SVC Groep benaderde Tozetta voor het uitvoeren van een penetratietest. Na een korte maar zorgvuldige selectie werd al snel duidelijk dat Tozetta de juiste partner was. In deze klantcase gaan we dieper in op de toegevoegde waarde van een pentest en de redenen waarom SVC Groep heeft gekozen voor Tozetta als pentestingpartner. Aan de hand van een gesprek met Richard Meinders krijgen we inzicht in hoe SVC Groep de samenwerking ervaart en welke impact dit heeft gehad op hun security aanpak.
Wat was voor jullie de belangrijkste reden om een pentest te laten uitvoeren?
Richard: ”Als auditorganisatie nemen wij onze klanten ‘de maat’ als het gaat om hun bedrijfsvoering, onder ander op het gebied van Privacy en informatiebeveiliging. Wij vinden daarom dat wij op dit gebied best of class moeten zijn. Wij hebben een aantal jaren geleden al eens een globale securitycheck laten uitvoeren. Hoewel liet geen veiligheidsrisico’s liet zien, is het ISO27001-traject dat we momenteel aan het opstarten zijn een goede aanleiding om onze applicatie grondig te laten testen.”
Waarom hebben jullie voor een samenwerking met Tozetta gekozen?
Richard: ”In ons netwerk kennen we meerdere partijen die gelijksoortige diensten leveren. Wij hebben met deze partijen een introductiegesprek gehad en hier kwam Tozetta als beste naar voren. De praktische aanpak en de korte lijnen gaven voor ons de doorslag.”
Welke inzichten zijn voor jullie het meest waardevol geweest?
Richard: ”Onze developers zijn gespecialiseerd in het bouwen van software en hebben security structureel hoog op de agenda staan. Een ethical hacker benadert software echter vanuit een ander perspectief, met een ander doel en andere ervaring. Tijdens deze pentest werd duidelijk dat ethical hackers fundamenteel anders denken dan developers, wat heeft geleid tot nieuwe inzichten en een scherper beeld van onze beveiliging.”
Hoe vertaalt Tozetta Reports technische bevindingen naar concrete actiepunten?
Richard: ”Voor mij zijn de concrete vulnerabilities abracadabra, gelukkig begrijp ik de managementsamenvatting en de mogelijke business impact. Onze developer begrijpt het rapport gelukkig wel volledig. Ieder zijn vak zullen we maar zeggen. In jullie omgeving worden de bevindingen voor hun duidelijk en met de juiste prioriteit weergegeven. Handig is ook dat hier goede instructies in staan om de gesignaleerde bevindingen op te lossen.”
Hebben jullie nog iets geleerd van de samenwerking met Tozetta?
Richard: ” De samenwerking is erg prettig verlopen. Ook de contacten tussen de ethical hackers en onze developer waren zeer nuttig en waardevol. Wat wij hebben geleerd is dat je, om de risico’s echt goed inzichtelijk te krijgen, volledig ‘out of the box’ moet kunnen denken. Tozetta kan echt helpen door een gecontroleerde pentest uit te voeren.”
Wat zou je andere organisaties meegeven over het belang van inzicht en aantoonbaarheid na een pentest?
Richard: ”Hoe goed je jouw werkzaamheden ook doet, je kijkt er altijd naar vanuit jouw visie en kaders op het gebied van dataveiligheid. Door het laten uitvoeren van een pentest wordt er ook eens kritisch naar jouw organisatie gekeken door derden. Het leert je dat deze toch altijd weer op een andere manier kijken en organisatie-onafhankelijk zijn. Dat betekent dat je van ‘denken’ dat het goed zit, overgaat naar ‘weten’ dat je goed zit. Dat is een geruststellend gevoel en draagt bij aan de kwaliteit van dienstverlening die je wil leveren.”
Blijf in controle over technische kwetsbaarheden
Veel organisaties laten periodiek een pentest uitvoeren om inzicht te krijgen in hun technische beveiliging. In de praktijk merken we dat veel relaties daarnaast behoefte hebben aan continu inzicht in kwetsbaarheden, juist tussen deze testmomenten door. Met Tozetta Reports voorzien we in beide: het uitvoeren van periodieke pentests voor diepgaande analyse én dagelijkse technische vulnerability scans voor doorlopend overzicht, gecombineerd met directe samenwerking met onze ethical hackers. Deze aanpak kan aanvullend op bestaande pentests worden ingezet, maar is ook los af te nemen.
Ontdek wat Tozetta voor jouw organisatie kan betekenen. Neem contact op of lees meer over Tozetta Reports.
Kom in contact met Tozetta
- Gratis advies
- Vrijblijvend
- Vernieuwde inzichten
