Terug
Gepubliceerd op 03/03/2021

2021_AlgCom_00008 - ICT-veiligheidsaudit en inzet ethische hackers - kennisname resultaten
algemene commissie
wo 10/03/2021 - 20:00 digitaal
Datum beslissing:
2021_AlgCom_00008 - ICT-veiligheidsaudit en inzet ethische hackers - kennisname resultaten 2021_AlgCom_00008 - ICT-veiligheidsaudit en inzet ethische hackers - kennisname resultaten

Motivering

Motivering

Ernst&Young voerde de audit uit in november 2020.

De audit van Ernst&Young bestond uit 5 onderdelen:

  • Interne aanvals- en penetratietesten
  • Externe aanvals- en penetratietesten
  • Analyse wachtwoordbeheer en andere authenticatiemechanismen
  • Analyse bedrijfscontinuïteit
  • Analyse kader en rapportering organisatiebeheersing & aanpak ICT-risico's.

De kwetsbaarheden die werden vastgesteld, werden opgedeeld in 3 categorieën (hoog risico, gemiddeld risico en laag risico):

  • Interne aanvals- en penetratietesten:
    • 2 kwetsbaarheden met een hoog risico, 4 met een gemiddeld risico en 2 met een laag risico
  • Externe aanvals- en penetratietesten:
    • 1 kwetsbaarheid met een hoog risico, 2 met een gemiddeld risico en 2 met een laag risico
  • Analyse wachtwoordbeheer en andere authenticatiemechanismen:
    • Het wachtwoordbeleid is onvoldoende sterk om gebruikers te verhinderen zwakke en eenvoudig te achterhalen wachtwoorden te gebruiken.
  • Analyse bedrijfscontinuïteit:
    • Er is geen bedrijfscontinuïteitsplan, waardoor het niet duidelijk is hoe bij een incident de continuïteit van de werking zal verzekerd worden, welke processen daarbij prioritair zijn en via welke stappen de werking kan worden hersteld. 
  • Analyse kader en rapportering organisatiebeheersing & aanpak ICT-risico's:
    • Er is een goedgekeurd kader voor organisatiebeheersing en zicht op enkele van de ICT-risico's aanwezig binnen de organisatie.

Doorlichting door de ethische hackers van Howest:

De ethische hackers deden een grondige scan van het netwerk. Er werd vooral gezocht naar open poorten en bijhorende kwetsbaarheden en naar zwakke wachtwoorden op ons intern netwerk. Onze externe toepassingen werden niet doorgelicht. De ethische hackers stelden 3 kwetsbaarheden vast.

In de BSC 2021 van informatieveiligheid werd een timing opgenomen voor het oplossen van de kwetsbaarheden. De voortgang zal dus opgevolgd worden via de rapporteringen over de BSC en in de informatieveiligheidscel.

De rapporten werden besproken op de informatieveiligheidscel van 28 januari 2021 en het MT+ van 22 februari 2021. Ze worden verder toegelicht op de algemene commissie.

Besluit

De algemene commissie beslist:

Artikel 1

De algemene commissie neemt kennis van de resultaten van de ICT-veiligheidsaudit en van de vaststellingen van de ethische hackers. 

Bijlagen

  • Basisaudit veiligheid - Rapport 2020 Ernst &Young.pdf