Cyber Security Audit

Naar aanleiding van een aanval op het computernetwerk van een bedrijf zijn op beveiligingsniveau enkele disfuncties ontdekt. De netwerkbeheerder besluit een beveiligingsaudit van de computerinfrastructuur te bestellen..

Hij wil het in overeenstemming brengen op basis van de beveiligingsoriëntaties bepleit in het kader van de audit.

Context

De belangrijkste doelstellingen van deze beveiligingsaudit zijn de volgende:

  • Het bedrijf voorzien van een beoordeling van de computerbeveiliging op basis van de waargenomen technische en organisatorische aspecten.
  • Evalueer de verschillen met de beveiligingsreferenties van het bedrijf.
  • Definieer de maatregelen om de hele infrastructuur in overeenstemming te brengen.

De beveiliging concludeerde dat er sterke punten werden waargenomen, maar ook zwakkere die moesten worden verbeterd:

Methodologie

Om een ​​audit uit te voeren, gebruikt Sertalink een methodologische aanpak die is aangepast aan de verschillende onderwerpen en overeenkomt met het soort dienst dat wordt aangevraagd
Risiconiveau classificatie

  • Security policy
  • Critical Security Controls
  • Design compliancy vs security policy
  • Current Network infrastructure and Access Controls
  • Design Compliancy vs Corporate Security Policy
  • Policy review
  • Business Continutity Plan
  • Incident Response Plan
  • Quick business flow analyze
  • Digital footprint (Mail (MX RECORDS), Websites ( Security Vulnerabilities, SSL-TLS version, Encryption…)
  • Remote access / Wifi
  • Design review
  • Conclusions

 

STAP 1: INTERVIEWS EN WEBSITEBEZOEK

De algemene auditaanpak van Sertalink begint met een beoordeling van de bestaande situatie door middel van interviews en technische tests.

a) Initialisatiebijeenkomst

Een initialisatiegesprek is de gelegenheid om de volgende punten toe te lichten:

  • Het gebied van de audit, bijvoorbeeld de systemen en processen die moeten worden geanalyseerd,
  • De algemene planning en de verschillende stappen,
  • Identificatie van de informatie / documenten waarmee rekening moet worden gehouden,
  • Noodzakelijke contacten en interviews.
b) Interviews en locatiebezoeken

De analyse van het bestaande beveiligingsniveau is veelal gebaseerd op interviews met de mensen die bij de beveiliging betrokken zijn, alsmede op testen en technische verificaties, uitgevoerd tijdens een bezoek aan de betreffende faciliteiten.

Sertalink zal een interviewgids formaliseren die moet worden goedgekeurd door de projectleider / IT / IT-beveiligingsverantwoordelijke.

 
STAP 2: RISICOANALYSE

Voor elk onderdeel, service of functie, Sertalink identificeert en kwantificeert de risico's die voortvloeien uit de ontdekte bedreigingen en kwetsbaarheden. Voor elk risico bepaalt de analyse:

  • Een beschrijving van het risico.
  • De overwogen veiligheidscriteria (beschikbaarheid, integriteit, vertrouwelijkheid, traceerbaarheid).
  • De waarschijnlijkheid van het risico en de impact ervan, geëvalueerd met betrekking tot de beveiligingsproblemen die in stap 1 zijn geïdentificeerd.

STAP 3: AANBEVELINGEN EN ACTIEPLAN

Deze stap is gericht op het uitleggen van de veiligheidsaanbevelingen en het formaliseren van het bijbehorende actieplan, waarbij een onderscheid wordt gemaakt tussen zeer korte termijn (acties die met voorrang moeten worden uitgevoerd om de belangrijkste risico's af te dekken en waarvoor een implementatie gemakkelijk is) en de korte / middellange termijn (minder urgente acties of een grotere investering).

Voor elke aanbeveling bevat het actieplan:

  • De maatbeschrijving.
  • Het prioriteitsniveau van de implementatie, dat in de eerste plaats de urgente acties laat zien die op korte termijn moeten worden geïmplementeerd of een gemakkelijke en snelle verbetering van sommige beveiligingsniveaus mogelijk maakt.
  • De reikwijdte ervan (qua oppervlakte, behandelde risico's…).
  • Zijn technische of organisatorische vereisten.
  • De mogelijke gevolgen voor de productie.
  • Een schatting van de implementatiekosten.
  • Het resterende risico.
X