DAVE MAASLAND VAN ESET:

Transcriptie

1 JAARGANG 14 - MAART INFO SECURITY MAGAZINE DAVE MAASLAND VAN ESET: HET GAAT OM TOTALE IT-SECURITY PASSWORD ********* PASSWORD A B C D F G SPECIAL SECURITY-OPLEIDINGEN HOE VEILIG IS EEN PROGRAMMEERBARE INFRASTRUCTUUR? - PRIVACY HEEFT OMDENKEN NODIG - SECURITY INFORMATION & EVENT MANAGEMENT: TE MOOI OM WAAR TE ZIJN? - ENCRYPTIE IS BEZIG AAN EEN STEVIGE OPMARS - SELECTIE VAN DE BESTE APPLICATION DELIVERY CONTROLLERS - MODERNE SPIONNEN EN HOE DEZE DE HUIDIGE ONDERNEMING BEDREIGEN - BEVEILIGING VRAAGT OM CONTINUE AANPAK - INDUSTRIËLE INFRASTRUCTUUR ONDER VUUR

2 g Colofon - Editorial Infosecurity Magazine is het enige onafhankelijke vakblad in de Benelux dat zich expliciet bezighoudt met informatiebeveiliging. Het blad beweegt zich op het snijvlak van technologie en beleid. Vanaf het hekwerk tot in de boardroom. Toezending van Infosecurity Magazine vindt plaats op basis van abonnementen en controlled circulation. Vraag uw abonnement aan via abonnementen@fenceworks.nl. Uitgever Jos Raaphorst jos@fenceworks.nl twitter.com/raaphorstjos nl.linkedin.com/pub/dir/jos/raaphorst Hoofdredacteur Robbert Hoeffnagel robbert@fenceworks.nl twitter.com/rhoeffnagel nl.linkedin.com/in/robberthoeffnagel Advertentie-exploitatie Will Manusiwa will@fenceworks.nl Eindredactie/traffic Ab Muilwijk Vormgeving Media Service Uitgeest Druk Control Media Infosecurity magazine is een uitgave van FenceWorks BV Beatrixstraat CK Zoetermeer info@fenceworks.nl 2015 Niets uit deze uitgave mag op enigerlei wijze worden overgenomen zonder uitdrukkelijke toestemming van de uitgever. Meer informatie: Klanten In deze editie van Infosecurity Magazine besteden we extra aandacht aan security-opleidingen. De klassieke aanpak op dit gebied is het volgen van een technische cursus of workshop. Op die manier leren we immers het verschil tussen normaal en abnormaal dataverkeer, leren we concepten als Unified Threat Management doorgronden en zien we hoe we - als we daar tenminste budget voor krijgen - file-level security kunnen toepassen. Peter Vermeulen van onderzoeksbureau Pb7 Research constateert in zijn artikel terecht dat we daarmee nog altijd niet ten volle begrijpen wat er aan de hand is. IT-security is meer dan een indrukwekkend aantal digitale sloten op de deur spijkeren. Het gaat ook en misschien wel vooral om de mens. Die maakt veel fouten. Meestal onbewust, maar er zijn natuurlijk ook individuen die - bijvoorbeeld - wraak willen nemen na een in hun ogen onterecht ontslag. Het laatste lossen we weer technisch op (intrekken van toegangsrechten en dergelijke), maar het eerste is vooral bewustwording. En goede procedures. Stel nu dat we alle hiervoor genoemde maatregelen hebben genomen, zowel technisch als op menselijk vlak. Zijn we dan veilig? Toch niet, vrees ik. Er is namelijk nog een derde probleem: klanten. Of beter gezegd: mensen die zich als klant voordoen. Dit zijn fraudeurs, oplichters of hoe u hen ook wilt noemen. Zij praten zich bij een bedrijf naar binnen toe. Vaak op basis van een mooi verhaal over een apparaat of dienst waar een probleem mee zou zijn. Men wil dan uiteraard geld terug of iets dergelijks. Die groep blijft in de wereld van infosecurity nog vaak onbelicht. Het is meer iets voor een fraude-afdeling. De vraag is of dat terecht is. Want cybercriminelen lijken steeds vaker ook van dit kanaal gebruik te maken. Grote ondernemingen spenderen wereldwijd vele miljarden om dit soort misbruik tegen te gaan. Dat geld besteden zij bij bekende aanbieders van big dataen business analytics-technologie als SAP en SAS Institute. Met de tools van dit soort aanbieders zoeken zij in de enorme hoeveelheden data die zij verzamelen over klanten, partners, transacties en dergelijke naar abnormale patronen. Patronen die kunnen duiden op oneigenlijk gebruik van procedures. Maar lang niet alle communicatie tussen bedrijf en klant (of klant ) verloopt via online-formulieren of s. Vaak wordt ook simpelweg gebeld naar een call center. Daar babbelen dit soort criminelen zich redelijk soepel naar binnen. Van Grote ondernemingen spenderen wereldwijd vele miljarden om dit soort misbruik tegen te gaan een koppeling met systemen en processen voor IT-security is geen sprake. Die integratie moet snel komen. Grote bedrijven zijn dan ook op zoek naar tools om alle big data-technieken te koppelen aan - bijvoorbeeld - audio-analyses. Dat verklaart de grote belangstelling van venture capital-firma s voor bedrijven als Pindrop Security. Dit soort startups ontwikkelen technologie waarmee telefoontjes kunnen worden onderzocht: welke is afkomstig van een legitieme klant en welke van een potentiële frauderende klant of cybercrimineel? Dit soort tools laten zich prima koppelen aan bijvoorbeeld SIEM-oplossingen. Daarmee zetten we opnieuw een belangrijke stap in de strijd met de cybercriminelen. Robbert Hoeffnagel Hoofdredacteur Infosecurity Magazine 2 INFOSECURITY MAGAZINE - NR. 1 - MAART

3 Vendor Neutral OpenStack Exam EXIN has launched an vendor-neutral OpenStack cloud certification called EXIN Foundation Certification in OpenStack Software. This exam is aimed at ICT professionals who want to have their basic knowledge and understanding of OpenStack being tested and certified. Later on in 2015 a more technically oriented OpenStack certification aimed at developers and programmers will be launched. BENEFITS: Confirms competence in OpenStack technology Extensive options for further education Alligned with Cloud certification program Available in multiple languages ABOUT EXIN 30 years of experience in certifying the competences of ICT professionals Unmatched international recognition: EXIN Holding B.V. is the global independent certification institute for ICT-professionals. With 30 years of experience in certifying the competences of over 2 million ICT-professionals, EXIN is the leading and trusted authority in the ICT-market. EXIN is co-initiator of the ecompetence Framework and the original developer of ITIL exams. With over 1000 accredited partners EXIN facilitates exams and e-competence assessments in more than 125 countries and 20 languages. EXIN has strategic knowledge partnerships and expertise cooperation with companies such as Microsoft, IBM and EPI. 9 Box breidt uit met key management 38 Artikel Netskope Security Information & Event Management: Te mooi om waar te zijn? 40 Security Information & Event Management (SIEM) is bezig aan een opmars. De belofte rondom deze technologie is groot: Met het toepassen van deze technologie verkrijgt u zichtbaarheid over het volledige ITlandschap en kunt u afwijkingen ofwel cyberincidenten identificeren. Een terechte belofte? Of toch niet? Encryptie is bezig aan een stevige opmars 42 Encryptie, het versleutelen van informatie om deze onleesbaar te maken voor onbevoegden, wordt steeds belangrijker nu er veel meer aandacht is voor dataveiligheid en privacy dankzij onthullingen over de afluisterpraktijken van veiligheidsdiensten en de grote data hacks die in het nieuws komen. Denk aan de recent uitgekomen hack bij Gemalto. Encryptie is hot. Forrester heeft onlangs op basis van 52 criteria de belangrijkste leveranciers van endpoint encryptie in kaart gebracht. Sophos is koploper. 45 In drie stappen naar een veilig netwerk 48 Moderne spionnen en hoe deze de huidige onderneming bedreigen Beveiliging vraagt om continue aanpak 50 De security-branche wordt nu al geconfronteerd met uitdagingen die bepalend zullen zijn voor het bedreigingslandschap van morgen. Globalisering op de werkplek, Internet of Things en de enorme snelheid waarmee we zakendoen. Al deze ontwikkelingen maken het moeilijk om de steeds geavanceerdere cyberbedreigingen af te slaan en de beveiliging van het bedrijfsnetwerk op peil te houden. Een van de beste manieren om deze problemen op te lossen, is het hanteren van een proactieve, continue beveiligingsaanpak. Het is simpelweg niet langer toereikend om de beveiliging zo nu en dan onder de loep te nemen. Cybercriminelen bestoken bedrijfsnetwerken onophoudelijk en organisaties moeten hierop reageren met continue beveiliging. 52 Industriële infrastructuur onder vuur 54 Legal Look SPECIAL SECURITY-OPLEIDINGEN HET GAAT OM TOTALE IT-SECURITY 6 In de IT-beveiligingsbranche is er inmiddels wel consensus over: de traditionele Antimalwarebenadering is niet langer afdoende. Het gaat nu om totale IT-security. Beveiligingsspecialist ESET lanceerde daarom begin 2015 een compleet nieuw beveiligingsportfolio, dat weliswaar voortbouwt op de bekende NOD32-technologie maar voor de rest van de grond af is ontworpen en opgebouwd om moderne bedreigingen tegen te gaan. We zijn hiermee als het ware de alarmcentrale van organisaties voor wat betreft het veilig houden van hun IT-omgeving, zegt Dave Maasland, managing director van ESET Nederland. HOE VEILIG IS EEN PROGRAMMEERBARE INFRASTRUCTUUR? PRIVACY HEEFT OMDENKEN NODIG 12 De huidige staat van online-privacy in Nederland is zorgwekkend. Consumenten zeggen veel belang te hechten aan privacy. Woorden en daden blijken echter twee verschillende dingen. Dit blijkt uit onderzoek in opdracht van Kaspersky Lab. De onderzoeksuitkomsten waren aanleiding voor een privacy-debat met vooraanstaande experts. SELECTIE VAN DE BESTE APPLICATION DELIVERY CONTROLLERS INHOUD Veel mensen zien software-defined networking als een van de grootste veranderingen in de IT sinds de verschuiving van mainframes naar desktops. Overigens zijn het niet alleen LANs, WAN s en datacenternetwerken die consequenties ondervinden van deze verschuiving. Software krijgt steeds meer dominantie in alle onderdelen van de IT-infrastructuur en daar is een goede reden voor. Op software gebaseerde systemen beloven meer flexibiliteit, schaalbaarheid en automatisering. De gedachte is dat de volledige IT-omgeving direct op afstand te programmeren is. Daarmee is beter in te spelen op de dynamiek, waarmee organisaties tegenwoordig te maken hebben. Maar hoe veilig is zo n programmeerbare infrastructuur eigenlijk? IT-apparatuur moet om de zoveel tijd vervangen worden. Een goed moment om te bepalen of een toepassing nog wel geschikt is, of dat er betere alternatieven zijn. Eind 2014 waren de load-balancers van Avans Hogeschool aan vervanging toe. De IT-afdeling startte samen met afstuderend student Alexander Petrov een onderzoek naar het beste alternatief. Dit ging vele verder dan een gebruikelijke inventarisatie en aanbesteding. Een uitgebreide praktijktest met gewogen scores leidde uiteindelijk tot het gewenste resultaat. 4EXIN is a Registered Trade Mark of EXIN. ITIL and PRINCE2 are Registered Trade Marks of AXELOS Limited. INFOSECURITY MAGAZINE - NR. 1 - MAART

4 DAVE MAASLAND VAN ESET HET GAAT OM TOTALE IT-SECURITY In de IT-beveiligingsbranche is er inmiddels wel consensus over: de traditionele antimalwarebenadering is niet langer afdoende. Het gaat nu om totale IT-security. Beveiligingsspecialist ESET lanceerde daarom begin 2015 een compleet nieuw beveiligingsportfolio, dat weliswaar voortbouwt op de bekende NOD32-technologie maar voor de rest van de grond af is ontworpen en opgebouwd om moderne bedreigingen tegen te gaan. We zijn hiermee als het ware de alarmcentrale van organisaties voor wat betreft het veilig houden van hun IT-omgeving, zegt Dave Maasland, managing director van ESET Nederland. ESET timmert al sinds 1992 aan de weg met zijn NOD32-technologie, die zich onderscheidt door weinig systeembelasting. Maasland noemt Nederland een belangrijke markt, omdat het softwaregebruik en de internetpenetratie uitzonderlijk hoog zijn. Dat is ook de reden dat het hoofdkantoor van ESET in Slowakije op de voet volgt waar wij in Nederland tegen aan lopen, zegt Maasland. Hij wijst erop dat er in Nederland weliswaar veel zorg en aandacht is voor IT-security, maar dat het altijd nog beter kan. Bij de grote bedrijven staat de problematiek hoog op de agenda en zijn er ook de middelen beschikbaar om te investeren in beveiliging. In het mkb en daaronder is dat anders. Veel mkb ers denken dat ze geen interessant doelwit zijn, omdat ze geen bank of grote entertainmentonderneming zijn. Maar ook zij zijn kwetsbaar. Het gaat cybercriminelen uiteindelijk altijd om informatie die je kunt verkopen of gebruiken. Daarbij is niet langer een virus dat via de mail je pc besmet het grote probleem. Het is nu vooral verouderde software. Zorg er dus voor dat al je systemen volledig up-to-date zijn. Dat maakt je minder kwetsbaar. INTEGRALE AANPAK Volgens Maasland kunnen organisaties tegenwoordig niet zonder een integrale securitybenadering. Je moet kijken naar je endpoint beveiliging, je authenticatie en je encryptie. De afstemming tussen deze drie zaken is cruciaal voor een goede beveiliging. Omdat dit niet eenvoudig is, zie je dat leveranciers als ESET zich meer en meer richten op advies. Losse oplossingen verkopen is niet meer van deze tijd. Je levert inzicht en advies aan een klant en biedt aansluitend een combinatie van software aan waarmee de klant zijn security optimaal kan inrichten. Zo stel je organisaties ook in staat om in te spelen op nieuwe ontwikkelingen als Bring Your Own Device (BYOD). Veel organisaties houden die trends af omdat ze niet kunnen overzien wat het betekent voor hun IT-beveiliging. Wij helpen dan met het in kaart brengen van bedreigingen en mogelijkheden. Het tegenhouden van dit soort ontwikkelingen lukt sowieso niet. Je kunt dus maar beter zorgen dat je voorbereid bent. Maasland wijst er in dit verband op dat de ene branche andere behoeften heeft dan de andere. In de zorg is er bijvoorbeeld sprake van veel uitwisseling van data en bestanden en tegelijkertijd weinig gebruikersaffiniteit met IT. De overheid heeft te maken met krappe budgetten en tal van compliance-eisen. In de financiële dienstverlening gelden weer andere uitdagingen, zoals complexe databases en klantinformatiesystemen. Wij kijken dag in, dag uit naar de trends in deze en andere branches, verzamelen data en delen die zodat klanten zich beter kunnen wapenen tegen bedreigingen. OMVANG Volgens Maasland moeten we de omvang van de wereldwijde cybercriminaliteit niet onderschatten. Volgens serieuze schattingen gaat er in deze wereld anderhalf keer meer geld om als in de internationale drugshandel. Dat maakt het tot een serieus probleem. Net als in de drugshandel gaat het cybercriminelen altijd om geld. Of ze verkopen de data die ze stelen of ze gebruiken gestolen gegevens om een organisatie of privépersoon te chanteren. Data wordt gegijzeld en pas als je betaalt, kun je er weer bij. We zien nu overigens wel dat er langzamerhand initiatieven ontstaan om overheden en bedrijven meer te laten samenwerken, zoals dat ook in de fysieke wereld gebeurt bij de bestrijding van de drugshandel. Dat is van belang als je bedenkt hoe cruciaal een solide IT-infra- LANCERING NIEUW ESET-PORTFOLIO ESET lanceerde begin 2015 zijn volgende generatie portfolio van IT-securityproducten voor de zakelijke markt dat vanaf de grond is ontworpen en gebouwd. Het bedrijf werkte in 2014 aan een wereldwijd gebruikersonderzoek en analyseerde de bevindingen. Deze vormden de basis voor de nieuwe reeks van beveiligingsproducten die eerst in de Verenigde Staten op de markt kwam. ESET Remote Administrator vormt het hart van het nieuwe ESET-productportfolio. Deze platformonafhankelijke console voor remote management is opnieuw gebouwd om meer gebruiksgemak, beveiliging en lagere implementatie- en beheerkosten te bieden. De console beschikt over een ingebouwd task-managementsysteem dat downtime minimaliseert en voorziet in het geautomatiseerd uitvoeren van acties op basis van dynamisch groepslidmaatschap. 6 INFOSECURITY MAGAZINE - NR. 1 - MAART

5 DAVE MAASLAND VAN ESET ENCRYPTIE BOX BREIDT UIT MET KEY MANAGEMENT Box heeft de Box Enterprise Key Management-dienst (EKM) gelanceerd. Hiermee probeert het bedrijf een combinatie te zoeken tussen strenge beveiliging enerzijds en gebruiksgemak (bijvoorbeeld eenvoudige synchronisatie van bestanden) anderzijds. structuur is voor onze economie. Als het internet langdurig zou uitvallen, hebben we een enorm probleem. TRENDS 2015 Volgens Maasland laat het jaarlijkse trendrapport van ESET voor 2015 vijf belangrijke trends zien op beveiligingsgebied. In de eerste plaats moeten we rekening houden met een toename van de Advanced Persistent Threats (APT). Deze zijn doelgericht en bijna niet te traceren. Dat vereist continue aandacht voor onregelmatige of afwijkende gedragingen in je netwerk en applicaties. In de tweede plaats blijft social engineering de belangrijkste aanvalsvector. Daarom is continue Dave Maasland bewustwording binnen de organisatie cruciaal. Social engineering wordt steeds geavanceerder en vraagt daarom awareness op alle niveaus binnen de organisatie. Als derde trend zien we dat betalingssystemen in de retail kwetsbaar blijven voor zero day-aanvallen. Er zijn voorbeelden te over van grote, bekende winkelketens waar betaalpasinformatie werd gestolen door het vervangen van betaalterminals of het skimmen van betaalpassen. De gevolgen voor de reputatie van deze bedrijven zijn natuurlijk desastreus. De vierde trend is de toename van ransom-ware waarvan we in 2014 ook in Nederland de nodige voorbeelden hebben gezien. Na het infecteren van je pc of laptop worden je bestanden versleuteld en krijg je de sleutel pas als je betaalt. Dit is te omzeilen met een goede back-up van je belangrijke bestanden en goede up-to-date software. Ook ransom-ware maakt graag gebruik van zwakheden in verouderde software. Tot slot is er het Internet of Things dat weer een heel nieuw perspectief biedt voor kwaadwillenden. De eerste voorbeelden hebben we al gezien: de elektrische sportwagen van Tesla is al gehackt en smart-tv s blijken back-doors te hebben die ook voor hackers interessant kunnen zijn. HOSTILE ENVIRONMENT Volgens Maasland is het zaak dat producenten van apparaten die aan het internet worden gehangen al in de eerste fase van de productontwikkeling security meenemen in de ontwerpen. Al die devices komen terecht in een hostile environment. Daar kun je dan ook het beste vanaf dag één rekening mee houden Criminelen gaan altijd voor het low hanging fruit. Je moet er dus voor zorgen dat daar zo weinig mogelijk sprake van is. OVER ESET Sinds 1987 ontwikkelt ESET bekroonde beveiligingssoftware die meer dan 100 miljoen gebruikers helpt om technologie veiliger te gebruiken. Het brede portfolio aan beveiligingsproducten omvat alle populaire platformen en biedt bedrijven en consumenten over de hele wereld de perfecte balans tussen prestaties en proactieve bescherming. Het wereldwijde verkoopnetwerk beslaat 180 landen en regionale kantoren in Bratislava, San Diego, Singapore en Buenos Aires. Het kantoor in Sliedrecht telt 27 beveiligingsspecialisten die klanten helpen bij het beveiligen van hun data en applicaties. Sectoren als financiële dienstverlening, overheid, advocatuur en gezondheidszorg worden geconfronteerd met nieuwe uitdagingen bij het behoud van de controle over hun content en bij het beheren van de toegang tot die content, zonder dat dit een negatieve invloed heeft op de samenwerking en productiviteit, zegt Aaron Levie, medeoprichter en CEO van Box. Met EKM verwijderen we de laatste barrière voor cloud-gebruik voor bedrijven die behoefte hebben aan de beste beveiliging van hun gegevens. TRADITIONELE BENADERING De traditionele benadering van door de klant beheerde encryptie belemmert de mobiliteit, bruikbaarheid en eenvoud van cloud services die essentieel zijn voor productiviteit. EKM Box introduceert een aanpak voor bedrijven met volledige single-tenant controle over hun encryptie- sleutels en audit-logboeken. Bedrijven van elke omvang zijn nu bezig met het implementeren van nieuwe applicaties en het verplaatsen van activiteiten naar de cloud om hun behendigheid te verhogen, producten sneller naar de markt te brengen en om de klantervaring te transformeren, aldus Adam Selipsky, Vice President, Amazon Web Services. Veiligheid is een topprioriteit voor ons. De AWS Cloud-infrastructuur is gebouwd voor de meest flexibele en veilige cloud computing-omgevingen die vandaag beschikbaar zijn. We zijn verheugd om met Box samen te werken en AWS CloudHSM te gebruiken om een nieuwe generatie van zakelijke productiviteit en samenwerking te stimuleren binnen organisaties die het hoogste niveau van beveiliging en naleving van de regelgeving vereisen. Informatiebeveiliging blijft een kritische 'Een betrouwbare oplossing voor het beschermen van de meest gevoelige gegevens voor bedrijven en organisaties die geen compromissen willen op het gebied van gegevensbeveiliging en toegangsbeheer' Aaron Levie overweging voor organisaties wanneer zij oplossingen, diensten en applicaties naar de cloud verplaatsen, zegt Prakash Panjwani, senior vice president van Identity and Data Protection, Gemalto. Gemalto en Box bieden een betrouwbare oplossing voor het beschermen van de meest gevoelige gegevens voor bedrijven en organisaties die geen compromissen willen op het gebied van gegevensbeveiliging en toegangsbeheer in ruil voor de flexibiliteit en functionaliteit van de meest populaire productiviteitstools. In een toenemend aantal gebruikssituaties, zoals BYOD-scenario s (bring your own device) en cloud-situaties, kan het misbruik van vertrouwelijke gegevens alleen worden beperkt door betrouwbare en efficiënte encryptietechnieken, stelt Jay Heiser, Research VP bij Gartner. Kopers van cloud services en mobiele apparaten moeten eisen dat providers de mogelijkheid bieden voor beheer van eigen encryptiesleutels. Alleen door het beheer van hun eigen sleutels kunnen organisaties ervoor zorgen dat buitenstaanders niet heimelijk toegang tot die sleutels kunnen verkrijgen. 8 INFOSECURITY MAGAZINE - NR. 1 - MAART

6 SOFTWARE-DEFINED NETWORKING Stephen Mills, Global Security Consulting Product Manager en Gary Middleton, Business Development Manager for Networking bij Dimension Data vinden dat de branche nalaat kritische vragen te stellen over beveiliging. Hoe kwetsbaar 10 HOE VEILIG IS EEN PROGRAMMEERBARE INFRASTRUCTUUR? Veel mensen zien software-defined networking als een van de grootste veranderingen in de IT sinds de verschuiving van mainframes naar desktops. Overigens zijn het niet alleen LANs, WAN s en datacenternetwerken die consequenties ondervinden van deze verschuiving. Software krijgt steeds meer dominantie in alle onderdelen van de IT-infrastructuur en daar is een goede reden voor. Op software gebaseerde systemen beloven meer flexibiliteit, schaalbaarheid en automatisering. De gedachte is dat de volledige IT-omgeving direct op afstand te programmeren is. Daarmee is beter in te spelen op de dynamiek, waarmee organisaties tegenwoordig te maken hebben. Maar hoe veilig is zo n programmeerbare infrastructuur eigenlijk? is een programmeerbare infrastructuur? En als de risico s groter zijn dan bij een hardware-georiënteerde omgeving, hoe kan software-defined beveiliging dan bijdragen aan het verlagen van risico s? OPKOMST Middleton wijst erop dat de programmeerbare infrastructuur weliswaar nog in de kinderschoenen staat, maar dat het niet lang meer zal duren voordat het een realiteit is in de ICT-branche. We zien al orkestratie- en automatiseringstechnologieën in het datacenter en software-defined LAN s en WAN s die voor betere ondersteuning zorgen van applicaties en technologieën. Er wordt in de branche ook al gesproken over programmeerbare mobiliteitsoplossingen en beveiligingsinfrastructuren. De route richting programmeerbaarheid wordt vooral gedreven door de open source-beweging - zoals Open Stack - en de orkestratietools die steeds meer worden ingezet. Middleton noemt ook de opkomst van de DevOps-benadering. In essentie maakt die het mogelijk om de infrastructuur voor een bepaald zakelijk doel te programmeren terwijl de infrastructuur draait. Hetzelfde team is verantwoordelijk voor de ontwikkeling én de bedrijfsvoering. Vandaar de term development operations. Facebook bijvoorbeeld, voert wel dertig infrastructuurupdates per dag uit met gebruik van DevOps-technologie. Dat is een tempo dat in een hardware-omgeving ongehoord is. Wij zijn al begonnen met het verschuiven naar een flexibeler manier van het runnen van ICT-infrastructuren. Dat is mogelijk door software. Er blijft altijd behoefte aan hardware, maar we gaan ervan uit dat de hardware-laag langzamerhand steeds dunner zal worden op alle infrastructuuronderdelen. BEVEILIGING EN RISICO S Het is waar dat de programmeerbare infrastructuur nog aan het begin staat, zegt Mills. Dat zorgt voor meer risico s omdat de branche nog geen inzicht heeft in de volle breedte van bedreigingen. Veel 'Software krijgt steeds meer dominantie in alle onderdelen van de ITinfrastructuur' technologie die we tot nu toe hebben gezien, is niet ontwikkeld en geïnstalleerd met het oog op beveiliging. Sterker nog: de software-defined infrastructuur als brede beweging heeft zich vanaf de start niet bekommerd om beveiliging. De beveiligingsindustrie loopt nu achter en moet opgeleid worden. We moeten weten wat de bedreigingen en risico s zijn en wat ze voor iedere organisatie specifiek betekenen. In de traditionele beveiligingswereld gebruikten we hardware in de vorm van netwerkpoorten om de luiken te sluiten, zegt Mills. Wanneer je poorten dicht zijn, is de infrastructuur beschermd tegen bedreigingen. Vergelijk het met een slotbrug van een kasteel. Dat is nu anders. De applicatielaag domineert de infrastructuur. Die moet daarom open zijn, omdat anders de business schade lijdt. Dit is een probleem voor de beveiliging, omdat de omgeving ook openstaat voor ongeautoriseerde toegang. In de afgelopen zes tot zeven jaar is de manier waarop we applicatiebeveiliging evalueerden veranderd, stelt Mills. Nog niet zo lang geleden was dit voor ons een compleet nieuw terrein. Nu is het onderdeel van ons DNA. Wij moeten nu ook kennis hebben van de applicatielaag, omdat de programmeerbare infrastructuur zich daar bevindt. HET BEVEILIGEN Middleton en Mills zijn het erover eens dat de basisprincipes van beveiliging ook bij de inzet van nieuwe technologie gelden, of het nu gaat om mobility, de cloud of software defined netwerken. Middleton: De programmeerbare infrastructuur is weliswaar een belangrijke technologische trend met een belangrijke impact. Niettemin moeten organisaties continu blijven letten op de beveiligingsaspecten. Mills voegt daar aan toe: Dit onderstreept nog eens het belang van een consistente benadering voor een architectuurraamwerk voor beveiliging. Uiteraard zul je op detailniveau verschillen en variaties zien, zoals de tooling die je gebruikt. Maar in de breedte zijn de benadering en de processen gelijk. Bij informatiebeveiliging gaat het om de data, benadrukt Middleton. En de drie pijlers van databeveiliging zijn: vertrouwelijkheid, integriteit en beschikbaarheid. Deze drie zijn ook relevant bij het beveiligen van een programmeerbare infrastructuur. Beleid is de eerste stap. Wanneer je overweegt een programmeerbare infrastructuur in te zetten, moet je je beveiligingsbeleid updaten. Daarna is het zaak om de juiste beveiligingsmiddelen te kiezen voor het beschermen van de infrastructuur. In een software-defined omgeving zijn deze middelen software georiënteerd. Dat betekent dat de aanvalsmogelijkheden toenemen. Software-gebaseerde systemen zijn immers op afstand te configureren. Je moet dus meer beveiliging implementeren rond de toegang tot software om bijvoorbeeld het toevoegen van niet-geautoriseerde of kwaadaardige code te voorkomen. De branche moet op dit moment nog bepalen hoe dat het beste kan. De focus heeft tot nu toe vooral gelegen op het gebruik van software defined netwerken om data sneller heen en weer te verplaatsen. Er is nog niet veel aandacht besteed aan de veiligheid. Dat betekent dat het aanvalsvlak groter is geworden, stelt Middleton. HOE KAN SDN HELPEN? Volgens Middleton biedt de programmeerbare infrastructuur interessante mogelijkheden voor beveiliging. De beveiligingstechnologieën zelf worden ook zo ontwikkeld dat ze programmeerbaar zijn. We zien nu al firewall- en intrusion detection-oplossingen in de vorm van software. Daarmee kun je tools op een optimale manier programmeren, inrichten, installeren en automatiseren. Bedenk dat de virtual machine binnen heel korte tijd de belangrijkste bouwsteen van moderne computingomgevingen is geworden. Er is op dit moment nog geen eenvoudige manier om een virtual machine te beveiligen. Je kunt het hele netwerk beveiligen of segmenten van het datacenter, maar het is erg moeilijk om een fijnmazig beveiligingsniveau te bieden voor de virtual machine. Wanneer beveiligingstechnologie is opgenomen in de software kun je per virtual machine een beveiligingspolicy toepassen waardoor deze direct beschermd wordt door een firewall en tegen intrusie. Dan kun je de beveiligingsinstellingen ook meeverhuizen met de virtual machine, of deze nu in of uit het datacenter gaat of naar de cloud. Mills zegt dat er al verschillende beveiligingsleveranciers zijn die deze aanpak kiezen. Dat is bemoedigend omdat het beveiligen van zo n snel bewegende dynamische omgeving in het verleden moeilijk is gebleken. Software defined security helpt bij het creëren van een zeer flexibele en wendbare infrastructuur die ook zeer veilig is. Een ander voordeel van software-gebaseerde beveiliging is de mogelijkheid om on demand en op basis van een policy zeer gevoelige datastromen dynamisch te beveiligen. Denk aan creditkaartgegevens of gevoelige persoonsgegevens, aldus Middleton. Je kunt dan verschillende encryptiemogelijkheden toepassen om een deel van het verkeer te beschermen, terwijl je het andere deel in clear text laat stromen. Je zou dat deel van data zelfs over een aparte netwerklink kunnen laten lopen. Op deze manier is het netwerkverkeer te controleren en pas je policies effectiever en efficiënter toe. Hans Vandam is journalist 'De basisprincipes van beveiliging gelden ook bij de inzet van nieuwe technologie' INFOSECURITY MAGAZINE - NR. 1 - MAART

7 NATIONAAL PRIVACYDEBAT PRIVACY HEEFT OMDENKEN NODIG De huidige staat van online-privacy in Nederland is zorgwekkend. Consumenten zeggen veel belang te hechten aan privacy. Woorden en daden blijken echter twee verschillende dingen. Dit blijkt uit onderzoek in opdracht van Kaspersky Lab. De onderzoeksuitkomsten waren aanleiding voor een privacy-debat met vooraanstaande experts. De bereidheid van burgers om hun privé-data af te staan, is veel groter dan politici denken. Zo luidde de stelling waarmee gespreksleider Charles Groenhuijsen het Nationaal Privacydebat van Kaspersky opende. Voor die aftrap was al duidelijk dat Nederlanders een grotere bereidheid hebben om hun privacy op te offeren dan die burgers zelf denken. Uit het door Kaspersky gepresenteerde privacy-onderzoek, uitgevoerd door Right Marktonderzoek, komt naar voren dat Nederlanders voornamelijk zéggen dat ze hun privacy belangrijk vinden. En ook niet willen opofferen in ruil voor voordeel en gebruiksgemak. IN DE PRAKTIJK TOCH OPOFFEREN Bij het voorleggen van concrete scenario s blijkt dat Nederlanders wel degelijk bereid zijn hun privacy deels op te geven voor korting en gemak. Grofweg de helft van de ondervraagde consumenten zegt niet bereid te zijn online-privacy in te leveren voor persoonlijk voordeel of gebruiksgemak. Deze 51 procent is de optelsom van 19 procent die zeker niet bereid is privacy in te ruilen en 32 procent die daar waarschijnlijk niet toe bereid is. Daarnaast stelt 16 procent van de respondenten dat ze het niet weten. Slechts 4 procent wil zeker wel wat privacy inruilen voor voordeel of gemak en nog eens 29 procent is daar waarschijnlijk wel toe bereid. De Nederlander is eerder bereid online-privacy op te geven, wanneer duidelijk is wat het oplevert, stelt Hans Homma van onderzoeksbureau Right. Verder valt op dat maar weinig Nederlanders besef hebben van wat er met hun privégegevens gebeurt. Logischerwijs hebben dus ook maar weinig burgers grip op hun gegevens. Zo weet slechts 14 procent van de ondervraagde consumenten wat er gebeurt met de persoonlijke informatie die ze afgeven bij hun gebruik van clouddiensten. In Nederland zijn online-services zoals icloud, Dropbox of OneDrive massaal in gebruik. Deze en meer onwetendheid die uit het onderzoek blijkt, kleurt de op het eerste oog forse 51 procent die zegt geen of waarschijnlijk geen privacy op te willen geven in ruil voor voordeel of gemak. UITLEG IS NODIG Het debat naar aanleiding van dit onderzoek en recente ontwikkelingen zoals de terreuraanslagen in Parijs ging dieper in op de materie. Onafhankelijk Digital Health Strategist Maarten den Braber meent dat we nog flink wat uit te leggen hebben aan de consument. Er is veel angst, veel negativiteit rondom privacy. Maar er zijn ook duidelijke voordelen, als je dat maar goed uitlegt. Hij stelt dat de huidige opzet van permissieverstrekking voor gegevensgebruik moet worden omgedraaid. Nu accepteren we voorwaarden die door anderen, zoals bedrijven en instellingen, zijn opgesteld. Den Braber wil over naar een model van gebruikslicenties die consumenten zelf toepassen op hun privégegevens. Net zoals de Creative Commons-licentie dat al doet voor bijvoorbeeld beeldmateriaal. Het gebrek aan uitleg hoeft niet per definitie de angst en negativiteit op te heffen. Meer uitleg zou zelfs tot meer terughoudendheid kunnen leiden. De overheid heeft gefaald in het uitleggen wat je met je privacy weggeeft en wat de monetaire waarde daarvan is, zegt Micha Mos, fractievoorzitter van GroenLinks in Amsterdam. Vanuit de zaal wordt ander onderzoek aangehaald waaruit is gebleken dat het verschil zit in 25 cent. Mensen zijn voor zo weinig korting bereid om persoonlijke informatie op te offeren. De diverse experts in het debatpanel zijn het er roerend over eens dat de waarde van die gegevens veel groter is. 'Nederlander geeft online-privacy op voor voordeel en gemak' WIE MAG IN DIGITALE TOILETTAS KIJKEN? Volgens Michiel Steltman, directeur van de Stichting Digitale Infrastructuur Nederland (DINL), is het vooral een kwestie van context. Ik vergelijk het met mijn toilettas als ik op Schiphol ben. De douane mag daar in kijken. Dat geldt niet voor elke willekeurige andere burger. Hij stelt dat er sprake is van verlies aan controle over eigen privacy. Tegenwoordig kan elke organisatie zich de rol van douanier toeëigenen. Dat staan consumenten ook toe. Marcel Joosten, directeur bij online retailer CentralPoint.nl, stipt aan dat er in Europa een flinke kloof is tussen wet- en regelgeving voor bedrijven en die voor consumenten. Organisaties kennen nauwelijks privacy wet- en regelgeving terwijl burgers bij het betuttelende af alom beschermd lijken te worden.toch zit er veel speelruimte in. Wij mogen van u als consument alleen gebruiken wat u zelf geeft. Daarbij kunnen we zelf bepalen wat we vragen. Jornt van der Wiel, security-onderzoeker bij Kaspersky Lab, bevestigt: Mensen verraden zichzelf. Hij meent dat mensen eerst slachtoffer moeten worden voordat bewustwording ontstaat. HET WORDT NIET MEER BEGREPEN Sander Klous, eerste Hoogleraar Big Data aan de Vrije Universiteit Amsterdam, benadrukt dat het waardeverlies van persoonsgegevens alleen voorkomt in combinatie met andere data. Het ene brokje data kan weinig waarde hebben, maar door het te combineren met meer gegevens wordt het ineens waardevol. Daarbij is er sprake van flinke complexiteit. Het wordt niet meer begrepen, erkent Klous. Panellid Eva de Leede, deelneemster van de Nationale DenkTank en uitvinder van de datawijzer, draagt een duidingssysteem aan. Wij pleiten voor icoontjes die de inhoud van gebruiksvoorwaarden duidelijk maken. Want, zo zegt zij, het kost 76 volle werkdagen per jaar om alle disclaimers te lezen. Nu wordt deze informatie veelal ongelezen geaccepteerd. Het door haar voorgestelde systeem van uitleggende iconen moet de gedetailleerde teksten niet verdringen. De consumenten kan dan zelf bepalen wat hij of zij wel of niet wil lezen. 12 INFOSECURITY MAGAZINE - NR. 1 - MAART

8 NATIONAAL PRIVACYDEBAT GEEN GRIP MAAR BEWUSTHEID WORDT GROTER Senior onderzoeker Geert Munnichs, verbonden aan het Rathenau Instituut, komt tijdens het debat met een gemengde boodschap. Er is een heel dubbel beeld. Enerzijds heeft de burger geen grip op wat er allemaal met zijn of haar gegevens gebeurt. Anderzijds is de burger wel steeds bewuster dat privacy belangrijk is. Het leeft in de maatschappij. JAARGANG 14 - MAART INFO SECURITY MAGAZINE Probleem daarbij is wel dat de consument volgens de onderzoeksuitkomsten niet alleen slecht op de hoogte is van eigen handelen, maar ook van de technische beschermingsmogelijkheden en overheidsmaatregelen. Bijna 90 procent van de Nederlandse consumenten erkent niet op de hoogte te zijn van huidige wetsvoorstellen die hun privacy moeten beschermen. ROL VAN OVERHEID EN CONSUMENT ZELF Tegelijkertijd vindt de burger dat de overheid een grote verantwoordelijkheid heeft voor privacybescherming. De ondervraagde consumenten vinden de overheid voor 72 procent zeer verantwoordelijk en voor 18 procent gewoon verantwoordelijk voor de bescherming van hun online-privacy. Daarmee wordt de overheid het meest verantwoordelijk geacht, gevolgd door financiële instellingen (zoals banken, hypotheekverstrekkers en verzekeraars). Die organisaties worden voor respectievelijk 61 en 27 procent verantwoordelijk gesteld. 14 Op de derde plaats volgen de gezondheidsinstellingen (zoals ziekenhuizen, apotheken en het GGD) die voor 60 procent zeer verantwoordelijk en voor 27 procent verantwoordelijk gezien worden voor online-privacybescherming. De consument zelf komt naar eigen mening op de vierde plaats in de verantwoordelijkheidsrangschikking. De consumenten vinden zichzelf voor 55 procent zeer verantwoordelijk en voor 34 procent verantwoordelijk. Online winkels en sociale media worden in nog mindere mate verantwoordelijk geacht voor de bescherming van online-privacy. 'Het kost 76 werkdagen per jaar om alle disclaimers te lezen die je accepteert' DE LINK MET SECURITY Privacy heeft hierbij ook een sterke relatie met security. Het gaat namelijk niet alleen om datagebruik door derden, maar ook om dataverlies waarmee de privacy van burgers geschonden kan worden. Privacy staat niet gelijk aan security, werpt DINL-directeur Steltman tegen. Je moet je security natuurlijk wel op orde hebben. Ironisch genoeg merken webshops die aan meer privacybescherming doen dat ze daar voor gestraft worden, stelt Centralpoint.nl-directeur Joosten. Wij zagen het aantal aankopen dalen nadat we strengere veiligheidsmaatregelen hadden genomen. Gebruiksgemak lijkt dus nog altijd betere beveiliging en daarmee ook betere privacybescherming te overtroeven. Het debatpanel meent dat dit deels ligt aan de onwetendheid en onverschilligheid die consumenten volgens het privacy-onderzoek hebben. De experts stellen dat er meer uitleg moet komen, dat er meer verantwoordelijkheid bij de burger moet liggen en dat er meer wetgeving moet komen om grip op privacy ook werkelijk te realiseren. OMDRAAIEN: NIETS, TENZIJ Onderzoeker Munnichs van het Rathenau Instituut stelt dat de toestemming die consumenten nu geven grotendeels virtueel is; gegeven vanuit onwetendheid. Ja, de consument kan bewuster zijn. Nee, daarmee heeft hij of zij niet automatisch meer grip. Directeur Steltman van de DINL haakt terug op het voorstel van Den Braber en zegt dat het permissiesysteem inderdaad geheel omgedraaid moet worden. Simpel: standaard mag er niks met je privégegevens worden gedaan, ténzij jij specifieke toestemming verleent. Hoe dit dan uitvoerbaar te maken, zonder in de valkuil van een tweede cookiewet te trappen, daarover heeft het Nationaal Privacydebat van Kaspersky vooralsnog geen uitsluitsel kunnen geven. SPECIAL SECURITY-OPLEIDINGEN PETER VERMEULEN, PB7 RESEARCH: TEN ONRECHTE OVERHEERST NOG ALTIJD DE VRAAG NAAR TECHNISCHE TRAININGEN BEVEILIGMIJ.NL: NETWERK VAN SECURITY SPECIALISTEN, ADVISEURS EN ENGINEERS - SECURITY SPECIALIST INHUREN OF MEDEWERKER OPLEIDEN? - OVER INFORMATIEBEVEILIGING BEN JE NOOIT KLAAR MET LEREN - DE CHIEF INFORMATION SECURITY OFFICER - EUROPEES COMPETENTIE FRAMEWORK VOOR ICT-PROFESSIONALS - SCOS ORGANISEERT WIRESHARK NETWORK EN SECURITY TRAINING - SECURITY-TRAININGEN HEBBEN DIEPGANG NODIG INFOSECURITY MAGAZINE - NR. 1 - MAART

9 SECURITY-OPLEIDINGEN: TEN ONRECHTE OVERHEERST NOG ALTIJD DE VRAAG NAAR TECHNISCHE TRAININGEN Informatiebeveiliging is en blijft een bijzonder dynamisch vakgebied. Zowel wat er beveiligd moet worden als wat er bedreigt, verandert snel en neemt in complexiteit toe. Cybercriminelen zijn steeds beter georganiseerd en proberen met steeds geavanceerdere aanvallen zoveel mogelijk schade aan te richten. Tegelijkertijd lijkt het wel of de business alle deuren wijd open probeert te zetten door met het ene na het andere mobiele apparaat en de ene na de andere cloud dienst te komen. Dat net op dat moment de overheid aankondigt flinke boetes uit te delen aan bedrijven die privacygevoelige data lekken, maakt het ook niet makkelijker. En nu beginnen we ook nog eens na te denken over het Internet of Things. Alsof dat nog niet genoeg is, hebben we ook nog te maken met gebruikers die de gevaren niet (willen) zien of zich er niet verantwoordelijk voor voelen. Het moge duidelijk zijn: wat IT-informatiebeveiliging betreft, is life long learning een zaak van leven of dood. Het goede nieuws is dat de meeste organisaties beseffen dat training een belangrijk thema is voor security en er prioriteit aan geven. In de Nationale IT-Security Monitor 2014 staat training op de vierde plek, slechts enkele procenten achter het belangrijkste thema, cybercrime. Dat betekent echter nog niet dat er voldoende, of op de juiste gebieden wordt geïnvesteerd. De meeste Nederlandse organisaties (69 procent) geven aan dat ze voldoende of ruim voldoende denken te investeren in security trainingen om een hoog niveau van informatiebeveiliging te garanderen. Slechts 21 procent zegt expliciet dat er onvoldoende budget is. En dan nog is het de vraag of het genoeg is. Volgens deze zelfde respondenten is het namelijk niet genoeg. 64 procent van alle respondenten gaf aan dat er niet genoeg in opleiding en training wordt geïnvesteerd. Een hoog niveau is mooi, maar blijkt niet genoeg. Maar waar komt dat verschil dan door? We komen hier later op terug, maar laten we eerst kijken naar waar Nederlandse bedrijven hun security trainingsbudget aan spenderen. INVESTERINGEN Als we naar de investeringen in training kijken, zien we dat databeveiliging een grote rol is gaan spelen. DLP en identiteits- en toegangsbeheer (IAM) staan hoog op het verlanglijstje met daar tussenin netwerkbeveiliging. De afgelopen jaren is er een duidelijke verschuiving op gang gekomen van de manier waarop organisaties beveiligen: waar voorheen vooral het hek bewaakt werd (netwerkbeveiliging), verschuift de beveiliging naar het niveau van de data zelf. De data moet veilig overal gebruikt kunnen worden en veilig in het datacenter kunnen resideren. Door de implementatie van IAM kan vervolgens op een gebruikersvriendelijke manier bepaald worden wie waar bij kan. 'Wat IT-informatiebeveiliging betreft, is life long learning een zaak van leven of dood' Dat DLP en IAM zo hoog op de prioriteitenlijst staan, betekent niet dat organisaties het goed voor elkaar hebben. Het betekent vooral dat men hierin is gaan investeren, of wil gaan investeren, maar dat het kennisniveau gebaat is bij een goede upgrade. We zien in de monitor bijvoorbeeld dat organisaties aangeven dat de grote groei in investeringen op het gebied van IAM een pas op de plaats maakt (blijft desalniettemin op een hoog niveau), terwijl de investeringen in mobiele beveiliging juist de lucht in schieten. Figuur 1: Security prioriteiten Welke van de volgende thema s zijn voor u de komende 12 maanden het belangrijkst op het gebied van IT-security? Figuur 2: Security prioriteiten Beschikt u over voldoende trainingsbudget om een hoog niveau van informatiebeveiliging te waarborgen? 16 INFOSECURITY MAGAZINE - NR. 1 - MAART

10 SECURITY-OPLEIDINGEN: Figuur 3: Investeringen in Security Training Op welke van de volgende gebieden gaat u de komende 12 maanden in training investeren? Figuur 4: Investeringen in Security Training Met welke van de volgende stellingen bent u het eens? Wat verder opvalt aan de prioriteitenlijst, is dat de nadruk op technische vaardigheden ligt. Uiteraard is de uitdaging al zeer groot om op technisch niveau bij te blijven, maar uit zo n beetje elk IT-security onderzoek komt al jarenlang naar voren dat de gebruiker het grootste gevaar vormt. Toch staat awareness training voor gebruikers pas op de vierde plaats. Ook kunnen we zien dat de aandacht voor training op het gebied van risicobeheersing vooralsnog op een vrij laag niveau blijft hangen, terwijl de risico s op het gebied van informatiebeveiliging een strategische aangelegenheid op directieniveau zou moeten zijn. Hoewel we niet hebben gevraagd naar voorkeuren voor accreditatie, zien we dat bij 21 procent er het nodige geïnvesteerd wordt in brede certificeringen, zoals CISSP. Zoals gebruikelijk spelen in Nederland certificeringen een grotere rol dan in de meeste andere landen. Opleidingen met accreditatie spelen een belangrijke rol om objectief vaardigheden vast te kunnen stellen. Dat is enerzijds handig bij het wervings- en selectieproces, maar is ook belangrijk voor een transparante communicatie, of verantwoording, naar de organisatie. Uiteraard is een accreditatie iets heel anders dan een garantie en kan het nooit het (enige) uitgangspunt zijn van een opleidingsprogramma. Ook zijn veel accreditatieprogramma s sterk gericht op bestaande infrastructuren en technologieën, terwijl de gevaren steeds meer komen van opkomende technologieën. Het valt ook op dat de aandacht voor security training die gericht is op het omgaan met veranderingen in de IT-omgeving, ook daadwerkelijk beperkt is. Nog geen 10 procent investeert in cloud security training, terwijl maar liefst 49 procent aangeeft onvoldoende kennis in huis te hebben om te garanderen dat cloudoplossingen veilig gebruikt worden. Ook op het gebied van mobiel gebruik, zegt 1 op de 2 dat de kennis ontbreekt om het veilig te laten plaatsvinden. En dan is er ook nog relatief weinig aandacht voor veilige softwareontwikkeling. In de Nationale IT-Security Monitor viel op dat veel organisaties aangeven secure by design en private by design software te ontwikkelen, maar dat in de praktijk veelal de beveiliging toch pas op het laatst aan een applicatie wordt toegevoegd met alle risico s van dien. De uitkomsten van de Nationale IT-Security Monitor laten zien dat IT-beveiliging ook wat betreft training zich vooral richt op de bestaande IT-omgeving, maar vaak achter de feiten aanloopt als we het over nieuwe technologie hebben. Daarmee wordt ook duidelijk waarom IT-beveiligers aangeven dat ze uiteindelijk toch te weinig investeren in training en opleiding. Security beveiligt de bestaande infrastructuur heel behoorlijk, maar beweegt te weinig mee met nieuwe technologie en zou meer de nadruk op het veiligheidsbewustzijn moeten leggen. Voor veel organisaties blijkt het allemaal simpelweg te complex te worden 'Waar voorheen vooral het hek bewaakt werd (netwerkbeveiliging), verschuift de beveiliging naar het niveau van de data zelf' en zoekt men steeds meer ondersteuning van buitenaf. Voor andere organisaties is er een andere, heel begrijpelijke reden waarom men zich vooral op de IT van gisteren richt: nieuwe oplossingen op het vlak van mobiel en cloud komen grotendeels buiten IT om, en zeker niet op initiatief van IT, de organisatie binnen. Waarom zou je je daar als IT - waar meestal nog altijd IT beveiliging zich bevindt - verantwoordelijk voor voelen? Waarom zou je extra budget moeten aanvragen om iets te beveiligen waar je niet om gevraagd hebt en waar je geen ownership over hebt? Als we er iets over te zeggen hebben, verbieden we het wel en anders is het niet ons probleem. Helaas blijkt het als het eenmaal misgaat wél als een probleem van IT te worden beschouwd. Daar kan je van alles van vinden, maar uiteindelijk kun je als informatiebeveiliger uiteindelijk beter de vlucht naar voren maken. Zorg ervoor dat je meer ruimte in het trainingsbudget reserveert voor security die helpt nieuwe technologie veilig te gebruiken. Zorg er ook voor dat je beter de vertaalslag naar de business kan maken en in termen van risico management kan werken. En zorg ervoor dat je met de gebruiker om tafel komt en hem bewust maakt van de risico s die hij neemt en wat hij er tegen kan doen. De beloning is groot: als je als informatiebeveiliger kan bijdragen aan een snelle, veilige lancering van nieuwe digitale producten en diensten en medewerkers ongeacht locatie veilige toegang kan geven tot belangrijke gegevens, verkrijgt je organisatie een belangrijke voorsprong op concurrenten. Met de opkomende digitalisering van de directieagenda, neemt de strategische positie sterk toe. Budget vrijmaken voor security training is geen kostenpost: het is een strategische investering. Peter Vermeulen is directeur van Pb7 Research 18 INFOSECURITY MAGAZINE - NR. 1 - MAART

11 EXPERTVISIE BEVEILIGMIJ.NL BEVEILIGMIJ.NL: NETWERK VAN SECURITY SPECIALISTEN, ADVISEURS EN ENGINEERS Voorkom identiteitsfraude. Zorg dat je veilig internet. Wees voorzichtig met het doorgeven van persoonlijke informatie. Gebruik geen makkelijk te raden wachtwoorden. Iedereen kent deze teksten, die in heel veel verschillende campagnes op ons afgevuurd worden. Toch blijven we bewust én onbewust nog altijd veel meer informatie delen dan we eigenlijk zouden moeten willen. Stiekem worden we misschien ook wel een beetje campagne-moe. BeveiligMij.nl heeft als doel om bedrijven te helpen beter om te gaan met informatie, zowel online als offline. Hoe kan dat beter dan door kennis gratis met hen te delen. Als we allemaal meer beveiligingsbewust zijn, zal de hele wereld er wel bij varen. BeveiligMij.nl heeft samen met Swipe Media een informatieportaal ontwikkeld om het veilig omgaan met informatie te ondersteunen. BeveiligMij.nl stelt materiaal en achtergrondinformatie beschikbaar om het bewust omgaan met (online) bedrijfs- en privégegevens te bevorderen. E-LEARNING ALS TOOL BeveiligMij.nl biedt naast het informatieportaal bewustwordingstrajecten aan waardoor medewerkers van bedrijven, overheid en semi-overheid zich meer 'Security awareness is een proces met als doel het (online) gedrag te veranderen' bewust worden van de risico s van dataverlies en diefstal. Security awareness is echter geen eenmalige training. Het is een proces met als doel het (online) gedrag te veranderen. Binnen de bewustwordingstrajecten van BeveiligMij.nl wordt naast klassikale trainingen gebruikgemaakt van e-learning. Ontwikkeld door Gouti, zorgt deze tool ervoor dat men regelmatig en herhaaldelijk gewezen wordt op de cyberrisico s en vooral op het voorkomen van dergelijke incidenten. Onze trainingen zijn gericht op bewustwording, maar een organisatie is er het meest mee gebaat als die bewustwording leidt tot veiliger gedrag. Om het gedrag meetbaar te maken en vooral ook de verandering in gedrag, is de e-learning een goede tool, zegt Frank Mulder, eigenaar van De Gesprekspartners dat onder het label Beveiligmij.nl security awareness trajecten exploiteert. BeveiligMij.nl leert gebruikers wat de meest voorkomende gevaren en valkuilen zijn bij het dagelijks gebruik van informatie, vervolgt Mulder. Zo krijgt men inzicht in de vraag hoe verschillende vormen van misbruik-door-derden kan worden herkend en - vooral - hoe zij dit kunnen voorkomen. WEGLEKKEN Er zijn veel bedreigen waardoor kritieke bedrijfsinformatie kan weglekken. Denk hierbij aan het onjuist vernietigen van papieren documentatie, waardoor informatie letterlijk op staat komt te liggen. Maar denk ook aan het voor bezoekers zichtbaar achterlaten van vertrouwelijke informatie. Ook dit soort vormen van informatieverlies worden behandeld in de trajecten van BeveiligMij.nl. Hiernaast een overzicht van de onderwerpen die tijdens de trainingen en e-learning aan bod komen: Cybercriminaliteit Wachtwoorden Veilig internetten Veilig en Wifi-netwerken Veilig mobiel PC beveiliging Informatievernietiging Multifunctionals Veilige werkplek Identiteitsbewijzen Social media PARTNERKANAAL BeveiligMij.nl biedt security awareness uitsluitend aan via partners. Zo is en blijft de partner voor de eindgebruiker het aanspreekpunt. Partners zorgen zelf voor het inplannen van trainingen, de facturatie en productadvisering naar hun klanten. Binnen het verkooptraject krijgen zij alle ondersteuning vanuit BeveiligMij. nl. Pieter Remers van De Gesprekspartners licht toe: We hebben als doel het Nederlandse bedrijfsleven bewuster om te laten gaan met informatie en dat is alleen mogelijk door samen te werken met professionele partners. Wij hebben dan ook besloten ons aanbod enkel via een partnerkanaal te laten verlopen. Hierdoor willen we onze partners helpen zich te onderscheiden door onze diensten aan te bieden in hun eigen huisstijl. Les- en promotiemateriaal, inclusief informatieportaal en online test kunnen worden aangepast aan de bedrijfsidentiteit van de BeveiligMij.nl partner. Door gebruik te maken van deze white label -optie kunnen ICT-resellers de opleidingen volledig onder hun eigen naam aanbieden en hebben zij toegang tot een zeer compleet en professioneel netwerk van security-specialisten, adviseurs en engineers. BeveiligMij.nl stimuleert kennisuitwisseling en biedt daartoe een passend aanbod aan achtergrondinformatie, uitgebreide tips en toegang tot het e-learning platform. ONLINE SECURITY AWARENESS TEST Henk-Jan Angerman, algemeen directeur SECWATCH Nederland en partner van BeveiligMij.nl: Door het security awareness-aanbod van BeveiligMij.nl - denk aan klassikale trainingen en de bijbehorende e-learning trajecten - kunnen wij ons verder onderscheiden in een competitieve markt. De kwaliteit en diversiteit Frank Mulder van BeveiligMij.nl is een goede aanvulling op ons bestaande aanbod. SECWATCH Nederland kan hiermee haar dienstverlening op het gebied van IT beveiliging verder uitbreiden. Pieter Remers 'We hebben als doel het Nederlandse bedrijfsleven bewuster om te laten gaan met informatie en dat is alleen mogelijk door samen te werken met professionele partners' Ook biedt BeveiligMij.nl een online security awareness test. Hiermee kunnen bedrijven in kaart brengen hoe goed (of slecht) zij op de hoogte zijn van cyberrisico s en -bedreigingen. BEVEILIGMIJ.NL BeveiligMij.nl werkt in een team van internet- en security-specialisten. De trainers hebben minimaal vijftien jaar ervaring in de beveiligingsbranche, waardoor zij veel kennis uit de praktijk kunnen delen met de cursisten. Naast het opleiden van organisaties op het gebied van veiligheid en privacy, profileert BeveiligMij.nl zich als onafhankelijk security-expert en -adviseur. De menselijke benadering staat bij BeveiligMij. nl daarbij hoog in het vaandel, aldus het bedrijf. BeveiligMij.nl is een label van De Gesprekspartners. De Gesprekspartners exploiteert onder de naam BeveiligMij.nl activiteiten op het gebied van Security Awareness. De Gesprekspartners komt graag in contact met geïnteresseerde partners. Zij kunnen via de website contact opnemen om mogelijkheden en voordelen te bespreken. Kijk voor meer informatie op 20 INFOSECURITY MAGAZINE - NR. 1 - MAART

12 EXPERTVISIE INSPEARIT EEN GOEDE OPLEIDING VERANDERT HET GEDRAG Wie serieus werk maakt van informatiebeveiliging, komt al snel uit op ISO27001, NEN7510, CobiT, OWASP of andere standaarden. Dat is niet per se verkeerd. Dergelijke standaarden bevatten immers een schat aan kennis: ze bundelen de ervaring van vele honderden organisaties en experts. Maar het lukraak implementeren van een standaard heeft veel weg van een schriftelijke cursus autorijden. Soms is het niet zo n slecht idee om ook een goede instructeur in te schakelen. Om de informatie in een organisatie succesvol te beveiligen, moet er meer gebeuren dan een standaard op de kop te tikken en een Information Security Officer aan te wijzen. Het doel moet zijn om een cultuur te ontwikkelen waarin veilig werken de norm is. Deze cultuurverandering is dan terug te zien in het gedrag van alle medewerkers met toegang tot waardevolle bedrijfsinformatie. In moderne organisaties zijn dat vrijwel alle medewerkers. Maar hoe brengen we zo n verandering tot stand? GEDRAG VERANDEREN Mensen veranderen van gedrag als aan drie voorwaarden is voldaan: de betrokken persoon weet wat het gewenste gedrag is heeft de competenties om dit gedrag te vertonen én is gemotiveerd. Voor veel medewerkers zal de nadruk liggen op het vergroten van kennis en motivatie, omdat van hen geen complex nieuw gedrag gevraagd wordt. Ongevraagde s verwijderen, bezoekers begeleiden zolang ze in het gebouw verblijven, een bureau opgeruimd achterlaten, kortom: alert zijn en gezond verstand gebruiken. Voor hen kan een (langlopende) awareness-campagne, aangevuld met standaard e-learning modules, voldoende zijn. Er zullen echter ook medewerkers zijn die hun kennis en competenties op een hoger niveau moeten brengen voordat ze in hun dagelijkse werk het gedrag kunnen vertonen dat noodzakelijk is om bedrijfsinformatie beschikbaar, integer en vertrouwelijk te houden. Denk aan IT-professionals die direct werken aan de informatievoorziening, mensen met een voorbeeldfunctie of personen die toegang hebben of verlenen tot bedrijfskritische informatie. Zij zullen zich nieuwe kennis en competenties eigen moeten maken en dan komt opleiden om de hoek kijken. DE ROL VAN OPLEIDEN In de jaren negentig van de vorige eeuw publiceerden Morgan McCall en zijn collega s van het Center for Creative Leadership hun invloedrijke model. Het beschrijft hoe professionals leren: 70 procent door werk uit te voeren, 20 procent van anderen (collega s, de baas) en 10 procent in opleidingen of door zelfstudie. We zouden dat kunnen opvatten als een pleidooi tegen het volgen van een opleiding, maar de werkelijkheid ligt genuanceerder. Wat het model laat zien, is dat het echte leren pas plaatsvindt als mensen de kans krijgen om te oefenen. Bijvoorbeeld door nieuwe methoden en technieken toe te passen. Opleidingen zijn een goede manier om zulke nieuwe methoden en technieken te ontdekken en ze bieden een veilige omgeving om alvast te experimenteren. De uren in een klaslokaal werken als een hefboom die het leren op de werkvloer in gang zet. Regelmatig een goede opleiding volgen, is dus onmisbaar. Maar hoe kiezen we uit het enorme aanbod op de markt? Drie criteria bepalen de effectiviteit van een opleiding: de docent, de onderwijsvorm en de aansluiting op de werkpraktijk. Daarnaast kan certificering belangrijk zijn. We behandelen deze aspecten een voor een. ERVARING Een goede docent weet uit ervaring waarover hij praat. Wijsheid uit boeken is mooi, maar als het erop aankomt, tellen de vlieguren. Zoek dus naar een opleiding waarin stevige docenten voor de klas staan die in de praktijk toepassen waarover ze lesgeven. Verhalen uit de loopgraven beklijven beter dan modellen en theorieën zonder link naar het echte leven. De ideale docent is bescheiden genoeg om ook anderen op het podium uit te nodigen. Als cursisten elkaar hun verhalen vertellen, vergroot dat het leereffect sterk: iedereen wordt dan deelnemer én docent. We leren zelf het meest van wat we een ander leren. De onderwijsvorm is minstens zo belangrijk. Een leidend principe is: niet gedaan, is niet geleerd. Alleen kennis tot ons nemen - door een boek te lezen of een hoorcollege te volgen - levert onvoldoende op. We moeten met de stof stoeien om het echt tot ons te nemen. Een goede opleiding ruimt daarom veel tijd in voor interactieve werkvormen zoals workshops, serious games en casussen. Dan vallen de kwartjes. Een goede opleiding slaat ook bij herhaling de brug naar de praktijk van de deelnemer. Intake-gesprekken, huiswerkopdrachten, coaching en begeleide intervisie zijn enkele mogelijkheden om de impact van een opleiding te vergroten door deelnemers uit te dagen het nieuw geleerde gedrag niet alleen toe te passen, maar ook vol te houden. Tot slot kan certificering belangrijk zijn. Niet voor niets zijn de CISSP-certificeringen van (ISC) onverminderd populair. Werkgevers en opdrachtgevers hebben behoefte aan kundige informatiebeveiligers en een certificaat van een betrouwbare instelling maakt kennis en ervaring aantoonbaar. CONCLUSIE Een organisatie die informatiebeveiliging serieus neemt, investeert in opleidingen die medewerkers in staat stellen hun werk beter en veiliger uit te voeren. Pas als iedereen zijn rol begrijpt en ook in staat is die uit te voeren, is het tijd om een standaard te implementeren. Of voelt u zich veilig bij een taxichauffeur die Autorijden voor dummies op het dashboard heeft liggen? Jacob Brunekreef, Kor Gerritsma en Eelco Rommes zijn docent en adviseur bij cibit academy, opleider op het gebied van informatiebeveiliging en de officiële Nederlandse partner van (ISC). 22 INFOSECURITY MAGAZINE - NR. 1 - MAART

13 EXPERTVISIE CISCO Wat is beter? SECURITY SPECIALIST INHUREN OF MEDEWERKER OPLEIDEN? Het aantal cyberaanvallen is de afgelopen twee jaar met 120 procent gestegen. De geschatte kosten van cybercriminaliteit lopen op naar gemiddeld 7,6 miljoen dollar per jaar voor elke grote organisatie. Er gaat geen week voorbij zonder dat we geconfronteerd worden met de zoveelste slag van cybercriminelen op overheid en bedrijfsleven. En zelfs individuele burgers blijven niet ongeschonden. Niet vreemd dat organisaties hun IT-beveiligingsbeleid vooral richten op externe dreigingen. Is dat terecht? Nee, zegt IT-leverancier Cisco. Uit recent onderzoek onder de Nederlandse beroepsbevolking blijkt dat het gedrag van werknemers een serieuze zwakke schakel is in de hedendaagse IT-beveiliging. De digitale vrijheden die werknemers zich vandaag de dag permitteren, staan op gespannen voet met de digitale veiligheid die organisaties koesteren om zowel financiële als reputatieschade te voorkomen. Dat vraagt om een security-beleid dat primair gericht is op de mens. Niet op Fred Noordam technische mogelijkheden of traditionele security-processen gebaseerd op de organisatiestructuur, zegt Fred Noordam, Security Lead bij Cisco in Nederland. GEEN OPTIE Uit het onderzoek blijkt dat 71 procent van de Nederlandse beroepsbevolking zich niet bewust is van security bloopers, zoals Heartbleed. Werknemers doen bovendien massaal beroep op het bedrijfsnetwerk voor persoonlijke transacties. 52 procent winkelt op het internet via het netwerk van de baas, 46 procent gebruikt het bedrijfsnetwerk voor hun sociale media activiteiten en 71 procent van onze beroepsbevolking bankiert via het bedrijfsnetwerk. Verbieden van deze activiteiten is allang geen optie meer, vertelt Peter Vermeulen, marktanalist van Pb7 tijdens een bijeenkomst die Cisco onlangs organiseerde in het TNO Security Lab in Den Haag. De gebruiker van nu is mondig, neemt zijn eigen apparatuur mee, haalt zelf applicaties uit de cloud, en ziet niet of nauwelijks gevaar. Totdat het mis gaat. Dan wijst de professional naar de IT-afdeling. Ook Fred Noordam van Cisco herkent de uitdagingen bij de huidige IT-gebruikers. Op basis van ons onderzoek hebben we vier verschillende gedragsprofielen opgesteld van medewerkers die uitgangspunt zijn voor de ontwikkeling van de juiste beveiligingsstrategie. Zo onderscheiden we de werknemers die zich bewust zijn van alle veiligheidsrisico s en hun best doen om online veilig te blijven. Organisaties beschikken verder over medewerkers met de beste bedoelingen, maar niet altijd met succes. De derde groep medewerkers is gemakzuchtig. Zij verwachten dat hun werkgever alles regelt zonder eigen verantwoordelijkheid te nemen. Het laatste gedragsprofiel is van toepassing op medewerkers die nog denken dat cybersecurity een hype is. Waar het hen uitkomt, omzeilen deze medewerkers zelfs het beveiligingsbeleid. COMPETENTIES Horrorscenario s voorleggen aan medewerkers heeft geen zin meer. Dat hebben we al vaak genoeg geprobeerd en maakt weinig of geen indruk, zegt Esther Oprins, Research Scientist van TNO. Zij doet onderzoek naar competenties en geeft op dat gebied trainingen bij organisaties waar veiligheid centraal staat. Uiteraard kunnen we mensen allerlei vaardigheden bijbrengen. Dat is echter niet genoeg. Het gaat om het totaal aan competenties die het verschil maken. Kennis, vaardigheden, houding en gedrag. Daarmee kunnen we medewerkers echt bewust veilig laten handelen. Zo kunnen we bijvoorbeeld veel leren van de luchtvaartindustrie. Daar zit veiligheidsbesef in de genen van medewerkers. Ze worden ermee opgevoed. De mindset van mensen moet veranderen. Oprins verwacht overigens dat dit makkelijker zal gaan bij de digital native generatie dan bij de huidige en vorige generatie van onze beroepsbevolking. Menselijke fouten die de informatiebeveiliging van een organisatie op het spel zetten, worden elke dag gemaakt. Een laptop die uit de auto gestolen wordt. Iemand die het bedrijf verlaat en concurrentiegevoelige data meeneemt, slechte wachtwoorden, ingaan op phishing, noem maar op. Het is zaak dat we deze menselijke fouten voorkomen door de juiste competenties te ontwikkelen. Een bedrijf kan de meest ervaren en hoogst opgeleide security-experts in huis hebben. Deze specialisten richten zich vooral op de systemen. Oprins pleit ervoor, meer aandacht te richten op de mens in plaats van het systeem. De beste security-experts in huis hebben of inhuren, is geen garantie voor een veilige werkomgeving als medewerkers niet beschikken over de juiste competenties. Peter Vermeulen CRUCIALE VRAAG De cruciale vraag is dan natuurlijk welke competenties werkend Nederland nodig heeft. Competenties zijn te onderscheiden op drie niveaus; kennis, vaardigheden en houding. Ontwikkeling van competenties kan spelenderwijs, via onderwijs en uiteraard zelfsturend. Kijk bijvoorbeeld naar karaktereigenschappen als stressbestendigheid, creativiteit en inventiviteit. Die zijn misschien wel belangrijker dan de juiste procedure weten te volgen. Weet je weg te vinden in een organisatie, hoe kun je dingen zelf makkelijk oplossen en zaken op de juiste manier her- en erkennen, en meld incidenten, adviseert de TNO-wetenschapper. Verder ervaren we dat serious gaming een hele effectieve leeroplossing is. Zeer geschikt voor het trainen van cybersecurity-bewustzijn. Het spelen van een spel, simulaties ervaren van echte omgevingen waarin de medewerker zelf een hoofdrol speelt, bordspelen of managementgames zijn heel effectief. En relatief goedkoop; in een korte tijd en op een impactvolle en ludieke manier wordt er veel geleerd. Peter Vermeulen van Pb7 voegt daaraan toe dat de hedendaagse werknemer niet meer naar allerlei dure gebruikerscursussen hoeft. Het innovatie- en onderzoeksinstituut TNO doet onderzoek naar de vaardigheden die nodig zijn voor de 21 e eeuw onder de noemer 21st century skills. Deze worden ook omarmd door de Europese Unie. Daarbij is volop aandacht voor digitale vaardigheden. Op dit moment is er op school nog nauwelijks aandacht voor digitale veiligheidsgevaren. Onze huidige leermethoden stammen nog uit de tijd van onze papieren generatie. De digitalisering van het onderwijs staat op de agenda van ons Ministerie van Onderwijs, Cultuur en Wetenschappen. Maar is helaas nog niet de praktijk van alledag op onze scholen, concludeert Oprins. HOOG OP DE AGENDA Peter Vermeulen van Pb7 prijst zich gelukkig met het feit dat IT-beveiliging steeds hoger op de agenda van organisaties komt te staan. Geld en tijd besteden Esther Oprins aan IT-beveiliging staat op dit moment bovenaan de ranglijst van belangrijkste investeringsgebieden. Toch wijst het Cisco-onderzoek uit dat Nederlandse werknemers security meer en meer als een barrière zien voor innovatie in plaats van een katalysator voor bedrijfssucces en vernieuwing. Dat herkent de marktanalist wel. Er is nog een hele weg te gaan. IT-security verschuift langzaam aan van een noodzakelijk kwaad naar een manier om ook innovatie te versnellen. In de Formule 1-wereld kun je geen snelheid maken zonder remmen. Meer dan de helft van de innovaties faalt omdat de veiligheid niet goed geregeld is. Bij de ontwikkeling van nieuwe producten komt veiligheid nog te vaak aan het einde van het proces in beeld. Dat moet veranderen naar een security by design aanpak. Fred Noordam van Cisco sluit zich daarbij aan. De Chief Information Security Officer (CISO) moet zijn beleid verschuiven van security-processen en -technieken naar een centraal geleid security-beleid vanuit het perspectief van de IT-gebruiker anno nu. Dit vraagt om een gedifferentieerde IT-beveiligingsstrategie afgestemd op het gedrag van het individu en gedragen door het bestuur van de organisatie. Anders gezegd: every company is a security company. 24 INFOSECURITY MAGAZINE - NR. 1 - MAART

14 EXPERTVISIE EXIN Snelle adoptie vraagt om verdere professionalisering OpenStack is een open source besturingssysteem voor het ontwikkelen en inrichten van publieke en private cloud-omgevingen. Oorspronkelijk van start gegaan als een project van Rackspace en de NASA is OpenStack de afgelopen jaren zeer populair geworden. Het is uitgegroeid tot een van de belangrijkste hulpmiddelen die bedrijven en organisaties inzetten om te komen tot een verdere flexibilisering van hun IT-systemen. Die populariteit zien we ook terug in de cijfers die marktonderzoekers publiceren. De markt voor OpenStack-oplossingen zal in 2018 vier maal zo groot zijn als in Naar verwachting heeft de EXIN LANCEERT CERTIFICERING VOOR OPENSTACK De afgelopen jaren heeft OpenStack een enorme groei doorgemaakt. Steeds meer bedrijven en overheidsorganisaties gebruiken deze open source-technologie voor het bouwen van publieke en private cloud-omgevingen. Daarmee groeit ook de behoefte aan het toetsen en certificeren van de kennis van ICT-professionals die met OpenStack-technologie werken. EXIN speelt op deze ontwikkeling in met de lancering van het certificeringsprogramma EXIN Certification in OpenStack Software. markt in 2018 een omvang bereikt van 3,3 miljard dollar. Figuur 1 schetst wat dat betreft een interessant beeld van de toekomst van OpenStack. Het project wordt aangestuurd via de OpenStack Foundation. Inmiddels zijn meer dan mensen lid van deze organisatie, terwijl bijna 350 bedrijven, universiteiten en onderzoeksinstellingen het project ondersteunen. SNELLE GROEI Deze indrukwekkende groei betekent dat steeds meer ICT-professionals in hun dagelijkse werk te maken hebben met OpenStack. De kennis die zij hiervoor nodig hebben, doen zij veelal op via praktijkervaring en trainingen die worden aangeboden door commerciële partijen. Vaak zal het dan gaan om trainingen die specifiek gericht zijn op bepaalde tools, terwijl in sommige gevallen ook een meer gedegen basiscursus wordt aangeboden. Er bestond voor ICT-professionals tot voor kort echter geen mogelijkheid om hun kennis op het gebied van OpenStack formeel te laten toetsen door een onafhankelijke partij. Dit had belangrijke gevolgen. Enerzijds konden zij zelf hooguit via de cursussen die zij via aanbieders hebben gevolgd een indicatie geven van hun kennis en ervaring op dit gebied. Anderzijds is het voor IT-managers en HR-managers erg lastig om te beoordelen in hoeverre hun medewerkers of eventuele kandidaten voor bepaalde technische functies over de juiste competenties beschikken. Met de lancering van EXIN Certification in OpenStack Software brengt EXIN hier nu verandering in. Het internationaal opererende maar van oorsprong Nederlandse instituut (EXIN is gevestigd in Utrecht) speelt hiermee in op een snel groeiende behoefte. Zoals wel mag blijken uit het feit dat de laatste OpenStack Summit in Parijs eind vorig jaar maar liefst meer dan vijfduizend deelnemers trok, bestaat er een enorme behoefte aan kwalitatief hoogwaardige informatie over deze technologie. Bovendien is OpenStack voor veel bedrijven en organisaties inmiddels dermate belangrijk dat het eigenlijk nauwelijks nog verantwoord te noemen is dat ICT-professionals het zonder formele vorm van opleiding en certificering moeten stellen. VENDOR NEUTRAL EXIN heeft bij het ontwikkelen van dit certificeringsprogramma nauw samengewerkt met HP, een van de belangrijkste ondersteuners van de OpenStack Foundation. HP levert zelf ook commerciële producten op basis van OpenStack, maar het programma dat EXIN nu heeft ontwikkeld is volledig vendor neutral, benadrukt EXIN in een toelichting. EXIN hanteert een open certificeringsmodel en zal meerdere opleiders accrediteren voor het programma. De rol van HP moet vooral gezien worden als die van kennispartner. EXIN Foundation Certificate in OpenStack Software kent een redelijk technisch karakter. Het biedt een entry-level introductie tot OpenStack. Dit betekent dat alle basiscomponenten die deel uitmaken van de OpenStack-infrastructuur aan de orde komen. Denk aan thema s als storage, identity management en networking. Hoewel de adoptie van OpenStack in eerste instantie vooral onder enterprise-organisaties snel op gang kwam, kent de certificering een bredere doelgroep. Ook voor ICT-professionals uit het middelgrote bedrijfsleven is het examen en het betrokken certificaat relevant. KENMERKEN Wat biedt EXIN met dit programma nu precies? Het gaat om een aantal belangrijke punten: Figuur 1. De verwachte groei van OpenStack. Figuur 2. De positie van EXIN Foundation Certification in OpenStack Software binnen het totale programma van EXIN. Onafhankelijke certificering - het certificeringsprogramma is niet gebonden aan een of meer commerciële aanbieders van OpenStack-producten, maar is geheel onafhankelijk. Inzicht in kennis - het behalen van een certificaat geeft aan dat de betrokken medewerker beschikt over een duidelijk omschreven basiskennis rond deze open source-technologie. Inzicht in competenties - voor HR-managers bij zowel enterpriseals middelgrote organisaties betekent het certificaat dat de betrokken ICT-professional beschikt over duidelijk omschreven competenties. Wereldwijd erkend - doordat EXIN dit programma wereldwijd aanbiedt, maakt EXIN Certification in OpenStack Software het voor organisaties die in meerdere landen actief zijn mogelijk om een beter inzicht te verkrijgen in de kennis van medewerkers die werkzaam zijn in meerdere landen en op tal van locaties. Dat maakt onder andere het inzetten van buitenlands personeel voor OpenStack-projecten eenvoudiger. Het programma is beschikbaar in meerdere talen. Compleet programma bouwend op het Foundation niveau certificaat wat nu al beschikbaar is, komt EXIN tevens later dit jaar met de eerste kwalificaties op Advanced-niveau. Deze richten zich op specifieke onderdelen van OpenStack-software, zoals Neutron, Cinder en Swift. Opstap naar bredere opleiding - doordat EXIN Foundation Certificate in OpenStack Software een integraal onderdeel uitmaakt van het veel bredere programma examens en certificeringen dat EXIN aanbiedt, kan het behalen van dit certificaat tevens een opstap betekenen naar vervolgstudies en -certificeringen. Figuur 2 geeft de positie van deze certificering binnen het totale EXIN-programma aan. Hans Vandam is journalist MEER WETEN? DOWNLOAD DE BROCHURE Certificering op basis van EXIN Foundation Certificate in OpenStack Software past doorgaans in een driedaagse training. De feitelijke examens worden afgenomen door partners van EXIN, veelal opleidingsinstituten. EXIN heeft een speciale brochure samengesteld waarin meer informatie wordt gegeven over dit certificeringsprogramma. Interesse? Kijk op downloads 26 INFOSECURITY MAGAZINE - NR. 1 - MAART

15 EXPERTVISIE IIR BRENNO DE WINTER: JE BENT NOOIT UITGELEERD ALS HET OVER INFORMATIEBEVEILIGING GAAT Steeds meer bedrijven schakelen professionals in die zich fulltime richten op informatiebeveiliging. Het is voor deze professionals echter niet eenvoudig op de hoogte te blijven van de ontwikkelingen op dit gebied. Door de grote hoeveelheid aspecten die bij informatiebeveiliging komen kijken ben je eigenlijk nooit klaar met leren, legt Brenno de Winter uit. De Winter is onderzoeksjournalist en daarnaast hoofddocent van de opleiding Informatiebeveiliging bij IIR. Informatiebeveiliging is een breed speelveld. Ik merk soms dat cursisten het heel ingewikkeld vinden met zoveel verschillende dingen bezig te zijn. Zij moeten alles afweten van techniek en informatie, maar ook kunnen omgaan met wetgeving. ÉÉN FTE IS NIET DE OPLOSSING! Security managers hebben geen eenvoudige taak. Zij zijn eigenlijk een soort achtervang voor alles wat er binnen een bedrijf niet goed is geregeld. Ze worden geacht alle verbeterpunten in kaart te brengen, wat door het brede speelveld enorm ingewikkeld is, legt Brenno uit. Daarnaast moeten ze ook nog eens een communicatie-expert zijn en het probleem goed adresseren anders snapt niemand in de organisatie wat het probleem is. Er moet dus bewustzijn ontstaan. Dit bewustzijn is van groot belang. Security managers worden aangesteld om een bepaalde taak uit te voeren, maar zodra zij dit in de praktijk doen kunnen zij op weinig waardering rekenen. Vaak wordt voor security simpelweg één fte ingeboekt, waarvan de Security Manager wordt ingehuurd. Bedrijven denken hiermee het onderwerp security te hebben afgedicht. In de praktijk komt de Security Manager na zijn audit van de situatie vaak met allerlei maatregelen, die extra geld vragen maar hier is vaak geen budget voor gereserveerd. Brenno de Winter TRAININGEN DOOR DOCENTEN UIT DE PRAKTIJK IIR leert cursisten onder andere hiermee omgaan. De opleiding geeft managers de juiste handvatten om hun (eerste) stappen te zetten als security manager. Zij leren het speelveld te overzien, waarna ze zich zelfstandig verder in het onderwerp kunnen verdiepen. Deelnemers krijgen brede kennis mee over specifieke onderwerpen en leren zowel hun sterke als zwakke punten kennen. Daarnaast werken we met veel verschillende docenten die afkomstig zijn uit de praktijk. In de lessen die ik geef speelt KPMG bijvoorbeeld een grote rol. Binnen een organisatie als KPMG zijn enorm veel auditors aanwezig, die heel strak volgens de regels naar informatiebeveiliging kijken. Deze jongens zijn dagelijks met informatiebeveiliging bezig en hebben dus veel ervaring. Zij behandelen de theorie vanuit een praktisch oogpunt, legt Brenno uit 'De opleiding geeft managers de juiste handvatten om hun (eerste) stappen te zetten als security manager' OVER IIR Het cursusaanbod bij IIR varieert continu. Zowel cybercriminelen als tegenmaatregelen ontwikkelen zich continu, waardoor ook de trainingen zich moeten aanpassen. De cursussen, trainingen en opleidingen van IIR worden dan ook continue afgestemd op ontwikkelingen in de praktijk. De volgende cursussen en trainingen staan de komende maanden op de agenda: Summercourse Informatiebeveiliging (6-daagse verkorte opleiding van t/m Scheveningen) Privacy Officer 2.0 (4-daagse opleiding van t/m Amsterdam) IT Risk Management & Assurance (5-daagsebootcamp van t/m Amsterdam) CISA: Certified Information System Auditor (6-daagse examentraining van t/m Amsterdam) CISM: Certified Information Security Manager (4-daagse examentraining van t/m Amsterdam) Praktijktraining Security Architectuur (2-daagse praktijktraining van t/m Amsterdam) Meer inhoudelijke informatie over de cursussen en trainingen van IIR is te vinden op Of neem contact op met de opleidingsadviseur via SUMMERCOURSE INFORMATIEBEVEILIGING Zorg dat uw informatiebeveiliging wél op orde is De Summercourse Informatiebeveiliging helpt u bij het creëren van awareness binnen uw organisatie. Zo voorkomt u dat uw beleid strandt in de uitvoering. Alle belangrijke beveiligingseisen uit (inter)nationale wet- en regelgeving Inzicht in technische en niet-technische risico s van (nieuwe) technologieën Elke dag een hands-on praktijkcasus Inclusief: 36 PE-punten & ipad Air met digitaal lesmateriaal De hoofddocenten zijn security specialisten Brenno de Winter en Vincent Damen, afgewisseld door zes gastsprekers. Locatie: Boomerang Beach Scheveningen Data: 16, 17, 18, 23, 24 en 30 juni INFOSECURITY MAGAZINE - NR. 1 - MAART

16 EXPERTVISIE LOI / NOVI De Chief Information Security Officer van morgen: Met de intrede van security in de boardroom wordt de vraag actueel hoe dit onderwerp te duiden. Hoe specificeren we het? Wie is verantwoordelijk en aansprakelijk? Dit is noodzakelijk om greep op de materie te krijgen. Het duiden is vooral lastig omdat de kritische assets (in dit geval data) doorgaans niet als zodanig op de balans staan en dus ook niet in het jaarverslag terugkomen. Zelden wordt de goodwill van de data op de balans tot uitdrukking gebracht. Daarom staat dit onderwerp in de meeste gevallen ook niet op het netvlies van de bestuurder (Raad van Bestuur) of de toezichthouder (Raad van Commissarissen). Incidenten waarbij de bestuurdersaansprakelijkheid nadrukkelijk aan Lec. Yuri Bobbert Msc RI is onderzoeker aan de Universiteit van Antwerpen op het terrein van bedrijfskritische informatiebeveiliging (Business Information Security). Daarnaast is hij lector bij Hogeschool NOVI en betrokken bij de realisatie van security opleidingsprogramma s van LOI Hogeschool. OP ZOEK NAAR EEN DUIZENDPOOT de orde is, komen vooral via de media naar buiten (denk aan RSA, Gemalto, ASML, NZA, Sony, ING) en zorgen daarmee voor de urgentie om meer grip te krijgen op dit fenomeen. Dat blijkt nog steeds lastig. De belangrijkste oorzaak hiervan is dat de bestuurder nog altijd onvoldoende wordt gevoed met input om een gefundeerde discussie te kunnen voeren. De CISO ofwel de Chief Information Security Officer zal hier in toenemende mate een rol vervullen, enerzijds als adviseur en anderzijds als sparring partner van het bestuur. De vraag is of de CISO-van-morgen wel over de juiste kennis en kunde beschikt en of de huidige opleidingen voldoende zijn toegerust op dat wat de moderne CISO moet kunnen en kennen. DE CISO VAN VANDAAG In 2013 heb ik een grootschalig onderzoek uitgevoerd om te verkennen wat de strategische kernvraagstukken zijn waar security professionals mee te maken hebben. Ik wilde vaststellen over welke kennis en vaardigheden CISO s moeten beschikken om de zogenaamde knowing-doing-gap te overbruggen. De bevraagde security experts geven aan dat security veelal wordt gezien als een project, maar meer zou moeten worden opgevat als een proces. Opvallend is dat de ondervraagden bij de beantwoording van de vragen weinig zachte vaardigheden aanreiken, zoals overtuigingskracht, communicatieve vaardigheden of sensitiviteit ten aanzien van ontwikkelingen in de organisatie. Terwijl ze wel veel waarde bleken te hechten aan zulke soft skills en deze zelfs als een belangrijke succesfactor aanmerkten. CISO s zitten ogenschijnlijk dus wat meer aan de kant van de hard skills (kennis en ervaring) en minder aan de zijde van de soft skills (vaardigheden en competenties). Dit is tegenstrijdig aan dat wat bestuurders en toezichthouders verwachten ten aanzien van de toekomstige ontwikkelingen van hun talenten. Zij zien een groeiende behoefte bij zichzelf en hun mensen aan onder andere helikopter view, kritisch doorvragen, oordeelsvermogen, commitment, resultaatgerichtheid, ondernemingszin en strategisch inzicht. Dit vraagt om een verschuiving binnen de CISO-capaciteiten en hedendaagse opleidingen. Inhoudelijke kennis zal moeten worden aangevuld met bedrijfsmatige, organisatorische en psychologische vaardigheden. Gericht op het aanzetten tot voorwaartse actie. Tenminste, als de CISO de verandering blijvend wil laten zijn en security als een continu proces wil borgen. Al met al kunnen we uit het onderzoek uit 2013 concluderen dat de CISO van vandaag beperkingen heeft. CISO s evalueren en adopteren maar deels de relevante krachten in hun strategie en beleid. Ze weten dat security een continu proces is maar hebben moeite het daadwerkelijk als zodanig te effectueren. Een mogelijke blinde vlek kunnen de sociale vaardigheden zijn. Bijvoorbeeld vaardigheden om doortastend te zijn of meer eisend ten aanzien van het management. DE CISO VAN DE TOEKOMST De CISO van de toekomst zal doordrongen moeten zijn van het enorme effect dat het vertrouwen van de stakeholders heeft op de continuïteit van de organisatie. Hij zorgt verder voor de noodzakelijke verbinding van de governance (het richten) met het management (het inrichten van processen) en met de operatie (het verrichten van activiteiten). En als er stakeholder-belangen in het geding zijn, dan grijpt hij in. Steeds zal hij hun belangen op het gebied van security verbinden aan de belangen en doelstellingen van de organisatie. De CISO van de toekomst is dus een verbinder. Hij is in staat om met bestuurders in begrijpelijke bewoordingen over technische onderwerpen te communiceren. Hij is een vaardige verandermanager die psychologisch inzicht paart aan organisatorische sensitiviteit. Hij beschikt over globale kennis van aanpalende disciplines zoals juridische zaken. Hij weet waar de grenzen van de wet liggen en waar die worden overtreden. Hij weet ook waar de aansprakelijkheden van de organisatie liggen. Hij heeft een inschatting gemaakt van de risico s die de organisatie loopt en is in staat om deze in financiële zin te kwantificeren. Hij heeft verder globale kennis van HR-processen. Hij weet wat de regels zijn waar gebruikers zich aan moeten houden en zorgt ervoor dat deze niet strijdig zijn met hun wettelijke rechten, zoals bijvoorbeeld vastgelegd in arbeidsrecht en de privacywetgeving. Hij is verder toegerust met globale kennis van architecturen (business systemen en IT-architecturen) en kan security architectuurprincipes duiden. Ook heeft hij globale kennis van marketing in huis. Kennis die hij vooral intern benut om bij de medewerkers de juiste houding en het juiste gedrag te bewerkstelligen. Niet in de laatste plaats heeft de CISO van morgen feeling voor finance. Hij begrijpt waar de organisatie haar geld mee verdient, hoeveel er wordt verdiend en of het op een verantwoorde wijze wordt uitgegeven (security van investeringen in relatie tot risico s). Hij is in staat om business cases uit te werken en toe te lichten om de noodzaak van investeringen in security te onderbouwen. Hij maakt een gedegen afweging van security uitgaven ten opzichte van te realiseren doelen en kan deze afzetten tegen de industriecijfers (benchmarks). De CISO van de toekomst weet bovenal wat hij niet weet. Daarom weet hij dat hij moet samenwerken en is hij daardoor in staat samen te werken in multidisciplinaire teams van experts. Hij waakt als een liaison over de juiste teamsamenstelling van kennis, vaardigheden en ervaring. PERMANENTE EDUCATIE Concluderend kunnen we stellen dat de CISO van de toekomst een duizendpoot is die zich door middel van permanente educatie de kennis en vaardigheden eigen maakt die hij nodig heeft om zijn organisatie blijvend te kunnen (be)dienen. Voor ons vakgebied - waarin veranderingen zich continu voordoen - zijn snelheid en doelgerichtheid van eminent belang. Interventies die nodig zijn om beveiliging naar een hoger plan te tillen, kunnen niet uit louter theoretische zaken bestaan. Er is een voortdurende terugkoppeling vanuit de praktijk nodig. Snelle feedback loops zijn dus essentieel. Daarom is action research & learning zo n uitermate geschikte methodiek voor ons vakgebied. Juist door deel uit te maken van het te onderzoeken object ontstaat levende kennis. Het is aan hogescholen en universiteiten om hiervoor opleidingen te hebben of te ontwikkelen. Niet alleen om de CISO van de toekomst op te leiden qua (technische) kennis en kunde, maar vooral ook om hem/haar de vaardigheden mee te geven die hij/zij nodig heeft om adequaat te blijven functioneren en zo zijn bestuurders te kunnen blijven adviseren. Daarom pleit ik ervoor om action learning en action research op te nemen in de onderzoekslijnen en leerlijnen van universiteiten en hogescholen. Hogeschool NOVI doet dit al tot grote tevredenheid van de deelnemers. De opleiding ICT van deze hogeschool is recent gekozen tot beste deeltijdopleiding van Nederland. Criteria om deze kwalificatie te verkrijgen waren kleinschaligheid, individuele begeleiding en de intensieve wijze zoals het onderwijs (action learning) wordt gegeven. Onder andere door praktijkgevallen in te brengen in onderzoek en onderwijs en zo actiegericht tot kennisverbreding en -verdieping te komen. Zowel Hogeschool NOVI als ook LOI Hogeschool hebben een leerlijn business information security gedefinieerd waarin de ISO en de CISO van de toekomst kunnen worden opgeleid. MEER WETEN? Yuri Bobbert schreef in 2010 het boek Maturing Business Information Security, a framework to establish the desired state of security maturity, dat wordt gebruikt op verschillende universiteiten en hogescholen. Vanuit dit boek zijn de MBIS-methode en het MBIS-platform ontstaan (mbis.eu). In 2014 verscheen zijn tweede boek: Hoe Veilig is mijn aandeel?, Het borgen van Reputatie, Vertrouwen en Continuïteit met de MBIS methode. Daarnaast heeft Bobbert meerdere wetenschappelijke publicaties op zijn naam. Dit artikel is een bewerking van het hoofdstuk Competentiemanagement dat is opgenomen in het boek Hoe veilig is mijn aandeel?. Dit boek is het resultaat van praktisch en wetenschappelijk onderzoek bij ruim honderd organisaties naar de beveiliging van kritische assets en de wijze waarop bestuurders en managers hun reputatie, vertrouwen en continuïteit kunnen borgen. 30 INFOSECURITY MAGAZINE - NR. 1 - MAART

17 EXPERTVISIE NEN Omdat er een groot tekort is aan ICT-experts in de EU, heeft de Europese Commissie vanaf 2003 de ontwikkeling van het e-competence Framework (e-cf) gestimuleerd door steun te geven aan de CEN Workshop ICT Skills. Het e-cf is een neutraal hulpmiddel voor de ICT-sector en een Europees referentiepunt bij het vaststellen van e-competenties (het kan bijvoorbeeld van belang zijn bij HR-management en -planning). Momenteel wordt gewerkt aan een Europese norm voor het e-cf, verwacht wordt dat deze eind 2015 verschijnt. e-cf zorgt voor structuur EUROPEES COMPETENTIE FRAMEWORK VOOR ICT-PROFESSIONALS In 2008 is de CEN Workshop Agreement (CWA) European e-competence Framework (ecf) gepubliceerd. Het e-cf is goed ontvangen en al enkele keren herzien. In 2013 is de derde versie verschenen. Het Italiaanse normalisatie-instituut UNI heeft het e-cf overgenomen als nationale norm en vervolgens het voortouw genomen om hier een Europese norm van te maken. Een Europese norm moet worden overgenomen door alle lidstaten van de EU, zo ontstaat er één speelveld voor e-competenties in Europa. PROCES OM TE KOMEN TOT EEN EUROPESE NORM Begin dit jaar is de CEN-normcommissie ecompetences and ICT professionalism opgericht die een Europese norm ontwikkelt op basis van de laatste versie van het e-cf. Eén van de verschillen met een CWA is dat in een norm duidelijk moet zijn wanneer eraan wordt voldaan. Verder heeft een Europese norm een gestandaardiseerde lay-out en hoofdstukindeling. De voorlopige indeling is als volgt: Inleiding Onderwerp en toepassingsgebied Normatieve verwijzingen Termen en definities Algemene uitgangspunten Doel Het laatste hoofdstuk gaat geheel over e-competences. Dit is vrij gedetailleerd en wordt opgedeeld in de te doorlopen fases: A. PLAN B. BUILD C. RUN D. ENABLE E. MANAGE In de bijlagen zijn voorbeelden opgenomen voor de mogelijke toepassing van de norm in organisaties met een sterke ICT-afhankelijkheid en/of ICT-component, voor IT-leveranciers in een zakelijke omgeving en voor MKB-bedrijven. De tekst van de CWA wordt nu omgewerkt naar het normformat. Het streven is dat er zo min mogelijk betekenisverschillen ontstaan tussen de CWA en de Europese norm. De veranderingen in de tekst worden voorgesteld, besproken en beoordeeld door de CEN-normcommissie. Inmiddels is een tweede concept van de Europese norm verschenen. Hierop zijn meer dan 100 commentaren binnengekomen die zijn besproken tijdens de laatste vergadering van de CEN-commissie, in oktober 2014 in Berlijn. Verwacht wordt dat de Europese e-cf -norm eind 2015 verschijnt. 'Het e-cf is een neutraal hulpmiddel voor de ICT-sector en een Europees referentiepunt bij het vaststellen van e-competenties' NEDERLANDSE VERTEGENWOORDIGING CEN is het Europese normalisatie-instituut. Aan de CEN-normcommissie wordt deelgenomen door de Europese normalisatie-instituten. Vanuit NEN werkt de normcommissie ICT-Competenties mee aan deze Europese norm. Op het moment zijn de firma s IT-Staffing en ABIO de twee leden van deze commissie. KOMENDE ONTWIKKELINGEN Op de CEN-commissievergadering begin 2015 komt de NEN-commissie met ideeën voor de volgende versie van de ecf norm. De NEN-commissie vindt het van belang dat de begrippen in het e-cf beter gedefinieerd worden en de relaties tussen de begrippen op een eenduidige wijze worden vastgelegd. Verder moet worden nagedacht over hoe het e-cf geautomatiseerd kan worden gebruikt. MEER WETEN? Als u meer wilt weten over deze normcommissies of deel wilt nemen aan het normalisatieproces dan kunt u contact opnemen met Jan Rietveld. Hij is secretaris van de normcommissie IT Beveiligingstechnieken en de commissie ICT-Competenties van NEN. jan.rietveld@nen.nl. 32 INFOSECURITY MAGAZINE - NR. 1 - MAART

18 EXPERTVISIE SCOS Als officiële Wireshark Trainings Center van de Wireshark University van Laura Chappell organiseert SCOS Software regelmatig de Wireshark Troubleshooting TCP/IP Networks-training. Wireshark is een populaire tool voor netwerkanalyse met meer dan downloads per maand. SCOS organiseert in Europa regelmatig trainingen rond deze tool. WIRESHARK UNIVERSITY: TROUBLESHOOTING TCP/IP NETWORKS In deze training (vijf dagen) wordt ingegaan op het efficiënt gebruiken van Wireshark en de packet-level TCP/IP communicatie door het bestuderen van zowel het correct als verkeerd gedrag van netwerken. In een groot gedeelte van de training wordt diep ingegaan op de mogelijkheden van Wireshark. Verder worden het beoordelen van zowel normale als abnormale communicatiepatronen van de TCP/IP-toepassing en de meest gangbare applicaties bestudeerd. Denk aan DHCP, DNS, FTP, Telnet, HTTP, POP en SMTP. De nadruk gedurende de training ligt sterk op hands-on lab-oefeningen en case studies uit de praktijk. Hiermee wordt kennis opgedaan welke direct na de training gebruikt kan worden. ADVANCED NETWORKS / SECURITY ANALYSIS Network en Security Analysis (eveneens vijf dagen) omvat de vaardigheden van niet alleen het vastleggen van gegevens, maar ook de mogelijkheid om ongebruikelijke patronen verborgen in schijnbaar normaal netwerkverkeer te onderscheiden. Deze cursus biedt de student een reeks van onderzoek- en analysetechnieken gericht op het gebruik van vendor-neutrale, open-source tools zoals Wireshark om inzicht te geven in de volgende gebieden: Advanced Network en Security Analysis methodieken Prestaties van het netwerk analyse en veiligheid bedreiging herkenning betreffende problemen met netwerkprestaties en netwerkaanvallen, Bot-Net gevaarherkenning evenals standaard gebruiker protocol problemen, waaronder IP-gerelateerde protocollen en andere op veelgebruikte internettechnologie gebaseerde user-protocollen (HTTP, VoIP, IRC, IM) SCOS organiseert Wireshark NETWORK EN SECURITY TRAINING Open-Source Network Analysis hulpmiddelen Gespecialiseerde Network Security Analysis technieken, waaronder reconstructie van verdacht dataverkeer en analyse technieken Real-World voorbeelden zullen tijdens de cursus worden gebruikt in combinatie met een groot aantal hands-on oefeningen om in de praktijk bewezen, praktische Network en Security Analysis vaardigheden te bieden. Deelnemers krijgen de beschikking over talrijke Wireshark trace-bestanden en een DVD met netwerk en beveiliging gereedschappen, evenals een bibliotheek van Network Security Analysis referentiedocumenten CSI TRAINING: CYBER SECURITY INVESTIGATION AND NETWORK FORENSIC ANALYSIS De CSI Training (lengte: vijf dagen) is door SCOS speciaal ontwikkeld voor netwerkbeveiligings- en wetshandhavingspersoneel met basis- tot gemiddelde kennis van algemene beveiliging en netwerken. Deze cursus maakt forensische netwerkanalyse (Network Forensics Analysis) toegankelijk voor de deelnemers. Indien men reeds beschikt over goede kennis van hostbased forensische analyse leert men toepassingen met betrekking tot het end-to-end digitale forensische proces. Forensische netwerkanalyse omvat het registreren van verdachte gegevens en het ontdekken van ongebruikelijke patronen die schuilgaan achter schijnbaar normaal netwerkverkeer. Deze cursus voorziet de deelnemer van een set onderzoekstechnieken en richt zich op het gebruik van leveranciersonafhankelijke, opensourcetools om inzicht te verschaffen in de volgende gebieden: De grondbeginselen van forensische analyse Datarecorder technologie en data mining Netwerkbeveiligingsprincipes, waaronder encryptietechnologieën en defensieve configuraties van apparaten voor de netwerkinfrastructuur Herkenning van beveiligingsrisico s voor verschillende algemene netwerkaanval- en exploitscenario s, waaronder netwerkverkenningstechnieken, gevaarherkenning van botnetwerken en man-in-the-middle -aanvallen evenals algemene kwetsbaarheden in het gebruikersprotocol, inclusief IP-gerelateerde protocollen (IP/TCP, DNS, ARP, ICMP), protocollen (POP/ SMTP/IMAP) en andere, algemene webbased gebruikersprotocollen Opensource-tools op het gebied van forensische netwerkanalyse Gespecialiseerde forensische netwerkanalysetechnieken, inclusief reconstructie van verdachte gegevens en inspectietechnieken Gedurende de cursus worden praktijkvoorbeelden gebruikt, in combinatie met verschillende praktijkoefeningen, zodat in de praktijk bewezen, praktische forensische analysevaardigheden worden verkregen. WIFI EN WLAN NETWORK ANALYSIS Deze vijfdaagse cursus is bedoeld voor Wireless Network Engineers en Ehernet-netwerk Engineers voor het verdiepen van hun kennis op het gebied van draadloze netwerken. Deze cursus biedt de cursist een set van analysetechnieken gericht op het gebruik van vendor-neutrale, open-source tools om inzicht te geven in de volgende gebieden: Wireless Network Analysis fundamentals Data Recorder technologie en data-mining Beveiliging gericht op draadloze netwerken, waaronder encryptie technologieën en defensieve configuraties van netwerkinfrastructuurapparaten Herkennen van diverse problemen die WiFi / WLAN-netwerken en de kwaliteit van de data beïnvloeden Factoren zoals latency, out-of-sequence pakketten, packet loss en retransmissions en hoe de ervaring van eindgebruikers kan worden geanalyseerd en geëvalueerd. Specifieke draadloze communicatie protocollen waaronder gegevens, beheer en controle en bijbehorende ondersteunende protocol architecturen zullen worden onderzocht. VOICE OVER IP (VOIP) ANALYSE Deze cursus (drie dagen) is bedoeld voor Network Engineers, VoIP en Netwerk Telefonie medewerkers welke een basiskennis bezitten over algemene VoIP / Telefonie en netwerken. Deze cursus biedt de cursist een set van analysetechnieken gericht op het gebruik van vendor-neutrale, open-source tools om inzicht te geven in de volgende gebieden: VoIP Network Analysis fundamentals Data Recorder technologie en data-mining VoIP gerichte netwerkbeveiliging principes waaronder encryptie technologieën en defensieve configuraties van netwerkinfrastructuurapparaten Herkennen van diverse problemen die VoIP-netwerken en de kwaliteit van de voice data beïnvloeden Factoren zoals latency, out-of-sequence pakketten, Jitter en Quality-of-Service en hoe de ervaringen van eindgebruikers kan worden geanalyseerd en geëvalueerd. Standaard VoIP gerelateerde protocollen waaronder SIP, MGCP, SCCP, UNISTEM, H.323 en bijbehorende ondersteunende protocol architecturen zullen worden behandeld. WINDOWS DIGITAL FORENSICS (5 DAGEN) Deze cursus is speciaal bedoeld voor Windows-beheerders, Windows forensische analisten en Law Enforcement personeel met basiskennis van de Microsoft Windows-architectuur, maar geen kennis van Windows Digital Forensics. Voor maximale effectiviteit, moeten de deelnemers ten minste elementaire kennis hebben van TCP/IP-netwerken, Windows-netwerken en Wireshark. De inhoud van de cursus richt zich op de mogelijkheden en technieken voor analyse in plaats van hoe men een specifiek instrument kan gebruiken. Tevens biedt het diepgaande forensische analyse van Windows-besturingssystemen en media gericht op Windows. Identificeer artefact en bewijs locaties die belangrijke vragen beantwoorden, waaronder vragen over de uitvoering van een programma, bestand openen, extern gebruik van het apparaat, geo-locatie, het downloaden van bestanden, anti-forensisch onderzoek en gebruik van het systeem. Na afloop is de deelnemer een effectieve Windows Digital forensisch analist en beheerder met een goed kennisniveau en inzicht om efficiënt digitaal bewijsmateriaal te behouden, extraheren en analyseren in Windows-systemen. Bovenstaande trainingen worden regelmatig door SCOS zowel in Amsterdam-Hoofddorp als op lokatie van de klant georganiseerd. OVER SCOS EN WIRESHARK SCOS is de enige partij in Europa die door de Wireshark University geautoriseerd is om de Wireshark Network en Security Training te verzorgen. SCOS-trainers zijn Certified Wireshark University Trainers, lid van FBI Infra- Gard, het Computer Security Institute, het IEEE en het Cyber Warfare Forum Initiative. Ze spreken regelmatig op regionale, nationale en internationale evenementen op het gebied van netwerken en beveiliging. De eerstvolgende cursussen worden verzorgd in Amsterdam-Hoofddorp: 1-5 Juni 2015 Troubleshooting TCP/IP Networks (Wireshark University) 8-12 Juni 2015 Advanced Networks and Security Analysis Voor meer inlichtingen: INFOSECURITY MAGAZINE - NR. 1 - MAART

19 EXPERTVISIE TSTC Informatiebeveiliging wordt volwassener, heeft daardoor steeds meer behoefte aan specialisten en zal door de groeiende focus op privacy nog meer aandacht gaan krijgen. Het in security trainingen gespecialiseerde opleidingsinstituut TSTC zit dicht bij het vuur als het gaat om trends in de informatiebeveiliging. Dagelijks leggen bedrijven en cursisten hun kennisbehoefte bij ons neer waardoor verschuivingen in het vakgebied snel zichtbaar zijn. Ons opleidingsprogramma wordt gevormd door die vraag en geeft dan ook een goed beeld van de Emile Kok: SECURITY-TRAININGEN HEBBEN DIEPGANG NODIG diversiteit die informatiebeveiliging tegenwoordig kenmerkt, stelt Emile Kok, algemeen directeur van TSTC VERANDERDE BEHOEFTE Tussen 2006 en 2012 was de vraag naar security trainingen volgens Kok redelijk homogeen. Om hun betrokkenheid bij beveiliging aan te tonen, streefden organisaties vooral naar security awareness en medewerkers met bekende titels als CISSP, CISM en CEH achter hun naam. Omdat vacatures hetzelfde beeld gaven, gingen professionals op zoek naar dergelijke trainingen om hun kansen op de arbeidsmarkt te vergroten. Deze behoefte is volgens TSTC niet verdwenen maar is de afgelopen jaren steeds meer uitgebreid met de wens naar verdere specialistische kennis. Waar een netwerkbeheerder eerder bij veel bedrijven nog kon worden aangewezen als de collega die alles weet over beveiliging is hij tegenwoordig nog slechts de firewallspecialist of één van de netwerkbeveiligers. Met het volwassener worden van informatiebeveiliging, zijn er meer specifieke rollen ontstaan met daarin afgebakende verantwoordelijkheden. Een security professional wordt nog wel geacht over veel zaken iets te weten, maar is bij veel organisaties niet langer meer generalist. Dit verklaart ook het succes van meer gerichte verdiepingstrainingen in penetratietesten, risk management, incident response en cloud security. Deze ontwikkeling wordt verder gestimuleerd door nieuwe eisen van de overheid zoals de jaarlijks verplichte DigiD audit waar bijvoorbeeld gemeenten mee te maken hebben en die dwingen te investeren in verdere ex- of interne security kennis. PRIVACY In dat kader zal de nieuwe Europese Verordening Bescherming Persoonsgegevens, die de WBP moet gaan vervangen, weer consequenties hebben voor de opleidingsvraag in Ondanks dat er nog enkele knopen doorgehakt moeten worden, is al wel duidelijk dat er een grote verantwoordelijkheid bij bedrijven komt te liggen op het gebied van bijvoorbeeld privacy management. Waar deze kennis voorheen beperkt bleef tot de juridische afdeling, wordt privacy steeds meer (mede) het domein van informatiebeveiligers en compliance officers. Omdat de nieuwe privacy verordening vergaande gevolgen heeft voor de informatiebeveiliging en we hier steeds meer vragen over kregen, is TSTC vorig jaar een exclusieve samenwerking aangegaan met IAPP, de grootste internationale vakvereniging voor privacy professionals. We zijn in mei gestart met hun bekendste CIPP/E titel die cursisten certificeert in globale- en Europese privacy wet- en regelgeving. Dit jaar zullen we het programma verder uitbreiden met CIPM en CIPT die gaan over hoe deze kennis toe te passen in een privacy management of technische functie. CIPP/E en CIPM sluiten in combinatie het beste aan op de eisen uit de Europese verordening waarmee veel bedrijven verplicht worden een privacy functionaris aan te stellen. CERTIFIED CHIEF INFORMATION SECURITY OFFICER (CCISO) Een andere nieuwe titel die TSTC in 2015 zal introduceren is CCISO. De laatste jaren is de eindverantwoordelijkheid voor informatiebeveiliging steeds hoger in de organisatie komen te liggen met de CISO functie tot gevolg. De CISO opereert op het grensvlak tussen beleid en techniek, tracht deze werelden in zijn functie te verenigen en heeft een organisatie brede kijk op informatiebeveiliging. Bij veel potentiële kandidaten schiet de vereiste management- of technische kennis volgens TSTC nog tekort om voldoende draagvlak te kunnen krijgen binnen alle lagen van de organisatie. De CCISO training behandelt al deze aspecten en met name de samenhang ertussen zodat de functie beter kan worden ingevuld. CCISO is een internationaal erkende certificering van EC-Council en fungeert tevens als aanvulling op een eventuele behaalde CISSP en/of CISM certificering in verband met de specifieke focus op de CISO-rol en de daarbij behorende werkzaamheden. OPLEIDEN ANNO 2015 Volgens TSTC s directeur is het werk van de opleider langzaam aan het verschuiven. Bedrijven schakelen ons naast hun reguliere trainingen vaker in voor maatwerktrajecten waarbij certificering nietof van ondergeschikt belang is. We hebben de beschikking tot een uitgebreid netwerk van internationale professionals die naast hun praktijkervaring ook didactisch in staat zijn om hun kennis over te brengen. Om niet voor elke klant een nieuwe training samen te hoeven stellen, zullen we in 2015 ook meer specialistische titels brengen die door kleine groepen te boeken en op punten aan te passen zijn. Kok noemt voorbeelden als SAP security, Malware Analysis en Exploit Development maar geeft aan dat klanten TSTC met al hun security en privacy vragen kunnen blijven benaderen. Want één ding verandert er niet, de kennisbehoefte van onze klanten bepaalt uiteindelijk de trainingen op onze agenda. 36 INFOSECURITY MAGAZINE - NR. 1 - MAART

20 WHITEPAPER BEST PRACTICES HELPEN GEBOUWBEHEER- SYSTEMEN GOED TE BEVEILIGEN Volgens Schneider Electric hebben organisaties de beveiliging van gebouwbeheersystemen (GBS) niet altijd op orde. Doordat de systemen nauw zijn geïntegreerd met de gehele IT enterprise, communiceren ze via allerlei open protocollen onder meer met internet en mobiele apparaten. Hierdoor zijn gebouwbeheersystemen zeer kwetsbaar voor cybersecurity. Schneider Electric geeft daarom best practices om grote financiële schade te voorkomen. De totale schade van cybercriminaliteit aan IT-systemen bedraagt volgens een onderzoek van McAfee zo n 263 miljard dollar per jaar. Het GBS is daar inmiddels een volwaardig onderdeel van. Het resultaat is verloren productiviteit, technische support en gemiste omzet. Maar ook minder kwantificeerbaar verlies zoals imagoschade. Het is volgens Marcel Spijkers, Algemeen Directeur bij Schneider Electric in Nederland, dan ook merkwaardig dat veel van deze systemen nog geen adequate beveiligingsstrategie hebben. Daar moet verandering in komen, aldus Spijkers. Organisaties behoren onder meer het beherende personeel goed te trainen, zodat zij (nieuwe) bedreigingen leren herkennen en passende maatregelen kunnen toepassen. Daarnaast zijn de best practices voor het beveiligen van IT in het algemeen ook zeer goed toepasbaar voor een GBS. Deze verminderen de kans op een digitale inbraak en de daaraan verbonden schade aanzienlijk. De best practices zijn: 1. Wachtwoordmanagement Bij de ingebruikname van apparaten wordt gemakshalve het standaardwachtwoord niet gewijzigd. Veel gemakkelijker kunnen bedrijven het een hacker niet maken. Het internet wemelt immers van de lijsten met apparaten en bijbehorende standaardwachtwoorden. 2. Netwerkmanagement Een GBS is onderdeel van het IT-netwerk en beveiliging van dit netwerk is dan ook een goed startpunt. Beperk toegang tot niet IP-gerelateerde communicatiekanalen zoals USB-poorten en beveilig webinterfaces tegen SQL-injecties. Investeer in goede firewalls en vergeet ook de fysieke beveiliging niet. 3.Gebruikersmanagement Verleen gebruikers slechts die toegangsrechten die zij nodig hebben om hun werk te doen. Op die manier voorkomen organisaties schade door bijvoorbeeld ongeautoriseerde medewerkers. 4. Softwaremanagement Laat alleen geautoriseerde gebruikers software uitrollen. Installeer altijd de nieuwste updates. Hiermee blijven ondernemingen maximaal beschermd tegen lekken en bugs in de code. 5. Beheers kwetsbaarheden Ontwikkel een risk management-plan dat alle types risico s afdekt. Zorg voor een formeel document voor iedere installatie. Lees voor meer informatie de whitepaper Five Best Practices to Improve Building Management Systems (BMS) Security via de website van Schneider Electric. MIGRATIE MIGRATIE STORAGE HYBRIDE CLOUDCOMPUTING SAAS PUBLIC DATACE IT MANAGEMENT GREEN IT PAAS PRIVATE SECURITY LAAS SOLUTIONS VIRTUALISATIE SECURITY SECURITYPRIVATE LAAS CONVERSION SLA CLOUDCOMPUTING VIRTUALISATIE GREEN IT HYBRIDE CLOUDSHOPPING SOLUTIONS PUBLIC STORAGE LAAS PAAS MIGRATIE APPS PRIVATE CONVERSION IT MANAGEMENT GREEN IT cloudworks.nu geheel vernieuwd! Feiten en fictie in kaart gebracht APPS 38 INFOSECURITY MAGAZINE - NR. 1 - MAART