Duijnborgh Audit kan uw IT-systemen of infrastructuur onderzoeken op beveiligingslekken. Nadat wij de informatiesystemen, applicaties en online diensten in kaart hebben gebracht, voeren wij met geavanceerde tools verschillende scans uit om de beveiligingszwakheden aan het licht te brengen. Onze aanpak is erop gericht om te zorgen dat risico’s van de uit te voeren testen minimaal zijn en de kwaliteit van de testen optimaal. Onze rapportage levert input om kwetsbaarheden efficiënt te verhelpen.
De technische IT security scan kan ook worden ingezet tijdens de ontwerpfase van een systeem. Daarmee wordt voorkomen dat ontwerpfouten worden gemaakt die later, tegen hoge kosten, weer opgelost moeten worden.
Wij noemen deze activiteit bewust Security Scan en niet Audit. Een audit is een formeel proces, dat start met een vooraf bepaald normenkader waartegen de auditor opzet, bestaan en werking toetst. Een audit levert dan ook een volledig beeld op ten aanzien van het vooraf overeengekomen normenkader. De betekenis van een audit hangt dan ook sterk samen met de kwaliteit van het normenkader.
Bij een security scan hoort geen normenkader: creativiteit en vakkennis van onze onderzoekers speelt hierbij een grote rol. Onze aanpak is vanzelfsprekend wel gebaseerd op een gegronde methodiek welke per besturingssysteem, applicatie of device verschillend kan zijn. De aanpak wordt ook voor een belangrijk deel bepaald door de omgeving waarbinnen het te testen object draait.
De resultaten van de security scan worden vastgelegd in een vorm van een rapportage.De rapportage bevat (minimaal) informatie over:
• De gebruikte applicaties (inclusief versienummer)
• De parameters die zijn gebruikt bij de tests
• Het tijdstip waarop de test is uitgevoerd
• Het IP-adres waarvandaan de test is uitgevoerd
• Een toelichting per gevonden verbeterpunt
• Een inschatting van de prioriteit per verbeterpunt
Het rapport wordt besproken met de opdrachtgever, waarbij het gewenst is dat daarbij ook de beheerder(s) aanwezig is/zijn. Dit zorgt ervoor dat de testresultaten goed kunnen worden geïnterpreteerd en voorkomt eventuele latere meningsverschillen over testresultaten.
Onze aanpak voor Security scans voldoet aan de richtlijnen van het Nationaal Cyber Security Centrum (NCSC,voorheen GovCert). De Security Scan passen wij ook toe bij het beveiligingsassessment DigID voor webapplicaties. Hiermee voldoet de aanpak volledig aan de eisen die Logius daaraan stelt.
Meer weten? download onze whitepaper of bel met Jeroen Meulendijks van Duijnborgh audit op telefoonnummer 030 – 6304108.