Hoe voer je een security audit uit
Het is slechts een kwestie van tijd voordat IT-managers van kleine en middelgrote bedrijven zich afvragen om een IT security audit te laten plaatsvinden. Zelfs in een groot bedrijf, als de security gedecentraliseerd is, zijn dit soort managers de aangewezen personen voor zo'n audit. Maar wat als je geen security expert bent en ook geen auditor, en het budget is klein, waar moet je dan op letten als je een security audit wil doen?
In dit artikel wordt uitleg gegeven bij onderstaande punten:
- First, don't panic
- Join a security research organization
- Consult with your business executives
- Consider your industry
- Manage executive expectations
- Map it out
- Prioritize
- Focus on internal controls
- Check that you have reasonable security policies and procedures in place
- Write it up
- Stay real
- Consider a pro
slimme mensen, en gewoon tegen betaling van een vakantie jobke hun eens langs laten komen ;-)
regards, sacrine.
Het heeft in bedrijven heel veel te maken met risico beheersing, en daarvoor wil je misschien niet enkel een white hat hacker, maar ook iemand die iets afweet van algemene audit procedures, en die weet hoe bedrijven in elkaar steken.
Maar om een goedkoop pentest team binnen te halen, is er vaak geen betere optie dan een stevige blackhat in huis te halen, je zit dan wel met de vraag rond het vertrouwen dat je in die perso(o)n(en) kunt stellen.
paar ircservers joinen, wat aan de praat geraken met wat jonge
slimme mensen, en gewoon tegen betaling van een vakantie jobke hun eens langs laten komen ;-)
regards, sacrine.
Niet vergeten dat een security audit meer is dat een pentest en een vulnerability scan...
Het heeft in bedrijven heel veel te maken met risico beheersing, en daarvoor wil je misschien niet enkel een white hat hacker, maar ook iemand die iets afweet van algemene audit procedures, en die weet hoe bedrijven in elkaar steken.
Maar om een goedkoop pentest team binnen te halen, is er vaak geen betere optie dan een stevige blackhat in huis te halen, je zit dan wel met de vraag rond het vertrouwen dat je in die perso(o)n(en) kunt stellen.
Correct, alsook de relevantie van het eindrapport in twijfel trekken. Een audit komt meestal uit vraag van het management, die weinig (zoniet, niks) hebben aan technisch gewauwel, maar aan gefundeerde antwoorden op hun "high level" vragen. In appendix komen dan de technische resultaten, uiteraard. Ik zie de typische 17 jarige blackhat echt nog niet een audit workplan schrijven, zich er aan houden om dan precies op de noden van het management in te gaan en daar dan ook de juiste antwoorden op te formuleren...
IRC servers joinen? Kom nou zeg...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (Operationele Techniek)
bij HHNK
Heb jij een passie voor informatiebeveiliging en wil je jouw expertise inzetten in een organisatie met impact? Solliciteer nu! Bij HHNK hechten we veel waarde aan de veiligheid van onze informatie en systemen. Met een breed scala aan operationele techniek (OT) voor onze taken, is het essentieel om deze veilig te houden.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.