Security Audits
1. Doel
Het doel van een security audit is het systematisch beoordelen van de beveiliging van systemen, applicaties en processen om:
- Risico's en kwetsbaarheden te identificeren
- Afwijkingen van interne standaarden vast te stellen
- Compliance met relevante normen te controleren
- Concrete verbeteracties te definiëren en prioriteren
Een security audit is onderdeel van ons continue security- en risicomanagementproces.
2. Scope
De scope wordt vooraf expliciet vastgelegd en bevat minimaal:
- Betrokken systemen (bijv. cloud, servers, applicaties)
- Betrokken processen (bijv. IAM, incident response, backups)
- Organisatorische onderdelen (bijv. development, operations)
- Periode waarop de audit betrekking heeft
- Type audit (intern / extern / technisch / compliance)
Zonder duidelijke scope wordt de audit niet gestart.
3. Type audits
3.1 Interne audit
Uitgevoerd door het interne team.
Doel: periodieke controle en snelle optimalisatie.
3.2 Externe audit
Uitgevoerd door een onafhankelijke partij.
Doel: objectieve beoordeling of certificering (bijv. ISO 27001, SOC 2).
3.3 Technische audit
Focus op infrastructuur, configuraties en code.
Voorbeelden:
- Vulnerability scanning
- Cloud IAM review
- OWASP-check
- Configuratie-audit (CIS benchmarks)
3.4 Proces- en compliance audit
Focus op beleid, procedures en governance.
Voorbeelden:
- Incident response procedure
- Backup- en restorebeleid
- Logging & monitoring beleid
- Toegangsbeheerproces
4. Procedure
Stap 1 - Scope & planning
- Scope vastleggen
- Stakeholders bepalen
- Tijdlijn bepalen
- Benodigde documentatie inventariseren
Stap 2 - Informatie verzamelen
- Policies en procesdocumentatie
- Systeem- en cloudconfiguraties
- IAM-overzichten
- Loginstellingen
- Resultaten van scans of pentests
- Interviews met verantwoordelijken
Stap 3 - Analyse
Vergelijking met:
- Interne security-standaarden
- Best practices (bijv. OWASP, CIS)
- Compliance-eisen
- Contractuele verplichtingen
Stap 4 - Rapportage
Het rapport bevat minimaal:
- Bevindingen (findings)
- Risico-inschatting
- Severity-classificatie
- Concrete aanbevelingen
- Prioritering
Stap 5 - Remediation
- Aanmaken van tickets
- Toewijzen van eigenaarschap
- Planning en deadline
- Re-test waar nodig
5. Severity-classificatie
| Niveau | Omschrijving |
|---|---|
| Critical | Direct exploiteerbaar risico of hoge kans op datalek |
| High | Serieus beveiligingsrisico dat snel opgelost moet worden |
| Medium | Reëel risico, inplannen voor oplossing |
| Low | Verbeterpunt / hardening |
| Info | Observatie zonder directe impact |
6. Rollen & Verantwoordelijkheden
Security verantwoordelijke
- Bepaalt scope
- Beoordeelt bevindingen
- Bewaakt opvolging
Tech Lead / DevOps
- Levert technische input
- Voert remediations uit
Management
- Keurt prioriteiten goed
- Beslist bij risico-acceptatie
Externe auditor (indien van toepassing)
- Onafhankelijke beoordeling
- Levert auditrapport
7. Output
Een security audit resulteert in:
- Een formeel auditrapport
- Een prioriteitenlijst met actiepunten
- Tickets in het interne systeem
- (Indien van toepassing) compliance-bewijs voor klanten of certificering
Alle auditrapporten worden centraal opgeslagen.
8. Frequentie
- Brede audit: minimaal jaarlijks
- Gerichte audit: bij grote architectuurwijzigingen
- Extra audit: na security-incident of klantverzoek
9. Minimale Audit Checklist
Toegangsbeheer
- MFA verplicht voor alle beheerders
- Least privilege toegepast
- Inactieve accounts verwijderd
Infrastructuur
- Geen publiek toegankelijke resources zonder noodzaak
- Firewallregels gecontroleerd
- Patchniveau actueel
Applicaties
- OWASP Top 10 gecontroleerd
- Secrets niet hardcoded
- Rate limiting waar nodig
Backups
- Backups aanwezig
- Restore getest
- Encryptie actief
Logging & Monitoring
- Security-events worden gelogd
- Alerts ingesteld
- Logs worden voldoende lang bewaard
10. Gerelateerde Documentatie
- Incident Response Procedure
- Access Management Policy
- Backup & Restore Policy
- Vulnerability Management
- Secure Development Guidelines