Factsheet
Security Health Check
“De beveiligingsthermometer in uw organisatie”
DUIJNBORGH - FORTIVISION Stadionstraat 1a ● 4815NC Breda +31 (0) 88 16 1780 ● www.db-fortivision.nl ●
[email protected]
De Security Health Check Organisaties besteden in toenemende mate aandacht aan informatiebeveiliging. In sommige gevallen zijn er reeds (bewust of onbewust) maatregelen getroffen om het beveiligingsniveau te verhogen. In veel gevallen echter niet. Hoe kan de organisatie meer volwassen worden in informatiebeveiliging? Hoe wordt getoetst of een organisatie op de juiste manier bezig is met informatiebeveiliging, en niets over het hoofd ziet? Is de werking van een maatregel overeenkomstig de opzet ervan? De Security Health Check geeft antwoord op de vraag: “wat is het huidige beveiligingsniveau binnen de organisatie”. U krijgt snel een breed overzicht van het huidige niveau van informatiebeveiliging in uw organisatie op de gebieden van Mens, Organisatie en Techniek. De Security Health Check vormt een opstap om informatiebeveiliging verder vorm te geven en toetst de aanwezige maatregelen op opzet en werking, waardoor een diepgaande momentopname gemaakt wordt. Het werkt als een “thermometer” voor informatiebeveiliging, waarbij ISO 27002 (de Code voor Informatiebeveiliging) wordt gehanteerd naast internationale best practices. Bij zorginstellingen zal de NEN7510 worden gehanteerd. Om ook uw informatiebeveiliging aan een periodieke toetsing te onderwerpen kan de Security Health Check worden ingezet. Sluiten eerder genomen maatregelen nog steeds aan bij de organisatie? Welke onderwerpen c.q. dreigingen verdienen op korte termijn extra aandacht? Ten slotte is de Security Health Check bijzonder geschikt als voorbereiding op een meer diepgaande risicoanalyse. Aandachtsgebieden van de Security Health Check zijn het - al dan niet geformaliseerde informatiebeveiligingsbeleid van de organisatie, de ICT-omgeving, kwetsbaarheden in informatiesystemen, de fysieke beveiliging, het beveiligingsbewustzijn bij het management en de medewerkers. De Security Health Check geeft derhalve een brede kijk op het huidige niveau van de informatiebeveiliging, en bestaat uit de volgende onderdelen: 1. uitgebreide interviews met sleutelfiguren binnen de organisatie; een fysieke observatie op locatie; 2. beoordeling van de beveiliging van de ICT-infrastructuur; 3. beoordeling van het beveiligingsbewustzijn bij managers en medewerkers; 4. het verwerken, classificeren en rapporteren van de resultaten. Bovengenoemde onderdelen vereisen een nauwe samenwerking tussen de specialisten van FortiVision en een bij opdrachtgever aangestelde verantwoordelijke voor informatiebeveiliging. Mochten er tijdens het lezen van deze brochure vragen ontstaan, aarzelt u dan niet om contact met ons op te nemen.
Duijnborgh-FortiVision BV
Factsheet Penetratietest Informatievoorziening 2.0
Pagina 2 van 5
Onderdeel 1: Interviews Aan de hand van de Code voor Informatiebeveiliging passeren verschillende aandachtsgebieden de revue. Tijdens de interviews met een aantal sleutelfiguren wordt dieper ingegaan op onder andere: 1 2 3 4 5 6 7
de beveiligingsorganisatie; het beheer van ICT-systemen; toegangscontrole; de fysieke beveiliging; beveiliging van personeel; bewustzijn van informatiebeveiliging bij gebruikers; naleving en controle.
Afhankelijk van de organisatie en de hierin aanwezige risicogebieden, specifieke wet- en regelgeving, externe toezichthouders e.d. wordt het interview richting gegeven in de voor de organisatie specifieke omgeving. Hierdoor wint het interview aan diepgang en ontstaat een completer beeld van de status van informatiebeveiliging. Een ander voordeel van het interview is een leereffect dat optreedt bij de medewerkers die in enigerlei vorm betrokken zijn bij de Security Health Check. Zij worden gedwongen stil te staan bij, en een uitspraak te doen over alle aspecten van informatiebeveiliging, ook de aspecten die doorgaans minder vaak aan bod komen. Deze confrontatie maakt het gemakkelijker om in een later stadium over de gewenste situatie na te denken. Dit onderdeel vindt over het algemeen plaats op locatie van de opdrachtgever.
Onderdeel 2: Beoordeling van de beveiliging van de ICT-infrastructuur Het doel van deze beoordeling is het kunnen weergeven van de status van veiligheid van de ICT-infrastructuur. De focus ligt hierbij met name op het in beeld brengen van wat een kwaadwillend persoon zou kunnen bereiken, maar ook meer ‘ongerichte’ dreigingen als virussen en wormen komen aan bod. Aan de hand van beschikbare baselines en documentatie over de ICT-infrastructuur kijken onze specialisten door een beveiligingsbril naar de huidige architectuur en de opzet ervan. Hierbij wordt met name gekeken naar aspecten als segmentatie, filtering en beveiliging van netwerkelementen. Daarnaast worden in overleg met de opdrachtgever een aantal systemen geselecteerd die gecontroleerd worden op correcte werking van de genomen beveiligingsmaatregelen en op kwetsbaarheden. Hierbij wordt o.a. gecontroleerd op bekende beveiligingslekken die door een kwaadwillende gebruikt zouden kunnen worden om toegang tot en controle over het systeem te verkrijgen. Hierbij worden ook de authenticatiemechanismen en de sterkte van wachtwoorden steekproefsgewijs getest.
Duijnborgh-FortiVision BV
Factsheet Penetratietest Informatievoorziening 2.0
Pagina 3 van 5
Onderdeel 3: Fysieke observatie De fysieke observatie heeft als doel de fysieke toegangsmogelijkheden tot locaties en in het bijzonder tot informatie in te schatten. Tijdens een korte rondgang wordt een beoordeling gemaakt van de situatie m.b.t. informatiebeveiliging ter plaatse. Daarbij wordt onder meer gelet op: 8 toegang tot systemen (fysieke toegang, clear screen policy); 9 toegang tot informatie op werkplekken (clear desk policy); 10 gebruik en opstelling van printers; 11 afscherming van speciale ruimten en afdelingen waar gevoelige informatie aanwezig is of kan zijn, zoals serverruimten, archief, administratie en postkamer; 12 inrichting van de serverruimte(n). Dit onderdeel vindt plaats op locatie van de opdrachtgever.
Onderdeel 4: Beoordeling van het bewustzijn van informatiebeveiliging Het succes van veel beveiligingsmaatregelen valt of staat met de medewerking van uw medewerkers aan deze maatregelen. Immers, een slot op een deur heeft pas nut als het slot ook gebruikt wordt. Voor een breed beeld van de status van uw informatiebeveiliging is het daarom logisch dat ook dit aspect belicht wordt. Voor het beoordelen van informatiebeveiligingsbewustzijn binnen een organisatie maken wij gebruik van een op maat gemaakte elektronische vragenlijst. Hierbij onderscheiden wij twee doelgroepen: management en overige medewerkers. De vragenlijsten zijn door de respondenten binnen een kort tijdsbestek te beantwoorden. Selectie van respondenten geschiedt op basis van een steekproef, of op aanwijzing van de opdrachtgever.
Onderdeel 5: Rapportage De verschillende onderdelen leveren een grote hoeveelheid aan informatie op. Deze gegevens worden door de betrokken specialisten van FortiVision geanalyseerd, geïnterpreteerd en verwerkt. De resultaten presenteren wij in een helder en leesbaar rapport met aanbevelingen. Dit rapport gaat vergezeld van een CD-ROM met het rapport in elektronisch formaat alsmede, ter naslag, de ruwe, onbewerkte resultaten. Indien gewenst completeren we het rapport met een PowerPoint-presentatie, waarmee u zelf, of onze consultant, de resultaten aan het management kunt presenteren.
Duijnborgh-FortiVision BV
Factsheet Penetratietest Informatievoorziening 2.0
Pagina 4 van 5
Meer informatie Gebruik de onderstaande gegevens voor het stellen van vragen via telefoon of email:
Adres :
Stadionstraat 1a 4815NC Breda
Telefoon: Fax:
088 - 160 1780 088 - 160 1790
E-mail: Website:
[email protected] http://www.db-fortivision.nl
Meer uitgebreide vragen laten zich het beste in een persoonlijk gesprek beantwoorden. Neem gerust contact met ons op voor het maken van een afspraak.
Duijnborgh-FortiVision BV
Factsheet Penetratietest Informatievoorziening 2.0
Pagina 5 van 5