Veel van het “zakendoen” bij ondernemingen en organisaties gebeurt online, via internet of andere digitale oplossingen. De redenen hiervoor zijn eenvoudig; groter bereik, snelheid van transacties, efficiëntere bedrijfsprocessen en…veiligheid. Maar is het wel zo veilig? In dit artikel leggen we je alles uit over security testen.
Waarom security testen zo belangrijk is
Vrijwel elke onderneming heeft een website en heeft daar, afhankelijk van de branche, één of meerdere bedrijfsprocessen aangekoppeld. Een simpel voorbeeld is een webshop. De webshop biedt een website aan (front-end) waar gebruikers/consumenten producten of diensten kunnen aanschaffen. Eenmaal aangeschaft wordt er een aantal processen gestart om de order te verwerken. Deze processen gebeuren voornamelijk aan de back-end, dit is de achterkant van het systeem wat gebruikers niet zien. Hier wordt o.a. de order bevestigt richting de klant, de klantgegevens worden opgeslagen, de financiële transactie doorgevoerd, wordt de verkoper geïnformeerd over de order, wordt de voorraad bijgewerkt en wordt het logistieke proces gestart.
Beveiligingsmaatregelen
Zowel aan de front-end als aan de back-end is het van essentieel belang dat het systeem is voorzien van adequate beveiligingsmaatregelen. Denk hierbij aan (sterke) toegangsbeveiliging, versleuteling van gegevens (at-rest en in-motion), ervoor zorgen dat de systemen de laatste beveiligingspatches geïmplementeerd hebben, anti-virus/malware software geïnstalleerd hebben, operationele en juist geconfigureerde firewalls en nog veel meer waaraan gedacht zou moeten worden.
Security testen
Wat net zo belangrijk is, is het testen van de geïmplementeerde maatregelen op effectiviteit. Een ICT-landschap is sterk onderhevig aan veranderingen en nieuwe cyberdreigingen. Juist daarom is het toetsen van de sterkte en effectiviteit van je maatregelen zo belangrijk. Hierdoor krijg je als onderneming inzicht in de eventuele kwetsbaarheden van jouw ICT-omgeving. Zo kun je dus gericht(er) beveiligingsmaatregelen implementeren. Kortom, je zorgt ervoor dat jouw onderneming weerbaarder is tegen cyberdreigingen en risico’s.
Hoe worden ICT-systemen getest?
Het testen van ICT-systemen kan en gebeurt op verschillende manieren. Een “instapmodel” security test is het scannen van bepaalde systemen in het ICT-landschap op openstaande poorten (deuren), services, protocollen. Dit is een geautomatiseerde test waarbij er geen verdere creativiteit nodig is om bijvoorbeeld de systemen dieper aan te vallen (penetreren – penetratietest).
Naast deze vorm van testen bestaan ook penetratietesten (ook wel pentest genoemd). Dit is over het algemeen een combinatie van een geautomatiseerde security test en een ethical hacker/onderzoeker, die probeert zo ver mogelijk binnen te dringen binnen ICT-systemen. Deze test probeert dus op diverse onderdelen de beveiliging te doorbreken. Kortom, hier komt veel creativiteit bij kijken.
Security testen/pentesten komen ook in verschillende smaken. Zo heb je blackbox, graybox en whitebox testen. Iedere vorm heeft haar eigen unieke eigenschappen.
Security laten testen?
Datect helpt je bij het uitvoeren van een security (pen) test. Zo krijg je direct inzicht te in hoe effectief de beveiligingsmaatregelen zijn die jij geïmplementeerd hebt. Daarnaast zie je hoe deze jouw data én onderneming beschermen tegen een mogelijke cyberaanval. Uiteraard adviseren we je welke test voor jouw onderneming het meest geschikt is.
