ICT-beheerder

ICT-beheerder

22. Security Audit

Inleiding

Een audit is een gebeurtenis waar men in een bedrijf meestal niet gelukkig mee is, want het betekent dat een externe organisatie een officieel onderzoek uitvoert op één of meer onderdelen van de organisatie.

Een security audit in de informatica richt zich op hoe de confidentialiteit, beschikbaarheid en integriteit van de elektronische informatie van een firma kan worden gegarandeerd.
Een security audit is de beste manier om de beveiliging van informatie te bepalen. Een security audit is niet goedkoop, maar als iemand inbreuk pleegt op de informatie kan dit het bedrijf veel schade berokkenen.

Het onderzoek wordt uitgevoerd door middel van interviews, tests, onderzoek van operatingsysteeminstellingen, analyse van netwerkshares en het nagaan van historische gegevens.

Op de volgende vragen wordt tijdens de audit geprobeerd antwoord te krijgen:

  • Zijn wachtwoorden eenvoudig te kraken?
  • Hoe zit het met de beveiliging van de werkstations in het netwerk?
  • Worden er gegevens geregistreerd van wie toegang heeft tot bepaalde informatie?
  • Worden deze gegevens opgevolgd?
  • Is de beveiliging van een systeem ingesteld volgens de regels van de kunst?
  • Zijn er onnodige toepassingen of services aanwezig?
  • Zijn operatingsystemen en de gebruikte toepassingen up-to-date?
  • Hoe wordt er omgegaan met back-upmedia?
  • Is er een ‘contingencyplan’?
  • Hoe zit het met encryptie van informatie?
  • Zijn alle toepassingen in overeenstemming met het beveiligingsbeleid?
  • Hoe zit het met documentatie?

Dit zijn slechts enkele van de vragen die kunnen en moeten worden gesteld. Alleen eerlijke en juiste antwoorden kunnen inzicht geven in de werkelijke beveiliging van informatie.

Situatie

Jij bent werkzaam bij advocatenkantoor Boskovitz. Hier staat een Windows 2008 server als domaincontroller opgesteld. De server is door de vorige beheerder van het advocatenkantoor geïnstalleerd. Gezien de verhalen in de krant over usb-sticks die op straat gevonden worden, wil mr. Boskovitz ervoor zorgen dat de gegevens van het advocatenkantoor goed beveiligd zijn. Ook de toegang tot het netwerk moet goed beveiligd zijn.

Jullie projectgroep wordt uitgenodigd om de beveiliging van het informatiesysteem van het advocatenkantoor eens grondig onder de loep te nemen.

Opdrachten

Voordat jullie bij het advocatenkantoor het onderzoek gaan uitvoeren, wordt er besloten om eerst eens te onderzoeken hoe een security audit eigenlijk werkt. Hiervoor gaan jullie de volgende stappen uitvoeren:

  • We maken een proefopstelling met een ‘standaard’ Windows-installatie om de pre-audit op uit te voeren.
    • De basisinstallatie bestaat uit één Windows 2008 server met Active Directory en één WindowsXP SP3 client.
    • Op de server is een administratief installatiepunt met MSOffice aangebracht. Vanuit dit installatiepunt wordt MSOffice door middel van policies uitgerold.
    • Op de clients is de toegang tot de floppydrive uitgeschakeld.
    • Er zijn drie OU’s in de Active Directory aangemaakt, te weten: Administratie, Juridische medewerkers en Directie. In elke OU zijn vijf medewerkers aangemaakt.
  • Lees bijlage 1 Pre-Audit.
  • Beantwoord de vragen van bijlage 2 Vragenlijst Pre-Audit.
  • Installeer de Microsoft Baseline Security Analyzer. Draai de test en probeer verbeteringen aan te brengen in het netwerk.
  • Microsoft heeft ook gereedschap gemaakt dat helpt bij het uitzoeken van ‘lekken’ in de beveiliging van het netwerk. Deze tool heet ‘Microsoft Security Assessment Tool (MSAT)’. Download deze tool van de Microsoft-website en voer het security assessment uit. Schrijf jullie bevindingen op in een document met de naam ‘Security assessment’.
  • Maak een document waarin vastgelegd wordt wat er verbeterd wordt/moet worden in het netwerk zodat het voldoet aan een redelijke beveiligingsstandaard. Voer de verbeteringen ook uit.
  • De klant wil uiteindelijk ook dat de usb-poorten van zijn werkstations uitgeschakeld worden voor alle gewone gebruikers, zodat er geen informatie van het netwerk afgetapt kan worden. Zoek uit hoe dit moet en voer dit uit. Schrijf in het verbeterdocument een paragraaf hoe dit in de toekomst uitgevoerd dient te worden.