd doen we precies wat een hacker zou doen, alleen is ons oogmerk anders.

Voor meer informatie over de verschillende activiteiten die we kunnen uitvoeren verwijzen we u naar de diensten op onze website. Bij een IT security audit is er altijd een combinatie van diensten die een volledig beeld zullen opleveren.

Wat is het resultaat?

Door de technieken te testen worden zwakke plekken in de IT structuur ontdekt en kunnen technische aanbevelingen worden gedaan. We kunnen bijvoorbeeld aanbevelen dat een bepaald, risicovol softwarepakket niet meer wordt gebruikt.

Na het uitvoeren van de IT security audit leveren we een rapport op met de resultaten, analyses en concrete, operationele aanbevelingen. Op basis van het rapport kan uw interne organisatie in ieder geval aan de slag met het verbeteren van de IT security.

Indien nodig kunnen wij bepaalde acties op ons nemen, zoals het geven van een awareness training op basis van zwak gedrag dat is gesignaleerd. Denk aan het open laten staan van een computer als er vreemden in het pand zijn, wachtwoorden op notitieblaadjes schrijven, onbetrouwbare sites benaderen en mails openen, enz.

Het uiteindelijke resultaat is dat u een compleet overzicht heeft van alle risico’s die er zijn en de concrete, operationele acties die u kunt uitvoeren om de risico’s weg te nemen.

Uiteraard bieden wij extra services aan, zoals het monitoren van uw netwerk vanuit onze Security Operations Centre, of middels een IT Security Jaarplan uw organisatie op basis van een periodieke cyclus testen en beveiligen.