Tag: testen

5 tips voor een succesvolle marktintroductie

  door

Een ijzersterk product in de schappen, maar een handleiding die mist. Ondernemers die een nieuw product ontwikkelen, vergeten vaak simpele controles. 5 tips voor een foutloze productlancering.

1. Vergeet het testdocument niet
2. Zorg dat je op verschillende niveaus test
3. Definieer van te voren wat je wilt testen
4. Test altijd ook met de eindgebruiker
5. Test meer dan 1 keer

Sta jij aan de vooravond van een nieuwe marktintroductie? Dan is het misschien goed om toch nog even het hele bericht te lezen op Sprout.nl.

Het testen van reservekopieen

  door

We hebben het van de week ook al even aangehaald, maar vandaag gaan we er iets verder op in. Niet op de techniek, maar de gedachte er achter: Het testen van reservekopieen.

Logisch dan natuurlijk dat de formele vraag als volgt is:

Worden de reservekopieen getest of de gegevens benaderbaar zijn?

Gisteren schreven we het ook al. We maken geen reservekopieen om maar over kopietjes te beschikken of omdat het zo nodig moet van de Code voor Informatiebeveiliging. Nee, we maken ze om na een incident nog over de voor ons waardevolle informatie te kunnen beschikken. Daarom is het ook van belang om te testen of de reservekopien ook echt aan onze eisen voldoen.

Bevat de reservekopie inderdaad de voor ons belangrijke gegevens en zijn die gegevens nog benaderbaar? Als de gegevens uit een nogal exotisch programma komen is het ook van belang om te kijken naar de back-up van dat exotische programma. Anders beschikken we straks wel over de gegevens maar niet over het programma om die gegevens te kunnen lezen.

Ok, ok, maar jullie hebben de reservekopieen extern gehost, zoals dat zo mooi heet. Iedere nacht worden de gewijzigde gegevens weggeschreven naar onze leverancier. Hartstikke goed, maar weten we ook zeker dat we de gegevens weer snel genoeg terug kunnen halen? Hoe lang doen we er straks over om terabytes aan data terug te zetten? Kan dat binnen de tijd die we gesteld hebben voor onze kritische processen? En wat doen we als de internetverbinding door hetzelfde incident getroffen is? Kunnen we dan ook nog op tijd bij de data komen?

Ook moeten we goed kijken naar de kritische processen die als eerste de lucht weer in moeten. We moeten dus keuzes maken in de data die we als eerst terug zetten en de data die minder van belang is en wel even kan wachten. Al die terabytes aan informatie kunnen immers niet op hetzelfde moment over onze interverbinding en komen achter elkaar binnen.

Willen we er echt zeker van zijn dat het allemaal werkt? Ja, dan zullen we toch echt moeten gaan testen. Dat kan een papieren test zijn maar ook een test waarbij we de data echt terug gaan zetten om te kijken wat er gebeurt. De lessen die we daaruit kunnen trekken verwerken we weer zodat we onze aanpak van reservekopieen continu kunnen verbeteren. Je raadt het al: om zekerheid te hebben moeten we vaker testen en misschien zelfs noodscenario’s achter de hand hebben voor het geval dat.

Beveiliging kan worden getest met mystery guest

  door

Een interessant bericht, waar ik het natuurlijk volledig mee eens ben:

De beveiliging van een organisatie kan worden getest door een mystery guest de opdracht te geven om de maatregelen te omzeilen. Veel organisaties nemen genoegen met het uitvoeren van een risicoanalyse en implementeren van maatregelen. Daarna concluderen ze dat de beveiliging afdoende is, aangezien er nooit incidenten zijn. Incidenten zijn echter pas bekend als ze worden opgemerkt. Daardoor is het aantal incidenten geen goede graadmeter voor de kwaliteit van de beveiliging (bron).

Het is inderdaad waar dat er vanuit beleid allerlei ogenschijnlijk goede beveiligingsmaatregelen worden bedacht en worden ingevoerd. Dit is natuurlijk niet specifiek voor beveiliging, maar voor alles wat in de ivorentorens bedacht wordt. Er is vaak een groot gat tussen wat er vanachter het buro bedacht wordt en wat er in de praktijk werkt.

Het is dan zeker goed om de beveiliging te testen. Niet alleen door het inzetten van mystery guests, maar door op allerlei wijzen te kijken of de beveiliging ook echt zo goed is als we bedacht hebben. Het is toch wel fijn dat de autofabrikanten testen of de airbags werken (en hoe vaak zien we daar geen terugroep acties?). Ook het testen van de “klantvriendelijkheid” van de medewerkers door social engineering tests is een belangrijk aspect. Te vaak willen we de “klanten” helpen, dat is uiteraard erg klantvriendelijk, maar niet iedereen is een klant. De criminelen weten donders goed dat medewerkers ons graag verder helpen, zij maken daar graag gebruik van en medewerkers zijn vaak een spraakwaterval.

Naast de psychologie van medewerkers te testen kan het ook geen kwaad om de technische tests uit te voeren. Penetratietesten om te kijken hoe degelijk onze technische systemen eigenlijk in elkaar zitten.

Ze hebben er trouwens een mooie term bij bedacht:
Een mystery guest kan deze zogeheten beveiligingsblindheid doorprikken.

Beveiligingsblindheid, ehm, een mooi begrip om ook nog eens een blog over te schrijven. Wellicht binnenkort.