Penetratietesten voor ISO 27001 & EN 50518

Het uitvoeren van een verplichte penetratietest, of in sommige gevallen vulnerability scan, is een belangrijk onderdeel van het certificeringsproces bij verschillende normen. Als Protify ondersteunen wij onze klanten bij de uitvoering van penetratietesten. Daarnaast vinden we het ook belangrijk om vooraf uitleg te geven over welke soorten penetratietesten we kennen en met welke frequentie deze uitgevoerd dienen te worden. Ongeacht welke certificering jouw organisatie nodig heeft, met het uitvoeren van een penetratietest geef je een signaal af richting je opdrachtgevers en klanten dat het informatieproces en de gegevens voldoende beveiligd zijn.

Een penetratietest als onderdeel van ISO 27001 of EN 50518 certificering

Een penetratietest is de meest voorkomende methode die gebruikt wordt bij het testen van de IT-omgeving. Tijdens een penetratietest probeert een ethische hacker om ongeautoriseerd toegang te verkrijgen tot het doelobject. Hierbij wordt er gehandeld vanuit de denkwijze van een ‘echte’ hacker. Door het onderzoek op deze manier te benaderen worden eventuele kwetsbaarheden en risico’s gevonden die een potentiële aanvaller vervolgens niet meer kunnen helpen. Dit maakt de IT-omgeving aanzienlijk sterker en moeilijker om binnen te dringen.

 

Normen waarbij penetratietesten worden uitgevoerd zijn bijvoorbeeld de ISO 27001 en NEN 7510 gericht op informatiebeveiliging. Maar ook bij de EN 50518 en CCV PAC normen voor alarmcentrales is het uitvoeren van een penetratietest een verplicht onderdeel. In artikel 10.4 uit de EN 50518:2019 worden eisen gesteld aan de ICT beveiliging. En bij CCV PAC wordt bijvoorbeeld geëist dat het databeheer en de ruimte van het databeheer moeten voldoen aan de toepasselijke eisen van de ISO 27001. 

Penetratietesten, welke vorm en hoe vaak?
Binnen het penetratietesten (pentesten) kennen we twee gebruikelijke vormen, het greybox principe en het blackbox principe. Bij de eerste vorm heeft de ethische hacker beperkte toegang tot het doelobject. Hierbij kun je bijvoorbeeld denken aan een medewerker met simpele gebruikersrechten. Gedurende een greybox test wordt er gekeken in hoeverre er van binnenuit schade aangericht kan worden. Bijvoorbeeld door een op wraak gezinde medewerker. 

 

Bij het uitvoeren van een blackbox penetratietest heeft de aanvaller geen toegang tot vooraf bekende informatie en zal hij proberen om alsnog het doelobject binnen te komen. In dit geval wordt er dus gebruik gemaakt van wat er publiekelijk toegankelijk is en ligt de focus van de test voornamelijk op de mogelijkheid om in te breken. 

 

Vaak krijgen we bij Protify de vraag met welke frequentie een penetratietest dient te worden uitgevoerd. De vuistregel hierin is dat je minimaal elk kalenderjaar één penetratietest laat uitvoeren óf wanneer er ingrijpende wijzigingen zijn aangebracht aan systemen óf wanneer er reden is om te denken dat er een directe dreiging is welke veel schade tot gevolg kan hebben. 

Een vaste ‘pentest partner’ om consistente kwaliteit te waarborgen

Het uitvoeren van penetratietesten is specialistisch werk. Daarom werkt Protify voor het uitvoeren van deze tests samen met een vaste partner. Zij weten als geen ander waar ze op moeten letten bij het uitvoeren van een penetratietest en denken ook graag mee met de klant. Op die manier komen we altijd tot een passende test, op maat gemaakt voor jouw organisatie, ongeacht de grootte. 

Voor het inplannen van een penetratietest schakelen we snel en is het mogelijk om een test op korte termijn al in te plannen. Het kost jou, na de intake, als organisatie vrijwel geen tijd en de dagelijkse gang van zaken wordt ook niet onderbroken.

Wil je meer weten over penetratietesten, neem dan eens vrijblijvend contact met ons op. We vertellen je graag meer. 

Follow us:

  • White LinkedIn Icon
  • White Facebook Icon