Veel bedrijven zijn volledig afhankelijk van de digitalisering van hun bedrijfsvoering. Dit maakt ze efficiënter, maar vormt tegelijk ook een bedreiging. Malware, spyware, onoplettende werknemers en hackers vormen een voortdurende bedreiging voor de bedrijfscontinuïteit.
We hebben het aantal DDoS aanvallen de laatste jaren zien toenemen. DDoS aanvallen zijn steeds eenvoudiger uit te voeren en de software kan online voor slechts een paar euro gekocht worden. Voor deze kleine 'investering' kunnen aanvallers een bedrijf aanzienlijke schade toebrengen. Van negatieve media-aandacht en reputatieschade tot financiële schade doordat werknemers bedrijfskritische taken niet meer kunnen uitvoeren.
IT security assessments
IT security assessments of IT risk assessments brengen de risico's van de verschillende soorten cyberbedreigingen in kaart. Daardoor zijn deze assessments een cruciaal instrument om aanvallen te voorkomen en de operationele bedrijfscontinuïteit te garanderen in het geval er toch een optreedt. Er zijn echter nogal wat soorten van deze security assessments en periodiek verschijnt er een nieuwe. Het kan moeilijk zijn om te zien welke wat doet en welke geschikt is voor jouw organisatie.
Hoe weet je welke IT security assessment het beste bij je situatie past, en tegen welke bedreigingen deze assessments je helpen beschermen?
In dit artikel vatten we vier verschillende soorten IT security assessments samen en leggen we kort uit wanneer je ze kunt toepassen.
1. Vulnerability assessment
Deze technische test brengt zoveel mogelijk kwetsbaarheden in kaart die binnen je IT omgeving kunnen worden aangetroffen. Bij de kwetsbaarheidsbeoordeling kijken de testers naar de (potentiële) ernst van een mogelijke aanval op elk deel van een systeem, en naar herstelmogelijkheden en scenario's. Het resultaat is een prioriteitenlijst van problemen, in volgorde van belangrijkheid, die aangepakt moeten worden.
Wanneer voer je een vulnerability assessment uit?
Vulnerability assessment (onderdeel van vulnerability management) is vooral van belang als er nog niet veel aan beveiliging gedaan is. Het doel van de beoordeling is om zoveel mogelijk gebreken te verhelpen, op basis van een prioriteitenlijst, beschikbare budgetten en tijd. Budgettering kan ook bepaald worden nadat de kwetsbaarheidsbeoordeling heeft plaatsgevonden, zodat er altijd voldoende budget is om een ontdekte kwetsbaarheid aan te pakken.
2. Penetratietest
Met een penetratietest wordt een specifiek potentieel doelwit geïnspecteerd. Bijvoorbeeld domain rights die gehackt zouden kunnen worden, maar ook klant- of betalingsgegevens die gestolen zouden kunnen worden, of opgeslagen informatie die cybercriminelen zouden kunnen veranderen. De uitkomst van de penetratietest laat zien of de huidige beveiligingshouding al dan niet voldoende is.
Wanneer voer je een penetratietest uit?
Ze worden vooral gebruikt om te bevestigen dat de configuratie van software, versiebeheer en lokaal geschreven code veilig is. Hiervoor zijn in eerdere stadia al verschillende andere tests uitgevoerd. Dit is een test op een hoger niveau en voor de beste resultaten moeten ze uitgevoerd worden door ervaren testers.
White/grey/black-box security test
De white, grey en black-box assessments maken deel uit van de gereedschapskist voor penetratie-testen. De kleuren geven aan hoeveel informatie een tester tot zijn beschikking heeft. Wit staat voor een test waarbij de tester volledige toegang heeft tot de code, netwerkschema's en andere relevante informatie. Bij een grijs-box toetsing is dat niveau van toegang en informatie niet volledig, maar slechts gedeeltelijk verstrekt en beschikbaar. Een black-box tester heeft geen voorkennis over het systeem dat onder vuur genomen wordt.
Bij een black-box beoordeling gedraagt de tester zich als een externe hacker die met allerlei methoden en tactieken zwakke plekken probeert te vinden.
3. IT audit
Een IT audit brengt in kaart of de huidige configuratie overeenkomt met de gewenste norm voor naleving. Dit kan zowel op technische aspecten als op documentatie gebaseerd zijn. Een IT audit test is in wezen niet echt hoe veilig een netwerk is. Het geeft alleen aan hoe men beveiliging binnen een bedrijf definieert. Het resultaat is een document dat aantoont of aan de compliancenormen voldaan is.
Wanneer moet je een IT audit uitvoeren?
Audits zijn in de eerste plaats instrumenten om naleving aan te tonen en enig bewijs te leveren van het kwaliteitsniveau van de netwerkbeveiliging van een bedrijf. Vaak zijn bedrijven die aan de eisen voldoen strenger op het gebied van veiligheid.
4. IT risk assessment
Een IT risk assessment bepaalt het aanvaardbare en het werkelijke niveau van het risico. Bij dit soort cybersecurity beoordeling worden 2 dimensies van risico geanalyseerd: de waarschijnlijkheid en de impact. Dit kan zowel kwantitatief als kwalitatief gemeten worden.
Na de analyse beslist het team welke acties ondernomen moeten worden om het werkelijke risiconiveau zo veel mogelijk tot een aanvaardbaar niveau te beperken. De IT risico-evaluatie komt met een lijst van geprioriteerde risico's die moeten worden ingeperkt en met aanbevolen acties om dat doel te bereiken.
Wanneer is een IT risk assessment relevant?
'Risk assessment' is een overkoepelende term voor het in kaart brengen en identificeren van mogelijke risico's voor de bezittingen van een bedrijf en de manier waarop de organisatie die bezittingen wil beschermen. Daarom zijn IT risico-evaluaties nuttig om op elk moment uit te voeren.
Verminder het risico op succesvolle cyberaanvallen met een IT security assessment
Met een IT security assessment bepaal je nauwkeurig de potentiële blootstelling aan cyberbedreigingen. Welke het beste bij je bedrijf past hangt af van je beveiligingsniveau en eventueel eerder uitgevoerde tests. Nomios kan je adviseren en is in staat om IT assessments voor je uit te voeren en te organiseren. Samen brengen we het beveiligingsbeleid van je bedrijf naar een hoger niveau.
Vraag een assessment aan
Laat ons jouw IT-omgeving of netwerkinfrastructuur beoordelen. Vraag vandaag nog een assessment aan en laat onze experts je verder helpen.