Toon posts:

Security audit, waar te beginnen?

Pagina: 1
Acties:

Vraag

maandag 20 mei 2019 10:47

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Beste,

Ik ben momenteel werkzaam voor een niet al te groot bedrijf <20 werknemers. Het bedrijf is gespecialiseerd in dienstverlening voor consumenten en om deze reden verwerkt het bedrijf diverse (persoons)gegevens. Diverse berichten in de media over gehackte bedrijven hebben het management in laten zien dat een pentest/security audit (ik ben er niet zo in thuis) gewenst is. Onze vraag voor deze test is om onze systemen die op het internet gericht zijn te testen op kwetsbaarheden. Waarna wij deze kunnen verbeteren.

Misschien een rare vraag, en wellicht hier voor niet de juiste plek, maar wat kost een dergelijke test? Uit navraag bij diverse leveranciers kom ik uit op circa 100 - 200 EU p/u. Op projectbasis reken ik ook ongeveer 150 EU uit als uurtarief. Is dit gangbaar of heb zijn er ook andere tarieven die gebruikelijk zijn? Omdat ik er zelf niet zo veel verstand van heb, maar wel weet dat wij een klein bedrijf zijn die goed moet nadenken of de kosten, hoop ik dat jullie mij iets verder op weg kunnen helpen vwb de realistische kosten.

In ieder geval bedankt voor het lezen!

David

Alle reacties

maandag 20 mei 2019 10:56

Acties:
  • +1 Henk 'm!
  • Reptile209
  • Registratie: Juni 2001
  • Laatst online: 20:15

Reptile209

- gers -

Kan je niet beter een paar offertes opvragen bij IT-bedrijven die dit voor je kunnen uitvoeren? Nu ga je op basis van geschatte uurtarieven (en geschatte aantallen uren) een totaalbedrag zitten uitrekenen... dat uiteindelijk nergens op gebaseerd is.
Ga eens bellen met een paar bedrijven, geef aan welke scope jij in gedachten hebt en vraag een offerte met een vaste prijs en een specificatie van de werkzaamheden daarvoor. Die offertes kan je dan naast elkaar leggen en kijken welke voor jou het meest interessant is. Laat ze met je meedenken welke scope nuttig kan zijn (en eventueel bepaalde delen als optie prijzen).

"If you pay peanuts, you get monkeys". Het uurtarief zegt niet alles, daarom ook mijn suggestie om op vaste prijs basis te werken. Dan kom je niet voor verrassingen te staan (laag tarief, maar veel meerwerkuren bijvoorbeeld).

Voor je argument naar het management alvast: als je denkt dat dit onderzoek duur is, ga dan maar eens kijken wat een boete + reputatieverlies kosten... ;)

Zo scherp als een voetbal!

maandag 20 mei 2019 11:39

Acties:
  • 0 Henk 'm!
  • Mikanzana
  • Registratie: Januari 2019
  • Laatst online: 11-04-2023

Mikanzana

Verwijderd schreef op maandag 20 mei 2019 @ 10:47:
Diverse berichten in de media over gehackte bedrijven hebben het management in laten zien dat een pentest/security audit (ik ben er niet zo in thuis) gewenst is. Onze vraag voor deze test is om onze systemen die op het internet gericht zijn te testen op kwetsbaarheden. Waarna wij deze kunnen verbeteren.
Natuurlijk is het moeilijk inschatten wat de precieze situatie is, maar gaat het hier om zelf ontwikkelde systemen? Als er verder qua security nog niet zoveel gebeurd bij jullie zou ik eerst aanraden om jullie risico's in kaart te brengen en op basis daarvan besluiten te nemen. Misschien zit jullie grootste risico wel in de afwezigheid van stelselmatige patches, of de afwezigheid van back-ups of gebruiken alle medewerkers hetzelfde administratoraccount.

Misschien is bovenstaande allang gedaan en kwam daaruit dat een pentest nuttig is, maar een pentest op een specifiek systeem zal problemen aantonen die specifiek voor dat systeem gelden. En wie weet fixen je daarna een kritische kwetsbaarheid die mensen toestaat in te loggen als beheerder, maar blijkt achteraf na een storing dat back-ups terugzetten niet werkt.

Excuus als dat allemaal al gedaan is!

Om op de rest van je vraag te beantwoorden, ik sluit me aan bij @Reptile209

maandag 20 mei 2019 17:10

Acties:
  • 0 Henk 'm!
  • Stufferdt
  • Registratie: December 2014
  • Laatst online: 16:25

Stufferdt

:D

Eens met @Mikanzana dat een nulmeting waarschijnlijk meer nuttige informatie/handvatten oplevert gezien jullie omgang en het feit dat je aangeeft, er niet zo in thuis te zijn.

Er zijn genoeg bedrijven die dit kunnen doen, reken op 1 a 2 dagen dus zo'n 2,5k.

I don't know what happened, but it sure don't add up on paper And as long as she lets me, I'll take her wherever she wants me to take her

maandag 20 mei 2019 17:14

Acties:
  • 0 Henk 'm!
  • MAX3400
  • Registratie: Mei 2003
  • Laatst online: 27-09 22:07

MAX3400

XBL: OctagonQontrol

Verwijderd schreef op maandag 20 mei 2019 @ 10:47:
Onze vraag voor deze test is om onze systemen die op het internet gericht zijn te testen op kwetsbaarheden. Waarna wij deze kunnen verbeteren.
95% van de issues zit (vaak) niet op je "internet / DMZ infra" maar gewoon op je interne netwerk; hetzij software, hetzij gebruikers.

Het is namelijk ontzettend niet lastig om je webserver of je ADFS-koppeling up-to-date/secure te krijgen maar het is wel ontzettend lastig om cached passwords uit je lokale SAM database te krijgen; om nog maar te zwijgen van "clean desk policy" dat de medewerkers werkelijk 0 herleidbare info op het bureau laten slingeren.

Ik zou nog eens heroverwegen wat / waar je wil laten testen om te voldoen aan de "eisen" die worden gesteld aan het niet kunnen lekken van klantgegevens.

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof

Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq