Cybersecurity is een continu proces. Bij CACI werken we dagelijks aan de beveiliging van Osiris, ons studentinformatiesysteem. Remko Dijkstra, security officer bij CACI, vertelt in dit artikel hoe de samenwerking met studenten van de Hogeschool van Amsterdam (HvA) daaraan heeft bijgedragen.
Bij CACI zijn we voortdurend bezig met de beveiliging van Osiris. We werken aan verbeteringen, voeren interne controles uit en laten met regelmaat externe experts meekijken. Cybersecurity staat immers nooit stil: systemen veranderen, dreigingen evolueren en nieuwe technologieën brengen zowel kansen als risico’s met zich mee.
Een van de manieren waarop we de beveiliging van Osiris testen, is via een penetratietest (kortweg: pentest). Daarbij wordt onderzocht hoe goed de Osiris-applicaties, en de SaaS-infrastructuur waarin deze beschikbaar worden gesteld, bestand zijn tegen dreigingen van buitenaf. Dit kan op verschillende manieren: zonder voorkennis (blackbox), met beperkte informatie (greybox) of met volledige toegang (whitebox). In alle gevallen geldt dat bevindingen uit pentests waardevolle inzichten bieden waarmee we de veiligheid van Osiris kunnen verbeteren.
Samenwerken aan cybersecurity
Omdat cybersecurity een vakgebied is dat constant in ontwikkeling is, vinden we het belangrijk om toekomstige specialisten op te leiden. Daarom werkten we samen met Cuccibu en de Hogeschool van Amsterdam (HvA) om studenten praktijkervaring te laten opdoen. Gezamenlijk hebben we als doel om mensen op te leiden op het gebied van cybersecurity.
We vinden het belangrijk om kennis te delen en studenten te begeleiden bij echte security-uitdagingen. Zo krijgen zij de kans om met een realistische opdracht aan de slag te gaan. Onder begeleiding van een pentest-expert van Cuccibu gingen twee studenten aan de slag om de beveiliging van de specifieke Osiris-toegangslaag voor koppelingen – de Osiris API – te testen.
Beveiliging is essentieel
Deze samenwerking past in ons bredere securitybeleid. We voeren twee keer per jaar interne securityscans uit op alle Osiris-modules, waarbij we met verschillende tools zoeken naar mogelijke verbeterpunten. Daarnaast wordt er elk jaar een externe pentest uitgevoerd door een gespecialiseerde externe partij. Vaak worden pentests in opdracht van een onderwijsinstelling uitgevoerd. Bij beveiliging willen we nooit alleen op onze eigen kennis vertrouwen. We vinden het juist waardevol om verschillende externe partijen met een frisse blik naar Osiris te laten kijken. Zo verkrijgen we bevindingen vanuit verschillende perspectieven, wat bijdraagt aan een zo veilig mogelijk Osiris.
Blijven leren en verbeteren
De pentest met de HvA-studenten leverde geen bevindingen op, maar zorgde wel voor nieuwe inzichten en was boven alles een waardevolle leerervaring voor iedereen die erbij betrokken was. We hebben samen met Cuccibu en een cybersecurity professional de studenten begeleid in hoe je een security-analyse uitvoert, bevindingen rapporteert en verbetervoorstellen opstelt. Die ervaring nemen ze mee in hun verdere carrière. Voor ons was het bovendien een mooie kans om de beveiliging van Osiris vanuit een ander perspectief te laten bekijken.
Door samen te werken met studenten, experts en externe securityspecialisten, zorgen we ervoor dat de beveiliging van Osiris steeds verder wordt aangescherpt. Cybersecurity is geen eindpunt, maar een doorlopend proces. Juist door kennis te delen en verschillende perspectieven te combineren, kunnen we als collectief continu verbeteren.