Round Table 13 april 2015 (Volgeboekt)

Round Table 13 april 2015 (Volgeboekt)

Beginnend op 13-04-2015 Sla op in uw agenda

Bij Hotel Breukelen Stationsweg 91, 3621 LK Breukelen, Nederland

roundtables@isaca.nl

Categorieën: Round Tables

Sprekers: Paul Oor en Arthur Meulstee
Thema: Cyber Security/Assurance
Onderwerp: (on)mogelijkheden van CEH bij externe service providers

Onderwerp: (on)mogelijkheden van CEH bij externe service providers Deel 2

Tijdens de Roundtable van maart werd ingezoomd op de Service Providers. In dit tweede deel zal ingegaan worden po de Ethical Hacker en komen beiden in deze presentatie samen.

Veel organisaties willen of moeten periodiek penetratietesten op hun kritieke systemen uit (laten) voeren. Dit is een positieve en noodzakelijke(!) ontwikkeling om kwaadwillende, creatieve hackers zo goed mogelijk buiten de deur te kunnen houden. Met de groei van de markt bieden meer en meer partijen zich aan die penetratietesten uitvoeren. De kwaliteit van deze partijen, hun tools en het aanvalsplan moet voorafgaand aan de test worden vastgesteld. Best ingewikkeld, vooral omdat deze tests steeds vaker worden uitgevoerd op systemen die onderdeel zijn van lange en complexe ketens en infrastructuren. Daarbij zijn bijna altijd derde partijen betrokken. Deze Service Providers leveren meestal – min of meer - ‘shared services’ (b.v. cloud). De service provider is dus altijd verantwoordelijk voor de continuïteit van de dienstverlening voor meerdere klanten. En moet voorkomen dat de integriteit en beschikbaarheid van systemen negatief wordt beïnvloed door (de mogelijke bijwerkingen van) een penetratietest. Daarnaast zijn er ook nog wat juridische te regelen om te voorkomen dat activiteiten plaatsvinden die in strijd zijn met contractafspraken of wet- en regelgeving.

Service Providers zijn ook gebaat bij deze periodieke security tests. Atos heeft daarom een juridisch en operationeel model ontwikkeld waarmee deze tests – ondanks de complexiteit – kunnen worden gefaciliteerd. Voorafgaand aan de test worden concrete afspraken vastgelegd tussen alle partijen: klant, pentester en de service provider. Inmiddels is het model al zo’n 3 jaar in gebruik en geaccepteerd door verschillende partijen op de Nederlandse markt. Paul Oor (Chief Security Officer Atos BeNeLux & Nordics) en Arthur Meulstee (Senior Manager Advanced Security Center EY) laten u op basis van concrete voorbeelden en scenario’s graag zien wat de (on)mogelijkheden zijn en geven concrete handreikingen om de uitvoering van penetratietesten op een goede manier te faciliteren.

Over de sprekers:
Paul W.M. Oor (CISSP, CISM, CIPP/E) is samen met zijn collega’s als Chief Security Officer verantwoordelijk voor security binnen Atos Benelux & The Nordics. Het mogelijk maken van security tests door derde partijen op verzoek van klanten uit allerlei markten en sectoren is een belangrijk onderdeel van zijn werkzaamheden geworden. Net als zijn collega’s is hij doordrongen van het nut en de noodzaak van deze tests en zoekt daarom doorlopend naar opties om die vanuit juridisch en operationeel perspectief met een standaard aanpak te faciliteren.

Arthur Meulstee (CISA, CISM, CEH) is verantwoordelijk voor het Attack & Penetration test team binnen het Advanced Security Center van EY Nederland. Hij heeft ruime ervaring met het uitvoeren van penetratietesten bij vele verschillende organisaties, zowel nationaal als internationaal. Veel van deze testen hebben plaatsgevonden bij service providers.

2015-04-13 18:00:00
2015-04-14 20:00:00