richardk/iso27diy-corp
1
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions
iso27diy-corp/Clients/DAK/Pentest DAK.md

2.7 KiB
Raw Permalink Blame History

Uitgenodigde partijen:

De keuze is gevallen op Vitaen.

De rapportage is opgeleverd op 19 maart 2025.

Uitvraag

Beste ,

namens mijn opdrachtgever, DAK Kindercentra (Den Haag) wil ik jullie uitnodigen deel te nemen aan het selectietraject voor het uitvoeren van een pen-test.

De hoofdvragen waar we een antwoord op zoeken, zijn:

  1. hoe makkelijk/moeilijk is het om bij informatie/resources van DAK te komen?
  2. wat zijn de meest urgente risicos?
  3. met welke praktisch implementeerbare maatregelen kunnen deze risicos gemitigeerd worden?

Om deze vragen te beantwoorden stelt DAK een budget van max. 5 factureerbare dagen beschikbaar voor het uitvoeren van de testen en het opstellen van de rapportage.

Onze vragen aan jullie:

  1. Hoe willen jullie dit aanpakken?
  2. Wat hebben jullie daarvoor nodig van DAK?
  3. Wat gaan jullie hiervoor in rekening brengen?
  4. Wanneer kan de test uitgevoerd worden?
  5. Welke referenties en kwalificaties kunnen jullie overleggen?

Scope

Binnen de scope van deze scan vallen:

  1. Het uitvoeren van een test op/vanaf het Servicekantoor te Voorburg
  2. Het uitvoeren van een test op/vanaf één van de eigen kinderopvang locaties
  3. Het uitvoeren van een test op/vanaf één van de IKC locaties

De lokale infrastructuur op de eigen locaties is in opdracht van DAK geïmplementeerd door Informatel. De lokale infrastructuur op de IKC locaties is onder beheer van derden (hier wordt de kinderopvang geboden vanuit een school met een eigen infrastructuur).

De belangrijkste informatie-assets zijn:

  • On-premise op het Servicekantoor te Voorburg:

    • Citrix
    • Fileserver
    • SQL server
    • Applicatieservers

  • As a Service van externe leveranciers:

    • MS365, incl. en Azure, EntraID en Intune (door Eshgrow)
    • Jaamo
    • AFAS
    • TopDesk
    • Collaboration VoIP

Jaamo, AFAS, Topdesk en Collaboration zijn zelf geen onderwerp van de pentest, de door Eshgrow geleverde Microsoft omgeving is dat wèl. We noemen deze systemen omdat bijvangst hierover wel interessant is (login informatie die jullie op onze systemen aantreffen bijvoorbeeld).

Nadere afstemming

Als het voor de beantwoording van de vragen zinvol is om nader contact te hebben, kunnen we hiervoor een Teams call plannen in week 4.

Jullie antwoorden op de hierboven gestelde vragen ontvangen wij graag uiterlijk eind week 5.

Voordat nadere informatie verstrekt wordt, zullen we jullie vragen een NDA te ondertekenen.