Assurance verklaringen en ISO-certificaten; What the hell is the difference?

Steeds vaker zien we IT-leveranciers met Assurance verklaringen of ISO-certificaten. Gelukkig maar, want ik las laatst dat één op de vijf Nederlandse Organisaties niet goed is voorbereid op een ransomeware-aanval. Nu sluit niets in absolute zin het risico van een dergelijk succesvolle aanval uit, maar ik vermoed toch dat organisaties die een dergelijke objectieve waarborg hebben wellicht toch een minder groot risico lopen. Maar wat zeggen deze Assurance verklaringen en ISO-certificaten nu precies?

Zonder de illusie te hebben hier volledig te zijn, zal ik toch een aantal belangrijke verschillen benoemen waardoor je beter in staat bent te beoordelen wat voor jou relevant is. Allereerst is een ISO-certificaat er primair op gericht de organisatie op een gestructureerde wijze voortdurend te verbeteren. Dit is natuur-lijk heel goed, maar is wellicht niet voldoende als je wilt weten of de voor jouw organisatie relevante risico’s dankzij goede maatregelen ook daadwekelijk slechts een zeer kleine kans op daadwerkelijk manifesteren hebben. Dit is juist de doelstelling van een Assurance verklaring.

Van een Assurance verklaring bestaan er meerdere soorten. Voor IT-leveranciers zijn de zogenoemde ‘3402-verklaring’ en de SOC II/III verklaring’ de meest relevante. Hiervan is de SOC II/III eigenlijk de best passende voor IT-leveranciers. Je kunt hiermee namelijk op Vertrouwelijkheid, Integriteit van Processen, Beschikbaarheid en Security zekerheid geven. Daarbij onderkennen we dan weer twee varianten; een zogenoemd type I waarbij naar documentatie en eenmaal naar het bestaan wordt gekeken (zoals ook bij een ISO-audit) en een type II waarbij ook wordt getoetst of de maatregelen die de risico’s moeten voorkomen over een langere periode aantoonbaar gewerkt hebben.

Ik adviseer aan alle IT-leveranciers dus een SOC II/III verklaring en hoop dat alle organisaties die kiezen voor een IT-leverancier, kiezen voor een leverancier met een dergelijke verklaring!

Ben je benieuwd naar het magazine van Noord-Limburg Business? Kijk dan op deze link!

IT Advies New Day

Total Specific Hosting aan het woord over ervaringen met NewDay.

Total Specific Hosting (TSH) is een nieuwe klant van NewDay. Nadat een aantal klanten aan het woord zijn geweest die al kunnen praten over (soms jarenlange) ervaringen met NewDay, laten we nu een nieuwe klant aan het woord. Waarom hebben zij voor NewDay gekozen? Total Specific Hosting is een groep Managed Service Providers met 900 medewerkers, 2500 klanten en meer dan 15 merken die markleider zijn in hun segment. Enkele voorbeelden daarvan zijn NEH, VANCIS,  Korton en Eshgro.

Wij zijn zeer blij dat NewDay voor TSH en hun merken de komende 3 jaar de SOC-audits mag gaan uitvoeren.

IT Audit New Day

Sommigen bejubelen in de media hun eigen ondernemerschap. Weer anderen laten hun mooie nieuwe kantoorpand zien als blijk van succes. Wij geloven dat ons succes ligt bij onze klanten.

Sommigen bejubelen in de media hun eigen ondernemerschap. Weer anderen laten hun mooie nieuwe kantoorpand zien als blijk van succes. Wij geloven dat ons succes ligt bij onze klanten. Hun waardering en hun succes is ook onze waardering en succes. Wij zijn dan ook trots dat we weer een van onze zeer gewaardeerde klanten aan het woord mogen laten over zijn ervaringen met NewDay. Ditmaal Vincent van Adrichem van Signicat.  Signicat is een toonaangevende leverancier van digital identity oplossingen in Europa en levert een van de  meest uitgebreide portfolio’s aan digital identity oplossingen in de markt. Met haar dienstverlening behoord Signicat tot Europa’s snelst groeiende bedrijven in Europa en bedienen zij klanten als DNB, Aegon, Achmea en Santander.  

informatiebeveiliging cybersecurity New Day

Na Archive-IT en Xelvin, zien we Huib de Beijer van OMP in het onderstaande filmpje. OMP is grote speler op het gebied van supply chain management.

Na Archive-IT en Xelvin, zien we Huib de Beijer van OMP in het onderstaande filmpje. OMP is grote speler op het gebied van supply chain management. Zij leveren aan meerdere fortune 500 bedrijven. We zijn mede daarom ook buitengewoon trots op OMP als klant. In het onderstaande filmpje verteld Huib over de begeleiding wie wij als NewDay hebben mogen geven bij hun ISO 27001-implementatie. Via onze coachende aanpak op basis van workshops kreeg OMP het voor elkaar om binnen 12 maanden hun ISO 27001 implementatie afgerond te hebben. Een prestatie waar zij, maar ook wij minstens net zo trots op zijn!

Privacy New Day

Xelvin geeft bij monde van Miking Chou aan waarom zij voor hun privacy, risk management én auditing expertise graag samenwerken met NewDay.

Onze volgende klant Xelvin geeft bij monde van Miking Chou aan waarom zij voor hun privacy, risk management én auditing expertise graag samenwerken met NewDay. Ben je ook op zoek naar een partij die deze complexe zaken op een pragmatische wijze binnen je organisatie kan inrichten of verbeteren? Neem dan snel contact met ons op via info@newdayriskservices.nl of +31 (0)6 – 15 94 61 42.

Privacy New Day

Referenties, citaten, publicaties; het is natuurlijk van belang dat geïnteresseerden zich een beeld kunnen vormen wie NewDay is, wat zij doen en (vooral) hoe dat door haar klanten en medewerkers wordt ervaren.

Daarom laten wij de komende periode enkele van onze klanten aan het woord. Zij vertellen wie ze zijn, welke samenwerking er is en dienst NewDay levert en – niet onbelangrijk – wat ze daarvan vinden. Archive-IT bijt in deze de spits af. Wij mogen bij hen reeds enkele jaren de rol van Functionaris gegevensbescherming vervullen.  Geïnteresseerd? Klik op deze link!

Autorisatiemanagement: Lastig, lastig, lastig

Met autorisatiemanagement bedoelen we het toewijzen van rechten en bevoegdheden binnen de IT-systemen (applicaties maar ook netwerk en infrastructuur). Een goede inrichting van autorisaties (need-to-have/need-to-know) is ook voor het verkleinen van de kans op een negatieve impact van bijvoorbeeld een hack, uitermate belangrijk. Hackers proberen vooral de inlogcredentials van functionarissen met ruimere bevoegdheden te achterhalen. Idealiter van ‘administrators’. Als dit lukt, kunnen ze namelijk veelal zichzelf als gebruiker aanmaken en gaan er vaak pas laat alarmbellen af (als dat al gebeurt).

Toch besteden wij in verhouding best veel tijd aan het overtuigen van onze klanten dat te veel mensen te veel bevoegdheden hebben. In de praktijk kan het namelijk zeer onpraktisch zijn wanneer een medewerker niet altijd toegang heeft. Ondanks dat dit soms maar één of twee keer per jaar nodig is. Dat is toch ook ‘need to have’ wordt dan weleens gezegd Een dergelijk beperkte noodzakelijke toegang is echter geen ‘need to have’. Vuistregel is dat er één reservefunctionaris moet zijn en dan nog één achtervang welke via een tijdelijke toegang in vakanties en dergelijke kan invallen.

Wellicht wordt dit probleem in de toekomst minder. Er zijn al diverse technische alternatieven waaronder PAM, dat staat voor ‘Privileged Access Management’. Met deze technologie krijgen gebruikers alleen toegang met een encrypted user-ID en wachtwoord wanneer er een directe gebeurtenis is, waar zij vanuit hun functie op moeten acteren én ze op dat moment ook aan het werk zijn.

Ik wens iedereen een snelle (pim) PAM (pet) toe!

Ben je benieuwd naar het magazine van Noord-Limburg Business? Kijk dan op deze link!

Penetratietesten; waar op te letten?

Om te weten of je als organisatie goed bent beschermd tegen digitale aanvallen van buitenaf (‘hacks’) is het verstandig om je bescherming periodiek te laten testen. Dit kan bijvoorbeeld door een vulnerability scan te laten uitvoeren of een penetratietest (ook wel ‘pentest’). Er zijn veel aanbieders van dergelijke testen, maar waar moet je nu op letten? Wanneer heb je bijvoorbeeld een pentest laten uitvoeren waar je enige zekerheid uit mag halen?

Er wordt vaak gesproken in de volgende soorten van pentesten:

Audittypen:
Black Box: de auditor heeft geen kennis van het systeem, behalve naam, IP-nummer etc. van de testomgeving. De tester moet als buitenstaander het interne systeem benaderen en technieken toepassen die een echte hacker ook zou gebruiken.

Grey box: de auditor beschikt over een login en voorkennis van de te testen systemen en kent de resultaten van de black box. Hij heeft geen login van de beheerders. Hiermee wordt onder andere geprobeerd hogere privileges te behartigen.

White box/Crystal box: de auditor heeft volledige voorkennis van de omgeving. Het voordeel daarvan is dat hij zo de gevonden kwetsbaarheden kan valideren en nadere verdieping kan aanbrengen (dit wordt soms ook wel een ‘vulnerability scan’ genoemd).

Vervolgens wordt met auditniveaus de diepgang van de pentest aangeduid:

Auditniveaus:
Niveau 1 (basisbedreigingen test): deze test simuleert een eenvoudige aanval meestal met behulp van gratis beschikbare tools.

Niveau 2 (opportunistische bedreigingtest): deze gaat uit van een ervaren hacker die op een eenvoudige, maar gerichte wijze met automatische en handmatige middelen aanvallen uitvoert op willekeurige systemen.

Niveau 3 (doelgerichte bedreigingentest): deze test simuleert een doelgerichte aanval op systemen door een ervaren hacker. Dit is de meest gekozen diepgang voor onder andere penetratietesten.

Niveau 4 (geavanceerde bedreigingentest): deze test simuleert een aanval door een zeer ervaren hacker met uitgebreide middelen en mogelijkheden.

De audits worden normaliter in fasen uitgevoerd. Meestal wordt gestart met een voorbereiding om een beeld te krijgen van de netwerken en apparaten, etc. Vervolgens vinden de meer specifieke toetsen plaats. Hierbij dient te worden uitgegaan van o.a. de ISO 27001 en de ISO 18028 (standaard voor netwerkbeveiliging), conform de PTES (Penetration Testing Execution Standard). Webapplicaties dienen getest te worden op kwetsbaarheden die zijn opgenomen in de OWASP- en WASC-TC standaarden, waaronder ‘SQL-injection’, ‘cross-site-scripting’ en configuratiefouten in de website. Er wordt normaliter getest op ten minste 300 mogelijke kwetsbaarheden.

Simpele vuistregel is dat de kwaliteit van een pentest sterk wordt beïnvloed door de duur van de test (over welke periode mag de test worden uitgevoerd) en welke software-tools de pentester gebruikt (‘hoe meer’ is in dit geval vaak ook ‘hoe beter’).

Nu je wat meer zicht hebt op de wijze waarop je een pentest kunt vormgeven, ben je wellicht ook beter in staat je af te vragen wat jij voor je organisatie nodig hebt en wat dus wanneer bij jouw behoefte aan zekerheid past!

Ben je benieuwd naar het magazine van Noord-Limburg Business? Kijk dan op deze link!

Logo New Day Risk Services

Per 1 september zijn wij verhuisd!

Om dichter bij onze klanten en arbeidsmarkt te zijn, zijn wij verhuist van Nederweert naar ’s-Hertogenbosch. Wij geloven dat juist nu wanneer hybride werken steeds meer de norm is, het juist belangrijk is om laagdrempelig ook snel bij elkaar te kunnen komen om de fysieke contactmoment optimaal te kunnen benutten. Sommige zaken gaan zeer goed remote, maar andere gaan soms toch beter als we bij elkaar zijn. Hieronder enkele impressies.

Onze nieuwe locatie is Bruistensingel 210, 5232 AD ’s-Hertogenbosch. Wij nodigen u van harte uit eens langs te komen voor een kopje koffie!

De Raad van State kiest voor NewDay IT Risk & Assurance!

De Raad van State is een van de Hoge Colleges in Nederland en is zowel een belangrijk adviesorgaan van de regering als de hoogste rechtsprekende instantie bij geschillen tussen burger en overheid. NewDay heeft daar een intern IT-onderzoek mogen uitvoeren.

Wij zijn de Raad van State zeer dankbaar voor deze kans en het feit dat NewDay ook voor dit soort werkzaamheden wordt gezocht en gevonden!