Nieuwsgierig wat AVAQ voor jou kan betekenen? Neem direct contact op of stel je vraag.
Mystery guest
Test je beveiligingsmaatregelen en ontdek waar je kwetsbaar bent
Je neemt als bedrijf alle mogelijke beveiligingsmaatregelen op organisatorisch, bouwkundig en elektronisch gebied. Procedures zijn helder omschreven en medewerkers getraind. Er kan niets meer misgaan. Althans, dat denk je. Maar is iedereen nog steeds even alert als het om veiligheid gaat? Ontstaan er door (on)bedoeld foutief menselijk handelen misschien toch scheurtjes in het beveiligingsschild? Of, vind je dat de beveiliging in jouw bedrijf naar een hoger niveau moet en wil je weten waar verbeteringen mogelijk zijn? Een beveiligingsaudit zoals een mystery guest bezoek geeft hier inzicht in.
Wat is een Mystery Guest bezoek?
Met een mystery guest bezoek proberen wij de kroonjuwelen van je organisatie te pakken te krijgen en brengen we kwetsbaarheden van de beveiliging in kaart. Hoe ver we komen tijdens onze intrudertest? Dat is voor ons ook een verrassing. Dat het nuttig is om een mystery guest bezoek uit te voeren, tonen de cijfers aan. Van de mystery guest bezoeken die wij de afgelopen jaren hebben verzorgd, blijkt dat bij 95% van de bedrijven verbetering op het gebied van security noodzakelijk is. De security experts van AVAQ geven je graag advies om jouw beveiliging naar een hoger niveau te brengen.
We hanteren globaal twee vormen van mystery guest bezoeken, namelijk de fysieke en de digitale test.
“Hij zei dat hij gebak kwam brengen, dus ik heb hem door laten lopen zonder zijn tas te controleren. Tsja, vervolgens liep hij naar buiten met drie tablets. Gestolen. Hij zwaaide zelfs nog bij het weggaan!”
Een fysiek Mystery Guest bezoek
Bij een fysieke intrudertest beoordelen we de fysieke beveiliging van je organisatie. Daarbij letten we niet alleen op het gedrag van een beveiliger of receptionist, maar ook op dat van de andere medewerkers in het bedrijf.
- Hoe ver komen we zonder ons aan te melden?
- Maakt de beveiliging het ons lastig of kunnen we gewoon doorlopen?
- Spreken medewerkers ons aan als we zonder begeleiding door het bedrijf lopen?
- Kunnen wij bij producten of fysieke informatie komen?
- Staan er ruimtes open die eigenlijk op slot zouden moeten zijn?
- Heeft de medewerker die in een overleg zit, zijn computer uitgeschakeld?
- Liggen er vertrouwelijke documenten open en bloot op bureaus?
- Hoe handelt de eventuele beveiligingsdienst bij het forceren van een alarm?
Allemaal zaken waar we naar kijken. Zodat we de zwakke plekken kunnen vaststellen en je kunnen wijzen op mogelijke verbeteringen.
Omdat beveiliging iedereen aangaat, geven we veel aandacht aan de bewustwording hiervan. Dat doen we met de awareness kaarten. Als hier aanleiding voor is, laten we die achter op de werkplek van de medewerker. Zodat hij of zij zich bewust is van het eigen handelen. O ja, en als we weggaan proberen we ook nog wat mee te nemen: een product of een document, we zien wel.
Een digitaal Mystery Guest bezoek
Bij deze securitytest proberen wij toegang te krijgen tot een computersysteem, netwerk of applicatie. Het doel hiervan is om zwakke punten in de online beveiliging te vast te stellen, zodat deze kunnen worden versterkt voordat kwaadwillende partijen er eventueel misbruik van maken.
Het uitvoeren van intrudertests is belangrijk om de algehele veiligheid binnen je bedrijf te waarborgen en ervoor te zorgen dat beveiligingssystemen voldoen aan de gestelde eisen. Het geeft inzicht in de zaken die mogelijk verbeterd moeten worden om ongeautoriseerde toegang te voorkomen. Bij AVAQ staat hierbij voorop dat we vooral kijken naar wat er beter kan. En daarvoor moeten we weten wat er ‘fout’ gaat.
Voor de digitale mystery guest bezoeken, die ook wel pentesten worden genoemd, werken we samen met gespecialiseerde partners.
“Hij was de nieuwe collega, zei hij, toen hij me belde. Net begonnen. Of hij de code van het alarm mocht hebben, want hij had zijn autosleutels laten liggen. Had ik die code maar niet gegeven.”
Awareness direct op de werkvloer
Bij AVAQ geloven we dat bewustwording de eerste stap is naar een veiligere werkomgeving. Iedere medewerker heeft een relevante rol om de organisatie veilig te houden. Daarom maken wij gebruik van ‘Security-Proof’-kaartjes: een directe en interactieve manier om het securitybewustzijn binnen jouw organisatie direct te vergroten.
Na een mystery guest bezoek van AVAQ kunnen je medewerkers een opvallend kaartje op hun werkplek vinden. Dit kaartje geeft direct feedback over hun security awareness – zijn ze ‘Security Proof’ of niet? Met een snelle scan van de QR-code op het kaartje worden ze geleid naar een korte, informatieve video die belangrijke aspecten van security awareness belicht.
Deze aanpak stimuleert medewerkers om stil te staan bij hun dagelijkse gewoontes en bevordert een veiligheidscultuur binnen jouw organisatie.
Instrumenten die we inzetten voor een mystery guest bezoek
Inlooptest
Met de inlooptest beoordelen we de effectiviteit van de fysieke beveiligingsmaatregelen door te testen hoe gemakkelijk we onopgemerkt het gebouw of beveiligde zones kunnen binnendringen. We simuleren een poging om als onbevoegde persoon toegang te krijgen, hiervoor kunnen we ons voordoen als postbezorger, monteur of iemand die tompoucen komt brengen.
De inlooptest biedt inzicht in de status van beveiligingsinfrastructuur en de alertheid van jouw medewerkers. We beoordelen bijvoorbeeld de respons op onze aanwezigheid als onbekende bezoeker: wordt er om identificatie gevraagd, worden we aangesproken?
Social engineering doormiddel van telefonisch contact
Social engineering is een vorm van manipulatie gericht op het misleiden van mensen. Hierbij wordt geprobeerd toegang te krijgen tot vertrouwelijke informatie, systemen of gebouwen. Social engineering maakt gebruik van de zwakheden in ons gedrag. Het speelt in op onze menselijke emoties, nieuwsgierigheid, angst of vertrouwen. Met als doel om zo technische beveiligingsmaatregelen te omzeilen. Wij proberen wachtwoorden, informatie of toegang tot computers te verkrijgen met een simpel telefoontje. Want ja, tegenwoordig zijn zelfs stemmen te klonen, dus weet je wel zeker met wie je belt?
Rubber duckies - USB Drop
Een rubberen eendje, met ingebouwde USB-stick. Gekregen van iemand. Gewoon, als relatiegeschenk. Of hij lag ineens op een bureau… Wij zijn benieuwd of dit geschenkje zo wordt ingeplugd in de computer. Zonder dat men weet wat er op de USB-stick staat. Want ja, zo’n lief, geel rubberen eendje: daar zoek je toch geen kwaad achter?
Droneverkenning
De dreiging kan ook van boven komen! Met een drone kunnen kwaadwillenden zonder dat je het in de gaten hebt, van bovenaf een blik op je bedrijf werpen. Wat zien zij dan? Een zwakke plek in de beveiliging of een mogelijkheid om de productie te saboteren? En stel voor dat er echt wat wordt geworpen: wat zijn dan de gevolgen? Wij onderzoeken of de drone wordt gesignaleerd en wat er dan gebeurt.
Phishing mails, sms, whatsapp berichten en analoge post
Phishing (hengelen) is een vorm van cybercrime waarbij criminelen een e-mail, sms, een whatsapp bericht of zelfs analoge post naar je sturen. Op deze manier proberen ze bijvoorbeeld inloggegevens, creditcardinformatie, pincodes of andere persoonlijke gegevens van je te achterhalen. Vaak is de zogenaamde afzender je bank, creditcardmaatschappij of een andere betrouwbare instantie. In het bericht staat bijvoorbeeld dat de bank je gegevens wil controleren vanwege een update of dat je rekening is geblokkeerd. Of je zou een prijs hebben gewonnen of een erfenis krijgen. Door de betrouwbaar ogende afzender kun je geneigd zijn te antwoorden op de vraag om je inloggegevens of pincode. Ook onze mystery guests proberen op deze manier achter informatie te komen. Gelukkig zijn onze mails niet kwaadaardig!
Digitale penetratietesten
Bij een digitale penetratietest, ook wel pentest genoemd, testen ervaren en gecertificeerde hackers je digitale voorzieningen op beveiligingsproblemen. Welke gegevens kunnen van buitenaf benaderd worden? Kan de besturing van een robot of andere smart apparatuur worden gemanipuleerd? Wij duiken met het grootste enthousiasme in nieuwe vraagstukken! Of het nu gaat om een website, applicatie, netwerk of een productierobot. Bij deze vorm van legal hacking heb je de zekerheid dat je op ons kunt vertrouwen, wij vragen geen losgeld voor “buitgemaakte”gegevens.
Aanvullende diensten om een fysiek mystery guest bezoek nog vollediger te maken
Visitatie van binnenkomende en uitgaande medewerkers
Dit is een aanvullende dienst die in combinatie met intrudertests kan worden uitgevoerd. Hierbij controleren we of medewerkers geen ongewenste middelen of voorwerpen meenemen in en uit de werkomgeving, afgestemd op de richtlijnen van je organisatie. Tijdens een visitatie controleren we ook het identiteitsbewijs op geldigheid. Zodat je weet dat je ook daarmee aan de wettelijke eisen voldoet.
Werkplekscan
Ook dit is een aanvullende dienst. Hierbij kijken we naar alle maatregelen en procedures op de werkvloer die te maken hebben met integriteit, veiligheid en beveiliging. We beoordelen deze en na afloop van onze ronde ontvang je een uitvoerige rapportage met aanbevelingen voor verbeteringen. Dit is goed te combineren met een intrudertest. Als we binnen zijn (of niet) melden wij ons en scannen wij de werkomgeving.
Onze aanpak
Welke vorm van een mystery guest je ook kiest, je ontvangt van ons na afloop van een securitycheck altijd een rapportage. In dit uitgebreide adviesrapport staan onze waarnemingen, conclusies en aanbevelingen.
Middels onze rapportage krijg je inzicht in de kwetsbaarheden van de beveiliging en de weerbaarheid van de organisatie tegen mogelijke bedreigingen. Als specialist op het gebied van security compliance refereren wij in onze rapportage naar van toepassing zijnde wet- en regelgeving.
Dit rapport bespreken we en we bekijken samen wat de verbeterpunten zijn in de beveiliging en het veiligheidsdenken. We hanteren daarbij de AVAQ PDCA-cyclus.
Plan
Wij maken een afspraak voor het inrichten van het beveilingsbeleid en/of een intruderplan.
Do
We beginnen met het in gezamenlijk overleg opstellen van een beveiligingsplan en/of een intruderplan.
Check
Door middel van mystery guest bezoeken testen we de beveiligingsmaatregelen.
Act
We stellen vast wat er beter kan en hoe je als organisatie hierop kan anticiperen.
Waarom een Mystery Guest van AVAQ?
Onze security experts begrijpen wij als geen ander dat beveiliging doorlopend getest moet worden om daadwerkelijk te kunnen beschermen wat van waarde is. Dreigingen en mogelijke daders veranderen en beveiligingsmaatregelen, of het ontbreken hiervan, brengen altijd kwetsbaarheden met zich mee. Zeker over verloop van tijd. Deze kwetsbaarheden wil je inzichtelijk hebben om ‘in control’ te blijven. Niet alleen om te beschermen wat van waarde is, maar ook in verband security compliance.
Wij richten ons direct op het vergroten van het veiligheidsbewustzijn van de medewerkers, onder andere met onze ‘awareness kaartjes’. Beveiliging is ten slotte een gedeelde verantwoordelijkheid en de medewerkers zijn een cruciale verdedigingslinie.
