Round Table 2 maart 2015

Round Table 2 maart 2015

Beginnend op 02-03-2015 Sla op in uw agenda

Bij Hotel Breukelen Stationsweg 91, 3621 LK Breukelen, Nederland

roundtables@isaca.nl

Categorieën: Round Tables

Ivm ziekte komt de presentatie van dhr. Delpeut voor maandag 2 maart te vervallen. Hierdoor wordt de roundtable van 2 maart anders ingevuld. Dhr. Delpeut zal later dit jaar herpland worden.


Onderwerp: (on)mogelijkheden van CEH bij externe service providers Deel 1

Veel organisaties willen of moeten periodiek penetratietesten op hun kritieke systemen uit (laten) voeren. Dit is een positieve en noodzakelijke(!) ontwikkeling om kwaadwillende, creatieve hackers zo goed mogelijk buiten de deur te kunnen houden. Met de groei van de markt bieden meer en meer partijen zich aan die penetratietesten uitvoeren. De kwaliteit van deze partijen, hun tools en het aanvalsplan moet voorafgaand aan de test worden vastgesteld. Best ingewikkeld, vooral omdat deze tests steeds vaker worden uitgevoerd op systemen die onderdeel zijn van lange en complexe ketens en infrastructuren. Daarbij zijn bijna altijd derde partijen betrokken. Deze Service Providers leveren meestal – min of meer - ‘shared services’ (b.v. cloud). De service provider is dus altijd verantwoordelijk voor de continuïteit van de dienstverlening voor meerdere klanten. En moet voorkomen dat de integriteit en beschikbaarheid van systemen negatief wordt beïnvloed door (de mogelijke bijwerkingen van) een penetratietest. Daarnaast zijn er ook nog wat juridische te regelen om te voorkomen dat activiteiten plaatsvinden die in strijd zijn met contractafspraken of wet- en regelgeving.

Service Providers zijn ook gebaat bij deze periodieke security tests. Atos heeft daarom een juridisch en operationeel model ontwikkeld waarmee deze tests – ondanks de complexiteit – kunnen worden gefaciliteerd. Voorafgaand aan de test worden concrete afspraken vastgelegd tussen alle partijen: klant, pentester en de service provider. Inmiddels is het model al zo’n 3 jaar in gebruik en geaccepteerd door verschillende partijen op de Nederlandse markt. Paul Oor (Chief Security Officer Atos BeNeLux & Nordics) en Arthur Meulstee (Senior Manager Advanced Security Center EY) laten u op basis van concrete voorbeelden en scenario’s graag zien wat de (on)mogelijkheden zijn en geven concrete handreikingen om de uitvoering van penetratietesten op een goede manier te faciliteren.

Over de spreker:
Paul W.M. Oor (CISSP, CISM, CIPP/E) is samen met zijn collega’s als Chief Security Officer verantwoordelijk voor security binnen Atos Benelux & The Nordics. Het mogelijk maken van security tests door derde partijen op verzoek van klanten uit allerlei markten en sectoren is een belangrijk onderdeel van zijn werkzaamheden geworden. Net als zijn collega’s is hij doordrongen van het nut en de noodzaak van deze tests en zoekt daarom doorlopend naar opties om die vanuit juridisch en operationeel perspectief met een standaard aanpak te faciliteren.

Tijdens een van de volgende roundtables zal Deel 2 van van deze presentatie plaatsvinden waardoor de gehele bovenstaande omschrijving besproken en gedemonstreerd kan worden. Tijdens het tweede deel zal dhr. Meulstee samen met dhr. Oor de presentatie verzorgen.

2015-03-02 18:00:00
2015-03-02 20:00:00