Hoe weten we of onze ICT veilig is?

21 september 2021

Onze ICT’ers doen hun uiterste best om alles zo veilig mogelijk in te richten en te houden. Maar zijn we echt veilig? Hoe komen we daar achter?

Deze vraag is steeds vaker te horen, zeker in de kantooromgeving waar de ICT door externen is ingericht en beheerd. U houdt vanzelfsprekend alle preventieve en bestrijdende software op beveiligingsgebied up-to-date. Maar bent u daarmee wel echt veilig? Er zijn diverse mogelijkheden om dat te (laten) testen.

Regelmatige securityscan

Een veelgebruikte check is met behulp van een regelmatige (geautomatiseerde) securityscan. Die kijkt vooral naar veel voorkomende kwetsbaarheden in de ICT-infrastructuur. U kunt diverse (gratis) checks vinden op internet die u in ieder geval een aardig beeld geven of u goed bezig bent. Voorbeeld: https://www.compromise.nl/gratis-online-ict-security-test/. Een professionele beveiligingsscan uitgevoerd door een externe partij is natuurlijk ook mogelijk, en heeft misschien zelfs wel de voorkeur.

Ethische hacker inschakelen

Een penetratietest of pentest kunt u inzetten om te controleren of uw beveiliging te omzeilen of te doorbreken is. Daarbij gaat een pentester – een (externe) beveiligingsspecialist – te werk als een echte hacker. Zo’n ‘ethische’ inbreker noemt men ook wel ‘white hat’-hacker, in tegenstelling tot de ‘black hat’-cyberdief die u met zijn inbraak schade wil berokkenen. In het uiteindelijke rapport doet hij verslag van de risico’s en kwetsbaarheden.

Dreigingen in kaart brengen

Iets abstracter is het (regelmatig) uitvoeren van een risicoanalyse om eventuele dreigingen in kaart te brengen. In het Digital Trust Center van het ministerie van Economische Zaken en Klimaat vindt u een handig stappenplan om zo’n analyse (zelf of via externen) uit te voeren. Eventueel kan zo’n analyse gebaseerd zijn op een (externe) audit die de beveiliging in uw organisatie toetst aan het beleid of de kaders en normen die u heeft opgesteld.

Bepaal het doel

Omdat er aan het testen van uw ICT-infrastructuur en -omgeving een behoorlijk kostenplaatje kan hangen, is het verstandig om vooraf te formuleren wat u precies wilt (laten) testen, wat het uiteindelijke doel is en wat er met of naar aanleiding van de resultaten moet gebeuren. Daarmee kunt u dan gespecialiseerde partijen in de markt benaderen.

Een handig hulpje daarbij kan de door EZK aanbevolen ‘buyers guide securitytesten’ van Cyberveilig Nederland zijn. Daarin vindt u een overzicht van de verschillende testvormen en -mogelijkheden.



Meer informatie over cybersecurity vindt u in de toolbox Zo verbetert u de cybersecurity van uw organisatie.