Security Audits
Informatiebeveiliging testen
Met behulp van security audits kunnen bedrijven zorgen dat het beveiligingsniveau op orde komt maar daarna ook op orde blijft. Security Audits kunnen in verschillende vormen en frequenties worden uitgevoerd. Hieronder vindt u een aantal voorbeelden van audits, controles en inventarisaties die wij uitvoeren.
Interne audit
Een interne audit is een activiteit die vooral bij de wat grotere organisaties al plaats vindt. Het verschil met de ICCM security audits of ISO-27001 audit is dat er uitsluitend intern (binnen de afdeling) gerapporteerd wordt. De uitkomsten kunnen door de organisatie gebruikt worden als verbeterpunt. Veel interne audits zijn operationeel van aard; er wordt gekeken naar de juistheid van uitvoer van opgesteld beleid en er worden steekproeven uitgevoerd op basis van onze praktijkervaringen bij andere bedrijven. Een aantal voorbeelden van controlepunten kunnen zijn:
- Welke accounts zijn er in de domein-controller aanwezig; zijn alle gebruikers nog in dienst? Welke rechten hebben de accounts en voldoen de accounts en bijbehorende wachtwoorden aan de opgestelde eisen?
- Clean desk policy; er worden ronden gelopen door het bedrijf om vast te stellen of geen gevoelige gegevens op de bureau’s liggen
- Controle toegangssysteem; welke passen zijn de afgelopen week gebruikt, welke passen al langer dan een maand niet? Soms worden alle medewerkers bij aankomt gevraagd de pas te tonen zodat kan worden vastgesteld dat iedereen zijn eigen pas gebruikt
Voordeel van het inzetten van BSM bij dit soort audits is dat wij onafhankelijk zijn en zonder ‘werkrelatie’ ook de manager en de directeur de bevindingen kunnen terugkoppelen zodat correcties waar nodig kunnen worden doorgevoerd.
Werkplek audit
Tijdens de werkplek audit controleren we steekproefsgewijs verschillende type werkplekken op de 11 belangrijkste beveiligingspunten, zoals software-updates, wachtwoordbeheer en de omgang met persoonsgegevens. De werkplek audit helpt om kwetsbaarheden te identificeren en de digitale veiligheid van uw bedrijf te verbeteren. De audit is een effectieve manier om gericht risico’s van cybercriminaliteit te verminderen en uw organisatie beter te beschermen.
E-mail audit – E-mail security controle
BSM ziet bij veel klanten vergelijkbare e-mail systemen en ook vergelijkbare email security problemen of instellingsfouten. De mailserver beheerder let vooral op de werking van email, dat is ook zijn of haar taak. Is er genoeg ruimte en kennis binnen de organisatie om de veiligheid door te testen en te optimaliseren?
Voorbeelden van vragen zijn:
- Welke spam oplossing kan ik kiezen?
- Kan een hacker ons via email hacken?
- Heeft mijn organisatie secure email nodig?
- Hoe goed is onze email beschermd tegen virussen en spyware?
- Staan er poorten van de mailserver of dienst onnodig of onbeheerd open op het internet?
BSM helpt u graag uw email optimaal te beveiligen. Daarvoor hebben we ook een eigen phishing test platform gebouwd, zodat u niet alleen de techniek maar ook de mensen achter de email kunnen testen en bewust kunnen maken van de risico’s.
Pre-audit voor ISO 27001 Certificering
Net als bij interne audits doen we controles op de punten waarop wij verwachten dat de auditors van de certificerende instantie zullen gaan controleren. Omdat wij dit soort audits ook regelmatig meemaken weten wij goed hoe u kunt worden voorbereid op een dergelijke audit.
Risico analyses
Soms zijn er in een organisatie al informatiebronnen voor kwetsbaarheden. Echter, welke kwetsbaarheid is nu gevaarlijk en welke eigenlijk niet? Hiervoor is kennis nodig zodat de risico matrix (waarschijnlijkheid op de ene as, impact op de tweede) goed ingevuld kan worden. Vaak is er op de werkvloer veel meer bekend over aanwezige risico’s. In interviews proberen wij medewerkers uit te leggen dat het centraal vastleggen en doorgeven van bekende risico’s in het belang is van het voortbestaan van het bedrijf. Nadat dit begrip er is, verzamelen wij nieuwe, nuttige inzichten voor het management over de werkelijke risico’s die gelopen worden.
Leveranciers en product beoordelingen
Eigenlijk is dit geen audit maar het lijkt er wel erg op. We beoordelen de huidige situatie van leveranciers, producten en diensten in een specifiek deelgebied om daarna een beoordeling te kunnen doen van betrouwbaarheid en risico’s verbonden aan leveranciers en welk(e) nieuwe producten geïmplementeerd kunnen worden om een organisatie te verbeteren. Alhoewel we brede IT kennis hebben, en dus ook kunnen beoordelen of uw algehele IT budget marktconform is, ligt de focus bij dit soort opdrachten meestal op security producten en diensten. Voorbeelden van vragen zijn;
- Hoe is de financiële positie van mijn leverancier?
- Is het contract met de leverancier op orde? (waar liggen de risico’s als iets ‘down’. gaat?)
- Welke SPAM oplossing moet ik kiezen?
- Ik wil monitoring of SIEM, wat moet ik doen en is open source de beste keuze?
- Welke Web Application Firewall is voor ons geschikt?
- Is onze infrastructuur voldoende redundant?
- Ik weet dat we backups ingekocht hebben, maar werken die echt en kunt u dat testen?
Ons motto bij security adviezen: De oplossing moet veilig maar zeker ook werkbaar zijn. Een goede security oplossing maakt het veiliger en makkelijker voor de eindgebruiker.
ICCM audit
Deze audit geeft u snel inzicht in de beveiligingsrisico’s die uw kantooromgeving loopt. U kunt met de ICCM audit weten of u voldoet aan de wettelijke kaders en verplichtingen.
Pre-audit voor ISO 27001 Certificering
Net als bij interne audits doen we controles op de punten waarop verwacht wordt dat de auditors van de certificerende instantie zullen gaan controleren. BSM begeleid bedrijven op weg naar de ISO 27001 certificering.
Direct contact
U weet niet welke soort audit u nodig heeft, of wilt u meer informatie? BSM staat voor u klaar.