“De Security Scan biedt inzicht in ons beveiligingsniveau”3 min gelezen

Het Martinuscollege over de Security Scan van 2source4

Het Martinuscollege is een algemeen christelijke scholengemeenschap voor het vmbo, mavo, havo, atheneum en gymnasium. De school is gevestigd in Grootebroek en kenmerkt zich door de combinatie van duurzaam onderwijs met een uitdagende aanpak. Dat betekent ook het bieden van een veilige (digitale) plek. Om dit te toetsen nam het Martinuscollege een Security Scan* af bij 2source4. Armand Vilain en Matthijs Rietdijk (beide werkzaam bij systeembeheer) en Paul Göbbels (namens de overkoepelende administratie), vertellen over de samenwerking.

*De Security Scan van 2source4 geeft waardevolle informatie over uw beveiligingsniveau en brengt aandachtspunten naar boven. Zo komt u te weten waar de risico’s en knelpunten in uw netwerk zich bevinden. Hierbij scannen we zowel interne als externe websites, apparaten en netwerken. Wij kijken hierbij onder andere naar software, weerbaarheid, toegang, openbare informatie en risico’s.

Goede connectie met 2source4

“2source4 was ons welbekend. Ze zijn al een aantal jaar leverancier van onze hardware. We hebben meerdere malen per jaar contactmomenten om te bespreken hoe we ervoor staan. Tijdens een van deze momenten is het idee gepresenteerd of wij openstonden om een keer een securitytest af te laten nemen.”

Hoe staan we ervoor?

“Op dat moment waren wij bezig met het optimaliseren van ons privacyregelement, in verband met de Meldplicht Datalekken die op 1 januari 2016 van start ging. Om de bescherming van persoonsgegevens binnen onze school zo goed mogelijk af te dichten, kwam de check-up door middel van een Security Scan dus op een heel goed moment. Daarnaast zijn wij natuurlijk altijd geïnteresseerd in de status van ons beveiligingsniveau en hoe we dat kunnen verbeteren.”

Gedegen voorbereiding

“2source4 gaat heel grondig te werk met de aanpak van de Security Scan. Om te beginnen zijn er een aantal gesprekken geweest om de planning te bespreken. Het is voor ons als school belangrijk dat het op een geschikt moment gebeurt, zodat de leerlingen er zo min mogelijk last van hebben. Hierbij werden wij uitgebreid bevraagd over onze beveiligingssituatie op ICT-gebied en over de fysieke beveiliging van de school zelf. Ook gaven wij daarbij officieel toestemming om mogelijk ‘gehackt te kunnen worden’. Het is prettig dat dit allemaal op een nauwkeurige manier gebeurt. Het blijft toch gevoelige informatie.”

 

“De Security Scan kwam precies op het goede moment”

 

Op zoek naar de gaten in het netwerk

“Eén van de engineers van 2source4 gaat vervolgens gedurende een week op onderzoek uit. Hij kijkt waar hij het netwerk binnen kan dringen en waar beveiligingslekken aanwezig zijn, zowel intern als extern. De scan zelf bestaat uit twee delen. Eén daarvan is zonder voorkennis kijken of het gemakkelijk is om in onze systemen te komen. Dit gebeurt dan op een moment dat niemand weet. Het andere deel bestaat uit het testen met bepaalde wachtwoorden om in ons interne netwerk te komen, welke software daarop draait en hoe gezond deze systemen nog zijn.

Verbeterpunten uit de Security Scan

Bij het afnemen van de Security Scan kwamen diverse risicopunten naar voren, waaronder:

  • zwakke encryptie in een managementplatform
  • kwetsbare software in netwerkcamera’s en het liftsysteem
  • zwakke plekken in websites en -applicaties
  • een lek in de extra beveiliging van de werkstations

“Onbewust zijn dit punten die al in ons achterhoofd zaten, maar die wegzakken op het moment dat je met dagelijkse werkzaamheden bezig bent. Tijdens zo’n scan word je dan weer met je neus op de feiten gedrukt. Dankzij een tussentijdse rapportage konden wij de meeste zaken dan ook direct aanpakken.

 

“De Security Scan drukt je met de neus op de feiten”

 

Open kaart

“De communicatie met de engineer van 2source4 was uitstekend. Hij is een meerwaarde omdat hij zijn technische kennis op een toegankelijke manier weet te brengen. Met de meeste processen konden we meekijken. Hij liet zien welke technieken hij gebruikte, wat hij tevoorschijn kon halen, welke informatie op internet te vinden was en hoe gemakkelijk hackers ongewenst kunnen inloggen in onze website. Dat heeft ons overtuigd van de kennis die 2source4 meebrengt. Je ziet het letterlijk voor je eigen ogen gebeuren. Dat is heel leerzaam en biedt nieuwe inzichten. Gelukkig was de conclusie van 2source4 dat wij onze beveiliging goed op orde hadden. Beter dan de meeste scholen. Dat was prettig om bevestigd te zien in de uitgebreide eindrapportage. We hebben onze systemen nu nog beter kunnen dichttimmeren.”

Armand Vilain, Matthijs Rietdijk en Paul Göbbels Systeembeheer Martinuscollege

Ook een Security Scan voor uw organisatie?

Onze Security Scan geeft een uitgebreid beeld van de beveiliging in uw organisatie. De scan bestaat uit:

  • Interne en externe scan van websites, apparaten en netwerken;
  • Analyseren van de scanresultaten en nagaan of er verouderde software draait;
  • Actief aanvallen van de gevonden lekken, om de werkwijze van aanvallers te illustreren;
  • Testen van de weerbaarheid van web services (bijv. het simuleren van (D)DoS;
  • Fysiek controleren van toegang;
  • Uitzoeken van de hoeveelheid organisatie-gerelateerde openbare informatie;
  • Het illustreren van een aanval met bewustwording als doel;
  • De bevindingen rangschikken op urgentie;
  • Risicoprofiel opstellen en kosten/baten analyse maken;
  • Presenteren van de onderzoeksresultaten;
  • Het ontwikkelingsteam ondersteunen in het verhelpen.

Neem voor meer informatie contact op met Paul Vreeker,  Wij staan u graag te woord!