Identify and mitigate your IT risk



Vergelijkbare documenten
Opdrachtgeverschap 2.0. Toezien op de afspraken in de verwerkersovereenkomst

Peelland ICT Online Back-up

Technische implementatie De infrastructuur rondom Transit kent de volgende rollen:

Dynamisch risicomanagement eenvoudig met behulp van GRCcontrol

Installatiehandleiding. Facto minifmis

Factsheet Backup on demand

Quick scan data kwaliteit. Andre Bal

Joop Cornelissen BMC Klantendag Professionaliseren dienstverlening CMS

Informatiebeveiliging & Privacy - by Design

ChainWise server randvoorwaarden

Hoge beschikbaarheid bij Lips Textielservices Johan Westerduin, Transfer Solutions

ChainWise server randvoorwaarden

Kwaliteitsmanagement: de verandering communiceren!

AVG Verplichting? Of een kans?

ChainWise server randvoorwaarden

Curriculum Vitae Ishak Atak. Naam : Ishak Atak Roepnaam : Ishak. Woonplaats : Utrecht Geboorte datum :

OPENTEXT RIGHTFAX 16.4

Maximale ontzorging in eigen regie POWERED BY

Security, Legal and Compliance

Factsheet Enterprise Mobility

Inhoudsopgave. Inleiding

Digital Independence. Plan Today to be ready for Tomorrow. Grip op uw continuïteit! Information Security and Continuity Services

Berry Kok. Navara Risk Advisory

PatchLink Corporation

integrating your business

WHITEPAPER DEEPBLUE HONEYPOT

Hardening. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

VERSIE 1.0 WOLFMEISTER VOF SERVICE LEVEL AGREEMENT UITGEREIKT DOOR: WOLFMEISTER IT. Graafseweg AL - s-hertogenbosch KVK

Geboortedatum : 21 Maart Nationaliteit : Nederlandse. Woonplaats : Amsterdam. info@sarphora.nl. Website :

Lync Call Appliance Zijn er dan nog variabele kosten? Beheer interface

SuperOffice Systeemvereisten

Fast Close Manager Factsheet versie 2016

DATAKWALITEIT IN DE NEDERLANDSE VERZEKERINGSSECTOR

Handleiding - Aanmaken van SQL server gebruiker

Dicht het security gat - Microsoft SharePoint, OCS, en Exchange met Secure File Sharing Heeft uw organisatie ook een Dropbox probleem?

Van 6 weken naar 6 minuten. met. OpenSource. Jan-Taeke Schuilenga Infrastructuur Architect Jantaeke.schuilenga@duo.nl

Efficiënt en veilig werken met cliëntgegevens. Zorg & ICT beurs 15 maart 2017

Unified Enterprise Security wordt geleverd door onze strategische partner Masergy, de wereldspeler in global communications en security.

Onderzoek naar de veiligheid c.q. beveiliging van de SURFnet IDS dienst. Lourens Bordewijk & Jimmy Macé

Productopbouw. BrainCap levert cybersecurityoplossingen in 3 stappen.

Stappen ze bij u ook gewoon door de achterdeur binnen? Bart de Wijs. IT Security in de Industrie. FHI 11 Mei 2006

Infrastructuur en platformen

Proactief en voorspellend beheer Beheer kan effi ciënter en met hogere kwaliteit

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1.

Databeveiliging en Hosting Asperion

Privacy Policy v Stone Internet Services bvba

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.

Enterprise SSO Manager (E-SSOM) Security Model

Introduceert KASPERSKY ENDPOINT SECURITY FOR BUSINESS

Technical Deep Dive Microsoft Dynamics CRM 4.0. Dennis Schut

GETTING THE BEST OUT OF YOUR SOURCE CODE MODERNISEREN MET UNIFACE

Meer Business mogelijk maken met Identity Management

Single sign on kan dé oplossing zijn

KPN Server Back-up Online

Parasoft toepassingen

Agenda. Over KPN en de relatie tot Docker Contains paradigma De uitdagingen De benefits Vragen. 2 The good, the bad and the containers

Factsheet SECURITY SCANNING Managed Services

CURRICULUM VITAE. Ik hoop dat mijn CV jullie aanspreekt en mochten jullie nog vragen hebben, dan wil ik deze graag beantwoorden in een gesprek.

ISSX, Experts in IT Security. Wat is een penetratietest?

SAP Risk-Control Model. Inzicht in financiële risico s vanuit uw SAP processen

Ondersteunde platformen voor Crystal Reports XI ====================================== (c) 2004 Business Objects

Waarom Cloud? Waarom nu? Marc Gruben April 2015

SOLVENCY II Hoe een integrale aanpak van de Solvency II pijlers leidt tot een efficiënt en betrouwbaar risicomanagement- en rapportageproces

Werkinstructie. Technisch Beheer. uitvoeren MAP scan. voor. Datum: 15 oktober Versie: 1.0

MEER AMBACHT DAN FABRIEK Data-Analyse en Process Mining Support

5W Security Improvement

DIT DOCUMENT BEVAT: - ALLE VAN TOEPASSING ZIJNDE SERVICE LEVEL AGREEMENT (SLA) PER DIENST OF PRODUCT

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014

Veelgestelde vragen van Partners WorkloadIQ Veelgestelde vragen 17 augustus 2010

Cloud werkplek anno Cloud werkplek anno 2014

Inhoud: Inleiding tot Taak Omschrijving van vacatures 2 Matrix van benodigde 5 Bronvermeldingen 7

Factsheet SECURITY SCANNING Managed Services

Op 14 maart 2017 publiceerde het DNB Expertisecentrum Operationele en IT Risico's een memo 'Toelichting Toetsingskader Informatiebeveiliging 2017'.

BRAIN FORCE THE JOURNEY TO THE CLOUD. Ron Vermeulen Enterprise Consultant

Curriculum Vitae. Jos Brunink

INHOUD. C L i c e n s e - R e p o r t e r. n l Pagina 2

Help, mijn datacenter is gehackt! KPN Security Services / Han Pieterse

André Salomons Smart SharePoint Solutions BV. Cloud security en de rol van de accountant ICT Accountancy praktijkdag

5/8 Patch management

We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren.

Beveiligingsbeleid Stichting Kennisnet

Business Impact Anlayses worden in de meeste organisaties eens per jaar of eens per halfjaar geactualiseerd en bevatten meestal beschrijvingen van:

BackupAgent Cloud Backup

Emeris Log oplossing. Sleutel functies en voordelen

Sebyde AppScan Reseller. 7 Januari 2014

ONE Solutions. Your tailored mix of ICT solutions. Brought to you as ONE.

Functioneel Applicatie Beheer

Aandachtspunten bij de transitie naar een Big Data-omgeving

Copyright protected. Use is for Single Users only via a VHP Approved License. For information and printed versions please see

NS in beweging, Security als business enabler september 2008

DE KRACHT VAN EENVOUD. Business Suite

HP ITSM Assessment Services HP Services

COMPLIANCE RADAR HET MEEST COMPLETE BESTURINGSSYSTEEM VOOR GEMEENTEN.

Installatie SQL: Server 2008R2

: Beheersing van Nederlands en Engels in woord en geschrift.

Proactief monitoring en beheer van Oracle Fusion Middleware

IT Galaxy 2018 ON THE RIGHT TRACK ON THE RIGHT TRACK. Secure by design #PQRITG18 #PQRITG18

Onze gedifferentieerde benadering tot de Intelligent Workload Management markt

Installatie handleiding Microsoft SQL Server Express Edition

Transcriptie:

Identify and mitigate your IT risk

ICT risico = bedrijfsrisico In de ontwikkeling die organisaties doormaken, speelt ICT een belangrijke rol. ICT heeft bedrijfsprocessen efficiënter en effectiever gemaakt. Tegelijkertijd zijn afhankelijkheid en risico s toegenomen. Recent onderzoek toont aan dat meer dan 50% van organisaties volledig stil staat zonder ICT. Het aantal ICT security incidenten neemt exponentieel toe. Naast externe dreigingen ligt het risico ook in sterke mate bij interne dreigingen. ICT risico s zijn daarmee een belangrijk bedrijfsrisico geworden. Deze ontwikkeling vergroot de behoefte aan betrouwbare systemen. Zekerheid omtrent de kwaliteit van ICT is van groot belang. Niet alleen omwille van de continuïteit en kwaliteit van bedrijfsprocessen, maar ook vanwege hoge eisen die gesteld worden aan transparantie, IT-Governance en compliance. Privacy, beschikbaarheid van systemen, integriteit en vertrouwelijkheid van informatie waarborgen is voor organisaties een doelstelling en uitdaging. ICT security incidenten kunnen voor organisaties leiden tot aanzienlijke financiële en imagoschades. De schadeschattingen alleen in Nederland lopen al uiteen van 2 tot 10 miljard euro op jaarbasis. Easy2audit is een audit en security assessment tool, waarmee inzicht wordt verkregen in de veiligheid van configuratie van besturingssystemen [OS] en databasemanagement systemen [DMS] ofwel beveiligingsstatus van servers en databases. Easy2audit wordt onder andere ingezet door ondernemingen, overheidsinstellingen, consultants en accountants.

Hardening = essentieel Veelal richt ICT security zich op externe toegang gerelateerde risico s. Een eenzijdige benadering die kwetsbare netwerken en databases tot gevolg heeft. System hardening [= juiste configuratie van systemen] is één van de lagen van totale defense. Een essentiële, noodzakelijke en uiterst waardevolle stap in ICT security. Juiste en volledige hardening beschermt ICT omgevingen tegen aanvallen en minimaliseert overige kwetsbaarheden van netwerken en databases. Kwetsbaarheden die kunnen leiden tot: ongeautoriseerde toegang [extern en intern] data corruptie [wijzigen, verwijderen of openbaar maken] denial of service. Een bekend en vooraanstaande onderzoeksbureau geeft aan dat hardening the Number One priority is bij server security maatregelen. Naar schatting is 90% van de servers niet of niet juist en volledig gehardend. In de loop van de tijd zijn afwijkingen van de oorspronkelijke hardening onvermijdbaar. ICT [security] managers hebben de complexe uitdaging om compliance [organisatie richtlijnen of wet- en regelgeving] aan te tonen. Security configuratie audit en assessment tools zijn hierbij onontbeerlijk. Easy2audit is een audit tool waarmee niet alleen compliance gemeten kan worden, maar non-compliance issues inzichtelijk en actionable worden gemaakt.

Patch vulnerabilities Logging en auditen Configureer en beheer rechten Verwijderen ongewenste services System Security Hardening Afdwingen wachtwoord complexiteit en beleid Sluiten ongebruikte netwerkpoorten

Easy2audit = inzicht in ICT risico Easy2audit is een tool waarmee de hardening van OS en DMS effectief en efficiënt inzichtelijk wordt gemaakt. Ofwel de veiligheid van configuratie-instellingen van OS en DMS. Easy2audit toetst de configuratie van OS en DMS standaard tegen een best practice baseline, te weten de CIS Security baselines [Center of Internet Security]. Daarnaast is het mogelijk om tegen eigen organisatie standaarden te toetsen. Resultaten kunnen worden gerelateerd aan normenkaders als ISO of NEN. Easy2audit stelt bestuurders, ICT managers, compliance en security managers, interne en externe accountants, consultants en systeembeheerders in staat om: Pro-actief ICT security beleid te voeren. Compliance aan te tonen richting stakeholders. Snel inzicht te verkrijgen in beveiligingsstatus van servers en databases. Snel inzicht te verkrijgen in configuratiefouten. Operating System en Database Management System gerelateerde security problemen te identificeren en op te lossen. Kwaliteit en zekerheid over ICT security te verhogen. Consistente rapportage van verschillende OS, DMS en Share Point. Kosten IT audit te verlagen.

Easy2audit = Easy2use Easy2audit is een Saas dienst die kan worden afgenomen op basis van een Enterprise licentie of pay-per-use. De mogelijkheid bestaat echter om Easy2audit binnen het eigen domein te plaatsen. Implementatie tijd is zeer kort. Enterprise licentie = Easy2audit voor bepaalde tijd, onbeperkt aantal audits op een bepaald aantal systemen. Bijvoorbeeld 100, 1.000 of 10.000 systemen [OS en/of DMS]. Pay-per-use = Aantal audits. Bijvoorbeeld 25, 50 of 100 audits. Bij grote aantallen systemen is het mogelijk om gebruik te maken van deploy systemen waardoor grote aantallen individuele systemen efficiënt kunnen worden ge-audit. Onderstaand zijn de stappen om een Easy2audit scan uit te voeren schematisch weergegeven. Startpunt is login op Easy2audit. De audit moet worden uitgevoerd met Administrator [Windows/ Database] of Root [Unix] rechten. Stap 1 Download E2A scripts Stap 2 Run E2A scripts op target system[s] Stap 3 Upload resultaten in E2A Stap 4 Download/ bekijk rapporten

Easy2audit voert de controles volledig geautomatiseerd uit met behulp van scripts, is agentless en non-intrusive. Registerwaarden, lokale beveiligingspolicy of configuratiebestanden worden uitgelezen met als resultaat een.txt file. Deze file is de basis voor de Easy2audit rapportage. Easy2audit haalt géén data van systemen en instellingen worden niet gewijzigd. De rapportage is zonder tussenkomst direct beschikbaar en bestaat uit de volgende componenten: Overview dashboard System report Issue report Overall compliance level per OS en DMS plus compliance level per individueel systeem Rapportage per individueel system op hoofdstuk en individuele control niveau Rapportage van alle configuratiefouten per systeem met instructies voor correctieve actie. Hiermee kan eenvoudig van werkelijke naar gewenste situatie worden gekomen. De rapportage is beschikbaar op scherm en als PDF en Excel file. Audit evidence wordt gedocumenteerd en de rapportage kan worden afgezet tegen eerdere audits.

Easy2audit toetst de configuratie van OS, DMS en SharePoint standaard tegen de CIS Security baselines. De mogelijkheid bestaat om tegen eigen standaarden te auditen. De resultaten kunnen worden gerelateerd aan normenkaders als ISO of NEN. Easy2audit is op dit moment beschikbaar voor: Windows Unix Databases Windows Server 2003, Windows Server 2008, Windows XP en Windows 7 Red Hat Enterprise Linux, CentOS, Oracle Linux, Suse Linux Enterprise, IBM AIX, Sun Solaris en HP-UX Oracle DB Linux, Oracle Windows en Microsoft SQL Sharepoint Microsoft SharePoint 2007 en 2010

Easy2audit = gebruikersanalyse Het spreekt voor zich dat toegangscontrole tot systemen is een belangrijk onderdeel is van ICT beveiliging. Hierbij gaat het om zowel de systeem configuratie waarin rechten worden vastgelegd maar ook om de procedures die hieraan ten grondslag liggen. De Easy2audit gebruikersanalyse geeft niet alleen inzicht in de status van gebruikers op systemen maar signaleert ook potentiele inconsistenties in het gebruikersbestand. Easy2audit doet dat door een groot aantal dwarsdoorsnedes te maken van gebruikersinstellingen en aanverwante gegevens. Inzicht wordt onder andere verkregen in: Actieve gebruikers Rechten gebruikers Gebruikers die al lang niet zijn ingelogd [nog in dienst?] Gebruikers die nooit een wachtwoord hoeven te wijzigen Gebruikers waarvan wachtwoord nooit verloopt Etc. etc.

Easy2audit = Audit Information Technology General Controls [ITGC] richten zich op de ICT infrastructuur en niet op applicaties. ITGC zijn onderdeel van de interne controle-maatregelen van organisaties en moeten de vertrouwelijkheid, integriteit, betrouwbaarheid en beschikbaarheid van systemen en gegevens waarborgen, alsmede van het algemene beheer van de ICT-functie. Accounting & Reporting IT Business Business processes Applications Infrastructure Application controls IT General controls Onderdeel van ITGC is hardening van OS en DMS. Controle en monitoring van hardening is een complexe en arbeidsintensieve uitdaging. Zowel voor de interne organisatie als controlerende organisaties als accountants, compliance en security managers. Easy2audit is een geautomatiseerde tool waarmee snel en efficiënt een analyse wordt verkregen.

Ter vergelijking: de tijdsbesteding om één systeem handmatig te controleren en rapporteren bedraagt gemiddeld 8 uur. Met Easy2audit wordt deze tijdsbesteding gereduceerd tot enkele minuten. Complexiteit, benodigde kennis en tijdsbesteding zijn redenen waarom deze uiterst belangrijke stap binnen ITGC onvoldoende aandacht krijgt. Easy2audit maakt een gedetailleerde en periodieke controle op hardening mogelijk. Easy2audit = Consistentie rapportage [handmatige controle en interpretatie van resultaten kan leiden tot onjuiste rapportage]. = Oplossingsgerichte rapportage. = Oneindig schaalbaar. Of het nu gaat om audit van enkele of duizenden systemen. = Focus op resultaten en niet op verzamelen van gegevens. = Up to date Tool. Geen onderhoud aan eigen, interne handmatige systemen. Inzet van Easy2audit door interne en externe accountants betekent daarnaast specifiek: Snel inzicht in ITGC domein OS [en DMS]. Communicatie op basis van relevante feiten. Efficiënter en diepgaander dan huidige methodes. Toegevoegde waarde klant.

Pikeursbaan 12, Deventer Postbus 2192, 7420 AD Deventer E info@easy2audit.com T 0031 [0] 570 21 12 72 W www.easy2audit.com

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback