De beveiliging van informatie en infrastructuur is de laatste jaren alleen maar in belang toegenomen, als het al niet alle aandacht verdient. Steeds meer en steeds gevarieerder komen kwetsbaarheden aan het licht. Als reactie daarop zijn de afgelopen jaren al diverse richtlijnen en beleidsstukken ontwikkeld en zijn er technische maatregelen in evenveel varianten als dat er bedreigingen zijn. Dat is goed, maar naast het nemen van maatregelen om IT systemen en informatie te verdedigen, is het steeds belangrijker ook de werking ervan regelmatig te toetsen. Menig security- en architectuur-framework erkent het belang en vertaalt dit in de vorm van audit- of vulnerability-managementmaatregelen.

Voordelen van integratie

Veel organisaties nemen voldoende actie om informatie en systemen te beschermen, maar veel minder aandacht krijgt het toetsen van de werking van dergelijke (technische) maatregelen. Men komt veelal niet verder dan het uitvoeren van een interne ,visuele controle of een scan om de genomen maatregelen te toetsen. Vaak is dat een eenmalige of laagfrequente actie.

Veel beter is de afwijkingen op de gewenste situatie continu te bewaken en deze afwijkingen direct te (laten) verhelpen. Idealiter geborgd binnen de bestaande operationele processen. Een afwijking wordt dan niet alleen veel sneller gedetecteerd en verholpen, er ontstaat ook een continue awareness binnen de organisatie. SPS heeft daarom onderzocht of de resultaten van een vulnerability scan geïntegreerd kunnen worden met Gensys, waardoor zij onderdeel worden van de dagelijkse bewaking van IT systemen.

De scanners van Tenable® worden veel gebruikt binnen het IT domein, maar bijvoorbeeld ook door ethische hackers. De scanners controleren inmiddels op ruim 80.000 bekende kwetsbaarheden en worden ook ingezet om te toetsen op hardening- of compliance-benchmarks.

Vulnerability management

Een scan wordt regelmatig uitgevoerd en met Gensys worden de resultaten van een scan uitgelezen. Relevante meldingen worden gekoppeld aan de betreffende ‘configuration items’ (CIs) en opgenomen in het normale beheerproces. Zo verdwijnt het eenmalige karakter van het controleren van het beveiligingsniveau. CIs zijn opgenomen in de IT-ketens (IT-service en/of digitaal proces) en IT-services maken onderdeel uit van business services. Zo wordt de relatie naar de ‘business’ gelegd en is direct de businessimpact van de scanresultaten zichtbaar.

Elke actie op een gevonden afwijking wordt geregistreerd. Bovendien kan de voortgang van acties op een gevonden afwijking actief bewaakt worden door een SLA op de melding en op het geregistreerde ticket. Met het oog op compliance-of wettelijke verplichtingen is het ook daardoor eenvoudiger om de werking van maatregelen aantoonbaar te toetsen en te rapporteren. Men is zichtbaar ‘in control’.

Door de borging in de operationele processen ontstaat er continuïteit in vulnerability management en een cyclus van het continu verbeteren van de veiligheid van gegevens en IT.