Zeg het maar, welke optie(s) kies jij om je beveiliging te testen? Als er ergens een diversiteit aan terminologie is te vinden, dan is het wel in de security-wereld. En dan worden alle termen ook nog eens door elkaar en overlappend gebruikt. Daarnaast zijn er nog bergen standaarden waar je uit kunt kiezen en zijn er verschillende typen certificeringen die iets kunnen zeggen over de kwaliteit van de uitvoerende partij. Dus waar moet je nu beginnen als je de security van jouw organisatie onder de loep wil nemen?

Kies geen type test, maar bepaal de requirements

Ook al weet je zelf precies wat een vulnerability assessment zou moeten inhouden, het kan zijn dat verschillende partijen deze term op een andere manier gebruiken. Bij de een betekent het dat er volgens een hoge standaard een diepgaand onderzoek wordt gedaan waarbij alle kwetsbaarheden worden geïdentificeerd. Bij de ander is een vulnerability assessment slechts een geautomatiseerde scan. Het begrip penetratietest (of pentest) wordt vaak gebruikt als generieke term, terwijl dit type test juist vrij specifiek en ingrijpend is en helemaal niet voor elke organisatie een passende keuze zal zijn.

Ga bij het bepalen van wat jouw organisatie nodig heeft dus niet alleen voor een naam, maar bedenk liever wat het doel is van je test. Bekijk ook welk type data je wil beschermen tegen welk soort aanvaller. Evalueer daarnaast het huidige kennisniveau over security in de organisatie. Het is hartstikke gaaf om een red team op je systemen los te laten, maar als er nooit proactief iets met security is gedaan kun je beter starten met het uitvoeren van een nulmeting om te kijken wat het algemene beeld is.

Staar je niet blind op bestaande standaarden

Er zijn diverse standaarden en richtlijnen, waaronder die van OWASP en NCSC. Hier is enorm nuttige informatie te vinden, wat zeker helpt om een beeld te vormen van waar je op moet letten. Realiseer je echter ook dat deze standaarden nog steeds vrij algemeen zijn en vaak niet alleen technische, maar ook beleidsmatige onderwerpen omvatten. Een valkuil bij het werken vanuit een standaard, is dat het voldoen aan die standaard een doel op zich wordt. Je ziet dan dat er vaak voorbij gegaan wordt aan de zaken die van belang zijn voor jouw specifieke situatie.

Denk daarom vanuit je eigen organisatie en begin bij het bepalen wat voor jou het belangrijkste is om te beschermen. Dit zal als het goed is altijd om een bepaald type data gaan, maar voor een ontwikkelpartij hoort broncode vaak ook bij de kroonjuwelen. Kijk vanuit dit punt op welk niveau je zaken wil beschermen en houd hierbij ook rekening met wet- en regelgeving waar je sowieso aan moet voldoen.

Zoek een gerenommeerde partner

Dat klinkt makkelijk, maar als je echt kritisch bent weet je hoe moeilijk het is om te verifiëren dat een testorganisatie echt kwaliteit levert. Zo zegt een ISO-certificering wel iets over hoe er nagedacht is over de processen omtrent databeveiliging, maar je hebt nog altijd geen idee hoe hoog de standaarden zijn bij de betreffende organisatie.

Dit geldt ook voor het certificeren van personeel. Er zijn nou eenmaal nog geen opleidingen of certificeringen die een bepaalde mate van kennis garanderen. Dit is ook een uitdaging omdat cybersecurity een heel dynamisch domein is. Zo zegt een CEH-certificering echt wel iets over de moeite die een werkgever erin heeft gestoken om zijn personeel te certificeren, maar niet over praktisch toepasbare kennis van de specialisten. OSCP daarentegen is wel een meer hands-on certificering, maar dit is weer meer gericht op netwerken dan op applicaties. Echt parate kennis bereik je alleen door actief te zijn in het werkveld en fulltime bezig te zijn met dit onderwerp.

Maar hoe weet je dan of je een goede club hebt gevonden? Referenties en ervaring! Check hoe lang een partij en haar werknemers al actief zijn in cybersecurity, welk type diensten zij leveren en voor welke klanten zij werken. Kijk of je openbare referent cases kunt vinden over de partij waarmee je wil werken, of vraag of je klanten mag benaderen voor een referentie. Alleen dit gaat je echt een realistisch beeld geven van de kwaliteit.

Besteed een passende hoeveelheid tijd, aandacht en budget aan security

Misschien is het niet wat iedereen wil horen, maar security is nu eenmaal niet iets wat je makkelijk kunt afvinken of waarvoor je de verantwoordelijkheid kunt afschuiven op een derde partij. Je zult zelf goed moeten nadenken over dit onderwerp in de context van jouw organisatie. Afhankelijk van de hoeveelheid kennis die je zelf wel of niet hebt, heb je ook externe begeleiding nodig. Met security ben je nooit klaar, het is een doorlopend proces en gezien de groeiende uitdagingen zul je hier in de toekomst alleen maar meer tijd, geld en energie in moeten steken.

Heb ik je getriggerd om nog eens kritisch te kijken naar hoe jouw organisatie zaken aanpakt, of wil je een start maken om aan de slag te gaan met je beveiliging en kun je wel wat hulp gebruiken? Neem dan contact met mij op en ik help je graag op weg.

Roos Dijkxhoorn – rdijkxhoorn@computest.nl – 06-12217951