Factsheet MysteryMan op Locatie
“Waarom stelen als je het ook kunt vragen … ?”
DUIJNBORGH - FORTIVISION Stadionstraat 1a ● 4815NC Breda +31 (0) 88 16 1780 ● www.db-fortivision.nl ●
[email protected]
Dit document is een bijlage bij de overkoepelende dienstbeschrijving “Penetratietest Informatievoorziening”. Fortivision kent een aantal verschillende verschijningsvormen van “penetratietest”. Deze bijlage beschrijft de penetratietesten waarbij de fysieke beveiliging en het beveiligingsbewustzijn van de medewerkers worden getoetst.
MysteryMan Is de fysieke beveiliging van uw pand echt afdoende? Zijn uw medewerkers zich voldoende bewust van gevaren die worden veroorzaakt door bijvoorbeeld slordig om te gaan met toegangspassen of toe te staan dat vreemden met hen mee naar binnen lopen? Als het indringers lukt om binnen te komen, zullen ze dan ongestoord hun gang kunnen gaan? Zijn uw medewerkers zo alert om ze aan te spreken en naar de receptie te brengen? Wie zou het gemunt kunnen hebben op uw concurrentiegevoelige informatie, gevoelige personeelsdossiers of reorganisatieplannen? Een hacker die zich verveelt wellicht, een spion van de concurrentie, een leverancier of klant met kwalijke bijbedoelingen, een journalist, een informatiemakelaar of een ex-werknemer? FortiVision brengt de dienst MysteryMan: tijdens een “undercover” missie proberen onderzoekers van FortiVision uw bedrijfspanden binnen te dringen1 en lopen zij als onbekende bezoekers rond, op zoek naar waardevolle informatie en zwakke plekken (“blind spots”) in zowel de fysieke beveiliging als in de menselijke kant van beveiliging. De resultaten van de MysteryMan zijn vaak een eye-opener. Door de resultaten uitgebreid te presenteren binnen de eigen organisatie zal een groot leereffect bereikt kunnen worden. Alleen al daardoor zal de alertheid van uw medewerkers en daarmee de veiligheid van uw gegevens toenemen. Ook de acceptatie van nieuwe en bestaande maatregelen kan eenvoudiger worden als uw medewerkers aan den lijve hebben ondervonden wat er kan gebeuren. Laat de MysteryMan deel uitmaken van een bewustwordingscampagne om de effectiviteit van uw beveiligingsbeleid te verhogen. MysteryMan is een audit-achtige dienst: Er wordt met een gerichte controle een momentopname gemaakt van de dagelijkse praktijk. Er wordt bij wijze van spreken even een beveiligingsthermometer in de organisatie gestoken. Door de dienst te herhalen is de effectiviteit van de implementatie van uw beleid te meten. Bovendien zal de MysteryMan, op basis van zijn of haar deskundigheid als consultant informatiebeveiliging én specifieke praktijkervaring, in het eindrapport verbeterpunten opnemen. De MysteryMan dient dus ook als startpunt voor een concrete verbetering van de fysieke beveiliging, te beginnen met het versterken van de zwakste plekken; de plekken die door de MysteryMan zijn gevonden en uitgebuit. 1
Zonder braak te plegen.
Duijnborgh-FortiVision BV
Factsheet MysteryMan 1.0
Pagina 2 van 7
Afhankelijk van uw situatie en wensen worden de volgende onderdelen in de dienst opgenomen: 1. Voorbereiding en planning; 2. Uitvoering van de missie; 3. Rapportage; 4. Duur van de uitvoering.
Voorbereiding en planning Tijdens deze fase wordt een aantal belangrijke zaken geregeld, waaronder:
Vaststellen contactpersonen Wederzijds moet worden vastgesteld welke personen betrokken zullen zijn bij de uitvoering en welke rol zij zich zullen aanmeten. Bereikbaarheid tijdens de missie is hierbij een aandachtspunt. Tegelijkertijd dienen zo min mogelijk mensen op de hoogte te zijn van de missie om de uitvoering niet te bemoeilijken.
Plannen van de activiteiten In onderling overleg wordt een periode afgesproken waarbinnen de actie moet plaatsvinden. Een echte insluiper kiest immers zelf zijn moment!
Vrijwaringsverklaring De vrijwaringsverklaring is bedoeld om de risico’s van alle betrokken partijen te beperken in het geval van incidenten tijdens de uitvoering van de missie. Zonder een door directie of management geaccordeerde vrijwaringsverklaring kan de dienst niet worden uitgevoerd.
Bepalen van de missie Het gaat de MysteryMan om het verkrijgen van toegang tot diverse vormen van informatie, teneinde de onderzoeksvragen te beantwoorden. De missie is een voortdurende opeenvolging van informatievergaring, analyse en uitbuiting van zwakke plekken. Bij het verloop van de actie zal de MysteryMan zich laten leiden door de kansen die zich voordoen én de vooraf afgesproken opdracht(en). Bij het bepalen van de scope en de globale werkwijze worden onder andere vastgelegd: 1. Welke kantoren en afdelingen zullen worden getoetst? 2. Welke opdrachten zullen op locatie worden uitgevoerd? 3. Wat de MysteryMan doet als hij/zij wordt gesnapt, en wanneer de actie beëindigd wordt.
Onderzoeksvragen De volgende vragen kunnen centraal staan in het onderzoek: Hoe is het gesteld met de fysieke beveiliging van informatie? Hoe is het gesteld met het beveiligingsbewustzijn van de medewerkers? Hebben specifieke, bestaande beveiligingsmaatregelen het gewenste effect? Wordt uw clean-desk / clear-screen beleid goed uitgevoerd? Welke verbeteringen zijn mogelijk? Maar u kunt natuurlijk ook uw eigen specifieke opdracht en/of uw eigen onderzoeksvraag meegeven. Garantie op een succesvolle uitvoering van de opdrachten is er natuurlijk niet; als het goed is zijn uw beveiligingsmaatregelen afdoende om de MysteryMan te laten falen! Duijnborgh-FortiVision BV
Factsheet MysteryMan 1.0
Pagina 3 van 7
Uitvoering van de missie De MysteryMan zal tijdens elke missie een aantal activiteiten uitvoeren of trachten uit te voeren. In de voorbereiding zijn afspraken gemaakt over de taken van de MysteryMan en hoe ver hij hierin mag gaan. De missie wordt uitgevoerd door twee consultants. Doordat er wordt opgetreden door kleine teams wordt minder argwaan gewekt en is de slagingskans vele malen groter. De missie wordt voorbereid door het gebouw vooraf te inspecteren en de timing van de missie wordt zorgvuldig gekozen.
Verborgen camera De MysteryMan legt zijn acties vast met behulp van een verborgen videocamera. Illustratieve gedeeltes van deze opnamen zullen worden meegeleverd met de rapportage. Daarnaast zullen er van bijzondere situaties foto’s worden genomen die later in het rapport zullen worden verwerkt.
Toegangsmogelijkheden Voor een ongewenste bezoeker is een van de lastigste problemen vaak het vinden van een ingang, waardoor hij op een gunstig moment ongezien naar binnen kan komen. Er kan speciaal op worden gelet welke mogelijkheden er zijn om het pand onopgemerkt binnen te dringen (zonder het plegen van braak).
Afscherming van afdelingen Als een ongewenste bezoeker er toch in geslaagd is onopgemerkt het pand binnen te sluipen, wat dan? Kan deze bezoeker gaan en staan waar hij wil of moet hij steeds hindernissen nemen zoals afgesloten deuren. Er kan speciaal op worden gelet hoe gemakkelijk men zich – als men eenmaal binnen is – onopgemerkt door het gebouw kan verplaatsen.
Archiefkast controle Archiefkasten zijn er voor om te zorgen dat gevoelige informatie wordt afgeschermd voor mensen die niets met deze informatie te maken hebben. Echter, lang niet altijd worden archiefkasten en ladeblokken bij afwezigheid of na werktijd afgesloten. Acties tijdens de missie kunnen gericht zijn op het verkrijgen van waardevolle informatie uit archiefkasten.
Afscherming speciale ruimtes Veel ruimtes in het gebouw hebben een speciale functie zoals bijvoorbeeld de computerruimte, de meterkast, netwerk-patchkasten, de kluis en nog veel meer. Deze ruimtes behoren alleen toegankelijk te zijn voor een kleine groep geautoriseerde medewerkers. Acties kunnen gericht zijn op het verkrijgen van toegang tot dit soort ruimtes (met of zonder hulp van medewerkers).
Clear-desk, clear-screen Informatie op beeldschermen en bureau’s is toegankelijk voor iedereen en is daarom zeer geliefd. Een clean-desk en clear-screen policy kan voorschrijven dat bij afwezigheid of na werktijd zich geen belangrijke documenten op het bureau mogen bevinden en/of dat de desktop (PC) moet zijn
Duijnborgh-FortiVision BV
Factsheet MysteryMan 1.0
Pagina 4 van 7
vergrendeld. Door het opnemen van dit onderdeel wordt duidelijk of de medewerkers zich aan zo’n gedragscode houden.
Bin-raiding Hoe gaan medewerkers om met media - documenten, CD’s en dergelijke - als deze niet meer nodig zijn? Maken zij gebruik van de aanwezige middelen als CD- en/of papierversnipperaars om deze informatie te vernietigen of zijn deze middelen niet aanwezig? Aanvullend kan tijdens de missie gelet worden op bruikbare documenten in prullenbakken en vuilcontainers. Hierbij worden de kopieerapparaten gecontroleerd op vergeten originelen en kopieën. Ook de centrale en lokale printers en faxen kunnen worden meegenomen.
Social engineering Hoe gaan medewerkers om met informatie van vertrouwelijke aard? Het hoeft natuurlijk geen vermelding dat informatie waarde heeft, en dat het (onbewust laten) uitlekken van deze informatie grote gevolgen kan hebben voor de organisatie. Aan de hand van een aantal stappen wordt gekeken of de medewerkers bewust en verantwoordelijk omgaan met vertrouwelijke informatie, en deze ook behandelen als bedrijfseigendom.
Opmerkzaamheid Blijft de MysteryMan onopgemerkt of wordt hij ontmaskerd? De oplettende medewerker zou moeten opmerken dat er iets niet in de haak is en actie moeten ondernemen door bijvoorbeeld de ongenode gast te benaderen en vragen te stellen. De alertheid van de medewerkers op vreemd gedrag en onbekende gasten kan apart worden getest.
Privacywetgeving In het kader van de Wet Bescherming Persoonsgegevens (WBP) moet zorgvuldig omgegaan worden met personeelsdossiers en andere bestanden met informatie die op de persoon herleidbaar is. Verder houdt niet iedere organisatie zich – meestal onbewust – aan de privacywetgeving bij het plaatsen van bijvoorbeeld camera's. Het voldoen aan privacywetgeving kan aparte aandacht worden gegeven.
MysteryMan op Afstand De MysteryMan op Afstand is een aparte dienst, gericht op het verkrijgen van vertrouwelijke informatie via telefoon, e-mail of op andere wijze waarbij de MysteryMan op afstand blijft. Vraag ons naar de mogelijkheden.
Rapportage De resultaten van de actie worden door de betrokken specialisten van FortiVision geanalyseerd, geïnterpreteerd en verwerkt. De resultaten presenteren wij in een helder en leesbaar rapport met aanbevelingen. Dit rapport gaat vergezeld van een CD-ROM met het rapport in elektronisch formaat en het beeldmateriaal. Indien gewenst completeren we het rapport met een PowerPoint presentatie, waarmee uzelf of onze consultant de resultaten aan het management kan presenteren
Duijnborgh-FortiVision BV
Factsheet MysteryMan 1.0
Pagina 5 van 7
Logboek Tijdens de uitvoering wordt een logboek bijgehouden van alle verrichte handelingen, met een vermelding van plaats, tijdstip, situatie en/of resultaat. Alle bevindingen, zowel negatief als positief, worden aangetekend in dit logboek. Het vormt de basis voor de rapportage.
Bewijsmateriaal Als bewijsmateriaal worden foto’s en video-opnamen gemaakt van de missie en van specifieke zaken, zoals bijvoorbeeld aangetroffen waardevolle spullen, wachtwoorden op notitieblaadjes, onbeheerde access-tokens, belangrijke documenten aangetroffen bij faxen en/of printer(s), nietvergrendelde desktops, verkregen toegang tot bedrijfsapplicaties, enzovoorts. In overleg met de opdrachtgever kan ook besloten worden tot het fysiek verzamelen van bewijsmateriaal, zoals onbeheerde notebooks, iPads, smartphones met belangrijke informatie, sleutels, onbeheerde access-tokens, vertrouwelijke documenten, enzovoorts. Deze spullen worden uiteraard direct volgens te maken afspraken teruggegeven.
Presentatie De opdrachtgever kan besluiten tot bredere bekendmaking van de onderzoeksresultaten, zoals middels een presentatie tijdens een bijeenkomst van het management of bijvoorbeeld tijdens een afdelingsoverleg of personeelsbijeenkomst (themabijeenkomst). Gedurende een dergelijke presentatie kan de MysteryMan als deskundige optreden, en desgewenst aan de hand van de bevindingen aantonen welke situationele, aantoonbare risico’s er latent aanwezig zijn. Denk hierbij bijvoorbeeld aan een achterhaald wachtwoord: tijdens de sessie kan de MysteryMan zich als hacker opstellen en ‘en plein public’ demonstreren wat hij met het wachtwoord kan aanrichten. Dit soort presentaties blijken in de praktijk bijzonder confronterend te zijn.
Duur van de uitvoering De Eenmalige MysteryMan onderzoekt de locatie één keer in het eerder afgesproken tijdsbestek. De Doorlopende MysteryMan behelst 3 onderzoeken per jaar, waarbij de consultant zich desgewenst 1 maal laat oppakken om de verdere afhandeling te evalueren. De werkwijze is voor een groot deel gelijk aan de Eenmalige MysteryMan, met dien verstande dat de rapportages toegespitst zijn op trends, metingen en verbeteringen ten opzichte van eerdere onderzoeken. De rapportage volgt zo’n 5 tot 15 werkdagen na uitvoering van de overeengekomen missie(s). De benodigde inspanning bedraagt typisch 3 tot 6 mensdagen en is afhankelijk van de omvang en complexiteit van de missie(s). Voor de Doorlopende MysteryMan geldt als indicatie een inspanning van 12 mensdagen voor het eerste jaar, en 11 mensdagen voor de vervolgjaren. Uiteraard maken we voor u op uw verzoek een offerte op maat.
Duijnborgh-FortiVision BV
Factsheet MysteryMan 1.0
Pagina 6 van 7
Meer informatie Gebruik de onderstaande gegevens voor het stellen van vragen via telefoon of email:
Adres :
Stadionstraat 1a 4815NC Breda
Telefoon: Fax:
088 - 160 1780 088 - 160 1790
E-mail: Website:
[email protected] http://www.db-fortivision.nl
Meer uitgebreide vragen laten zich het beste in een persoonlijk gesprek beantwoorden. Neem gerust contact met ons op voor het maken van een afspraak.
Duijnborgh-FortiVision BV
Factsheet MysteryMan 1.0
Pagina 7 van 7