Rosielle Security

 

Testen van informatiebeveiliging

Als informatiebeveiliging getest moet worden, dan ga ik eerst uitzoeken op welke manier er interactie kan worden gevoerd met het doelsysteem. Vervolgens wordt onderzocht of alle interacties wel voldoende beschermd zijn. Het is daarbij vooral van belang dat het doelsysteem beschermd is door gevarieerde maatregelen in plaats van meerdere beschermingsmaatregelen uit dezelfde categorie. Bij deze aanpak wordt niet onderzocht of het doelsysteem duizenden bekende bedreigingen kan weerstaan, maar wordt onderzocht of het systeem voldoende robuust is om weerstand te bieden tegen categorieën van bedreigingen.

Het voordeel van deze methode is dat er ook uitspraken kunnen worden gedaan over de mate van weerstand die je kunt verwachten bij bedreigingen van morgen of volgend jaar.

Het zal u niet verwonderen dat deze aanpak is gebaseerd op de OSSTMM. Als onderdeel van de test wordt ook een security metric bepaald, de rav. Hoe hoger de rav, hoe meer weerstand een systeem heeft tegen bedreigingen uit zijn omgeving. Als het wenselijk is om die weerstand te verhogen, dan laat de methode zien welke invloed je kunt verwachten bij verschillende maatregelen. Hiermee kun je bepalen welke maatregel of combinatie van maatregelen de meeste veiligheid oplevert tegen de laagste kosten.

Ik leg u graag uit hoe dat werkt.