De rol van pentesting bij de implementatie van het Normenkader IBP

Pentest als effectieve tool tegen cybercriminaliteit

Pentesten (lees: penetratietesten), zoals beschreven in het artikel van ChannelConnect over pentesting, bieden een proactieve benadering om potentiële zwakke plekken in de IT-omgeving van scholen te identificeren. Naast het identificeren van kwetsbaarheden helpt een pentest je ook actief zoeken naar manieren om toegang te krijgen tot gevoelige informatie, zoals persoonsgegevens van leerlingen en medewerkers.

Beoordelen of je in je IT-infrastructuur alles hebt dichtgetimmerd voor cyberdreigingen dient te verhelpen dat cybercriminelen misbruik maken van een opening. Dit is dan ook de reden waarom deel 11.5 in het hoofdstuk Security Management van het Normenkader IBP (pagina 63) vereist dat “penetratietesten en social engineering worden gepland en periodiek uitgevoerd.”

Drie situatiespecifieke pentesten

Auteur Martijn Vet omschrijft in het artikel drie soorten pentesten - black box, grey box en white box - als benaderingen om verschillende niveaus van informatie en toegang tot het systeem te simuleren. Dit biedt onderwijsinstellingen flexibiliteit bij het kiezen van de meest geschikte pentestmethode op basis van je specifieke behoeften en omgeving.

Black box

De tester heeft minimale informatie over de testomgeving en simuleert een externe hacker zonder voorkennis, waardoor het een realistische cyberaanval nabootst en algemene beveiligingslekken blootlegt.

Grey box

Met beperkte informatie simuleert de tester iemand met enige toegang tot het systeem, waardoor gerichter kwetsbaarheden kunnen worden opgespoord, wat efficiënter is dan bij black box pentesten.

White box

De tester heeft volledige toegang tot het netwerk of de applicatie, inclusief broncode en insider-informatie, waardoor een grondige analyse mogelijk is van de kwaliteit van de code en het ontwerp van de applicaties, vooral geschikt voor belangrijke maar kleinere applicaties binnen het bedrijf.

Pentest voor het Normenkader IBP

Omdat een pentest actief zwakke plekken in je beveiliging identificeert, zoals beveiligingslekken die de privacy van leerlingen en medewerkers kunnen schenden, vormt een pentest een belangrijk controlemiddel dat je helpt te voldoen aan het Normenkader IBP. Het versterken van de cyberbeveiliging van je instelling is cruciaal voor het waarborgen van de vertrouwelijkheid, integriteit en beschikbaarheid van gevoelige informatie conform de normen van het IBP.

Pentesten dragen volgens het artikel niet alleen bij aan het vergroten van de cybersecurity van onderwijsinstellingen. Ze helpen ook bij het voldoen aan wettelijke vereisten en compliance-normen, zoals de AVG en ISO 27001.

Uitdagingen bij pentesting

Het artikel wijst op de uitdagingen bij het uitvoeren van pentesten, zoals de complexiteit van IT-systemen en de arbeidsintensiviteit ervan. Zo is het een uitdaging om de invloed op de werkomgeving tot een minimum te beperken. Ook kan het voortdurende karakter van het proces, waarbij de complexiteit van IT-systemen en evoluerende aanvalsmethoden een constante inspanning vereisen, resulteren in hoge kosten en arbeidsintensieve processen.

SLBdiensten erkent deze uitdagingen. Desondanks raden we onderwijsinstellingen aan om pentesten te integreren als een regelmatig en gestructureerd onderdeel van hun cybersecuritystrategie. Pentesten behoren zodoende niet slechts een eenmalige activiteit te zijn. Als onderwijsinstelling is het verstandig om een doorlopend proces te waarborgen om de cyberveiligheid van iedereen binnen de schoolomgeving op gewenst niveau te brengen en houden.

Pentesten vragen om een investering

Een pentest begint altijd bij de wensen en behoefte van je onderwijsinstelling. Scholen dienen goed na te denken over de scope van de pentest die ze willen laten uitvoeren, omdat het arbeidsintensief is en daardoor in de papieren kan lopen.

Om grote investeringen met grootschalige projecten te voorkomen kun je starten met het uitvoeren van regelmatig kleine pentesten. Hierbij kun je bijvoorbeeld focussen op de meest kritieke systemen en applicaties.

Naast reguliere pentesten vormen geautomatiseerde pentesten – Pentesting as a Service (PaaS) – ook een manier om op tijd en human resources te besparen. Doordat dit soort tools continu testen vergroot je de kans kwetsbaarheden te identificeren en aan te pakken, wat de kosten ook significant drukt. Tactisch gezien is dit een instap keuze voor met name kleinere scholen.

Jouw wensen en behoeften in kaart voor een offerte op maat

Omdat er enorm veel verschillende pentesten in de categorieën black, grey en white zijn, is er niet zoiets als een standaard pentest. Om deze reden nemen we de wensen en behoeften van je onderwijsinstelling als uitgangspunt voor je benodigde pentest. Wat je nodig hebt, en wat het totale kostenplaatje hiervan is, hangt af van factoren zoals bijvoorbeeld de grootte van je IT-infrastructuur, de duur van de gevraagde pentest en het aantal IP-adressen, Windows Domains en het aantal websites van je instelling.

Bij SLBdiensten brengen we je persoonlijke situatie in kaart, waarna we met partners tegen een bepaald uurtarief afspraken maken voor een offerte op maat. Hierbij kunnen we je als partner van het onderwijs in samenspraak met ons netwerk aan partners voordelige educatietarieven bieden, waardoor hoge kosten in zekere mate geminimaliseerd worden.

Meer weten over pentesting?

Wil jij meer weten over pentesten of onze partners die deze verzorgen? Neem contact op met onze servicedesk en wij brengen je in contact met een van onze experts die je verder helpt.

Bron: ChannelConnect