Privacy New Day

Referenties, citaten, publicaties; het is natuurlijk van belang dat geïnteresseerden zich een beeld kunnen vormen wie NewDay is, wat zij doen en (vooral) hoe dat door haar klanten en medewerkers wordt ervaren.

Daarom laten wij de komende periode enkele van onze klanten aan het woord. Zij vertellen wie ze zijn, welke samenwerking er is en dienst NewDay levert en – niet onbelangrijk – wat ze daarvan vinden. Archive-IT bijt in deze de spits af. Wij mogen bij hen reeds enkele jaren de rol van Functionaris gegevensbescherming vervullen.  Geïnteresseerd? Klik op deze link!

Autorisatiemanagement: Lastig, lastig, lastig

Met autorisatiemanagement bedoelen we het toewijzen van rechten en bevoegdheden binnen de IT-systemen (applicaties maar ook netwerk en infrastructuur). Een goede inrichting van autorisaties (need-to-have/need-to-know) is ook voor het verkleinen van de kans op een negatieve impact van bijvoorbeeld een hack, uitermate belangrijk. Hackers proberen vooral de inlogcredentials van functionarissen met ruimere bevoegdheden te achterhalen. Idealiter van ‘administrators’. Als dit lukt, kunnen ze namelijk veelal zichzelf als gebruiker aanmaken en gaan er vaak pas laat alarmbellen af (als dat al gebeurt).

Toch besteden wij in verhouding best veel tijd aan het overtuigen van onze klanten dat te veel mensen te veel bevoegdheden hebben. In de praktijk kan het namelijk zeer onpraktisch zijn wanneer een medewerker niet altijd toegang heeft. Ondanks dat dit soms maar één of twee keer per jaar nodig is. Dat is toch ook ‘need to have’ wordt dan weleens gezegd Een dergelijk beperkte noodzakelijke toegang is echter geen ‘need to have’. Vuistregel is dat er één reservefunctionaris moet zijn en dan nog één achtervang welke via een tijdelijke toegang in vakanties en dergelijke kan invallen.

Wellicht wordt dit probleem in de toekomst minder. Er zijn al diverse technische alternatieven waaronder PAM, dat staat voor ‘Privileged Access Management’. Met deze technologie krijgen gebruikers alleen toegang met een encrypted user-ID en wachtwoord wanneer er een directe gebeurtenis is, waar zij vanuit hun functie op moeten acteren én ze op dat moment ook aan het werk zijn.

Ik wens iedereen een snelle (pim) PAM (pet) toe!

Ben je benieuwd naar het magazine van Noord-Limburg Business? Kijk dan op deze link!

Penetratietesten; waar op te letten?

Om te weten of je als organisatie goed bent beschermd tegen digitale aanvallen van buitenaf (‘hacks’) is het verstandig om je bescherming periodiek te laten testen. Dit kan bijvoorbeeld door een vulnerability scan te laten uitvoeren of een penetratietest (ook wel ‘pentest’). Er zijn veel aanbieders van dergelijke testen, maar waar moet je nu op letten? Wanneer heb je bijvoorbeeld een pentest laten uitvoeren waar je enige zekerheid uit mag halen?

Er wordt vaak gesproken in de volgende soorten van pentesten:

Audittypen:
Black Box: de auditor heeft geen kennis van het systeem, behalve naam, IP-nummer etc. van de testomgeving. De tester moet als buitenstaander het interne systeem benaderen en technieken toepassen die een echte hacker ook zou gebruiken.

Grey box: de auditor beschikt over een login en voorkennis van de te testen systemen en kent de resultaten van de black box. Hij heeft geen login van de beheerders. Hiermee wordt onder andere geprobeerd hogere privileges te behartigen.

White box/Crystal box: de auditor heeft volledige voorkennis van de omgeving. Het voordeel daarvan is dat hij zo de gevonden kwetsbaarheden kan valideren en nadere verdieping kan aanbrengen (dit wordt soms ook wel een ‘vulnerability scan’ genoemd).

Vervolgens wordt met auditniveaus de diepgang van de pentest aangeduid:

Auditniveaus:
Niveau 1 (basisbedreigingen test): deze test simuleert een eenvoudige aanval meestal met behulp van gratis beschikbare tools.

Niveau 2 (opportunistische bedreigingtest): deze gaat uit van een ervaren hacker die op een eenvoudige, maar gerichte wijze met automatische en handmatige middelen aanvallen uitvoert op willekeurige systemen.

Niveau 3 (doelgerichte bedreigingentest): deze test simuleert een doelgerichte aanval op systemen door een ervaren hacker. Dit is de meest gekozen diepgang voor onder andere penetratietesten.

Niveau 4 (geavanceerde bedreigingentest): deze test simuleert een aanval door een zeer ervaren hacker met uitgebreide middelen en mogelijkheden.

De audits worden normaliter in fasen uitgevoerd. Meestal wordt gestart met een voorbereiding om een beeld te krijgen van de netwerken en apparaten, etc. Vervolgens vinden de meer specifieke toetsen plaats. Hierbij dient te worden uitgegaan van o.a. de ISO 27001 en de ISO 18028 (standaard voor netwerkbeveiliging), conform de PTES (Penetration Testing Execution Standard). Webapplicaties dienen getest te worden op kwetsbaarheden die zijn opgenomen in de OWASP- en WASC-TC standaarden, waaronder ‘SQL-injection’, ‘cross-site-scripting’ en configuratiefouten in de website. Er wordt normaliter getest op ten minste 300 mogelijke kwetsbaarheden.

Simpele vuistregel is dat de kwaliteit van een pentest sterk wordt beïnvloed door de duur van de test (over welke periode mag de test worden uitgevoerd) en welke software-tools de pentester gebruikt (‘hoe meer’ is in dit geval vaak ook ‘hoe beter’).

Nu je wat meer zicht hebt op de wijze waarop je een pentest kunt vormgeven, ben je wellicht ook beter in staat je af te vragen wat jij voor je organisatie nodig hebt en wat dus wanneer bij jouw behoefte aan zekerheid past!

Ben je benieuwd naar het magazine van Noord-Limburg Business? Kijk dan op deze link!

Logo New Day Risk Services

Per 1 september zijn wij verhuisd!

Om dichter bij onze klanten en arbeidsmarkt te zijn, zijn wij verhuist van Nederweert naar ’s-Hertogenbosch. Wij geloven dat juist nu wanneer hybride werken steeds meer de norm is, het juist belangrijk is om laagdrempelig ook snel bij elkaar te kunnen komen om de fysieke contactmoment optimaal te kunnen benutten. Sommige zaken gaan zeer goed remote, maar andere gaan soms toch beter als we bij elkaar zijn. Hieronder enkele impressies.

Onze nieuwe locatie is Bruistensingel 210, 5232 AD ’s-Hertogenbosch. Wij nodigen u van harte uit eens langs te komen voor een kopje koffie!

De Raad van State kiest voor NewDay IT Risk & Assurance!

De Raad van State is een van de Hoge Colleges in Nederland en is zowel een belangrijk adviesorgaan van de regering als de hoogste rechtsprekende instantie bij geschillen tussen burger en overheid. NewDay heeft daar een intern IT-onderzoek mogen uitvoeren.

Wij zijn de Raad van State zeer dankbaar voor deze kans en het feit dat NewDay ook voor dit soort werkzaamheden wordt gezocht en gevonden!

Total Specific hosting heeft voor de komende 3 jaar voor NewDay IT Risk & Assurance gekozen om haar SOC II/III assurance-verklaringen samen te gaan verstrekken.

Total Specific hosting bestaat uit een groeiende groep Cloud & ICT Outsourcing dienstverleners die zich mede onderscheiden met een hoge mate van betrouwbaarheid, beveiliging en efficiëntie. In het totaal werken hier zo’n 850 mensen bij hun eigen leidende ICT Outsourcing Providers. Op dit moment bestaat deze groep uit: Vancis, NEH, ACTAcom, MissingPiece, ICT Concept, OfficeGrip, The Sourcing Company, xinno, Korton, setservices en zeer recent ook Eshgro.

Komende periode mogen wij bij de eerste groep gaan starten met de voorbereidende werkzaamheden.

Wij zijn natuurlijk erg blij met deze samenwerking en hopen daarmee ook ons steentje bij te dragen aan de verdere voorspoed van alle TSH-onderdelen.