Hoe kan ik de digitale veiligheid van mijn bedrijf testen?
Hoe kan ik de digitale veiligheid van mijn bedrijf testen? Dat is de vraag die we in deze video gaan beantwoorden. Laten we eerst beginnen met de vraag; Waar bestaat het testen van digitale veiligheid uit?
De digitale veiligheid van bedrijven kan getest worden door middel van een pentest, een inloop actie oftewel redteaming en een phishingtest. De uitslagen van de testen samen, geven inzicht in hoe digitaal veilig een bedrijf is.
Pentest
Het testen van de digitale beveiliging wordt in de cybersecuritywereld “pentesten” genoemd. Deze term is afkomstig van de twee worden; penetratie en testen. Deze testen worden uitgevoerd door ethische hackers. Dit zijn hackers die hun kennis gebruiken om organisaties te wijzen op digitale open deuren. Dit doen zij om kwaadwillende hackers voor te zijn en zo de organisatie te beschermen tegen een aanval. Een Pentest is dan ook een preventieve maatregel, ten behoeve van de digitale beveiliging.
Pentesten vinden over het algemeen op drie manieren plaats. De manieren zijn blackbox, greybox en whitebox. De lichtheidgraad bepaalt de mate waarin de ethisch hacker voorkennis heeft van uw digitale systemen. Bij een black-box pentest heeft de hacker geen voorkennis. Bij een grey-box pentest zijn slechts een aantal dingen, zoals bepaalde inloggegevens, gedeeld met de hacker. Bij een white-box pentest krijgt de hacker vooraf alle informatie verstrekt om gericht op zoek te gaan naar kwetsbaarheden. De manier waarop de pentest plaatsvindt is afhankelijk van hetgeen getest moet worden.
Inloop actie
Een inloop actie betreft niet alleen een fysieke test van de beveiliging, maar ook een digitale test. Tijdens het fysieke aspect, wordt gecontroleerd of de servers, werkplekken en digitale infrastructuur toegankelijk zijn voor ongeautoriseerden. Als dat namelijk het geval is, kunnen hackers gebouwen binnendringen en informatie, waaronder digitale informatie, van binnenuit stelen of saboteren.
Phishingtest
Een phishingtest geeft inzicht in de mate waarop medewerkers weerbaar zijn tegen digitale aanvallen en zich bewust zijn van hun aandeel in de beveiliging. Meestal blijkt de mens de zwakste schakel te zijn als het aankomt op beveiliging. Medewerkers die niet alert zijn kunnen er onbewust aan bijdragen dat belangrijke wachtwoorden, bedrijfsdata en persoonsgegeven organisaties ongeoorloofd verlaten. Door middel van phishingtesten kan personeel getraind worden om alert te blijven en op de juiste wijze te handelen wanneer zij een phishing mail ontvangen.
Waarom zou ik mijn bedrijf laten testen?
In de huidige samenleving is het van belang dat bedrijven hun digitale beveiliging op orde hebben, zodat vertrouwelijke informatie, zoals persoonsgegevens, niet beschikbaar zijn voor ongeautoriseerden. Van bedrijven wordt verwacht dat zij inzicht hebben in hoe hun digitale beveiliging geregeld is. Door middel van onder andere een pentest kunt u dat inzicht krijgen en eventuele kwetsbaarheden direct verhelpen.
Daarnaast is het ook een unique selling point wanneer een bedrijf kan aantonen dat hun digitale beveiliging op orde is. De bedrijven die verschillende testen periodiek uitvoeren, zullen zichzelf beter op de kaart kunnen zetten, dan bedrijven die dat nalaten. Daarbij komt dat klanten over het algemeen steeds meer eisen stellen aan de digitale beveiliging van bedrijven.
Zij verzoeken bedrijven ook steeds vaker om resultaten van een recente test te overleggen, voordat zij zaken te gaan doen.
Hoe test ik mijn digitale weerbaarheid?
Een deel van de testen kunt u zelf uitvoeren, dit betreft voornamelijk de testen rondom digitaal bewustzijn onder medewerkers. Een leuke test is het versturen van een datumprikker voor een bedrijfsbarbecue vanuit een spelfoutdomein. U kunt dan controleren wie op de link klikt en de datumprikker invult. Na afloop kunt u iedereen informeren dat het een test was en dat een bepaald percentage van de geadresseerden niet op de afzender van de het verzoek heeft gelet en daardoor in een phishing actie is getrapt. Op die manier kunt u dus zelf het bewustzijn onder medewerkers monitoren en vergroten.
Als u de beveiliging van bijvoorbeeld uw website, IT-infrastructuur of applicatie wilt testen, kunt u het beste gebruikmaken van een onafhankelijke partij, die ethisch hackers in dienst heeft. U zult dan een objectief en betrouwbaar inzicht krijgen in de mate van digitale beveiliging. Overigens is het wel belangrijk om een partij uit te kiezen die voldoet aan de volgende punten:
- De organisatie is gevestigd in Nederland, gelet op de regelgeving en aansprakelijkheid.
- De organisatie moet kunnen aantonen en toelichten hoe ze te werk gaan en transparant zijn in de uitvoering van de opdracht.
- De organisatie moet op een veilige manier te werk gaan en eventueel verkregen data veilig verwerken en opslaan.
- De organisatie heeft ethisch hackers in dienst die gecertificeerd zijn en werken volgens internationaal erkende standaarden.
- De organisatie is aangesloten bij een brancheverenging van de cyber security sector.
Deze criteria kunt u ook gebruiken als u een bedrijf wilt uitkiezen die een inloop actie voor u uitvoert. Tot slot raden wij aan om altijd uw gevoel te volgen bij het uitkiezen van een organisatie. Voelt een organisatie niet goed aan? Ga dan op zoek naar een andere.
Dit was een video over Hoe u de digitale weerbaarheid van u bedrijf kan testen. Wil je nog beter beveiligd zijn? Bekijk dan een van onze andere video’s!
De cybercrime alert video's zijn een co-productie van Nederlands Forensisch Incident Response (NFIR) en Platform Veilig Ondernemen Oost-Nederland.