5.6.2. Welke risico's dekken we af?
De bedoeling van al deze oefeningen is om kwetsbaarheden te identificeren. Gelet op de aard van de oefeningen is niet te voorspellen welke kwetsbaarheden naar boven komen. Deze kunnen betrekking hebben op alle drie kwaliteitskenmerken van informatie: vertrouwelijkheid, integriteit en beschikbaarheid.
Het is wel zo dat bij bijvoorbeeld penetratietesten de scope zo te bepalen is, dat er een focus ontstaat op één bepaald soort kwetsbaarheid. Dit kan ook specifiek het doel zijn van een test: het beoordelen van één specifiek risico. Dit doe je in overleg met je specialist Informatieveiligheid.Â
De vuistregel is dat hoe vroeger je een kwetsbaarheid identificeert, hoe makkelijker én hoe goedkoper het is om ze op te lossen.
Alle (best) practices en technieken die in dit document beschreven staan, zijn onderhevig aan risicoanalyses. Elke kwetsbaarheid moet je analyseren in haar context en op basis van die analyse bepalen hoe je ermee omgaat. De kwetsbaarheid moet ook effectief uitbuitbaar (‘exploitable’) zijn en een reëel risico vormen. Het is aan elke (toepassings)eigenaar om te beslissen welke kwetsbaarheden zij oplossen. Voor eventuele restrisico’s geldt dat er een risicoaanvaarding nodig is.
Rapportering over de gevonden kwetsbaarheden gebeurt uiteraard binnen de eigen entiteit volgens de daar geldende procedures. Van zodra er kwetsbaarheden geïdentificeerd zijn die impact kunnen hebben op andere entiteiten, moet dit duidelijk gecommuniceerd worden. Bij gedeelde infrastructuur bijvoorbeeld moet duidelijk zijn, wie welk issue moet oplossen.
Bijvoorbeeld: Je laat een penetratietest afnemen op je toepassingen die gebruik maakt van een bouwsteen van Het Facilitair Bedrijf. Als er in die bouwsteen kwetsbaarheden zijn, moet de eigenaar van die bouwsteen het probleem oplossen. Je lost enkel kwetsbaarheden op over domeinen waar je zelf voor verantwoordelijk bent.Â