SlideShare uma empresa Scribd logo

Whitepaper gap analyse techniek scan securityscan

Dennis Daalhuizen
Dennis Daalhuizen
1 de 15
Baixar para ler offline
WHITEPAPER Gap Analyse, Techniekscan, Securityscan
Inhoudsopgave 1 INHOUDSOPGAVE 1 2 INLEIDING 3 3 DE GAP ANALYSE, DE TECHNIEKSCAN EN DE SECURITYSCAN 7 3.1 DE GAP ANALYSE 7 3.2 DE TECHNIEKSCAN 9 3.3 DE SECURITYSCAN 10 3.3.1 WANNEER DE HACKERSTTEST UITVOEREN 10 3.3.2 DE FASES VAN EEN HACKERTEST 10 3.3.3 FASE 1: VOORONDERZOEK 11 3.3.4 FASE 2: HET AANVALSPLAN; SCOPE EN PLANNING VAN DE TEST 11 3.3.5 DE DUUR VAN DE TEST (TIMEBOX) 12 3.3.6 FASE 3: UITVOERING VAN DE HACKERTEST 12 3.3.7 FASE 4: RAPPORTAGE EN HET DICHTEN VAN LEKKEN 13 3.4 MONITORING ALS MOGELIJK VERVOLG 13 3.5 GEHEIMHOUDING 14 3.6 BEVEILIGINGSCERTIFICAAT VAN DIGISAFE WAARBORG 15 © 2013 Transitieprofs 2-15
Inleiding Dit document beschrijft op hoofdlijnen een aantal stappen en processen die moeten worden voltooid gedurende het transitie proces. Elke stap en elk proces maakt onderdeel uit van ons bewezen Transitiemodel. Wij voeren dit al ruim 15 jaar grotendeels op dezelfde manier uit en verzorgen daarbij maatwerk, omdat geen enkele organisatie hetzelfde is ingericht en/of dezelfde wensen en eisen heeft. Bovendien kunnen wij dit ook 100% objectief uitvoeren. Uitgangspunt van het Transitiemodel is, dat wij gezamenlijk als doel stellen om elke grote wijziging voor u te begeleiden (zoals bijvoorbeeld vervanging van de ICT- Infrastructuur of bijvoorbeeld uw primaire (ERP) applicatie) en om dit uiteindelijk te borgen door “Managed Services” te implementeren, waarbij Regie centraal e is belegd. Of dit intern, extern of in combinatie met 3 partijen en ons zal worden opgeleverd aan ICT- beheer is een onderzoeksrichting, maar op voorhand zeker geen uitgangspunt. Wij bekijken wat het beste past bij uw wensen en eisen. Wat verstaan wij onder Managed Services met centraal georganiseerde Regie: o o o o o o Een ICT- Service is een product of dienst, welke meetbaar is op basis van functionele beschikbaarheid; Om deze meetbaar te kunnen maken, moet dit centraal (door SPOC of Regie) gemeten worden over alle factoren die hier invloed op kunnen hebben. Dit noemen wij de keten van afhankelijkheden en deze moet inzichtelijk gemaakt worden per ICT- Service. Vanaf het moment dat deze inzichtelijk zijn gemaakt en centraal worden aangestuurd, kan je hierop gaan managen; Vanaf het moment dat je dit kan managen kan je met elke keten- afhankelijkheid ook afspraken gaan vastleggen (SLA’s opstellen); Zodra je deze SLA’s gaat managen kan je ook de onderlinge werkafspraken vastleggen in een DAP (Dossier Afspraken en Procedures); Zodra elke afhankelijkheid zich hieraan gaat conformeren middels ondertekening van één gezamenlijk DAP, spreken wij van een Managed Service; En nadat dit proces is doorlopen voor alle ICT services en het DAP digitaal en direct beschikbaar is, spreken wij van Managed Services: en eerder dus niet. Bewezen is dat je dit stap voor stap moet doen, omdat mensen moeten wennen aan verandering en aan processen. Daarom hebben wij ons Transitiemodel als volgt opgebouwd: © 2013 Transitieprofs 3-15
Na oplevering van een grote wijziging (project) is er een optimale samenwerking tussen projecten (op basis van Prince II, uitgevoerd door ICT- medewerkers, IT- architecten, Programmamanagers, Informatiemanagers, etc.), omlijnde processen (op basis van ITIL), maatwerk documenten (SLA, PID en DAP) en bewezen tooling voor beheer (Callregistratie en beheer- tooling): met één transparante Rapportage over beschikbaarheid en kosten van ICT- Services. Het Transitiemodel zal primair worden begeleid door één vaste Transitiemanager. De Transitiemanager is namens de opdrachtgever eindverantwoordelijk om de gewenste omgeving aantoonbaar op te leveren conform het Regiemodel en zal zorg dragen dat alle andere rollen projectmatig worden aangestuurd gedurende de gehele Transitie periode: Het Transitiemodel is complex en kan (afhankelijk van de wensen en de omgeving) meerjarig van aard zijn. Daarom hebben wij het Transitiemodel “opgeknipt” in korte, verantwoorde stappen. Hierdoor blijft het overzichtelijk en is het eenvoudig om zogenaamde go/no-go momenten te omlijnen. Ook zal met deze werkwijze bereikt worden dat er sprake is van optimaal gebruik van voortschrijdend inzicht en samenwerking en zal er voldoende tijd zijn om veranderingen te borgen binnen de eigen organisatie. Enkele voordelen van ons Transitiemodel en onze aanpak zijn: o o © 2013 Concrete diensten vanaf Interviews tot en met Regie begeleiding naar Managed Services. Deze bieden wij aan als losse projecten met maatwerkcalculaties; Een duidelijke product- en diensten catalogus met volledige transparantie van kosten en beschikbaarheid van ICT services, inclusief diensten van 3e ICT- partijen; Transitieprofs 4-15
o o o o o o o o Uitstekende verantwoording naar de lijnmanagers en de directie; Permanente benchmark voor alle mogelijke diensten en ICT- partijen in de markt; Een permanente sparringspartner op strategisch en tactisch niveau; Een vaste Transitiemanager die verantwoordelijk zal zijn voor harde opleveringen; Een groot netwerk van (tijdelijke) specialisten inzetbaar, van Informatiemanagers tot ITArchitecten; 100% onafhankelijke begeleiding: geen enkele “baat” bij commerciële oplossingen; Bewezen succes met ruim 15 ervaring in vrijwel elk type organisatie; De mogelijkheid om elk project door Transitieprofs te laten begeleiden, van ERP- selectie tot en met complete vervanging van de ICT- Infrastructuur. Door stapsgewijs te werken, is er stapsgewijs ruimte om te bepalen of, hoe en met wie de volgende stap in het Transitiemodel genomen kan worden. Wilt u het daarna of tussentijds zelf doen: ook prima. Er zijn daarmee geen langlopende verplichtingen. In deze toelichting beschrijven wij het Transitiemodel op hoofdlijnen. U zult begrijpen dat wij voor alle stappen in het plan beschikken over alle mogelijke tools, expertise en documenten. Deze geven wij natuurlijk niet zomaar weg, aangezien wij deze zorgvuldig hebben opgebouwd in de afgelopen 15 jaar en omdat deze enkel succesvol tot één geheel kunnen worden gebracht met inzet van onze ervaren Transitiemanagers. Gedurende het traject komen deze zaken “vanzelf” beschikbaar voor u op maat. Denk hierbij aan: Bewezen documenten en rapportages voor de Sourcing Stack, Interviews, Workshops en Gap o Analyse; o o o o o o o o o o o Technische tooling voor onderzoek van de ICT- omgeving; Een maatwerk product- en dienstencatalogus; Een vast model (Gap Analyse) voor het onderzoeken van alle ICT- Services: kosten, maximale uitval, benchmarkcalculaties, knelpunten, Cloud ready, etc; Zeer professioneel onderzoek van uw ICT- organisatie: tooling, processen, SLA, DAP, Regie, 3e partijen, rapportage, medewerkers en Callregistratie; Uitstekende documenten om rapportage op te stellen vanuit de Gap Analyse: als nul-meting en uitgangspunt voor het gehele vervolgtraject; Bewezen architectuur voor het inrichten van Callregistratiesystemen op basis van meetbaarheid van en Regie over ICT- Services, ICT- medewerkers en 3e partijen. Hierbij zal de gehele ICT- keten meetbaar worden; Bewezen model voor proces- inrichting op basis van ITIL; Professionele SLA’s met verbinding naar één DAP. Deze kunnen wij digitaal beschikbaar maken in het Callregistratiesysteem voor optimale Regie; Beheertooling om verbindingen te leggen tussen ICT- componenten en ICT- Services; Beheertooling met integratie naar de Callregistratie en 3e partijen om Regie ook meetbaar én uitvoerbaar te maken; Bewezen en uiterst professionele projectdocumentatie op basis van Prince II, voor elke stap in het Transitiemodel. Elke ICT- rol, elk proces en elk project past in ons model. De kennis en ervaring is opgebouwd bij opdrachtgevers op locatie, maar vooral ook opgebouwd bij commerciële ICT- beheerpartijen, waarbij beschikbaarheid en meetbaarheid is toegepast op basis van harde resultaatverplichtingen met 7*24 ondersteuning. Juist deze mix van ervaring zorgt ervoor dat wij dit ook voor u professioneel kunnen begeleiden. Dit lichten wij graag toe tijdens de Interviews en Workshops en/of in het voortraject. © 2013 Transitieprofs 5-15
Met onze inzet zijn wij vaak een “ontbrekende spil” in het geheel. Wij vinden helemaal niet opnieuw het wiel uit en doen inhoudelijk niets speciaals. Wij maken gebruik van alle aanwezige zaken en rollen die al bij u aanwezig zijn. Enige wat wij echt doen als onderscheidend vermogen is: Wij leggen namens de eindverantwoordelijke voor ICT de juiste verbanden op basis van bewezen oplossingen, wij zorgen voor ontbrekende onderdelen/rollen en wij zorgen ervoor dat dit uiteindelijk als één geheel zal worden geborgd binnen uw eigen organisatie als wij weer vertrekken: met één meetbare rapportage. In de navolgende hoofdstukken behandelen wij één onderwerp van ons Transitiemodel. In dit geval is dat het Format voor: de Gap Analyse, De Techniekscan en de Securityscan. © 2013 Transitieprofs 6-15
De Gap Analyse, de Techniekscan en de Securityscan 1.1 De Gap Analyse De Gap Analyse is zonder twijfel één van onze speerpunten. Met inzet van uiterst professionele tools onderzoeken wij de status van ICT binnen uw organisatie. Onze Gap Analyse is modulair opgebouwd. In deze paragraaf behandelen wij de uitvoer van de standaard Gap Analyse. In de overige paragrafen behandelen wij de modules: Techniekscan en Securityscan. Onze Gap Analyse gaat wederom uit van ICT- functionaliteiten. Daarbij ligt de nadruk op het onderzoeken van de kwetsbaarheden van de gehele onderliggende ICT- keten. Dat kan zijn techniek, dat kan zijn security, dat e kan zijn organisatie, dat kan zijn de complete samenwerking met 3 partijen, etc.: wij onderzoeken alle mogelijke “Gaps” voor u. Om dit te kunnen doen vullen wij het Gap Analyse Format en gaan vervolgens een aantal afhankelijkheden met u invullen. Wij beginnen met de onderlinge koppelingen tussen applicaties en de daarbij horende keten (de “Stack”). Dit vraagt even wat werk, maar juist dit format is zeer essentieel en is ook in een later stadium bruikbaar en dus nooit voor niets. De koppelingen leggen wij in ons format als volgt: Na het vullen van deze sheets gaan wij over tot het benoemen van de verschillende “Stacks”. Op deze Stacks kunnen wij vervolgens een professionele analyse uitvoeren, waardoor duidelijk zal worden wat de volwassenheid is van deze Stacks. En op deze Stacks kunnen wij vervolgens elke applicatie “leggen”, waardoor wij vervolgens exact kunnen aangeven wat de kwaliteiten zijn van de keten van afhankelijkheden en wat de risico’s zijn van maximale uitval. De Stacks beoordelen wij als volgt: © 2013 Transitieprofs 7-15
Tenslotte gaan zal de tooling een rapportage gaan genereren per Applicatie: Hierdoor zal een glashelder beeld ontstaan over de gehele ICT- keten, als basis voor elk vervolg. Zo kan het bijvoorbeeld zijn dat er een nieuwe ERP- applicatie moet komen. Dan hebben wij informatie nodig van alle onderlinge koppelingen en onze tool zal dit omzetten naar een visueel overzicht: Op deze wijze vergeten wij gezamenlijk niets. Doelstelling van de Gap Analyse is veelzijdig: o o o o o o © 2013 Wij zetten de Gap Analyse in voor Workshops Wij zetten de Gap Analyse in voor eventuele RFI/RFP- Trajecten; Wij zetten de Gap Analyse in voor de inrichting van de ICT- Dienstencatalogus; Wij zetten de Gap Analyse in voor het inrichten van de Callregistratietooling en rapportage; Wij zetten de Gap Analyse in voor het overeenkomen van SLA’s met externe partijen; Etc. Transitieprofs 8-15
1.2 De Techniekscan In veel gevallen worden wij ingezet om duidelijk te maken waar eventuele knelpunten liggen. Ook worden wij ingezet om te helpen met het ontwerp van een nieuwe omgeving bijvoorbeeld. Zo zijn er veel voorbeelden te noemen waarbij het noodzakelijk is om een technische scan uit te voeren. De hoofdzaak waarom wij dit doen is vooral om de belasting van componenten te meten en om de configuraties te bekijken. Hiervoor zetten wij onze Techniekscan in. Deze zal alle genoemde componenten uit de Gap Analyse onderzoeken en daarmee kunnen wij complete verbanden leggen met de bevindingen uit de Gap Analyse. De Techniekscan kan ons zeer veel cruciale informatie aanleveren: © 2013 Transitieprofs 9-15
1.3 De Securityscan Security is een “hot item”. Zeker nu steeds meer ICT- gebruikers met eigen devices willen werken en omdat deze mensen bijvoorbeeld gebruik maken van tools als ‘Dropbox”. Security is nog vaak een vergeten onderwerp tot onze grote verbazing. Dit zou kunnen komen doordat de personen die verantwoordelijk zijn onvoldoende kennis hebben van deze materie. Transitieprofs is van mening dat wij het altijd moeten kunnen faciliteren. Daarom zetten wij hiervoor een uiterst professionele werkwijze in van één van onze strategische ICT- partners. Deze personen geloven niet in enkel geautomatiseerde Scans en hebben een veel persoonlijkere aanpak. Hieronder beschrijven wij de belangrijkste componenten. 1.3.1 Wanneer de Hackersttest uitvoeren Uw systemen zijn continu onderhevig aan wijzigingen, het is belangrijk dat uw beveiliging regelmatig getest wordt. Met een periodieke hackertest neemt u preventief stappen om de beveiliging van uw systemen op hoog niveau te houden. Er zijn meerdere momenten wanneer een hackertest zinvol is: o o o o In de acceptatiefase van een nieuw systeem of een nieuwe applicatie. Bij significante wijzigingen van een belangrijk systeem of een belangrijke applicatie. Periodiek (jaarlijks/tweejaarlijks), om bestaande systemen te testen op nieuwe inbraaktechnieken. Als er een andere reden is om te denken dat de beveiliging van een systeem minder goed is dan gedacht. Bijvoorbeeld bij onvoldoende controle op de ontwikkeling of het beheer van web applicaties. 1.3.2 De fases van een hackertest De hackertest wordt in verschillende fases uitgevoerd. Dit houdt in dat er eerst een vooronderzoek plaatsvindt naar uw huidige situatie en infrastructuur. Naar aanleiding hiervan wordt er in samenspraak met de opdrachtgever een aanvalsplan opgesteld, welke de scope en inkadering van de test vastlegt. © 2013 Transitieprofs 10-15
Met het aanvalsplan in de hand wordt de daadwerkelijk uitvoering gestart waarbij legale hackers uw systeem onder handen nemen. Dit onderzoek resulteert in een helder en praktisch rapport, aan u overhandigd en gepresenteerd. 1.3.3 Fase 1: Vooronderzoek Voordat de uitvoering van een hackertest gestart wordt, is het van belang dat er een onderzoek plaatsvind naar uw huidige situatie en de infrastructuur. Dit vooronderzoek stelt ons in staat om samen met u een aanvalsplan op te stellen. Tevens wordt het in een later stadium gebruikt als voorbereidend werk op de daadwerkelijke uitvoering van de test. Op een white- of blackbox (teststrategie met of zonder kennis van de interne structuur of omgeving) manier verkennen wij uw infrastructuur, dit houdt in dat wij onze legale hackers (ook wel ethische hackers genoemd) inzetten om een schets van de huidige situatie te maken. Tijdens het vooronderzoek wordt een statische analyse uitgevoerd, waarbij nog geen inbraakpogingen worden verricht of lekken worden vastgesteld. Met het vooronderzoek op zak kunnen we in samenwerking met de opdrachtgever een aanvalsplan opstellen om beveiligingsrisico’s bloot te leggen. 1.3.4 Fase 2: Het aanvalsplan; scope en planning van de test In navolging van het vooronderzoek zal er een aanvalsplan opgesteld worden om daadwerkelijk penetratietests uit te voeren. In het aanvalsplan wordt onder andere vastgelegd welke systemen en diensten betrokken worden, welke off limits zijn, of er een specifiek doel is (bijvoorbeeld bepaalde data achterhalen), in welke omgeving de test uitgevoerd wordt (live of test), op wat voor tijdstippen de test uitgevoerd wordt, wie er geïnformeerd moeten worden over de test en wie als aanspreekpunt fungeert tijdens de test. Ook aspecten zoals de diepgang van de test worden in het aanvalsplan vastgelegd. Moeten kwetsbaarheden alleen geconstateerd worden, of mogen zo ook uitgebuit worden om te bewijzen dat misbruik ervan leidt tot het achterhalen van gegevens uit uw database? Het misbruiken van gevonden kwetsbaarheden brengt een groter risico met zich mee waardoor de integriteit of beschikbaarheid van het systeem in gevaar kan komen. © 2013 Transitieprofs 11-15
Daarnaast wordt het soort test bepaald; blackbox, greybox, whitebox of crystalbox. Blackbox Bij deze manier van testen verstrekt de opdrachtgever geen enkele gegevens. De hacker gaat aan de slag met de test zonder voorkennis. Greybox De hacker krijgt gedeeltelijke informatie, bijvoorbeeld gegevens om een beveiligde omgeving in te komen. In een blackbox test komt de hacker wellicht nooit voorbij het login scherm en heeft dus niet de gelegenheid om aspecten in de beschermde omgeving te testen. Whitebox Bij deze manier van testen krijgt de hacker volledig inzicht in de infrastructuur van uw applicatie en de omgeving. Hierdoor kan de hacker aspecten testen die in een blackbox wellicht niet naar voren zouden komen. Crystalbox Deze methode houdt in dat de hacker niet alleen volledig inzicht in de infrastructuur krijgt, maar ook in de broncode en alle configuraties. 1.3.5 De duur van de test (timebox) Door het gebruik van een zogenaamde timebox, ofwel budgetbox, kan aan de hand van onze expertise en het vooronderzoek geadviseerd worden hoeveel dagen hackers nodig zouden hebben om het systeem voldoende te testen. Naast de ervaring en expertise van onze specialisten wordt het advies onder andere gebaseerd op de hoeveelheid gevoelige klantgegevens die in uw systeem zijn opgeslagen. Het lekken van deze gegevens kan substantiële schade aan niet alleen uw omzet maar ook uw reputatie toebrengen. De naamsbekendheid, het verkopen van klantgegevens door criminelen, de complexiteit en de populariteit van de applicatie maken het een gewild doelwit van hackers welke bovengemiddelde tijd zullen besteden aan het hacken hiervan. Door de doorlooptijd van de hackertest in het aanvalsplan op te nemen kan vooraf het budget vastgelegd worden. Hoever kan een hacker in 2 weken komen? Zoals ook in de fysieke wereld bestaat 100% veiligheid niet, “een aanvaller met de juiste kennis en gereedschap heeft minstens x uur nodig om een bankkluis open te krijgen”. 1.3.6 Fase 3: Uitvoering van de hackertest Met het opgestelde aanvalsplan in de hand gaan legale hackers aan de slag en zullen proberen in te breken in uw systemen om beveiligingsrisico’s bloot te leggen. Op realistische wijze zullen wij trachten waardevolle data uit uw systemen te compromitteren en kwetsbaarheden vast te stellen. Uw systeem wordt bekeken door de ogen van een hacker, hierin geven wij ze volledige vrijheid waarbij de continuïteit uiteraard niet in het geding © 2013 Transitieprofs 12-15
mag komen. Alle gekoppelde systemen en omgevingen welke nuttig kunnen zijn om in te breken op uw web applicatie zullen gebruikt worden, conform het aanvalsplan. Tijdens het uitvoeren van de test zullen de hackers alle geconstateerde kwetsbaarheden zorgvuldig vastleggen, om deze later te rapporteren. Indien gewenst, voornamelijk bij het testen van meerdere systemen, kunnen er tussenrapportages gemaakt worden om u op de hoogte te houden van de voortgang. De hackers gebruiken diverse (zelf ontwikkelde) tools, exploits, applicaties en op maat gemaakte scripts tijdens het uitvoeren van de test. Zoals ook in de praktijk, speelt de creativiteit en kennis van de hacker een grote rol bij het testen van uw systeem. Uiteraard hanteren onze hackers methodieken zoals de Open Source Security Testing Methodology Manual (OSSTMM), Open Web Application Security Project (OWASP) of de NIST Guideline on Network Security Testing. Tevens wordt social engineering toegepast om medewerkers te misleiden en informatie los te krijgen. 1.3.7 Fase 4: Rapportage en het dichten van lekken Na afloop van onze hackertest vatten wij al onze bevindingen samen in een praktisch rapport, waarin wij in begrijpelijke taal alle gevonden lekken en data aan u voorleggen. Het rapport bevat gedetailleerde informatie over de kwetsbaarheden met onder andere exacte locaties, gebruikte methodes, gevolgen, prioriteiten en documentatie. Met het advies en alle details over de gevonden lekken op zak kunt u snel actie ondernemen om deze problemen te verhelpen. Een expert kan het rapport presenteren en toelichting geven op de gevonden kwetsbaarheden, aan u en uw applicatie beheerders. Zo kunt u effectief de lekken dichten. Is uw applicatiebeheerder niet in staat het rapport op te volgen, dan staan wij altijd klaar om patches voor uw systeem te ontwikkelen en de beveiliging te versterken. 1.4 Monitoring als mogelijk vervolg Moderne web applicaties zijn continu aan wijzigingen onderhevig. Nieuwe functionaliteiten, optimalisaties en aanpassingen aan de software van uw website komen met grote regelmaat voor. Deze wijzigingen aan de software brengen steeds weer nieuwe mogelijkheden tot kwetsbaarheden en andere beveiligingsrisico’s met zich mee. Naast een periodieke hackertest als preventie, is het belangrijk uw systemen ook 24/7 tot monitoren om realtime inbraakpogingen te detecteren en af te weren. Graag bieden wij u meer informatie over monitoring als opvolging van de hackertest. © 2013 Transitieprofs 13-15
1.5 Geheimhouding Bij alle diensten die Transitieprofs levert maken wij standaard gebruik van een geheimhoudingsverklaring en een vrijwaring. Voordat er gestart wordt met een hackertest, monitoring of een andere dienst dienen deze documenten akkoord te zijn. Transitieprofs is verplicht tot geheimhouding van alle informatie en gegevens van de opdrachtgever jegens derden. Tevens wordt hierin vastgelegd hoe om te gaan met privacygevoelige gegevens. Wij overhandigen alle bevindingen na afloop en zullen indien gewenst alle informatie aan onze zijde vernietigen. Bekijk de volledige geheimhoudingsovereenkomst in de algemene voorwaarden in de bijlage. © 2013 Transitieprofs 14-15
1.6 Beveiligingscertificaat van Digisafe Waarborg Na het uitvoeren van de hackertest en het dichten van lekken, bent u automatisch gekwalificeerd voor- en lid van het Digisafe Waarborg (https://www.digisafe.info) voor de duur van 1 jaar. U bent vrij het waarborg logo op uw website te dragen tijdens het lidmaatschap en naar het bijbehorende certificaat te linken. Het Digisafe Waarborg toont aan uw bezoekers dat u verantwoordt omgaat met de beveiliging van gegevens en vergroot het vertrouwen van uw klanten. Daarnaast ontvangt u handige tips, best practices en beveiligingsmeldingen via de nieuwsbrief. Voordelen van ons Gap- Analyse Format zijn onder andere: o Na de uitvoer van de Gap Analyse weet u precies de status uw ICT omgeving en uw functionaliteiten, kent u de risico’s en kosten (benchmark) per ICT Service en is het mogelijk om concreet de verbeteringen in plannen om te zetten. o De Gap Analyse zal bepalen welke ICT -oplossingen in de markt kunnen voldoen aan uw verwachtingen (menukaart). o Door de professionele en bewezen aanpak, zal uw ICT omgeving in de vervolgstappen op maat aangepast worden op de daadwerkelijke behoefte. o o © 2013 Afgenomen door ervaren en onafhankelijke professionals. Uiterst professionele Rapportage. Transitieprofs 15-15

Recomendados

Whitepaper workshops
Whitepaper workshopsWhitepaper workshops
Whitepaper workshopsDennis Daalhuizen
 
Whitepaper sourcing stack & interviews
Whitepaper sourcing stack & interviewsWhitepaper sourcing stack & interviews
Whitepaper sourcing stack & interviewsDennis Daalhuizen
 
Nagios XI Best Practices
Nagios XI Best PracticesNagios XI Best Practices
Nagios XI Best PracticesNagios
 
Whitepaper transitieplan
Whitepaper transitieplanWhitepaper transitieplan
Whitepaper transitieplanDennis Daalhuizen
 
Portfolio ict portfolio 2012
Portfolio ict portfolio 2012Portfolio ict portfolio 2012
Portfolio ict portfolio 2012ordinaportfolioapp
 
Welke ambitie heeft uw medewerker?
Welke ambitie heeft uw medewerker?Welke ambitie heeft uw medewerker?
Welke ambitie heeft uw medewerker?Arjan Gelderblom
 
Netaspect introductie 2013 slideshare
Netaspect introductie 2013 slideshareNetaspect introductie 2013 slideshare
Netaspect introductie 2013 slidesharenetaspect
 
Whitepaper M3
Whitepaper M3Whitepaper M3
Whitepaper M3Martin de Smit
 

Recomendados

Whitepaper workshops
Whitepaper workshopsWhitepaper workshops
Whitepaper workshopsDennis Daalhuizen
 
Whitepaper sourcing stack & interviews
Whitepaper sourcing stack & interviewsWhitepaper sourcing stack & interviews
Whitepaper sourcing stack & interviewsDennis Daalhuizen
 
Nagios XI Best Practices
Nagios XI Best PracticesNagios XI Best Practices
Nagios XI Best PracticesNagios
 
Whitepaper transitieplan
Whitepaper transitieplanWhitepaper transitieplan
Whitepaper transitieplanDennis Daalhuizen
 
Portfolio ict portfolio 2012
Portfolio ict portfolio 2012Portfolio ict portfolio 2012
Portfolio ict portfolio 2012ordinaportfolioapp
 
Welke ambitie heeft uw medewerker?
Welke ambitie heeft uw medewerker?Welke ambitie heeft uw medewerker?
Welke ambitie heeft uw medewerker?Arjan Gelderblom
 
Netaspect introductie 2013 slideshare
Netaspect introductie 2013 slideshareNetaspect introductie 2013 slideshare
Netaspect introductie 2013 slidesharenetaspect
 
Whitepaper M3
Whitepaper M3Whitepaper M3
Whitepaper M3Martin de Smit
 
Exponentiele projecten
Exponentiele projectenExponentiele projecten
Exponentiele projectenLeon Dohmen
 
Het begroten van softwareprojecten: meten is weten!
Het begroten van softwareprojecten: meten is weten!Het begroten van softwareprojecten: meten is weten!
Het begroten van softwareprojecten: meten is weten!Lucas Blom
 
Themasessie 'Naar toekomstbestendige dienstverlening' - 2016
Themasessie 'Naar toekomstbestendige dienstverlening' - 2016Themasessie 'Naar toekomstbestendige dienstverlening' - 2016
Themasessie 'Naar toekomstbestendige dienstverlening' - 2016arjenne
 
Transition-to-support - Hoezo over de schutting
Transition-to-support - Hoezo over de schuttingTransition-to-support - Hoezo over de schutting
Transition-to-support - Hoezo over de schuttingLogica IT Management
 
Verantwoordelijkheid medewerkers software
Verantwoordelijkheid medewerkers softwareVerantwoordelijkheid medewerkers software
Verantwoordelijkheid medewerkers softwareArjan Gelderblom
 
De IT Regisseur - grip op IT met Integrated Service Management (ISM)
De IT Regisseur - grip op IT met Integrated Service Management (ISM)De IT Regisseur - grip op IT met Integrated Service Management (ISM)
De IT Regisseur - grip op IT met Integrated Service Management (ISM)De IT Regisseur B.V.
 
Open Line Smart Back Up
Open Line Smart Back UpOpen Line Smart Back Up
Open Line Smart Back UpJo Verstappen
 
TrendIC Product Portfolio 2009
TrendIC Product Portfolio 2009TrendIC Product Portfolio 2009
TrendIC Product Portfolio 2009TrendIC
 
Solvinity Server to Service
Solvinity Server to ServiceSolvinity Server to Service
Solvinity Server to ServiceTijmen van den Brink, MSc
 
50 MSP-vragen
50 MSP-vragen50 MSP-vragen
50 MSP-vragenKarl van der Horst
 
Gemeente Dronten - web
Gemeente Dronten - webGemeente Dronten - web
Gemeente Dronten - webBen Laarhoven
 
Benchmark rapport 2014 - Projectinformatie in optima forma
Benchmark rapport 2014 - Projectinformatie in optima formaBenchmark rapport 2014 - Projectinformatie in optima forma
Benchmark rapport 2014 - Projectinformatie in optima formaCTB xRM
 
(4) 19 mei16 compliance en systeemgericht toezicht
(4) 19 mei16 compliance en systeemgericht toezicht(4) 19 mei16 compliance en systeemgericht toezicht
(4) 19 mei16 compliance en systeemgericht toezichtGeert Henk Wijnants
 
Ditr focus op kerntaken door ict outsourcing
Ditr focus op kerntaken door ict outsourcingDitr focus op kerntaken door ict outsourcing
Ditr focus op kerntaken door ict outsourcingDe IT Regisseur B.V.
 
Uitvoeringsprocessen wendbaar en permanent in control
Uitvoeringsprocessen wendbaar en permanent in controlUitvoeringsprocessen wendbaar en permanent in control
Uitvoeringsprocessen wendbaar en permanent in controlPeter Kalmijn
 
Naar een toekomstbestendige dienstverlening - Themasessie 2016
Naar een toekomstbestendige dienstverlening - Themasessie 2016Naar een toekomstbestendige dienstverlening - Themasessie 2016
Naar een toekomstbestendige dienstverlening - Themasessie 2016TOPdesk
 
Costscan Sas
Costscan SasCostscan Sas
Costscan SasGhwerf01
 
Costscan Sas
Costscan SasCostscan Sas
Costscan SasGhwerf01
 
TalentScape 2.0
TalentScape 2.0TalentScape 2.0
TalentScape 2.0Jelle Dijkstra
 
Bpug 2014 agile project mgt tussen scylla en charybdis
Bpug 2014 agile project mgt tussen scylla en charybdisBpug 2014 agile project mgt tussen scylla en charybdis
Bpug 2014 agile project mgt tussen scylla en charybdisHans Smorenburg
 

Mais conteúdo relacionado

Semelhante a Whitepaper gap analyse techniek scan securityscan

Exponentiele projecten
Exponentiele projectenExponentiele projecten
Exponentiele projectenLeon Dohmen
 
Het begroten van softwareprojecten: meten is weten!
Het begroten van softwareprojecten: meten is weten!Het begroten van softwareprojecten: meten is weten!
Het begroten van softwareprojecten: meten is weten!Lucas Blom
 
Themasessie 'Naar toekomstbestendige dienstverlening' - 2016
Themasessie 'Naar toekomstbestendige dienstverlening' - 2016Themasessie 'Naar toekomstbestendige dienstverlening' - 2016
Themasessie 'Naar toekomstbestendige dienstverlening' - 2016arjenne
 
Transition-to-support - Hoezo over de schutting
Transition-to-support - Hoezo over de schuttingTransition-to-support - Hoezo over de schutting
Transition-to-support - Hoezo over de schuttingLogica IT Management
 
Verantwoordelijkheid medewerkers software
Verantwoordelijkheid medewerkers softwareVerantwoordelijkheid medewerkers software
Verantwoordelijkheid medewerkers softwareArjan Gelderblom
 
De IT Regisseur - grip op IT met Integrated Service Management (ISM)
De IT Regisseur - grip op IT met Integrated Service Management (ISM)De IT Regisseur - grip op IT met Integrated Service Management (ISM)
De IT Regisseur - grip op IT met Integrated Service Management (ISM)De IT Regisseur B.V.
 
Open Line Smart Back Up
Open Line Smart Back UpOpen Line Smart Back Up
Open Line Smart Back UpJo Verstappen
 
TrendIC Product Portfolio 2009
TrendIC Product Portfolio 2009TrendIC Product Portfolio 2009
TrendIC Product Portfolio 2009TrendIC
 
Gemeente Dronten - web
Gemeente Dronten - webGemeente Dronten - web
Gemeente Dronten - webBen Laarhoven
 
Benchmark rapport 2014 - Projectinformatie in optima forma
Benchmark rapport 2014 - Projectinformatie in optima formaBenchmark rapport 2014 - Projectinformatie in optima forma
Benchmark rapport 2014 - Projectinformatie in optima formaCTB xRM
 
(4) 19 mei16 compliance en systeemgericht toezicht
(4) 19 mei16 compliance en systeemgericht toezicht(4) 19 mei16 compliance en systeemgericht toezicht
(4) 19 mei16 compliance en systeemgericht toezichtGeert Henk Wijnants
 
Ditr focus op kerntaken door ict outsourcing
Ditr focus op kerntaken door ict outsourcingDitr focus op kerntaken door ict outsourcing
Ditr focus op kerntaken door ict outsourcingDe IT Regisseur B.V.
 
Uitvoeringsprocessen wendbaar en permanent in control
Uitvoeringsprocessen wendbaar en permanent in controlUitvoeringsprocessen wendbaar en permanent in control
Uitvoeringsprocessen wendbaar en permanent in controlPeter Kalmijn
 
Naar een toekomstbestendige dienstverlening - Themasessie 2016
Naar een toekomstbestendige dienstverlening - Themasessie 2016Naar een toekomstbestendige dienstverlening - Themasessie 2016
Naar een toekomstbestendige dienstverlening - Themasessie 2016TOPdesk
 
Costscan Sas
Costscan SasCostscan Sas
Costscan SasGhwerf01
 
Costscan Sas
Costscan SasCostscan Sas
Costscan SasGhwerf01
 
Bpug 2014 agile project mgt tussen scylla en charybdis
Bpug 2014 agile project mgt tussen scylla en charybdisBpug 2014 agile project mgt tussen scylla en charybdis
Bpug 2014 agile project mgt tussen scylla en charybdisHans Smorenburg
 

Semelhante a Whitepaper gap analyse techniek scan securityscan (20)

Exponentiele projecten
Exponentiele projectenExponentiele projecten
Exponentiele projecten
 
Het begroten van softwareprojecten: meten is weten!
Het begroten van softwareprojecten: meten is weten!Het begroten van softwareprojecten: meten is weten!
Het begroten van softwareprojecten: meten is weten!
 
Themasessie 'Naar toekomstbestendige dienstverlening' - 2016
Themasessie 'Naar toekomstbestendige dienstverlening' - 2016Themasessie 'Naar toekomstbestendige dienstverlening' - 2016
Themasessie 'Naar toekomstbestendige dienstverlening' - 2016
 
Transition-to-support - Hoezo over de schutting
Transition-to-support - Hoezo over de schuttingTransition-to-support - Hoezo over de schutting
Transition-to-support - Hoezo over de schutting
 
Verantwoordelijkheid medewerkers software
Verantwoordelijkheid medewerkers softwareVerantwoordelijkheid medewerkers software
Verantwoordelijkheid medewerkers software
 
De IT Regisseur - grip op IT met Integrated Service Management (ISM)
De IT Regisseur - grip op IT met Integrated Service Management (ISM)De IT Regisseur - grip op IT met Integrated Service Management (ISM)
De IT Regisseur - grip op IT met Integrated Service Management (ISM)
 
Open Line Smart Back Up
Open Line Smart Back UpOpen Line Smart Back Up
Open Line Smart Back Up
 
TrendIC Product Portfolio 2009
TrendIC Product Portfolio 2009TrendIC Product Portfolio 2009
TrendIC Product Portfolio 2009
 
Solvinity Server to Service
Solvinity Server to ServiceSolvinity Server to Service
Solvinity Server to Service
 
50 MSP-vragen
50 MSP-vragen50 MSP-vragen
50 MSP-vragen
 
Gemeente Dronten - web
Gemeente Dronten - webGemeente Dronten - web
Gemeente Dronten - web
 
Benchmark rapport 2014 - Projectinformatie in optima forma
Benchmark rapport 2014 - Projectinformatie in optima formaBenchmark rapport 2014 - Projectinformatie in optima forma
Benchmark rapport 2014 - Projectinformatie in optima forma
 
(4) 19 mei16 compliance en systeemgericht toezicht
(4) 19 mei16 compliance en systeemgericht toezicht(4) 19 mei16 compliance en systeemgericht toezicht
(4) 19 mei16 compliance en systeemgericht toezicht
 
Ditr focus op kerntaken door ict outsourcing
Ditr focus op kerntaken door ict outsourcingDitr focus op kerntaken door ict outsourcing
Ditr focus op kerntaken door ict outsourcing
 
Uitvoeringsprocessen wendbaar en permanent in control
Uitvoeringsprocessen wendbaar en permanent in controlUitvoeringsprocessen wendbaar en permanent in control
Uitvoeringsprocessen wendbaar en permanent in control
 
Naar een toekomstbestendige dienstverlening - Themasessie 2016
Naar een toekomstbestendige dienstverlening - Themasessie 2016Naar een toekomstbestendige dienstverlening - Themasessie 2016
Naar een toekomstbestendige dienstverlening - Themasessie 2016
 
Costscan Sas
Costscan SasCostscan Sas
Costscan Sas
 
Costscan Sas
Costscan SasCostscan Sas
Costscan Sas
 
TalentScape 2.0
TalentScape 2.0TalentScape 2.0
TalentScape 2.0
 
Bpug 2014 agile project mgt tussen scylla en charybdis
Bpug 2014 agile project mgt tussen scylla en charybdisBpug 2014 agile project mgt tussen scylla en charybdis
Bpug 2014 agile project mgt tussen scylla en charybdis
 

Whitepaper gap analyse techniek scan securityscan

  • 2. Inhoudsopgave 1 INHOUDSOPGAVE 1 2 INLEIDING 3 3 DE GAP ANALYSE, DE TECHNIEKSCAN EN DE SECURITYSCAN 7 3.1 DE GAP ANALYSE 7 3.2 DE TECHNIEKSCAN 9 3.3 DE SECURITYSCAN 10 3.3.1 WANNEER DE HACKERSTTEST UITVOEREN 10 3.3.2 DE FASES VAN EEN HACKERTEST 10 3.3.3 FASE 1: VOORONDERZOEK 11 3.3.4 FASE 2: HET AANVALSPLAN; SCOPE EN PLANNING VAN DE TEST 11 3.3.5 DE DUUR VAN DE TEST (TIMEBOX) 12 3.3.6 FASE 3: UITVOERING VAN DE HACKERTEST 12 3.3.7 FASE 4: RAPPORTAGE EN HET DICHTEN VAN LEKKEN 13 3.4 MONITORING ALS MOGELIJK VERVOLG 13 3.5 GEHEIMHOUDING 14 3.6 BEVEILIGINGSCERTIFICAAT VAN DIGISAFE WAARBORG 15 © 2013 Transitieprofs 2-15
  • 3. Inleiding Dit document beschrijft op hoofdlijnen een aantal stappen en processen die moeten worden voltooid gedurende het transitie proces. Elke stap en elk proces maakt onderdeel uit van ons bewezen Transitiemodel. Wij voeren dit al ruim 15 jaar grotendeels op dezelfde manier uit en verzorgen daarbij maatwerk, omdat geen enkele organisatie hetzelfde is ingericht en/of dezelfde wensen en eisen heeft. Bovendien kunnen wij dit ook 100% objectief uitvoeren. Uitgangspunt van het Transitiemodel is, dat wij gezamenlijk als doel stellen om elke grote wijziging voor u te begeleiden (zoals bijvoorbeeld vervanging van de ICT- Infrastructuur of bijvoorbeeld uw primaire (ERP) applicatie) en om dit uiteindelijk te borgen door “Managed Services” te implementeren, waarbij Regie centraal e is belegd. Of dit intern, extern of in combinatie met 3 partijen en ons zal worden opgeleverd aan ICT- beheer is een onderzoeksrichting, maar op voorhand zeker geen uitgangspunt. Wij bekijken wat het beste past bij uw wensen en eisen. Wat verstaan wij onder Managed Services met centraal georganiseerde Regie: o o o o o o Een ICT- Service is een product of dienst, welke meetbaar is op basis van functionele beschikbaarheid; Om deze meetbaar te kunnen maken, moet dit centraal (door SPOC of Regie) gemeten worden over alle factoren die hier invloed op kunnen hebben. Dit noemen wij de keten van afhankelijkheden en deze moet inzichtelijk gemaakt worden per ICT- Service. Vanaf het moment dat deze inzichtelijk zijn gemaakt en centraal worden aangestuurd, kan je hierop gaan managen; Vanaf het moment dat je dit kan managen kan je met elke keten- afhankelijkheid ook afspraken gaan vastleggen (SLA’s opstellen); Zodra je deze SLA’s gaat managen kan je ook de onderlinge werkafspraken vastleggen in een DAP (Dossier Afspraken en Procedures); Zodra elke afhankelijkheid zich hieraan gaat conformeren middels ondertekening van één gezamenlijk DAP, spreken wij van een Managed Service; En nadat dit proces is doorlopen voor alle ICT services en het DAP digitaal en direct beschikbaar is, spreken wij van Managed Services: en eerder dus niet. Bewezen is dat je dit stap voor stap moet doen, omdat mensen moeten wennen aan verandering en aan processen. Daarom hebben wij ons Transitiemodel als volgt opgebouwd: © 2013 Transitieprofs 3-15
  • 4. Na oplevering van een grote wijziging (project) is er een optimale samenwerking tussen projecten (op basis van Prince II, uitgevoerd door ICT- medewerkers, IT- architecten, Programmamanagers, Informatiemanagers, etc.), omlijnde processen (op basis van ITIL), maatwerk documenten (SLA, PID en DAP) en bewezen tooling voor beheer (Callregistratie en beheer- tooling): met één transparante Rapportage over beschikbaarheid en kosten van ICT- Services. Het Transitiemodel zal primair worden begeleid door één vaste Transitiemanager. De Transitiemanager is namens de opdrachtgever eindverantwoordelijk om de gewenste omgeving aantoonbaar op te leveren conform het Regiemodel en zal zorg dragen dat alle andere rollen projectmatig worden aangestuurd gedurende de gehele Transitie periode: Het Transitiemodel is complex en kan (afhankelijk van de wensen en de omgeving) meerjarig van aard zijn. Daarom hebben wij het Transitiemodel “opgeknipt” in korte, verantwoorde stappen. Hierdoor blijft het overzichtelijk en is het eenvoudig om zogenaamde go/no-go momenten te omlijnen. Ook zal met deze werkwijze bereikt worden dat er sprake is van optimaal gebruik van voortschrijdend inzicht en samenwerking en zal er voldoende tijd zijn om veranderingen te borgen binnen de eigen organisatie. Enkele voordelen van ons Transitiemodel en onze aanpak zijn: o o © 2013 Concrete diensten vanaf Interviews tot en met Regie begeleiding naar Managed Services. Deze bieden wij aan als losse projecten met maatwerkcalculaties; Een duidelijke product- en diensten catalogus met volledige transparantie van kosten en beschikbaarheid van ICT services, inclusief diensten van 3e ICT- partijen; Transitieprofs 4-15
  • 5. o o o o o o o o Uitstekende verantwoording naar de lijnmanagers en de directie; Permanente benchmark voor alle mogelijke diensten en ICT- partijen in de markt; Een permanente sparringspartner op strategisch en tactisch niveau; Een vaste Transitiemanager die verantwoordelijk zal zijn voor harde opleveringen; Een groot netwerk van (tijdelijke) specialisten inzetbaar, van Informatiemanagers tot ITArchitecten; 100% onafhankelijke begeleiding: geen enkele “baat” bij commerciële oplossingen; Bewezen succes met ruim 15 ervaring in vrijwel elk type organisatie; De mogelijkheid om elk project door Transitieprofs te laten begeleiden, van ERP- selectie tot en met complete vervanging van de ICT- Infrastructuur. Door stapsgewijs te werken, is er stapsgewijs ruimte om te bepalen of, hoe en met wie de volgende stap in het Transitiemodel genomen kan worden. Wilt u het daarna of tussentijds zelf doen: ook prima. Er zijn daarmee geen langlopende verplichtingen. In deze toelichting beschrijven wij het Transitiemodel op hoofdlijnen. U zult begrijpen dat wij voor alle stappen in het plan beschikken over alle mogelijke tools, expertise en documenten. Deze geven wij natuurlijk niet zomaar weg, aangezien wij deze zorgvuldig hebben opgebouwd in de afgelopen 15 jaar en omdat deze enkel succesvol tot één geheel kunnen worden gebracht met inzet van onze ervaren Transitiemanagers. Gedurende het traject komen deze zaken “vanzelf” beschikbaar voor u op maat. Denk hierbij aan: Bewezen documenten en rapportages voor de Sourcing Stack, Interviews, Workshops en Gap o Analyse; o o o o o o o o o o o Technische tooling voor onderzoek van de ICT- omgeving; Een maatwerk product- en dienstencatalogus; Een vast model (Gap Analyse) voor het onderzoeken van alle ICT- Services: kosten, maximale uitval, benchmarkcalculaties, knelpunten, Cloud ready, etc; Zeer professioneel onderzoek van uw ICT- organisatie: tooling, processen, SLA, DAP, Regie, 3e partijen, rapportage, medewerkers en Callregistratie; Uitstekende documenten om rapportage op te stellen vanuit de Gap Analyse: als nul-meting en uitgangspunt voor het gehele vervolgtraject; Bewezen architectuur voor het inrichten van Callregistratiesystemen op basis van meetbaarheid van en Regie over ICT- Services, ICT- medewerkers en 3e partijen. Hierbij zal de gehele ICT- keten meetbaar worden; Bewezen model voor proces- inrichting op basis van ITIL; Professionele SLA’s met verbinding naar één DAP. Deze kunnen wij digitaal beschikbaar maken in het Callregistratiesysteem voor optimale Regie; Beheertooling om verbindingen te leggen tussen ICT- componenten en ICT- Services; Beheertooling met integratie naar de Callregistratie en 3e partijen om Regie ook meetbaar én uitvoerbaar te maken; Bewezen en uiterst professionele projectdocumentatie op basis van Prince II, voor elke stap in het Transitiemodel. Elke ICT- rol, elk proces en elk project past in ons model. De kennis en ervaring is opgebouwd bij opdrachtgevers op locatie, maar vooral ook opgebouwd bij commerciële ICT- beheerpartijen, waarbij beschikbaarheid en meetbaarheid is toegepast op basis van harde resultaatverplichtingen met 7*24 ondersteuning. Juist deze mix van ervaring zorgt ervoor dat wij dit ook voor u professioneel kunnen begeleiden. Dit lichten wij graag toe tijdens de Interviews en Workshops en/of in het voortraject. © 2013 Transitieprofs 5-15
  • 6. Met onze inzet zijn wij vaak een “ontbrekende spil” in het geheel. Wij vinden helemaal niet opnieuw het wiel uit en doen inhoudelijk niets speciaals. Wij maken gebruik van alle aanwezige zaken en rollen die al bij u aanwezig zijn. Enige wat wij echt doen als onderscheidend vermogen is: Wij leggen namens de eindverantwoordelijke voor ICT de juiste verbanden op basis van bewezen oplossingen, wij zorgen voor ontbrekende onderdelen/rollen en wij zorgen ervoor dat dit uiteindelijk als één geheel zal worden geborgd binnen uw eigen organisatie als wij weer vertrekken: met één meetbare rapportage. In de navolgende hoofdstukken behandelen wij één onderwerp van ons Transitiemodel. In dit geval is dat het Format voor: de Gap Analyse, De Techniekscan en de Securityscan. © 2013 Transitieprofs 6-15
  • 7. De Gap Analyse, de Techniekscan en de Securityscan 1.1 De Gap Analyse De Gap Analyse is zonder twijfel één van onze speerpunten. Met inzet van uiterst professionele tools onderzoeken wij de status van ICT binnen uw organisatie. Onze Gap Analyse is modulair opgebouwd. In deze paragraaf behandelen wij de uitvoer van de standaard Gap Analyse. In de overige paragrafen behandelen wij de modules: Techniekscan en Securityscan. Onze Gap Analyse gaat wederom uit van ICT- functionaliteiten. Daarbij ligt de nadruk op het onderzoeken van de kwetsbaarheden van de gehele onderliggende ICT- keten. Dat kan zijn techniek, dat kan zijn security, dat e kan zijn organisatie, dat kan zijn de complete samenwerking met 3 partijen, etc.: wij onderzoeken alle mogelijke “Gaps” voor u. Om dit te kunnen doen vullen wij het Gap Analyse Format en gaan vervolgens een aantal afhankelijkheden met u invullen. Wij beginnen met de onderlinge koppelingen tussen applicaties en de daarbij horende keten (de “Stack”). Dit vraagt even wat werk, maar juist dit format is zeer essentieel en is ook in een later stadium bruikbaar en dus nooit voor niets. De koppelingen leggen wij in ons format als volgt: Na het vullen van deze sheets gaan wij over tot het benoemen van de verschillende “Stacks”. Op deze Stacks kunnen wij vervolgens een professionele analyse uitvoeren, waardoor duidelijk zal worden wat de volwassenheid is van deze Stacks. En op deze Stacks kunnen wij vervolgens elke applicatie “leggen”, waardoor wij vervolgens exact kunnen aangeven wat de kwaliteiten zijn van de keten van afhankelijkheden en wat de risico’s zijn van maximale uitval. De Stacks beoordelen wij als volgt: © 2013 Transitieprofs 7-15
  • 8. Tenslotte gaan zal de tooling een rapportage gaan genereren per Applicatie: Hierdoor zal een glashelder beeld ontstaan over de gehele ICT- keten, als basis voor elk vervolg. Zo kan het bijvoorbeeld zijn dat er een nieuwe ERP- applicatie moet komen. Dan hebben wij informatie nodig van alle onderlinge koppelingen en onze tool zal dit omzetten naar een visueel overzicht: Op deze wijze vergeten wij gezamenlijk niets. Doelstelling van de Gap Analyse is veelzijdig: o o o o o o © 2013 Wij zetten de Gap Analyse in voor Workshops Wij zetten de Gap Analyse in voor eventuele RFI/RFP- Trajecten; Wij zetten de Gap Analyse in voor de inrichting van de ICT- Dienstencatalogus; Wij zetten de Gap Analyse in voor het inrichten van de Callregistratietooling en rapportage; Wij zetten de Gap Analyse in voor het overeenkomen van SLA’s met externe partijen; Etc. Transitieprofs 8-15
  • 9. 1.2 De Techniekscan In veel gevallen worden wij ingezet om duidelijk te maken waar eventuele knelpunten liggen. Ook worden wij ingezet om te helpen met het ontwerp van een nieuwe omgeving bijvoorbeeld. Zo zijn er veel voorbeelden te noemen waarbij het noodzakelijk is om een technische scan uit te voeren. De hoofdzaak waarom wij dit doen is vooral om de belasting van componenten te meten en om de configuraties te bekijken. Hiervoor zetten wij onze Techniekscan in. Deze zal alle genoemde componenten uit de Gap Analyse onderzoeken en daarmee kunnen wij complete verbanden leggen met de bevindingen uit de Gap Analyse. De Techniekscan kan ons zeer veel cruciale informatie aanleveren: © 2013 Transitieprofs 9-15
  • 10. 1.3 De Securityscan Security is een “hot item”. Zeker nu steeds meer ICT- gebruikers met eigen devices willen werken en omdat deze mensen bijvoorbeeld gebruik maken van tools als ‘Dropbox”. Security is nog vaak een vergeten onderwerp tot onze grote verbazing. Dit zou kunnen komen doordat de personen die verantwoordelijk zijn onvoldoende kennis hebben van deze materie. Transitieprofs is van mening dat wij het altijd moeten kunnen faciliteren. Daarom zetten wij hiervoor een uiterst professionele werkwijze in van één van onze strategische ICT- partners. Deze personen geloven niet in enkel geautomatiseerde Scans en hebben een veel persoonlijkere aanpak. Hieronder beschrijven wij de belangrijkste componenten. 1.3.1 Wanneer de Hackersttest uitvoeren Uw systemen zijn continu onderhevig aan wijzigingen, het is belangrijk dat uw beveiliging regelmatig getest wordt. Met een periodieke hackertest neemt u preventief stappen om de beveiliging van uw systemen op hoog niveau te houden. Er zijn meerdere momenten wanneer een hackertest zinvol is: o o o o In de acceptatiefase van een nieuw systeem of een nieuwe applicatie. Bij significante wijzigingen van een belangrijk systeem of een belangrijke applicatie. Periodiek (jaarlijks/tweejaarlijks), om bestaande systemen te testen op nieuwe inbraaktechnieken. Als er een andere reden is om te denken dat de beveiliging van een systeem minder goed is dan gedacht. Bijvoorbeeld bij onvoldoende controle op de ontwikkeling of het beheer van web applicaties. 1.3.2 De fases van een hackertest De hackertest wordt in verschillende fases uitgevoerd. Dit houdt in dat er eerst een vooronderzoek plaatsvindt naar uw huidige situatie en infrastructuur. Naar aanleiding hiervan wordt er in samenspraak met de opdrachtgever een aanvalsplan opgesteld, welke de scope en inkadering van de test vastlegt. © 2013 Transitieprofs 10-15
  • 11. Met het aanvalsplan in de hand wordt de daadwerkelijk uitvoering gestart waarbij legale hackers uw systeem onder handen nemen. Dit onderzoek resulteert in een helder en praktisch rapport, aan u overhandigd en gepresenteerd. 1.3.3 Fase 1: Vooronderzoek Voordat de uitvoering van een hackertest gestart wordt, is het van belang dat er een onderzoek plaatsvind naar uw huidige situatie en de infrastructuur. Dit vooronderzoek stelt ons in staat om samen met u een aanvalsplan op te stellen. Tevens wordt het in een later stadium gebruikt als voorbereidend werk op de daadwerkelijke uitvoering van de test. Op een white- of blackbox (teststrategie met of zonder kennis van de interne structuur of omgeving) manier verkennen wij uw infrastructuur, dit houdt in dat wij onze legale hackers (ook wel ethische hackers genoemd) inzetten om een schets van de huidige situatie te maken. Tijdens het vooronderzoek wordt een statische analyse uitgevoerd, waarbij nog geen inbraakpogingen worden verricht of lekken worden vastgesteld. Met het vooronderzoek op zak kunnen we in samenwerking met de opdrachtgever een aanvalsplan opstellen om beveiligingsrisico’s bloot te leggen. 1.3.4 Fase 2: Het aanvalsplan; scope en planning van de test In navolging van het vooronderzoek zal er een aanvalsplan opgesteld worden om daadwerkelijk penetratietests uit te voeren. In het aanvalsplan wordt onder andere vastgelegd welke systemen en diensten betrokken worden, welke off limits zijn, of er een specifiek doel is (bijvoorbeeld bepaalde data achterhalen), in welke omgeving de test uitgevoerd wordt (live of test), op wat voor tijdstippen de test uitgevoerd wordt, wie er geïnformeerd moeten worden over de test en wie als aanspreekpunt fungeert tijdens de test. Ook aspecten zoals de diepgang van de test worden in het aanvalsplan vastgelegd. Moeten kwetsbaarheden alleen geconstateerd worden, of mogen zo ook uitgebuit worden om te bewijzen dat misbruik ervan leidt tot het achterhalen van gegevens uit uw database? Het misbruiken van gevonden kwetsbaarheden brengt een groter risico met zich mee waardoor de integriteit of beschikbaarheid van het systeem in gevaar kan komen. © 2013 Transitieprofs 11-15
  • 12. Daarnaast wordt het soort test bepaald; blackbox, greybox, whitebox of crystalbox. Blackbox Bij deze manier van testen verstrekt de opdrachtgever geen enkele gegevens. De hacker gaat aan de slag met de test zonder voorkennis. Greybox De hacker krijgt gedeeltelijke informatie, bijvoorbeeld gegevens om een beveiligde omgeving in te komen. In een blackbox test komt de hacker wellicht nooit voorbij het login scherm en heeft dus niet de gelegenheid om aspecten in de beschermde omgeving te testen. Whitebox Bij deze manier van testen krijgt de hacker volledig inzicht in de infrastructuur van uw applicatie en de omgeving. Hierdoor kan de hacker aspecten testen die in een blackbox wellicht niet naar voren zouden komen. Crystalbox Deze methode houdt in dat de hacker niet alleen volledig inzicht in de infrastructuur krijgt, maar ook in de broncode en alle configuraties. 1.3.5 De duur van de test (timebox) Door het gebruik van een zogenaamde timebox, ofwel budgetbox, kan aan de hand van onze expertise en het vooronderzoek geadviseerd worden hoeveel dagen hackers nodig zouden hebben om het systeem voldoende te testen. Naast de ervaring en expertise van onze specialisten wordt het advies onder andere gebaseerd op de hoeveelheid gevoelige klantgegevens die in uw systeem zijn opgeslagen. Het lekken van deze gegevens kan substantiële schade aan niet alleen uw omzet maar ook uw reputatie toebrengen. De naamsbekendheid, het verkopen van klantgegevens door criminelen, de complexiteit en de populariteit van de applicatie maken het een gewild doelwit van hackers welke bovengemiddelde tijd zullen besteden aan het hacken hiervan. Door de doorlooptijd van de hackertest in het aanvalsplan op te nemen kan vooraf het budget vastgelegd worden. Hoever kan een hacker in 2 weken komen? Zoals ook in de fysieke wereld bestaat 100% veiligheid niet, “een aanvaller met de juiste kennis en gereedschap heeft minstens x uur nodig om een bankkluis open te krijgen”. 1.3.6 Fase 3: Uitvoering van de hackertest Met het opgestelde aanvalsplan in de hand gaan legale hackers aan de slag en zullen proberen in te breken in uw systemen om beveiligingsrisico’s bloot te leggen. Op realistische wijze zullen wij trachten waardevolle data uit uw systemen te compromitteren en kwetsbaarheden vast te stellen. Uw systeem wordt bekeken door de ogen van een hacker, hierin geven wij ze volledige vrijheid waarbij de continuïteit uiteraard niet in het geding © 2013 Transitieprofs 12-15
  • 13. mag komen. Alle gekoppelde systemen en omgevingen welke nuttig kunnen zijn om in te breken op uw web applicatie zullen gebruikt worden, conform het aanvalsplan. Tijdens het uitvoeren van de test zullen de hackers alle geconstateerde kwetsbaarheden zorgvuldig vastleggen, om deze later te rapporteren. Indien gewenst, voornamelijk bij het testen van meerdere systemen, kunnen er tussenrapportages gemaakt worden om u op de hoogte te houden van de voortgang. De hackers gebruiken diverse (zelf ontwikkelde) tools, exploits, applicaties en op maat gemaakte scripts tijdens het uitvoeren van de test. Zoals ook in de praktijk, speelt de creativiteit en kennis van de hacker een grote rol bij het testen van uw systeem. Uiteraard hanteren onze hackers methodieken zoals de Open Source Security Testing Methodology Manual (OSSTMM), Open Web Application Security Project (OWASP) of de NIST Guideline on Network Security Testing. Tevens wordt social engineering toegepast om medewerkers te misleiden en informatie los te krijgen. 1.3.7 Fase 4: Rapportage en het dichten van lekken Na afloop van onze hackertest vatten wij al onze bevindingen samen in een praktisch rapport, waarin wij in begrijpelijke taal alle gevonden lekken en data aan u voorleggen. Het rapport bevat gedetailleerde informatie over de kwetsbaarheden met onder andere exacte locaties, gebruikte methodes, gevolgen, prioriteiten en documentatie. Met het advies en alle details over de gevonden lekken op zak kunt u snel actie ondernemen om deze problemen te verhelpen. Een expert kan het rapport presenteren en toelichting geven op de gevonden kwetsbaarheden, aan u en uw applicatie beheerders. Zo kunt u effectief de lekken dichten. Is uw applicatiebeheerder niet in staat het rapport op te volgen, dan staan wij altijd klaar om patches voor uw systeem te ontwikkelen en de beveiliging te versterken. 1.4 Monitoring als mogelijk vervolg Moderne web applicaties zijn continu aan wijzigingen onderhevig. Nieuwe functionaliteiten, optimalisaties en aanpassingen aan de software van uw website komen met grote regelmaat voor. Deze wijzigingen aan de software brengen steeds weer nieuwe mogelijkheden tot kwetsbaarheden en andere beveiligingsrisico’s met zich mee. Naast een periodieke hackertest als preventie, is het belangrijk uw systemen ook 24/7 tot monitoren om realtime inbraakpogingen te detecteren en af te weren. Graag bieden wij u meer informatie over monitoring als opvolging van de hackertest. © 2013 Transitieprofs 13-15
  • 14. 1.5 Geheimhouding Bij alle diensten die Transitieprofs levert maken wij standaard gebruik van een geheimhoudingsverklaring en een vrijwaring. Voordat er gestart wordt met een hackertest, monitoring of een andere dienst dienen deze documenten akkoord te zijn. Transitieprofs is verplicht tot geheimhouding van alle informatie en gegevens van de opdrachtgever jegens derden. Tevens wordt hierin vastgelegd hoe om te gaan met privacygevoelige gegevens. Wij overhandigen alle bevindingen na afloop en zullen indien gewenst alle informatie aan onze zijde vernietigen. Bekijk de volledige geheimhoudingsovereenkomst in de algemene voorwaarden in de bijlage. © 2013 Transitieprofs 14-15
  • 15. 1.6 Beveiligingscertificaat van Digisafe Waarborg Na het uitvoeren van de hackertest en het dichten van lekken, bent u automatisch gekwalificeerd voor- en lid van het Digisafe Waarborg (https://www.digisafe.info) voor de duur van 1 jaar. U bent vrij het waarborg logo op uw website te dragen tijdens het lidmaatschap en naar het bijbehorende certificaat te linken. Het Digisafe Waarborg toont aan uw bezoekers dat u verantwoordt omgaat met de beveiliging van gegevens en vergroot het vertrouwen van uw klanten. Daarnaast ontvangt u handige tips, best practices en beveiligingsmeldingen via de nieuwsbrief. Voordelen van ons Gap- Analyse Format zijn onder andere: o Na de uitvoer van de Gap Analyse weet u precies de status uw ICT omgeving en uw functionaliteiten, kent u de risico’s en kosten (benchmark) per ICT Service en is het mogelijk om concreet de verbeteringen in plannen om te zetten. o De Gap Analyse zal bepalen welke ICT -oplossingen in de markt kunnen voldoen aan uw verwachtingen (menukaart). o Door de professionele en bewezen aanpak, zal uw ICT omgeving in de vervolgstappen op maat aangepast worden op de daadwerkelijke behoefte. o o © 2013 Afgenomen door ervaren en onafhankelijke professionals. Uiterst professionele Rapportage. Transitieprofs 15-15