"Hoe veilig zijn wij eigenlijk?"

Technology grid

Klant.

De Telecom-branche kenmerkt zich door haar online dienstverlening. Een groot deel van de communicatie met haar klanten verloopt via het internet.  Denk hierbij aan marketing, maar ook het beheer van abonnementen en persoonsgegevens. De ontwikkelingen in de Telecom-branche gaan snel, er worden in korte tijd veel nieuwe producten gelanceerd en klanten stellen steeds hogere eisen aan de dienstverlening.  

Vraag.

Door de continue druk om sneller en eerder nieuwe producten te lanceren worden niet- functionele eisen zoals informatiebeveiliging vaak als ondergeschikt beschouwd. De Telecombranche is hierdoor extra gevoelig voor zwakheden in de informatiebeveiliging.

Aangezien een groot deel van de Telecom-dienstverlening via online media verloopt, is het vertrouwen in het merk belangrijk. Als klant wil je er vanuit kunnen gaan dat persoonsgegevens vertrouwelijk en veilig worden behandeld en vastgelegd. Om die garantie aan klanten te kunnen geven, is het voor een organisatie belangrijk om inzicht te hebben in de veiligheid van de online aanwezigheid. Daarom stelde een grote speler in de Telecombranche aan Sogeti de vraag: “Hoe veilig zijn wij eigenlijk?”

Oplossing.

Sogeti heeft hiervoor haar Security Testing dienstverlening ingezet.

Samen met de opdrachtgever heeft Sogeti eerst de volledige online aanwezigheid in kaart gebracht. Gefaseerd zijn vervolgens alle online uitingen gecontroleerd met behulp van maatwerk penetratietests. Bij een penetratietest wordt aangetoond of er kwetsbaarheden zijn die kunnen leiden tot onacceptabele risico’s. Denk hierbij aan het benaderen en aanpassen van gevoelige informatie of het onbereikbaar maken van een systeem. Om dit te kunnen aantonen wordt er een opdracht gegeven. Bijvoorbeeld: “Leg deze website plat, binnen 32 uur door te hacken.” Tijdens de tests wordt van elke  omgeving informatie vergaard en onderzocht, dit gebeurd zowel automatisch als handmatig. De bevindingen over de (impact van de) risico’s wordt gepresenteerd en gerapporteerd.
 

De penetratietests van Sogeti gaan uit van oorzaakbestrijding in plaats van symptoombestrijding. Sogeti zorgt ervoor dat bij iedere bevinding minstens één oplosrichting geleverd wordt, waarmee de oorzaak van het risico aangepakt kan worden. Een groot deel van de bevindingen kon met eenvoudige aanpassingen adequaat beveiligd worden. Hiermee is niet alleen antwoord gegeven op de vraag "Hoe veilig zijn we eigenlijk?" maar wordt ook advies gegeven over de meest efficiënte oplossingen. Deze zijn in samenwerking met Sogeti Security geïmplementeerd.  

Marinus Kuivenhoven CISSP OSCP – Security Specialist Sogeti:

“Het is niet alleen aangeven waar een zwak punt of  risico zit. Belangrijker is samen met de klant te achterhalen waar in het proces de oorzaak ligt. Hierdoor kunnen problemen daar worden aangepakt waar ze ontstaan.”