Een bedrijfspand wordt vaak beveiligd met goede sloten en een alarmsysteem, meestal jaarlijks gecontroleerd door de beveiligingsinstallateur. Maar, gek genoeg, het netwerk meestal niet. Dat terwijl het computernetwerk en de servers van cruciaal belang zijn voor het runnen van een bedrijf.
Onze klant, een marktleider in creditmanagement en financiële dienstverlening met meer dan 500 werknemers, is verplicht om jaarlijks zijn beveiligingsaudit uit te voeren. Voorgaande jaren is deze beveiligingsaudit ook uitgevoerd en zijn er door andere partijen nette rapporten opgesteld.
Dit jaar is Intiss gevraagd voor de audit. Wij hebben een beveiligingsscan uitgevoerd met de volgende stappen:
- Voorbespreking, waarin de wensen en mogelijkheden besproken worden.
- Netwerkscan op locatie met hierin o.a.:
- Toegang tot afdelingen, server ruimtes en computers.
- Toegang tot netwerken, wifi en systemen.
- Gebruik van software versies en aanwezigheid van patches en updates.
- Gebruik van wachtwoorden, gebruikers, servers en achterliggende systemen.
- Opleveren van een duidelijke rapportage met hierin puntsgewijs alle risico en de noodzakelijke acties en verwijzingen naar website met volledige uitleg.
- Ondersteuning aan engineers om alle gevonden risico’s te verhelpen.
Tijdens de audit kwamen er ineens serieuze beveiligingsissues aan het licht. Die bleken al vele jaren aanwezig te zijn en waren niet uit eerdere audits naar voren gekomen. Enkele issues waren onbeveiligde toegang tot gekoppelde netwerken, gebruik van standaard wachtwoorden en systemen met oude, onveilige versies van software.
In ons rapport stonden heldere en duidelijke instructies voor de engineers en systeembeheerder om alle veiligheid issues stap voor stap te verhelpen. En voor het management een duidelijk overzicht van de risico’s en advies voor het verbeteren van de veiligheid.
In verband met de privacy van onze klant is deze case geanonimiseerd.