Mijn aanpak

Door mijn achtergrond in penetratietesten en red teaming heb ik een offensieve mindset ontwikkeld, ik denk altijd na over manieren om toegang te krijgen tot netwerken, systemen, applicaties en specifieke informatie. Hoewel ik penetratietesten en red teaming nog steeds erg effectief vind (als ze op de juiste manier worden uitgevraagd en uitgevoerd), geef ik nu zelf de voorkeur aan een meer pragmatische aanpak om inzicht te krijgen in de staat van beveiliging van een organisatie. In plaats van het uitproberen van allerlei soorten aanvallen kunnen we beter gericht de relevante maatregelen voor de organisatie bespreken.

Ik wil graag het belang benadrukken van IT teams voor beveiliging. Zij zijn minstens zo belangrijk als security teams, IT teams zijn namelijk degenen die daadwerkelijk de beveiliging verbeteren. Vaak zijn zij de experts op hun vakgebied. Security experts hebben IT teams nodig om uit te leggen hoe het werkt en soms ook om uit te leggen waarom sommige aanbevelingen niet werken. Security teams moeten dus goed samenwerken met IT teams. Zij moeten veel afstemmen met IT teams: welke wijzigingen komen eraan in het netwerk, welke nieuwe systemen, wat zijn de beheerprocedures, etc.

Ik ben van mening dat iedereen profiteert als beide teams transparant zijn over eventuele beperkingen in hun kennis over een onderwerp. Ik weet zeker niet alles en ik vraag geregeld om meer uitleg of moet zelf aanvullend onderzoek doen voordat ik gedegen advies geef.

Security experts zijn vaak gebaat bij meer kennis en begrip over hoe IT teams werken. IT experts kunnen vaak ook beter in hun werk worden door meer Security Minded te denken. We kunnen elkaars kennis versterken. Dus, laten we de koppen bij elkaar steken.