Tedas Datascan

In het nieuws zien en horen we het steeds vaker; een datalek of data diefstal. Cyber criminelen, statelijke actoren of andere kwaadwillenden hebben het gemunt op vertrouwelijke en cruciale data, persoonsgegevens of intellectueel eigendom. Het beveiligen van uw data en systemen wordt steeds uitdagender, omdat alles tegenwoordig met elkaar en met het internet is verbonden.

Het grootste probleem hierbij is vaak dat organisaties niet of onvoldoende duidelijk in kaart hebben wat er met hun cruciale of kritische data gebeurt en wie er allemaal bij kan. Organisaties investeren veel geld in externe beveiligingsmaatregelen zoals firewalls. Echter, als niet voldoende helder is waar uw cruciale data zich bevindt, wie er bij mag en waar deze data naar toe gaat, kunnen alle IT Security maatregelen nog zo hoogwaardig zijn, maar loopt u nog steeds risico op een hack, datalek of datadiefstal.

Vanuit die optiek is het toch gek dat veel organisaties vooral tijd en geld steken in het laten testen van de externe beveiliging (zogenaamde penetratietesten). Dit terwijl het vooral gaat om de veiligheid van uw data… en die data die bevindt zich binnen in uw netwerk en applicaties.

Ieder netwerk wordt vroeg of laat blootgesteld aan een hackpoging, hoe goed de firewall of externe beveiliging ook is. Ook zien we vaak dat verouderde applicaties niet “secure-by-design” zijn ontworpen en daardoor een groot risico op een hack met zich meebrengen. Daarnaast kan een datalek, of diefstal ook van binnenuit komen.

In een Tedas Datascan kijken we daarom vooral naar de data. Want daar draait IT Security om, het beveiligen van uw cruciale data, zowel binnen uw netwerk als applicaties…

Het proces van een Tedas Datascan gaat als volgt:

Na het tekenen van een Non Disclosure Agreement (NDA) zal een van onze onderzoekers met uw IT manager, beheerder, Information Security Officer of andere functionaris die verantwoordelijk is voor databeveiliging, een intake houden. Tijdens deze intake wordt vastgesteld welke data binnen uw organisatie vertrouwelijk is of cruciaal voor de continuïteit. Er wordt vervolgens gekeken of er informatie beveiligingsbeleid is opgesteld of van toepassing is op uw organisatie. Gezamenlijk wordt een duidelijke demarcatie afgesproken over het onderzoek.

Op basis het intake gesprek stellen wij een offerte voor u op. Na opdrachtverstrekking ontvangt u een plan van aanpak waarin duidelijk staat omschreven welke stappen en fases er in het proces aan bod komen.

Nadat het plan van aanpak akkoord is bevonden, kan worden gestart met het onderzoek. Onze onderzoekers zijn CISSP gecertificeerd en gebruiken naast hun enorme praktijkervaring het framework van MITRE ATT&CK om het onderzoek, volgens een bewezen en gestructureerde methodiek, uit te voeren. Een eventueel onderzoek op één of meerdere applicaties wordt uitgevoerd op basis van zes beproefde onderzoekscriteria.

In het onderzoek wordt gekeken wie er vanuit het informatiebeveiligingsbeleid toegang mag hebben tot uw cruciale data, waar uw cruciale data zich binnen uw IT infrastructuur of applicatie bevindt, wie erbij kan en hoe en waar de data uw omgeving binnenkomt en eventueel weer verlaat.

Vervolgens wordt gekeken naar het type maatregelen dat is geïmplementeerd om uw data te beveiligen (zowel technisch als procedureel). Er wordt gekeken hoe de implementatie van deze maatregelen is ingevoerd en doorgevoerd binnen uw organisatie en of uw cruciale data ongeautoriseerd kan worden benaderd (zowel van binnenuit als buitenaf). Indien wenselijk kunnen onze specialisten ook onderzoek doen naar de beveiligingsmaatregelen voor eventuele cruciale data op mobiele devices of in de Cloud. Uiteraard kunnen wij ons ook specifiek richten op het onderzoeken van één of meerdere software applicaties.

Mochten onze onderzoekers kwetsbaarheden tegenkomen waardoor u direct een gevaar loopt, zal dit uiteraard meteen worden gemeld. Alle overige bevindingen zullen met u worden gedeeld in een onderzoeksrapportage.

Tijdens het onderzoek wordt de “volwassenheid” van uw IT Security maatregelen gemeten op basis van de data- en (IT)security management onderdelen uit het NOREA Cyber volwassenheidsmodel. Op basis van de bevindingen van het onderzoek wordt uw organisatie op één van de vijf tredes van het NOREA Cyber volwassenheidsmodel gepositioneerd.

Elke trede geeft op zowel organisatorisch als (IT Security) technisch gebied aan welke maatregelen binnen een organisatie moeten zijn geïmplementeerd. Hoe beter uw beheersmaatregelen, hoe hoger de trede waarop uw organisatie wordt geplaatst, waarbij trede vijf het hoogste niveau is.

Tedas zal u vervolgens binnen de trede waarop u organisatie op basis van de onderzoekskaders wordt gepositioneerd, een aanbeveling afgeven of de maatregelen (op basis van onze bevindingen) op een onvoldoende of voldoende en correcte manier zijn geïmplementeerd.

De uitkomst van de Tedas Datascan biedt u derhalve niet alleen een goed inzicht in de eventuele kwetsbaarheden binnen uw IT infrastructuur en het informatiebeveiligingsbeleid, maar geven u ook direct een helder inzicht in de Cyber volwassenheid van uw organisatie.

Na afronding van de Tedas Datascan kunnen wij u vervolgens ondersteunen om naar een hogere trede op het Cyber volwassenheidsmodel te komen of om maatregelen die op een onvoldoende wijze zijn geïmplementeerd alsnog correct te implementeren. Mocht het onderzoek zich uitsluitend op een of meerdere software applicaties hebben gericht, kunnen wij u adviseren omtrent maatregelen die het beveiligingsniveau van de betreffende applicaties verhogen.

Hierdoor zorgen wij er samen voor dat de beveiliging van uw cruciale data en systemen op een passend niveau komt te staan en u compliant bent aan het voor u vigerend informatiebeveiligingsbeleid.