Wat is een ISO 27001 pentest

ISO 27001 is de internationale standaard voor een Information Security Management System (ISMS) en wordt wereldwijd erkend als het leidende keurmerk voor informatiebeveiliging. Wilt u de ISO 27001-certificering halen of behouden, dan moet u aantonen dat u uw informatiebeveiliging op orde heeft. Dat doet u door de 114 maatregelen uit Annex A in te voeren.

Een belangrijk onderdeel daarvan is norm A.12.6, over technisch kwetsbaarhedenbeheer. Die norm vraagt om een regelmatige technische controle van uw informatiesystemen op kwetsbaarheden. Voor belangrijke en complexe systemen, zoals zelfgebouwde webapplicaties, cloudomgevingen en diensten die aan het internet hangen, is een kwetsbaarheidsscan niet genoeg. Een ISO 27001-auditor verwacht dan een penetratietest.

Een ISO 27001 pentest (kort voor penetratietest) is een technisch onderzoek dat kwetsbaarheden in uw informatiesystemen opspoort en aantoont dat uw beveiligingsmaatregelen werken. Het rapport gebruikt u als bewijs tijdens de certificeringsaudit en de tussentijdse audits.

Waarom en wanneer is een ISO 27001 pentest belangrijk?

Een ISO 27001 pentest is niet altijd verplicht, maar voor organisaties met complexe of belangrijke systemen vaak wel nodig om de certificering te halen. Of u een pentest laat uitvoeren, baseert u op uw risicoanalyse en op de indeling van uw assets. Norm A.12.6 vraagt een regelmatige technische controle. Of een kwetsbaarheidsscan volstaat of dat een pentest nodig is, hangt af van het risiconiveau van het systeem.

Een ISO 27001 pentest is verstandig in de volgende situaties:

• Voor uw ISO 27001-certificering, omdat de auditor het pentestrapport als bewijs verlangt voor norm A.12.6.
• Voor uw hercertificering, omdat een rapport van 3 jaar oud niet meer voldoet.
• Na een grote wijziging, zoals een nieuwe applicatie, een cloudmigratie of een aanpassing aan de infrastructuur.
• Bij belangrijke systemen, zoals zelfgebouwde webapplicaties, betalingsverwerking of systemen in de zorg en de financiële sector, die een pentest vragen in plaats van een scan.
• Na een beveiligingsincident, om te bevestigen dat de oplossing werkt en er geen nieuwe kwetsbaarheden zijn ontstaan.

Plan uw pentest 3 tot 4 maanden vóór de certificeringsaudit, zodat er tijd is om de bevindingen te verhelpen. Kritieke bevindingen moeten opgelost zijn, of formeel als geaccepteerd risico vastgelegd, voordat de auditor komt.

Wat valt er allemaal onder een ISO 27001 pentest?

Wat een ISO 27001 pentest omvat, hangt af van welke assets binnen de scope van ISO 27001 vallen en hoe die zijn geclassificeerd. We bepalen de scope aan de hand van uw asset-overzicht en uw risicoanalyse. Belangrijke assets, met hoge eisen aan vertrouwelijkheid, integriteit of beschikbaarheid, vragen om een volledige pentest.

Norm A.12.6 - technisch kwetsbaarhedenbeheer

De belangrijkste norm die om een pentest vraagt is A.12.6.1, over het beheer van technische kwetsbaarheden. Die norm vraagt dat u technische kwetsbaarheden opspoort, het risico inschat en ze verhelpt. Een pentest levert het technische bewijs dat u die norm goed heeft ingevoerd.

We testen de volgende A.12.6-controls:

• A.12.6.1 - Management of technical vulnerabilities - De technische controle op kwetsbaarheden en de inschatting van het risico
• A.12.6.2 - Restrictions on software installation - We toetsen dit door te proberen de beperkingen te omzeilen

Gerelateerde Annex A-controls

A.12.6 is de belangrijkste norm, maar een pentest levert ook bewijs voor andere controls uit Annex A die om een technische toets vragen.

We testen de volgende gerelateerde controls:

• A.9.2.3 - Management of privileged access rights - Privilege escalation testing
• A.9.4.1 - Information access restriction - Authorization testing en access control validatie
• A.10.1.1/A.10.1.2 - Cryptography - Encryption implementation en key management testing
• A.13.1.3 - Segregation in networks - Network segmentation en VLAN isolation testing
• A.14.2.1 - Secure development policy - Secure coding practices validatie

Richt de ISO 27001 pentest zich op webapplicaties, dan combineert u die goed met een webapplicatie pentest. Gaat het om uw infrastructuur, dan past een bedrijfsnetwerk pentest of Azure pentest erbij.

Methodieken

Een ISO 27001-auditor verwacht dat een pentest volgens vaste methodieken is uitgevoerd. Wij werken volgens internationaal erkende frameworks, die we in de rapportage noemen als bewijs dat de test vakkundig is gedaan.

We gebruiken de volgende methodieken:

• OWASP Testing Guide - Voor het testen van webapplicaties
• PTES - De Penetration Testing Execution Standard, voor infrastructuur
• NIST SP 800-115 - Technical Guide to Information Security Testing and Assessment

Waarom kiezen voor Hackify?

• Bewezen expertise - Ethische hackers met minimaal 5 jaar ervaring, 3 certificaten en relevante expertise per testonderdeel (niet branche minimum van 1 jaar en 1 certificaat)
  • Track record - Responsible disclosures bij Philips, Zoom, Oracle, Politie en vele anderen
  • Hackcompetitie winnaars - Prijzen bij Hack010, PVIB CTF, Hackerhotel en HackTheHague
• ISO 27001 expertise - Diepgaande kennis van norm A.12.6, de controls uit Annex A en de OWASP Top 10
• Direct contact - Geen accountmanagers, u spreekt rechtstreeks met de pentesters die uw test uitvoeren
• Flexibiliteit - Een ISO 27001 pentest is vaak binnen 2 tot 3 weken in te plannen

Meer over onze aanpak en expertise leest u op onze over ons-pagina.