Het testprogramma voor Vermogen van een onderneming om haar verrichtingen verder te blijven uitvoeren, zelfs bij digitale storingen, zoals pannes, cyberaanvallen of technische defecten. voorziet, overeenkomstig het Krachtens het evenredigheidsbeginsel vervat in de DORA-verordening kan een financiële entiteit voor een pragmatische aanpak opteren, die is aangepast aan de grootte en de schaal van haar verrichtingen, met dien verstande dat de toepassing van dat beginsel er niet mag toe leiden dat die entiteit wordt vrijgesteld van de toepassing van de volledige Verordening. , in de uitvoering van passende tests, zoals:
- Kwetsbaarheidsbeoordelingen en –scans (vulnerability assessments and scans)
Aan de hand van de kwetsbaarheidsbeoordeling (vulnerability assessments) kunnen de organisaties in hun systemen potentiële zwakheden zoeken inzake beveiliging. Deel van deze aanpak is een analyse van de kwetsbaarheden (vulnerabilities) die tot doel heeft te bepalen of de onderneming aan bekende kwetsbaarheden (vulnerabilities) is blootgesteld. Daarbij kent zij een ernstniveau toe aan die kwetsbaarheden (vulnerabilities), en formuleert ze aanbevelingen in verband met de noodzaak om een geïdentificeerde dreiging te beperken of te corrigeren. - Open-source analyses
De entiteit moet een catalogus opstellen en bijhouden van de gebruikte “open-source” bibliotheken (open-source libraries) en toepassingen (open-source applications). Die catalogus zal worden gebruikt bij de identificatie van de gekende kwetsbaarheden (vulnerabilities) waaraan onderdelen van ICT-assets die gebruik maken van deze bibliotheken en toepassingen mogelijk zijn blootgesteld. Deze oefening moet regelmatig worden uitgevoerd en dit naarmate nieuwe kwetsbaarheden (vulnerabilities) worden ontdekt en gepubliceerd. - Beoordelingen van netwerkbeveiliging (network security assessments)
De beveiligingstests van het netwerk worden uitgerold om de goede werking van alle genomen beveiligingsmaatregelen te garanderen. Deze tests worden doorgaans uitgevoerd tijdens de fases van implementatie en ingebruikname, eens het systeem is ontwikkeld, geïnstalleerd en geïntegreerd. - Kloofanalyses (gap analyses)
De kloofanalyse (gap analysis) biedt de entiteiten een perspectief om op de beste manier hun doelstellingen te verwezenlijken. Bij deze analyse wordt de huidige stand van zaken vergeleken met de ideale stand van zaken of met doelstellingen, waarbij wordt gefocust op lacunes en verbeterpunten. - Beoordelingen (assessments) van fysieke beveiliging
De fysieke beveiliging is een essentieel onderdeel van het beheer van een financiële entiteit en impliceert de implementatie van beveiligingsmaatregelen, zoals de plaatsing van sloten en camera’s, en de vaststelling van processen en procedures voor het beheer van de toegang tot de gebouwen en de bewaking van de gebouwen. De beoordeling (assessment) van de fysieke beveiliging maakt het mogelijk om het niveau van bescherming van het gebouw en de aanwezigen in het gebouw te bepalen tegen verschillende dreigingen zoals vandalisme, diefstal, spionage of terrorisme. - Vragenlijsten en scanningsoftwareoplossingen (scanning software solutions)
Het scannen van het netwerk strekt ertoe de IP-adressen en de open poorten te identificeren op de actieve hosts, de gebruikte besturingssystemen (operating systems) en de architectuur van het doelsysteem. Met deze techniek kunnen ook de actieve diensten van het netwerk worden opgespoord en de mogelijke kwetsbaarheden (vulnerabilities) aan het licht worden gebracht. - Beoordelingen van broncodes (Source code review) indien mogelijk
Beoordeling van broncodes (Source code review) verwijst naar het systematische onderzoek van de broncode van een software. Bedoeling is bugs of potentiële kwetsbaarheden (vulnerabilities) aan het licht te brengen, en de ontwerpfouten te corrigeren om zo de kwaliteit, de onderhoudsmogelijkheden en de beveiliging van de software te verbeteren. - Scenariogebaseerde tests
Scenariogebaseerde tests zijn een gespecialiseerde vorm van proactieve beveiligingsbeoordeling. In tegenstelling tot de traditionele penetratietests die naar kwetsbaarheden (vulnerabilities) zoeken, beoordelen de scenariogebaseerde tests de resultaten van de cyberbeveiligingscontroles in het licht van specifieke vijandige tactieken en gedragingen. - Compatibiliteitstests
Via de compatibiliteitstest wordt nagegaan of een softwareapplicatie correct functioneert met de andere toepassingen, de verschillende browsers, databanken, besturingssystemen (operating systems), mobiele apparaten, netwerken en hardware. - Prestatietests (performance testing)
Via de prestatietest (performance testing) worden de prestaties van een computersysteem beoordeeld, met name door de responstijd te meten in functie van de aanvraag. De verzamelde informatie betreft de responstijden van de gebruikers, de responstijden van het netwerk en de nodige tijd om een aanvraag op de browser(s) te verwerken. - Eind-tot-eindtests (end-to-end tests)
Via de techniek van de eind-tot-eindtests (end-to-end tests) kan worden bepaald of een applicatie (mobiele applicatie, website, ...) zich – van begin tot einde – conform de verwachtingen van de gebruiker gedraagt. De tester kruipt in de huid van de gebruiker, waarbij hij de tests uitvoert alsof hij de beschikbare tool effectief gebruikt. Deze techniek controleert de functionaliteit van het front-end en bevestigt de kwaliteit van de integratie met de andere webdiensten en met het back-end. Deze tests worden doorgaans uitgevoerd na de functionele tests en na de bevestiging van de betrouwbaarheid van het systeem, net voor de lancering van de website of de mobiele applicatie. - Penetratietests
De penetratietest is een methode voor de beoordeling van de beveiliging van een informatiesysteem of een computernetwerk. Deze methode omvat in eerste instantie een verkenningsfase, waarbij de infrastructuur van een computernetwerk doorgaans wordt geanalyseerd, waarna, in een tweede exploitatiefase, een aanval van een kwaadwillende gebruiker of van malware wordt gesimuleerd.
De Financiële entiteiten waar minder dan 10 personen werkzaam zijn, en waarvan de jaaromzet en/of het jaarlijkse balanstotaal niet hoger liggen dan 2 miljoen euro. voeren voornoemde tests uit op basis van een combinatie van een op risico’s gebaseerde aanpak en een strategische planning van ICT-tests. Daarbij houden ze naar behoren rekening met het noodzakelijke evenwicht tussen enerzijds de hoeveelheid middelen en tijd die aan de in dit artikel bedoelde ICT-tests moet worden toegewezen, en anderzijds de urgentie, het soort risico, de Het kritieke karakter van informatie- en ICT-assets verwijst naar het belang en de gevoeligheid van de informatie binnen een organisatie, gemeten aan de hand van de potentiële impact die het verlies, de aantasting of de onbeschikbaarheid ervan heeft op de activiteiten en de beveiliging van de onderneming. van de Informatie- en ICT-assets zijn elk gegeven dat, elke informatie die of elk computersysteem dat van waarde is voor een organisatie, en een passende bescherming vereist. en van de geleverde diensten, alsmede alle andere relevante factoren, met inbegrip van het vermogen van de financiële entiteit om berekende risico’s te nemen.