Een interessant bericht, waar ik het natuurlijk volledig mee eens ben:
De beveiliging van een organisatie kan worden getest door een mystery guest de opdracht te geven om de maatregelen te omzeilen. Veel organisaties nemen genoegen met het uitvoeren van een risicoanalyse en implementeren van maatregelen. Daarna concluderen ze dat de beveiliging afdoende is, aangezien er nooit incidenten zijn. Incidenten zijn echter pas bekend als ze worden opgemerkt. Daardoor is het aantal incidenten geen goede graadmeter voor de kwaliteit van de beveiliging (bron).
Het is inderdaad waar dat er vanuit beleid allerlei ogenschijnlijk goede beveiligingsmaatregelen worden bedacht en worden ingevoerd. Dit is natuurlijk niet specifiek voor beveiliging, maar voor alles wat in de ivorentorens bedacht wordt. Er is vaak een groot gat tussen wat er vanachter het buro bedacht wordt en wat er in de praktijk werkt.
Het is dan zeker goed om de beveiliging te testen. Niet alleen door het inzetten van mystery guests, maar door op allerlei wijzen te kijken of de beveiliging ook echt zo goed is als we bedacht hebben. Het is toch wel fijn dat de autofabrikanten testen of de airbags werken (en hoe vaak zien we daar geen terugroep acties?). Ook het testen van de “klantvriendelijkheid” van de medewerkers door social engineering tests is een belangrijk aspect. Te vaak willen we de “klanten” helpen, dat is uiteraard erg klantvriendelijk, maar niet iedereen is een klant. De criminelen weten donders goed dat medewerkers ons graag verder helpen, zij maken daar graag gebruik van en medewerkers zijn vaak een spraakwaterval.
Naast de psychologie van medewerkers te testen kan het ook geen kwaad om de technische tests uit te voeren. Penetratietesten om te kijken hoe degelijk onze technische systemen eigenlijk in elkaar zitten.
Ze hebben er trouwens een mooie term bij bedacht:
Een mystery guest kan deze zogeheten beveiligingsblindheid doorprikken.
Beveiligingsblindheid, ehm, een mooi begrip om ook nog eens een blog over te schrijven. Wellicht binnenkort.