Het is een feit: wereldwijd spannen organisaties zich steeds meer in om hun data te beveiligen en (cyber)criminelen buiten hun systemen te houden. Maar toch slaagt dit niet altijd. En dan kunnen de gevolgen desastreus zijn. Een manier om proactief en consequent met informatiebeveiliging bezig te zijn, is het doen van ‘vulnerability scans’ en ‘pentesten’. Hoe werken ze, wat leveren ze op? Wij zetten het op een rij.

Onmisbare beveiligers van uw data: de vulnerability scan en pentest

Scan, test of beiden?

Wanneer laat u een penetratietest uitvoeren en wanneer een vulnerability scan? Deze twee soorten testen worden nog wel eens door elkaar gehaald. Ze lijken op elkaar, maar zijn toch verschillend en dienen een verschillend doel.

Vulnerability scan

Bij een vulnerability scan gaat u op zoek naar kwetsbaarheden (vulnerabilities) in software en systemen in een netwerk. Bij iedere kwetsbaarheid die naar voren komt, bepaalt u het risico (kans x impact) en daarmee de prioriteit. Op die manier kan een organisatie kwetsbaarheden verhelpen voordat een aanvaller er misbruik van kan maken. U pakt dus zwakke plekken meteen aan. Zonder daadwerkelijk aan te tonen dat de gevonden kwetsbaarheid uitgebuit kan worden door een kwaadwillende partij.

In een ideale situatie vinden vulnerability scans regelmatig plaats. Er worden dagelijks nieuwe kwetsbaarheden gevonden. Het is dus een continu proces. Veel organisaties die wij kennen, doen dagelijkse scans als onderdeel van hun informatiebeveiliging.  Gelukkig brengen ook leveranciers (zoals Microsoft) regelmatig nieuwe versies van hun software uit om opgespoorde vulnerabilities op te lossen. Voor organisaties is het essentieel om deze versies (updates of patches) zo snel mogelijk te installeren.

Pentesten

Waar een vulnerability scan input levert om software en systemen te patchen, gaat een pentest verder.  Een penetratietest kunt u laten doen op allerlei IT-systemen, van bedrijfsnetwerken tot webapplicaties en hardware. De pentest probeert daadwerkelijk misbruik te maken van de gevonden kwetsbaarheden. De pentester laat zien hoe ver iemand kan doordringen in een netwerk of welke data men kan bemachtigen. Het doen van een pentest begint met het uitvoeren van een vulnerability scan. De resultaten van de reeds eerder (hopelijk regelmatig) uitgevoerde vulnerability scan dienen als input voor de pentest.

Hoe vaak zijn deze scans en testen nodig?

De vulnerability scan is voor een groot deel te automatiseren. Resultaten worden als input gebruikt voor het patchmanagementproces. Een pentest wordt gebruikt om aan te tonen hoe kwaadwillende partijen misbruik zouden kunnen maken van de gevonden kwetsbaarheden. In de ideale situatie wordt een vulnerability scan dagelijks uitgevoerd en een pentest (afhankelijk van de situatie) een aantal keer per jaar. Pentesten is niet verplicht om een ISO27001 certificaat te behalen of te behouden. Regelmatig een pentest uitvoeren draagt echter bij aan een betere Informatie Beveiliging. Voor veel bedrijven voegt het veel waarde toe aan het mitigeren van informatie beveiliging risico’s.

Rapportage

Bij beide onderzoeken hoort een gedegen rapportage. Wat is kenmerkend voor zo’n rapportage?

Vulnerability scan

 • Compleet: de scan geeft inzicht in alle gevonden kwetsbaarheden;
 • Gesorteerd naar risico (hoog naar laag)
 • Bij deze vorm van rapporteren is het soms lastig om te bepalen wat de daadwerkelijke impact van een risico is.
 • Vulnerability management is verplicht voor het behalen/behouden van ISO27001 certificaat.

Pentest

 • Niet compleet: meestal worden slechts bepaalde kwetsbaarheden uitgebuit;
 • De bevindingen (inclusief bewijs) worden beschreven;
 • Deze vorm van rapporteren geeft veel meer inzicht in het risico van de gevonden kwetsbaarheden.
 • Is je vulnerability management op orde? Heb je de kwetsbaarheden opgelost? Dan lijkt een pentest overbodig. Wij beschouwen het regelmatig uitvoeren echter als een Best Practice. Het helpt jouw organisatie in het stellen van prioriteiten en het geeft een veel beter beeld hoe kwetsbaar jouw systemen zijn.

Heeft u twijfels over de volwassenheid van de Informatie Beveiliging van uw organisatie? Voert u pentesten uit maar wordt het tijd voor een frisse blik? Neem contact met ons op voor een vrijblijvend gesprek.

Wie is Mirato Group?

Vraagt u zich af of uw bedrijf de informatiebeveiliging en -management goed op orde heeft? Mirato helpt u bij het analyseren en definiëren wat nodig is. Het uitvoeren van pentesten is onderdeel van onze expertise. Wij volgen alle ontwikkelingen op het gebeid van (cyber) security op de voet. Onze aanpak is uniek en persoonlijk. Onze kracht schuilt in het bundelen van kennis en ervaring op het gebied van informatiemanagement (IM), Informatiebeveiliging (IB), Agile werken, project- en programmamanagement.

Hulp nodig? Vragen? Klik hier en neem contact met ons op.

Steeds meer marktpartijen – van klant tot leverancier – eisen van bedrijven dat zij aantoonbaar aandacht hebben voor hun informatiebeveiliging. En dat is terecht. Wie het nieuws volgt, hoort regelmatig over kwaadwillende hackers, datalekken en de financiële gevolgen daarvan. En misschien nog belangrijker: getroffen bedrijven worden niet alleen opgezadeld met hoge kosten, ook hun reputatie kan behoorlijk worden aangetast. Lees meer

Thuiswerken heeft een stevige plek ingenomen in het palet van mogelijkheden die bedrijven bieden aan hun medewerkers. En daarom is het belangrijker dan ooit dat IT-managers de cybersecurity risico’s van het thuisnetwerk onder ogen zien. Ruim 75% van de door ons ondervraagde IT-managers, CISO’s en andere security verantwoordelijken zien het thuisnetwerk daadwerkelijk als een sterk verhoogd tot onacceptabel risico.

Thuisnetwerk is voor veel mensen complex

Het lastige van die thuisnetwerken is dat er specialistische kennis voor nodig is om het goed te doen. En misschien niet alleen kennis maar ook zelfvertrouwen. Immers de impact op het moderne gezin is enorm wanneer het thuisnetwerk ineens niet beschikbaar is, wanneer zaken worden geblokkeerd of zodra er geen toegang tot het internet meer is.

Tip: vraag aan uw thuiswerkers hoe “security-volwassen’ ze zijn

Het loont de moeite om als IT-manager een eenvoudige vragenlijst aan de thuiswerkers te sturen. De antwoorden zullen veel inzicht geven in de “security-volwassenheid” van de thuiswerkers. En het geeft u vervolgens belangrijke inzichten waar u winst kunt behalen op security-gebied.

Deze vragen aan thuiswerkers geven u belangrijke inzichten:
 • Heb je de naam van het wifi-netwerk (door de provider gegeven) veranderd?
 • Is jouw wifi-netwerk voor anderen (niet je medebewoners) zichtbaar?
 • Heb je het wachtwoord van het wifi-netwerk gewijzigd? Doe je dat minimaal 2 keer per jaar?
 • Heb je het beheer-wachtwoord van de web interface die je gebruikt om de routerinstellingen te veranderen gewijzigd en doe je dat regelmatig?
 • Weet jij of de router van de internetprovider de laatste update succesvol heeft uitgevoerd? En weet je zeker dat het de laatste versie is?
 • Heb je onnodige zaken die risico’s inhouden zoals remote acces uitgeschakeld? WPS? UPnP?
 • Is de router van je internetprovider in staat om basisbedreigingen te detecteren en te voorkomen doordat functies als IDS geactiveerd zijn?
Ook de Helpdesk heeft andere kennis nodig:

Het stellen van deze vragen zorgt voor extra bewustwording bij thuiswerkende medewerkers. Vervolgens is het belangrijk om de helpdesk van uw bedrijf voor te bereiden op vragen die hierover zeker zullen komen. Zorg bijvoorbeeld dat de helpdesk beschikt over kennis en informatie over alle varianten van routers en instellingen.

Het is voor menig IT-manager en CISO een stevige uitdaging om het thuisnetwerk te laten voldoen aan de security standaarden die de organisatie heeft opgesteld. Die uitdaging wordt nog groter indien u ook wilt controleren hoe deze standaarden in het thuisnetwerk worden nageleefd.

Hoe veilig zijn jullie thuiswerkplekken eigenlijk?

Bent u IT-manager of CI(S)O en voelt u zich door dit artikel onaangenaam aangesproken? Heeft u de indruk dat de thuiswerkplekken voor uw organisatie veiliger ingericht kunnen worden?

Als IT-security verantwoordelijke kun u drie dingen doen:
 1. Niets doen en aannemen dat de it-securityrisico’s samenhangend met thuiswerken een lage kans en een lage impact hebben.
 2. Thuiswerkers instrueren over het verhogen van het basis beveiligingsniveau binnen de beperkingen van de router van de internetprovider en het wifi netwerk. Uw eigen helpdesk voorbereiden op de vragen die gaan komen, en met regelmaat hier aandacht voor vragen.
 3. Veilige thuiswerkplekken een serieus en structureel onderdeel maken van jullie IT-security. Wilt u meer informatie? Stuur dan een mail naar info@miratogroup.nl en wij nemen contact met je op. Of ga naar de veilige thuiswerkplek voor meer informatie over onze oplossing.

Wie is Mirato Group?

Vraagt u zich af of uw bedrijf de informatiebeveiliging en -management goed op orde heeft? Mirato helpt u bij het analyseren en definiëren wat nodig is. Onze aanpak is uniek en persoonlijk. Onze kracht schuilt in het bundelen van kennis en ervaring op het gebied van informatiemanagement (IM), Informatiebeveiliging (IB), Agile werken, project- en programmamanagement. Samen met u werken we doelgericht en energiek toe naar een IM- en IB-beleid, en we vertalen dit naar concrete doelstellingen en deliverables. Het resultaat? Uw IM en IB is in orde, zodat u zich volledig kunt focussen op uw bedrijfsdoelen.

#cybersecurity #thuiswerken #itsecurity #veiligthuiswerken #deveiligethuiswerkplek #firewall

www.miratogroup.nl

info@miratogroup.nl

De afgelopen periode hebben veel organisaties de stap gemaakt naar cloud diensten en cloud technologie, zowel in public als private cloud omgevingen. Hierbij  zijn het vooral IT-afdelingen die jaren geleden al pionierden met projectmatig werken en methoden zoals Scrum en Agile. Sinds een tijdje rekenen we ook CICD/ DevOps tot dit rijtje van werkmethodieken. Maar wees gewaarschuwd: lang niet iedere organisatie is scherp op het proces van CICD/DevOps en de beveiligingsrisico’s die op de loer liggen.

 

Het waarom van CICD/DevOps
Vooral bij de ontwikkeling van apps en applicaties is het cruciaal om snel en wendbaar in te kunnen haken op ‘open einden’ en verandering. Een voorbeeld: Netflix lanceert per dag soms wel 10 nieuwe app-versies. Dan is CICD/DevOps ideaal. De overgangen tussen de gebruikelijke fases (1) Ontwikkelen, (2) Testen, (3) Acceptatie, en (4) Productie zijn dan namelijk geautomatiseerd. Het werkt sneller, efficiënter, en last-but-not-least: de gebruiker merkt niets van de updates die elkaar in hoog tempo opvolgen.

 

Wat heeft u aan ‘snel en wendbaar’ als u de risico’s niet in kaart hebt?
De toenemende populariteit van CICD/DevOps wordt niet alleen versterkt door betere techniek en tooling, maar ook door toenemende organisatieverandering en de daarmee samenhangende noodzaak tot meer aandacht voor security. Wilt u alert kunnen reageren op veiligheidsrisico’s voor, tijdens en na een (applicatie) ontwikkeltraject, dan moet u de risico’s wel in beeld hebben! Pas daarna wordt snelheid van handelen en wendbaarheid belangrijk. Alleen op deze manier kan uw organisatie zich gefundeerd wapenen tegen risico’s zoals cybercriminaliteit.

 

Hoe manage ik die veiligheidsrisico’s?
Dus hoe pakt u dit aan? Hoe brengt u uw CICD/DevOps veiligheidsrisico’s in kaart zodat uw organisatie ze op tijd oplost? Welke oplossingen bedenkt u op voorhand om uw informatiebeveiliging in het proces van CICD/DevOps op orde te hebben? Welke best practices zijn er beschikbaar in deze snel veranderende praktijk? Voor elke organisatie zijn de uitdagingen en oplossingen anders. Mirato Group is expert op dit gebied. Zoekt u naar meer inzichten of bent u op zoek naar een gerichte aanpak, vraag via de mail  onze brochure  aan: “Hoe veilig is uw ontwikkelstraat?” We helpen u graag met het scherp zijn op het proces van CICD/DevOps en de beveiligingsrisico’s.

 

Wie is Mirato Group?

Vraagt u zich af of uw bedrijf de informatiebeveiliging en -management goed op orde heeft? Mirato helpt u bij het analyseren en definiëren wat nodig is. Onze aanpak is uniek en persoonlijk. Onze kracht schuilt in het bundelen van kennis en ervaring op het gebied van informatiemanagement (IM), Informatiebeveiliging (IB), Agile werken, project- en programmamanagement. Samen met u werken we doelgericht en energiek toe naar een IM- en IB-beleid, en we vertalen dit naar concrete doelstellingen en deliverables. Het resultaat? Uw IM en IB is in orde, zodat u zich volledig kunt focussen op uw bedrijfsdoelen. Meer weten over onze aanpak? 

“Onze informatiebeveiliging moet gewoon perfect zijn”

Stichting RINIS trots op ISO 27001-certificering

“Als je van je deelnemers verwacht dat hun informatiebeveiliging volledig in orde is, dan moet je eigen beveiliging ook optimaal zijn. Ik kan oprecht zeggen dat we dat nu voor elkaar hebben, met de internationale ISO 27001-certificering die we hebben behaald”, aldus directeur Rob Verweij van Stichting RINIS.

RINIS is hét knooppunt voor het elektronisch uitwisselen van gegevens in het publieke domein. De afkorting staat voor Routerings Instituut (inter)Nationale Informatiestromen. De gegevensuitwisseling is volledig geautomatiseerd. Onder andere de Belastingdienst, UWV en de Sociale Verzekeringsbank (SVB) zijn deelnemer van deze shared service. Feitelijk is RINIS een landelijke digitale postbode. Een zeer goed beveiligde postbode. Per jaar wisselt de stichting 1,5 tot 2 miljard berichten uit binnen Nederland. Een simpel voorbeeld is het kopen van een huis: de informatie van de notaris wordt via RINIS bij de Belastingdienst aangeleverd.

Aantoonbaar betrouwbaar

RINIS is enkele jaren geleden gestart met de ISO27001-certificering. In 2018 kwam het in een stroomversnelling. Eric van der Drift, IT-manager bij RINIS, maakte dit proces van dichtbij mee. Hij vertelt: “Het is heel logisch dat de instanties waar wij mee samenwerken, altijd een flinke mate van voorzichtigheid betrachten zodra hun gegevens de deur uit gaan. Hun data bevindt zich dan tijdelijk bij ons, en dus buiten hun eigen regiedomein. RINIS wil een betrouwbare partner zijn. Dat was aanleiding om – buiten de inspanningen die we al leverden op het gebied van informatiebeveiliging – de internationale ISO 27001-norm te willen halen”.

Rolverduidelijking

Die ISO-norm sluit naadloos aan op de identiteit van RINIS. De stichting heeft vanzelfsprekend al een enorme Security focus. Maar procedureel was er nog te weinig vastgelegd. Ook de ISMS-expertise (Information Security Management System) kon beter. Daar lag dan ook de uitdaging om de ISO 27001-certificering te realiseren. Bij een ISO-normering hoort altijd een interne en externe audit. Toen de interne audit werd opgestart in september 2018, bracht dit meteen bepaalde vragen aan het licht: Wie heeft binnen RINIS welke rol? Bijvoorbeeld als het gaat om de CISO-rol (Chief Information Security Officer), of de rol van Functionaris Gegevensbescherming? Welke risico’s lopen we?

Externe expertise

Directeur Rob Verweij: ”RINIS is een hele wendbare organisatie. Compact, met korte lijnen, maar ook met verhoudingsgewijs weinig overhead capaciteit. Daarom hebben we een externe partij (Mirato Group) benaderd om voor ons de interne audit te doen. Leon van den Langenberg (senior consultant van Mirato) vertelt over de eerste stappen die zij namen: “Informatiebeveiliging zit in de genen van de mensen en de functies binnen RINIS. Dus waar we vooral mee aan de slag zijn gegaan, zijn de processen daar omheen. Zoals het risico van medewerkers met veel kennis die vertrekken. Binnen een organisatie als RINIS moeten de processen onafhankelijk zijn van de personen die er werken. Verder hebben we kritisch naar de bestaande risico analyse gekeken. We hebben de risico-discussie veel pragmatischer gemaakt: welke risico’s zijn reëel, en voor welke risico’s is het voldoende om ze alleen geïnventariseerd te hebben? Welke risico’s horen nu echt bij RINIS en de bedrijfsprocessen? Want dat spreekt medewerkers aan om ermee aan de slag te gaan”.

Interne en externe audit

Naast het risicodossier bracht de audit nog twee andere belangrijke aandachtspunten naar voren: Leveranciersmanagement en de aantoonbaarheid van de werking van het ISMS. De weken na de interne audit benutte RINIS om samen met Mirato de bevindingen uit de interne audit op te pakken, ter voorbereiding op de externe audit die eraan zat te komen. De externe auditor (BSI) vond nog een aantal ‘major’ en ‘minor’ verbeterpunten: bij major punten moet er naast het onderbouwen hoe een punt is opgelost, deze ook aantoonbaar zijn geïmplementeerd binnen de gestelde termijn. Rob Verweij: “Mirato heeft toen een plan van aanpak gemaakt waarmee we tot half december alle bevindingen hebben opgepakt. Voor de certificering moet dit namelijk binnen 90 dagen na de interne audit worden gedaan. In januari kwam het verlossende antwoord op de externe audit: we voldoen aan alle eisen van de internationale ISO 27001-norm. Geweldig nieuws, waar we trots op zijn en hard voor hebben gewerkt”.

Hoe nu verder?

Het behalen van de ISO-norm is nog maar het begin. Nu de belangrijkste (‘major’) bevindingen zijn opgelost, heeft RINIS een jaar de tijd om ook de minder belangrijke (’minor’) non-Compliance Findings (NCF’s) op te pakken. Hiervoor start per februari een tijdelijke CISO via Mirato Group die RINIS gaat ondersteunen bij het optimaliseren van hun ISMS systeem, zaken beter gaat aansluiten op de bedrijfsprocessen en de minor NCF’s oppakt. Ook is er binnen RINIS mogelijk aanvullende opleiding nodig om zelfredzaam te worden in het doen van interne audits.

Scherp blijven

IT-manager Eric van der Drift kijkt met vertrouwen, maar ook kritisch naar de toekomst: “De ambitie is uiteraard om de ISO-normering in stand te houden. Nu is het nog nieuw en speciaal, maar straks moeten we scherp blijven en de eisen aan onszelf hoog houden. Zoals onze klanten ook van RINIS mogen verwachten. Het goed beveiligd routeren van data wordt steeds waardevoller voor deelnemers, en dit moet je kunnen aantonen. Zij moeten ten volste kunnen vertrouwen op onze informatiebeveiliging”.

Bouwen aan vertrouwen

Rob Verweij: “En we hopen op een soort olievlek. Als ook andere partijen hun ISO 27001-certificering halen, wordt het zakendoen efficiënter. Door te werken met één internationale standaard sluiten we veel makkelijker aan op de systematiek van een ander, en vice versa. Dan is onze informatiebeveiliging tegen dezelfde meetlat getoetst. Zo bouwen we verder aan de hoeveelheid onderling vertrouwen. En vertrouwen is cruciaal in onze tak van sport”.

De kans is groot dat u een draadloze muis gebruikt bij uw laptop. Doet u dat in combinatie met een USB-dongel? Dan loopt u het risico om gehackt te worden. Hoe dan? Door iemand die enkele meters verderop zit. In een treincoupé, een flexibele werkplek, een wegrestaurant. Conclusie: Wat vandaag nog een handige tool is, vormt morgen een potentieel risico. Op de hoogte blijven van ontwikkelingen in IT-security is dus essentieel.

Het hacken van een draadloze muis of toetsenbord blijkt relatief eenvoudig. De hacker neemt plaats in een (openbare) ruimte, gebruikt een tool die iedereen online kan kopen en heeft vervolgens toegang tot uw bestanden, en uw mail. Het enige wat u ervan zou kunnen merken, is dat gedurende een luttele seconde een window opent en sluit in uw scherm. Benodigde investering door de hacker: amper 30 euro.

Wat gebeurt er tijdens een ‘MouseJack’?

In dit voorbeeld is sprake van MouseJack. MouseJack bestaat uit een reeks kwetsbaarheden bij draadloze, niet-Bluetooth-toetsenborden en muizen die verbinding maken met een computer met een radiozender-ontvanger. Die zender-ontvanger (transceiver) is meestal de USB-dongel. Zodra u op het toetsenbord tikt, of de muis beweegt, worden Radio Frequency-pakketten (RF)naar de USB-dongel verzonden. De dongel luistert voortdurend naar RF-pakketten die met de muis of het toetsenbord moeten worden verzonden en waarschuwt als het ware de computer wanneer de gebruiker het toetsenbord of de muis gebruikt.

Een serie aanvallen
Toetsaanslagen op een toetsenbord zijn meestal gecodeerd (om ‘sniffing’ te voorkomen). Muisbewegingen zijn echter meestal niet versleuteld tijdens de communicatie met de USB-dongel. Daarom kan een hacker misbruik makenvan de USB-dongel om een serie aanvallen uit te voeren.

Aanvallen tot op 300 meter afstand

De meeste eenvoudige aanval is het afluisteren (‘sniffen’) van de draadloze communicatie en uw toetsaanslagen. Via afluisteren kan een hacker uw toetsaanslagen onderscheppen die naar de USB-dongel zijn verzonden. Dit lijkt erg op de manier waarop een keylogger-programma werkt. Sommige hackers zijn in staat om niet-versleutelde toetsaanslagen naar het besturingssysteem van een computer te verzenden alsof u ze eigenhandig hebt getypt. Zo’n aanval kan worden uitgevoerd tot op 300 meter afstand. Dit alles dus ​​met behulp van een radiozender-ontvanger die nog geen 30 euro kost.

Geautomatiseerd en ongemerkt

Nog veel gevaarlijker wordt het zodra een hacker zogenaamde ‘toetsaanslagen-injectie’ via deze technologie gaat toepassen. Hiermee kan de hacker snel opdrachten op afstand uitvoeren tegen een doelhost, snel voet aan de grond krijgen in het interne netwerk van een organisatie en de controle overnemen vanuit PC’s en servers. Er is geen netwerktoegang vereist, aangezien de hacker RF-signalen en niet-netwerkverkeer gebruikt.

Het gebruik van toetsaanslagen-injectie

Er bestaan ook software tools om het hacken via toetsaanslag te automatiseren. Zo’n tool is bijvoorbeeld Jackit: gebruikt door Duckyscript (een scripttaal ontwikkeld oor Hak5 voor de USB Rubber Ducky) om snel kwaadwillende activiteiten uit te voeren zonder te worden gedetecteerd. Een hacker geeft een Duckyscript-bestand op dat moet worden uitgevoerd op de doelhost, en vervolgens zoekt de tool naar kwetsbare apparaten. Zodra de doelen zijn geïdentificeerd, voert Jackit de aanval uit, gespecificeerd in het Duckyscript-bestand, tegen de geselecteerdedoelen.

Hoe u zich kunt beschermen:

Hoe voorkomt u een ‘MouseJack’? Het meest voor de handliggende antwoord is bij voorkeur geen draadloos toetsenbord en muis te gebruiken. Maar soms is het gebruik daarvan noodzakelijk. Zorg er in dat geval voor dat u alle toepasselijke updates voor de apparaten op uw computer heeft geïnstalleerd, en kies ervoor om Bluetooth te gebruiken in plaats van draadlozeradiografische USB-apparaten. En tot slot: houdt altijd top of mind dat de IT-security van uw bedrijf in orde moet zijn. Inclusief alle devices waar medewerkers gebruik van maken.

Om welke apparaten gaat het?
Belangrijk te weten is, dat de beschreven veiligheidsrisico’s onder andere bekend zijn bij de volgende apparaten:

 • Microsoft
  • draadloos toetsenbord 800
  • Wireless Mouse 1000
  • All-in-One mediaklavier
  • Sculpt ergonomische muis
 • Logitech
  • Wireless Touch Keyboard K400r
  • Marathon M705 Mouse
  • Wave M510 Mouse
  • Wireless Gaming Mouse G700s
  • Wireless M325 Mouse
  • K750 draadloos toetsenbord
  • K320 draadloos toetsenbord
 • Dell KM636 draadloze muis en toetsenbord
 • AmazonBasics MG-0975 draadloze muis

Meer weten?

Mirato kan u adviseren en helpen bij uw Informatiebeveiliging. Meer informatie vindt u op onze website. Op de hoogte blijven? Volg ons op LinkedIn.

Bron voor dit artikel: www.swordshield.com 

Stelt u zich voor: een wereldwijd opererend bedrijf zit middenin een transitie naar een centraal gestuurde (global) Security, IT Service Management en Enterprise Architecture. Er spelen een aantal belangrijke vragen: Hoe stellen we de juiste prioriteiten? En hoe organiseren we deze transitie, zodat we de informatiebeveiliging goed inrichten? Lees hier over de aanpak die wij adviseren.

Het voorbeeld hierboven is een recente klantvraag die bij Mirato Group binnen kwam. Deze klant hebben wij ondersteund in het professionaliseren van hun informatiebeveiliging door een interne audit voor hen uit te voeren. Met de ISO/IEC 27001-norm als uitgangspunt. Gelukkig komt ‘Informatiebeveiliging’ de laatste jaren steeds hoger op de agenda van menig directielid te staan. Iedere dag zien we de nieuwsberichten over hacks, datalekken, ongeoorloofd gebruik en verlies van privacy gegevens.

Waarom een algemene norm als basis gebruiken een goed idee is:

Het is (te) makkelijk om de verantwoordelijkheid voor informatiebeveiliging af te schuiven op de technische infrastructuur, ofwel ‘de IT’. De realiteit is dat slechts een deel samenhangt met Informatietechnologie (IT). Organisatie en mens zijn van evenveel of zelfs meer  invloed op de informatiebeveiliging. In toenemende mate kiezen bedrijven ervoor om door middel van ISO/IEC 27001-certificering aan zichzelf en de buitenwereld te tonen dat zij de controle nemen over hun informatiebeveiliging. Die keuze komt voort uit de snelle groei van opgeslagen gegevens en de groeiende waarde van die data, gecombineerd met de cyberaanvallen, data hijacking en andere bedreigingen. Steeds meer bedrijven vragen aan hun leveranciers en partners onafhankelijk aan te tonen wat men doet aan informatiebeveiliging. De eisen die men aan leveranciers (en aan zichzelf) stelt worden steeds hoger en formeler.

Onvoldoende informatiebeveiliging is een bedrijfsrisico

ISO/IEC 27001 is een ISO-standaard voor informatiebeveiliging. Deze norm kan worden toegepast op iedere organisatie, ongeacht type, omvang en doelstelling. De norm bepaalt aan welke eisen een Information Security Management System (ISMS) moet voldoen. Er is een duidelijke relatie tussen de algemene bedrijfsrisico’s en het ISMS van een organisatie! Feitelijk is de norm dus eerder bedrijfskundig dan IT-georiënteerd. Thema’s zoals organisatie, personeel, fysieke beveiliging, leveranciers en risicomanagement zijn een belangrijk onderdeel van de norm.

Gegevens van klanten en medewerkers beschermen

ISO-certificering hoeft geen ‘doel op zich’ te zijn. Het volgen van de stappen die nodig zijn om tot certificering te komen, zijn echter voor iedere organisatie zinvol. Het certificaat is voornamelijk een stevig bewijs dat uw organisatie – en uw medewerkers – zich committeert aan de industriestandaard voor informatiebeveiliging. Het bewijst ook dat u de gegevensbescherming van uw klanten en medewerkers serieus neemt en op orde hebt. Uw organisatie garandeert de vertrouwelijkheid van gegevens en ook de integriteit en beschikbaarheid ervan.

Stappen om te komen tot ISO 27001-certificering:

In het afgelopen jaar heeft Mirato verschillende klanten – van MKB tot beursgenoteerd – geholpen met de voorbereiding, implementatie en behalen van de ISO 27001-certificering. Die ondersteuning is afhankelijk van de situatie bij uw organisatie. Dit kunnen de volgende stappen zijn:

 • Nulmeting Informatiebeveiliging: wat is de actuele status (bijvoorbeeld aan de hand van interne interviews);
 • Bepalen context en scope van het ISMS;
 • Uitvoeren Business Impact Analyse (BIA) en risico inventarisaties;
 • Opstellen informatiebeveiligingsbeleid;
 • Opstellen plan van aanpak om de ISO27001 te implementeren;
 • Projectmanagement en begeleiding bij de uitvoering van het project;
 • Consultancy leveren bij opstellen en implementatie van de te nemen maatregelen;
 • Uitvoeren interne of externe audits als onderdeel van de certificering;
 • Uitvoeren audits bij toeleveranciers;
 • Meehelpen oplossen van gebreken die bij een in- of externe audit zijn geconstateerd;
 • Klankbord en expertrol, eventueel in de vorm van CISO as a Service.

Voorbeeld: het belang van scope

Ter illustratie geven we een voorbeeld: het vaststellen van de scope (hierboven stap 2). Dit is een belangrijke stap die organisaties vaak overslaan. We zeggen wel eens: “U kunt niet in één dag volwassen worden.” Bepaal vooraf wat de  belangrijkste bedrijfsprocessen zijn qua informatiebeveiliging in uw organisatie. Stel scope en context vast, en begin. Herhaal dit net zo lang totdat u klaar bent, en zorg er ondertussen voor dat de informatiebeveiliging die u al hebt geïmplementeerd, ook wordt onderhouden.

Meer informatie

Wilt u meer informatie? Neem contact op met Leon van den Langenberg of Wim Luursema.

Op de hoogte blijven? Volg Mirato Group via LinkedIn.

Hoe is de informatiebeveiliging binnen uw bedrijf geregeld? Veel Nederlandse bedrijven focussen op de technische kant. Oftewel: informatiebeveiliging gaat in eerste instantie over hackers, firewalls en antivirus software. Terwijl het essentieel is om breder te kijken. In dit artikel leest u over de juiste aanpak van uw informatiebeveiliging en de bijhorende training voor (IT) medewerkers.

Brede blik op informatiebeveiliging

Er bestaat een internationale norm voor informatiebeveiliging: de ISO 27000 serie. Deze norm hanteert een brede definitie voor informatiebeveiliging: namelijk die volgens het CIA Triad principe:
– Confidentiality (vertrouwelijkheid),
– Integrity (integriteit) en
– Availability (beschikbaarheid).

CIA-Trias principe

(bron: IBM)

Als een bedrijf het CIA Triad principe volgt, dan helpt dit om met een brede blik en op basis van risico’s te besluiten wat er nodig is om de informatiebeveiliging binnen het bedrijf op orde te krijgen en te houden. Sleutelwoorden zijn: Beleg, Samenhang, Maatwerk en Integreer.

1: Beleg (bij de business, niet bij IT)

Om informatiebeveiliging op de juiste manier te borgen is het belangrijk om de CISO rol (Chief Information Security Officer) bij de business onder te brengen. Laat vanuit deze rol de kaders en eisen vanuit de business bepalen en controleren. Dat zorgt ervoor dat de interne of externe IT-leveranciers vervolgens binnen deze kaders en eisen moeten werken. IT is dus niet leidend, maar volgend. De resultaten worden door de CISO gecontroleerd en aan de business gerapporteerd.

2: Samenhang

Voor een juiste invulling is samenhang tussen organisatie, processen en IT-maatregelen nodig. De basis voor informatiebeveiliging moet dus komen vanuit een brede risicoanalyse, met business perspectief. In zo’n brede analyse wordt vervolgens duidelijk welke risico’s voor de business niet acceptabel zijn en dus maatregelen (en investering) rechtvaardigen.

3: Maatwerk

Het is belangrijk om binnen uw bedrijf de taken en verantwoordelijkheden voor een goede informatiebeveiliging helder te beleggen. Neem zichtbare maatregelen die nodig zijn voor de business processen (binnen de context van het bedrijf). Houd er rekening mee dat er nooit sprake is van één oplossing: het is altijd maatwerk, passend bij uw bedrijf, op dat moment.

4: Integreer (met andere processen)

Uw informatiebeveiliging moet geïntegreerd zijn in de diverse bedrijfsprocessen. Op die manier zorgt u gegarandeerd voor de juiste aandacht voor techniek (IT), mensen (HRM) en gebouwen (Facility).

ISMS: Information Security Management System

De informatiebeveiliging richt u structureel in binnen organisatie, processen en techniek via een Information Security Management System (ISMS). Zo’n ISMS kan worden opgezet conform de ISO27001-norm. Op die manier heeft uw bedrijf de mogelijkheid om ook certificering te krijgen aan de hand van de ISO-norm. Daarmee maakt u aantoonbaar aan stakeholders zoals klanten, toezichthouders en wetgever, hoe u de informatiebeveiliging binnen uw bedrijf heeft opgetuigd.

Het uitgelezen moment voor een ISMS

De 2018-versie van ISO 27001 is deze zomer vrijgegeven. Dit is dus een uitgelezen moment om deze standaard te benutten om een toekomstvast ISMS voor uw organisatie in te richten. De ISO-norm is nu nog meer afgestemd op het gebruik van cloud diensten, om aan te sluiten op de dagelijkse praktijk anno 2018. Belangrijk is om de implementatie van een ISMS als project op te pakken binnen de organisatie. Alleen dan is de juiste verdeling van resources structureel beschikbaar, en beschik je over de besturing die nodig is.

Training ISMS voor uw eigen medewerkers

Vanuit Mirato kunnen wij u helpen met het vormgeven van een ISMS dat past bij uw bedrijf, en met het projectmatig implementeren ervan. Ook kunnen wij zorgen voor de training van uw medewerkers binnen dit kennisgebied, omdat het uiteindelijk uw eigen bedrijf moet zijn dat beschikt over kennis en kunde over informatiebeveiliging, op het niveau dat nodig is specifiek voor uw bedrijf. De training bieden we aan op vier niveaus: Introduction, Foundation, Lead Implementor, Lead Auditor. Heeft u interesse, laat dan uw reactie achter op LinkedIn of stuur ons een email en wij nemen contact met u op.

Volg Mirato Group op LinkedIn

Wilt u op de hoogte blijven van ISMS, IAM en andere IT-Security vraagstukken? Volg Mirato Group via Linkedin om op onze nieuwsitems en trainingen geattendeerd te worden.

Chief Information Security Officer meestal afgekort tot CISO is een functie waarvan het belang in steeds meer bedrijven wordt erkend. Bedrijven hebben niet altijd de omvang die een full-time inzet van een dergelijke functie rechtvaardigt. De oplossing wordt gezocht in het toekennen van taken en verantwoordelijkheden aan een ander. Zo heeft Mirato Group het opgelost.

Lees meer

Een pentest, afkorting voor penetratie test, is een test die de kwetsbaarheid van uw websites test. Ons advies is om deze test regelmatig door een andere (onafhankelijke) leverancier uit te laten voeren. Wilt u na het lezen van dit artikel meer weten? Neem dan contact met ons op, wij informeren u graag. Lees meer