Fase 4 zal steeds doorgaan in het vierde kwartaal van samenwerking en houdt het volgende in:

• Interne pentest (kan gewijzigd worden naar keuze)
• Awareness training
• Phishingcampagnes
• Websitescanning
• Kwartaalmeeting

Vierde penetratietest

In het vierde kwartaal dat we samenwerken, zal er een vierde penetratietest voorzien worden.

De mogelijkheden voor deze pentest zijn bijvoorbeeld: Wifipentest, externe pentest, interne pentest, fysieke pentest, …

Meestal wordt hier gekozen voor een interne pentest. Hierbij gaan we uit van een scenario waarbij een hacker effectief alreeds toegang heeft tot het bedrijfssysteem. Bijvoorbeeld dat de hacker via een phishing mail of virus is binnengeraakt.

Dan gaan we kijken wat een hacker kan doen met een low level account (een account zonder rechten). De expert zal op verschillende manieren proberen om dit account op te waarderen tot administrator om zo gevoelige informatie te verkrijgen.

Een adminaccount kan een account toevoegen zodat hij permanent toegang krijgt tot het systeem. Maar een adminaccount kan bijvoorbeeld ook een speciale onzichtbare (op de achtergrond) connectie leggen naar zijn computer zodat elke keer als een computer opstart, hij toegang krijgt tot het netwerk.

Op deze manier is het mogelijk om zelfs jaren ongezien in de backups te zitten. Waardoor deze niet meer bruikbaar zijn.

Awareness mails 

Deze blijven we standaard na onze awareness training doorvoeren en worden ieder kwartaal verstuurd. We proberen deze zo interactief mogelijk te maken mede door vragen, filmpjes en foto’s over de gegeven opleiding te stellen.

Op deze manier blijven we actief aanwezig met deze opleiding bij alle deelnemers en kunnen we zo optimaal mogelijk helpen met het verbeteren van de cyberhygiëne binnen de organisatie. We willen graag de mensen zo goed mogelijk inlichten over alle gevaren online en offline. Hierdoor blijft herhaling de belangrijkste motivator tot succes.

Phishing campagnes 

Aansluitend op de vorige fase blijven we onze phishing campagnes en websitescanning optimaliseren om via deze weg de basiselementen te blijven aanpakken en te verbeteren. Deze 2 diensten worden steeds maandelijks gerapporteerd naar jullie. Dit doen we op maandelijkse basis omdat hier heel kort op moet en kan geanticipeerd worden.

Onze phishing campagnes zijn zeer gegeerd bij bedrijven aangezien deze per individu verschillend is. Hiermee wordt bedoeld dat deze wordt aangepast naargelang het niveau van de werknemer. Hoe beter deze hiermee weg is, hoe moeilijker de mails zullen worden en omgekeerd. Zo zijn dus ook de mails bij iedere medewerker verschillend en worden deze ook op verschillende momenten gestuurd.

Medewerkers kunnen trouwens altijd de mails aangeven als phishing mails met een knop in Outlook. Op deze manier kunnen we zien of ze daadwerkelijk hebben gezien dat dit een phishing mail was en deze niet per ongeluk hebben verwijderd of hebben genegeerd. Wat voor ons zeer interessant is aangezien we deze resultaten meestal gebruiken in onze awareness opleidingen.

Website scanning 

Onze website scanning omvat een geautomatiseerde scan waarop onder andere de 10 belangrijkste punten volgens het OWASP worden getest. Uiteraard worden hier andere punten uitermate getest zodat de website zo goed mogelijk wordt geanalyseerd.

Deze scan wordt maandelijks opnieuw gedaan, waardoor er steeds de nieuwste kwetsbaarheden worden aan toegevoegd. Want we vinden dit uitermate belangrijk aangezien de website het publieke aanspreekpunt is voor jouw bedrijf en hierop het gemakkelijkste digitale kwetsbaarheden of informatie op gevonden word.

Jaaroverzicht

In dit kwartaal overlopen we het volledige jaar. Wat er is gebeurd en wat er is opgelost, welke verbeteringen er zijn doorgevoerd en bekijken we alle resultaten op dat jaar.

Maar even belangrijk bekijken we samen hoe we de dingen het komende jaar kunnen aanpakken en wat er zeker verbeterd dient te worden. Zo kunnen we onze doelen terug bekijken en vastleggen om deze samen te bekomen.

Op deze manier kunnen we dan zien wat er zeker nog dient aangepakt te worden en passen we onze jaarplanning hierop aan.

 

Dit gebeurt allemaal in de vierde fase van ons traject. Dit gaat gepaard met een virtuele kwartaalmeeting zodat we alle rapportages kunnen overlopen indien gewenst en om eventuele vragen te beantwoorden.