Blog:

De geschiedenis van 30 jaar cybersecurity

Lees verder

Courseware: niet alleen inzicht in de security risico’s, maar ook een heldere rapportage met concrete maatregelen

“Pinewood dacht vanaf het begin met ons mee. Waar andere aanbieders alleen de resultaten van de pentest overhandigen, gaat Pinewood verder door met ons mee te denken over de aanpak”. Dat zegt Herbert Jansen, CTO van The Courseware Company. Daarom kiest hij elk jaar weer voor een pentest van Pinewood.

The Courseware Company is een Nederlands bedrijf dat software-applicaties aanbiedt waarmee effectieve leerlandschappen ingericht kunnen worden. Deze leerlandschappen worden op maat gemaakt op basis van de behoeften van de klant. The Courseware Company zorgt ervoor dat het nieuwe Leer Management Systeem (LMS) of kennisportaal mee kan groeien en -bewegen met de organisatie en verzorgt ook trainingen, zodat klanten zelf aan de slag kunnen gaan met de software.

courseware pentest

De vertrouwelijke informatie die zich in de leerlandschappen van The Courseware Company bevindt moet goed beveiligd zijn. Met een ISO 27001 certificaat toont het bedrijf aan dat het voldoet aan de laatste internationale eisen op het gebied van informatiebeveiliging. The Courseware Company voldeed al geruime tijd aan deze norm, maar de vraag naar pentesten vanuit klanten werd steeds groter. Dit was één van de drijfveren waarom de The Courseware Company een pentest wilde laten uitvoeren op hun Online leeromgevingen. Wat een pentest is en wat een goede pentest voor de The Courseware Company betekent, leest u in dit klantenverhaal.

 

Wat is een pentest?

Een pentest is een gecontroleerde aanval op een systeem van buitenaf met als doel kwetsbaarheden van het systeem bloot te leggen. Er worden doorgaans dezelfde methoden en technieken gebruikt als bij een echte aanval, zodat een echte aanval zo realistisch mogelijk kan worden. Pentesten zijn er in verschillende aanvalssenario’s afhankelijk van de hoeveelheid kennis die de pentester over het aanvalsdoelwit heeft: • Black-box: Een Blackbox pentest houdt in dat de pentester nauwelijks voorkennis heeft van het doelsysteem (hooguit het IP-adres of domeinnaam). Deze test is uitermate geschikt om de veiligheid van de firewall, gebruikte serversoftware of publieke websites te testen. • Grey-box: Een Greybox pentest houdt in dat de pentester beschikt over beperkt verstrekte informatie. Een Greybox pentest is geschikt om te testen of achterliggende netwerken en systemen veilig zijn voor bijvoorbeeld geautoriseerde gebruikers. Hierbij krijgt Pinewood beperkte uitleg over het doelsysteem en bijvoorbeeld een gast- of medewerkersaccount. • White box: Biedt een zeer nauwkeurige analyse van informatiebeveiliging. Bij een Whitebox pentest heeft de pentester alle relevante informatie zoals netwerkarchitectuur, functionele en technische ontwerpen. De pentest heeft doorgaans een sterke focus op één systeem, service of functie. Voorbeelden hiervan zijn het testen van de beveiliging van een website, het testen van de toegang tot een interne server of het evalueren van een Online leeromgeving zoals bij The Courseware Company.

Pentesten rapporten van grote waarde.

The Courseware Company heeft de pentest voornamelijk ingezet om aan te tonen dat zij voldoen aan de ISO 27001-norm. Om de (web) appliciaties te testen hebben zij verschillende methodes ingezet. Vertrouwen is een belangrijke voorwaarde Pinewood en The Courseware Company werken nu al sinds 2014 samen, maar die begon pas na een weloverwogen afweging vanuit The Courseware Company. “We hebben verschillende partijen vergeleken, maar met Pinewood hadden we gelijk vanaf het begin goed contact”, zegt Herbert Jansen, CTO van The Courseware Company. “In de pentestrapporten van Pinewood staan de security risico’s helder beschreven. Daarnaast is er een prioritering aangebracht en wordt er een helder advies meegegeven voor passende maatregelen”. Zij waren destijds, net als The Courseware Company, nog niet zo groot en dat paste heel goed bij elkaar. Geen grote enterprises, maar kleinere partijen van Nederlandse bodem. Daarnaast was ook het vertrouwen een belangrijke voorwaarde in de keuze voor Pinewood. “Bij Pinewood voelde het gewoon goed”, zegt Jansen. Bij andere aanbieders ontbrak die klik om diverse redenen, maar Pinewood hield het juiste gemiddelde tussen vertrouwen, professionaliteit en prijs.

Communicatie en afstemming essentieel

The Courseware Company heeft eerst een proeftest laten doen met een tweetal sites waarin uitgebreid het doel van de test werd besproken en de eventuele aandachtspunten. Het is belangrijk dat dit soort zaken goed van tevoren in kaart worden gebracht, de pentesten worden immers gedraaid op de productiesites van klanten. De uitkomsten van een pentest zijn vaak heel verschillend. Security risico’s ontstaan veelal door kwetsbaarheden in de inrichting van een systeem of netwerk of in de software. Bij het vinden van risico’s staat de The Courseware Company in nauw contact met de leverancier, zodat risico’s snel gemitigeerd kunnen worden. Zo zorgt de The Courseware Company ervoor dat de beveiliging op het juiste niveau is en blijft.

Proactief in plaats van reactief.

“Pinewood dacht vanaf het begin met ons mee. Waar andere aanbieders alleen de resultaten van de pentest overhandigen, gaat Pinewood verder door met ons mee te denken over de aanpak”, zegt Jansen. In de pentestrapporten van Pinewood staan de security risico’s helder beschreven. Daarnaast is er een prioritering aangebracht en wordt er een helder advies meegegeven voor passende maatregelen. Met dit rapport kan The Courseware Company aantonen dat zij voldoen aan de eisen van de ISO 27001-norm.

Wilt u meer weten over wat Pinewood voor u kan betekenen? Vraag dan vrijblijvend onze brochure aan over Pentesten of neem contact op met één van onze IT Security Specialisten via info@ pinewood.nl of bel 015 – 251 3636

 

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl