In eerdere artikelen hebben we het gehad over de weerbaarheid tegen phishing-e-mails en vishing. Maar laten we niet vergeten dat kwaadwillenden ook fysiek jouw gebouw kunnen binnendringen om toegang te krijgen tot de ICT-omgeving. Vallen onbekende personen op bij jouw medewerkers? Je kunt dit testen met een Mystery Guest Assessment.

Test de alertheid tegen indringers!

Een Mystery Guest Assessment is een test waarbij een onaangekondigde bezoeker (mystery guest) probeert fysiek toegang te krijgen tot de school, het bedrijf, of het kantoorpand van jouw organisatie. Wordt deze persoon aangesproken en gevraagd wie hij is en wat hij komt doen? Onze ‘Mystery Guest’ dienst test de beveiliging van het gebouw en controleert of iedereen zich aan de veiligheidsafspraken houdt. Als verantwoordelijke voor de beveiliging wil je zeker weten dat de maatregelen en investeringen die je hebt gedaan, daadwerkelijk werken.

Gecombineerd met een hackpoging

Naast de fysieke poging om binnen te komen, proberen we ook een apparaat in het lokale netwerk te plaatsen, een IP-adres te verkrijgen en digitale toegang van buitenaf op te zetten.

Hoe wordt het Mystery Guest Assessment uitgevoerd?

Met goedkeuring van jouw organisatie doet de mystery guest zich voor als iemand anders, bijvoorbeeld een medewerker van een leverancier, en probeert zo ver mogelijk het gebouw binnen te dringen. Daarbij brengen we zoveel mogelijk “datalekken” of beveiligingsrisico’s in kaart. Dit kan variëren van onbeveiligde vertrouwelijke informatie, zoals post-its met wachtwoorden, tot achtergelaten documenten bij printers of toegangspassen die onbeheerd op bureaus liggen. Al deze vertrouwelijke informatie wordt door de mystery guest verzameld en via camera- en/of videobeelden vastgelegd.

Resultaten van een Mystery Guest Assessment

Na het assessment krijgt jouw organisatie antwoord op vragen zoals:

• Zijn mijn medewerkers alert? Onderkennen ze incidenten op tijd en ondernemen ze de juiste acties?
• Welke informatie kan iemand stelen als hij eenmaal binnen is?
• Wordt gevoelige informatie veilig opgeborgen door medewerkers?
• Kan een niet-geautoriseerde persoon toegang krijgen tot de locatie en de informatiestromen?
• Is het mogelijk om een fysiek apparaat in het netwerk te plaatsen en digitale toegang van buitenaf te verkrijgen?
• Kunnen onbevoegden gemakkelijk binnendringen en onopgemerkt vertrekken?
• In hoeverre kunnen indringers gevoelige informatie bemachtigen of beïnvloeden?
• Beseffen medewerkers de waarde van informatie voor de organisatie?

Resultaat en vervolgstappen

Na afloop ontvang je een uitgebreide rapportage, in het Engels of Nederlands, afhankelijk van jouw voorkeur. De rapportage bevat alle noodzakelijke details, inclusief transcripties, en geeft inzicht in de weerbaarheid van jouw organisatie tegen (fysieke) social engineering-aanvallen.

Op basis van de conclusies en aanbevelingen kunnen er vervolgstappen worden genomen om de beveiliging van jouw ICT-omgeving te verbeteren en de alertheid van je medewerkers te verhogen. Zo wordt de kans dat een echte hackpoging slaagt, tot een minimum beperkt.

Als uit de score blijkt dat er verbeterpunten zijn, kunnen online Security Awareness Trainingen, net als bij Phishing Campagnes, een goede oplossing zijn. Dit is een toegankelijke manier om de kennis van medewerkers over cybersecurity te vergroten.

Heb je vragen over het uitvoeren van een Mystery Guest Assessment binnen jouw onderwijsinstelling of organisatie? Wij staan klaar om je te helpen!