DAVE MAASLAND VAN ESET:

Maat: px
Weergave met pagina beginnen:

Download "DAVE MAASLAND VAN ESET:"

Transcriptie

1 JAARGANG 14 - MAART INFO SECURITY MAGAZINE DAVE MAASLAND VAN ESET: HET GAAT OM TOTALE IT-SECURITY PASSWORD ********* PASSWORD A B C D F G SPECIAL SECURITY-OPLEIDINGEN HOE VEILIG IS EEN PROGRAMMEERBARE INFRASTRUCTUUR? - PRIVACY HEEFT OMDENKEN NODIG - SECURITY INFORMATION & EVENT MANAGEMENT: TE MOOI OM WAAR TE ZIJN? - ENCRYPTIE IS BEZIG AAN EEN STEVIGE OPMARS - SELECTIE VAN DE BESTE APPLICATION DELIVERY CONTROLLERS - MODERNE SPIONNEN EN HOE DEZE DE HUIDIGE ONDERNEMING BEDREIGEN - BEVEILIGING VRAAGT OM CONTINUE AANPAK - INDUSTRIËLE INFRASTRUCTUUR ONDER VUUR

2 g Colofon - Editorial Infosecurity Magazine is het enige onafhankelijke vakblad in de Benelux dat zich expliciet bezighoudt met informatiebeveiliging. Het blad beweegt zich op het snijvlak van technologie en beleid. Vanaf het hekwerk tot in de boardroom. Toezending van Infosecurity Magazine vindt plaats op basis van abonnementen en controlled circulation. Vraag uw abonnement aan via Uitgever Jos Raaphorst twitter.com/raaphorstjos nl.linkedin.com/pub/dir/jos/raaphorst Hoofdredacteur Robbert Hoeffnagel twitter.com/rhoeffnagel nl.linkedin.com/in/robberthoeffnagel Advertentie-exploitatie Will Manusiwa Eindredactie/traffic Ab Muilwijk Vormgeving Media Service Uitgeest Druk Control Media Infosecurity magazine is een uitgave van FenceWorks BV Beatrixstraat CK Zoetermeer Niets uit deze uitgave mag op enigerlei wijze worden overgenomen zonder uitdrukkelijke toestemming van de uitgever. Meer informatie: Klanten In deze editie van Infosecurity Magazine besteden we extra aandacht aan security-opleidingen. De klassieke aanpak op dit gebied is het volgen van een technische cursus of workshop. Op die manier leren we immers het verschil tussen normaal en abnormaal dataverkeer, leren we concepten als Unified Threat Management doorgronden en zien we hoe we - als we daar tenminste budget voor krijgen - file-level security kunnen toepassen. Peter Vermeulen van onderzoeksbureau Pb7 Research constateert in zijn artikel terecht dat we daarmee nog altijd niet ten volle begrijpen wat er aan de hand is. IT-security is meer dan een indrukwekkend aantal digitale sloten op de deur spijkeren. Het gaat ook en misschien wel vooral om de mens. Die maakt veel fouten. Meestal onbewust, maar er zijn natuurlijk ook individuen die - bijvoorbeeld - wraak willen nemen na een in hun ogen onterecht ontslag. Het laatste lossen we weer technisch op (intrekken van toegangsrechten en dergelijke), maar het eerste is vooral bewustwording. En goede procedures. Stel nu dat we alle hiervoor genoemde maatregelen hebben genomen, zowel technisch als op menselijk vlak. Zijn we dan veilig? Toch niet, vrees ik. Er is namelijk nog een derde probleem: klanten. Of beter gezegd: mensen die zich als klant voordoen. Dit zijn fraudeurs, oplichters of hoe u hen ook wilt noemen. Zij praten zich bij een bedrijf naar binnen toe. Vaak op basis van een mooi verhaal over een apparaat of dienst waar een probleem mee zou zijn. Men wil dan uiteraard geld terug of iets dergelijks. Die groep blijft in de wereld van infosecurity nog vaak onbelicht. Het is meer iets voor een fraude-afdeling. De vraag is of dat terecht is. Want cybercriminelen lijken steeds vaker ook van dit kanaal gebruik te maken. Grote ondernemingen spenderen wereldwijd vele miljarden om dit soort misbruik tegen te gaan. Dat geld besteden zij bij bekende aanbieders van big dataen business analytics-technologie als SAP en SAS Institute. Met de tools van dit soort aanbieders zoeken zij in de enorme hoeveelheden data die zij verzamelen over klanten, partners, transacties en dergelijke naar abnormale patronen. Patronen die kunnen duiden op oneigenlijk gebruik van procedures. Maar lang niet alle communicatie tussen bedrijf en klant (of klant ) verloopt via online-formulieren of s. Vaak wordt ook simpelweg gebeld naar een call center. Daar babbelen dit soort criminelen zich redelijk soepel naar binnen. Van Grote ondernemingen spenderen wereldwijd vele miljarden om dit soort misbruik tegen te gaan een koppeling met systemen en processen voor IT-security is geen sprake. Die integratie moet snel komen. Grote bedrijven zijn dan ook op zoek naar tools om alle big data-technieken te koppelen aan - bijvoorbeeld - audio-analyses. Dat verklaart de grote belangstelling van venture capital-firma s voor bedrijven als Pindrop Security. Dit soort startups ontwikkelen technologie waarmee telefoontjes kunnen worden onderzocht: welke is afkomstig van een legitieme klant en welke van een potentiële frauderende klant of cybercrimineel? Dit soort tools laten zich prima koppelen aan bijvoorbeeld SIEM-oplossingen. Daarmee zetten we opnieuw een belangrijke stap in de strijd met de cybercriminelen. Robbert Hoeffnagel Hoofdredacteur Infosecurity Magazine 2 INFOSECURITY MAGAZINE - NR. 1 - MAART

3 Vendor Neutral OpenStack Exam EXIN has launched an vendor-neutral OpenStack cloud certification called EXIN Foundation Certification in OpenStack Software. This exam is aimed at ICT professionals who want to have their basic knowledge and understanding of OpenStack being tested and certified. Later on in 2015 a more technically oriented OpenStack certification aimed at developers and programmers will be launched. BENEFITS: Confirms competence in OpenStack technology Extensive options for further education Alligned with Cloud certification program Available in multiple languages ABOUT EXIN 30 years of experience in certifying the competences of ICT professionals Unmatched international recognition: EXIN Holding B.V. is the global independent certification institute for ICT-professionals. With 30 years of experience in certifying the competences of over 2 million ICT-professionals, EXIN is the leading and trusted authority in the ICT-market. EXIN is co-initiator of the ecompetence Framework and the original developer of ITIL exams. With over 1000 accredited partners EXIN facilitates exams and e-competence assessments in more than 125 countries and 20 languages. EXIN has strategic knowledge partnerships and expertise cooperation with companies such as Microsoft, IBM and EPI. 9 Box breidt uit met key management 38 Artikel Netskope Security Information & Event Management: Te mooi om waar te zijn? 40 Security Information & Event Management (SIEM) is bezig aan een opmars. De belofte rondom deze technologie is groot: Met het toepassen van deze technologie verkrijgt u zichtbaarheid over het volledige ITlandschap en kunt u afwijkingen ofwel cyberincidenten identificeren. Een terechte belofte? Of toch niet? Encryptie is bezig aan een stevige opmars 42 Encryptie, het versleutelen van informatie om deze onleesbaar te maken voor onbevoegden, wordt steeds belangrijker nu er veel meer aandacht is voor dataveiligheid en privacy dankzij onthullingen over de afluisterpraktijken van veiligheidsdiensten en de grote data hacks die in het nieuws komen. Denk aan de recent uitgekomen hack bij Gemalto. Encryptie is hot. Forrester heeft onlangs op basis van 52 criteria de belangrijkste leveranciers van endpoint encryptie in kaart gebracht. Sophos is koploper. 45 In drie stappen naar een veilig netwerk 48 Moderne spionnen en hoe deze de huidige onderneming bedreigen Beveiliging vraagt om continue aanpak 50 De security-branche wordt nu al geconfronteerd met uitdagingen die bepalend zullen zijn voor het bedreigingslandschap van morgen. Globalisering op de werkplek, Internet of Things en de enorme snelheid waarmee we zakendoen. Al deze ontwikkelingen maken het moeilijk om de steeds geavanceerdere cyberbedreigingen af te slaan en de beveiliging van het bedrijfsnetwerk op peil te houden. Een van de beste manieren om deze problemen op te lossen, is het hanteren van een proactieve, continue beveiligingsaanpak. Het is simpelweg niet langer toereikend om de beveiliging zo nu en dan onder de loep te nemen. Cybercriminelen bestoken bedrijfsnetwerken onophoudelijk en organisaties moeten hierop reageren met continue beveiliging. 52 Industriële infrastructuur onder vuur 54 Legal Look SPECIAL SECURITY-OPLEIDINGEN HET GAAT OM TOTALE IT-SECURITY 6 In de IT-beveiligingsbranche is er inmiddels wel consensus over: de traditionele Antimalwarebenadering is niet langer afdoende. Het gaat nu om totale IT-security. Beveiligingsspecialist ESET lanceerde daarom begin 2015 een compleet nieuw beveiligingsportfolio, dat weliswaar voortbouwt op de bekende NOD32-technologie maar voor de rest van de grond af is ontworpen en opgebouwd om moderne bedreigingen tegen te gaan. We zijn hiermee als het ware de alarmcentrale van organisaties voor wat betreft het veilig houden van hun IT-omgeving, zegt Dave Maasland, managing director van ESET Nederland. HOE VEILIG IS EEN PROGRAMMEERBARE INFRASTRUCTUUR? PRIVACY HEEFT OMDENKEN NODIG 12 De huidige staat van online-privacy in Nederland is zorgwekkend. Consumenten zeggen veel belang te hechten aan privacy. Woorden en daden blijken echter twee verschillende dingen. Dit blijkt uit onderzoek in opdracht van Kaspersky Lab. De onderzoeksuitkomsten waren aanleiding voor een privacy-debat met vooraanstaande experts. SELECTIE VAN DE BESTE APPLICATION DELIVERY CONTROLLERS INHOUD Veel mensen zien software-defined networking als een van de grootste veranderingen in de IT sinds de verschuiving van mainframes naar desktops. Overigens zijn het niet alleen LANs, WAN s en datacenternetwerken die consequenties ondervinden van deze verschuiving. Software krijgt steeds meer dominantie in alle onderdelen van de IT-infrastructuur en daar is een goede reden voor. Op software gebaseerde systemen beloven meer flexibiliteit, schaalbaarheid en automatisering. De gedachte is dat de volledige IT-omgeving direct op afstand te programmeren is. Daarmee is beter in te spelen op de dynamiek, waarmee organisaties tegenwoordig te maken hebben. Maar hoe veilig is zo n programmeerbare infrastructuur eigenlijk? IT-apparatuur moet om de zoveel tijd vervangen worden. Een goed moment om te bepalen of een toepassing nog wel geschikt is, of dat er betere alternatieven zijn. Eind 2014 waren de load-balancers van Avans Hogeschool aan vervanging toe. De IT-afdeling startte samen met afstuderend student Alexander Petrov een onderzoek naar het beste alternatief. Dit ging vele verder dan een gebruikelijke inventarisatie en aanbesteding. Een uitgebreide praktijktest met gewogen scores leidde uiteindelijk tot het gewenste resultaat. 4EXIN is a Registered Trade Mark of EXIN. ITIL and PRINCE2 are Registered Trade Marks of AXELOS Limited. INFOSECURITY MAGAZINE - NR. 1 - MAART

4 DAVE MAASLAND VAN ESET HET GAAT OM TOTALE IT-SECURITY In de IT-beveiligingsbranche is er inmiddels wel consensus over: de traditionele antimalwarebenadering is niet langer afdoende. Het gaat nu om totale IT-security. Beveiligingsspecialist ESET lanceerde daarom begin 2015 een compleet nieuw beveiligingsportfolio, dat weliswaar voortbouwt op de bekende NOD32-technologie maar voor de rest van de grond af is ontworpen en opgebouwd om moderne bedreigingen tegen te gaan. We zijn hiermee als het ware de alarmcentrale van organisaties voor wat betreft het veilig houden van hun IT-omgeving, zegt Dave Maasland, managing director van ESET Nederland. ESET timmert al sinds 1992 aan de weg met zijn NOD32-technologie, die zich onderscheidt door weinig systeembelasting. Maasland noemt Nederland een belangrijke markt, omdat het softwaregebruik en de internetpenetratie uitzonderlijk hoog zijn. Dat is ook de reden dat het hoofdkantoor van ESET in Slowakije op de voet volgt waar wij in Nederland tegen aan lopen, zegt Maasland. Hij wijst erop dat er in Nederland weliswaar veel zorg en aandacht is voor IT-security, maar dat het altijd nog beter kan. Bij de grote bedrijven staat de problematiek hoog op de agenda en zijn er ook de middelen beschikbaar om te investeren in beveiliging. In het mkb en daaronder is dat anders. Veel mkb ers denken dat ze geen interessant doelwit zijn, omdat ze geen bank of grote entertainmentonderneming zijn. Maar ook zij zijn kwetsbaar. Het gaat cybercriminelen uiteindelijk altijd om informatie die je kunt verkopen of gebruiken. Daarbij is niet langer een virus dat via de mail je pc besmet het grote probleem. Het is nu vooral verouderde software. Zorg er dus voor dat al je systemen volledig up-to-date zijn. Dat maakt je minder kwetsbaar. INTEGRALE AANPAK Volgens Maasland kunnen organisaties tegenwoordig niet zonder een integrale securitybenadering. Je moet kijken naar je endpoint beveiliging, je authenticatie en je encryptie. De afstemming tussen deze drie zaken is cruciaal voor een goede beveiliging. Omdat dit niet eenvoudig is, zie je dat leveranciers als ESET zich meer en meer richten op advies. Losse oplossingen verkopen is niet meer van deze tijd. Je levert inzicht en advies aan een klant en biedt aansluitend een combinatie van software aan waarmee de klant zijn security optimaal kan inrichten. Zo stel je organisaties ook in staat om in te spelen op nieuwe ontwikkelingen als Bring Your Own Device (BYOD). Veel organisaties houden die trends af omdat ze niet kunnen overzien wat het betekent voor hun IT-beveiliging. Wij helpen dan met het in kaart brengen van bedreigingen en mogelijkheden. Het tegenhouden van dit soort ontwikkelingen lukt sowieso niet. Je kunt dus maar beter zorgen dat je voorbereid bent. Maasland wijst er in dit verband op dat de ene branche andere behoeften heeft dan de andere. In de zorg is er bijvoorbeeld sprake van veel uitwisseling van data en bestanden en tegelijkertijd weinig gebruikersaffiniteit met IT. De overheid heeft te maken met krappe budgetten en tal van compliance-eisen. In de financiële dienstverlening gelden weer andere uitdagingen, zoals complexe databases en klantinformatiesystemen. Wij kijken dag in, dag uit naar de trends in deze en andere branches, verzamelen data en delen die zodat klanten zich beter kunnen wapenen tegen bedreigingen. OMVANG Volgens Maasland moeten we de omvang van de wereldwijde cybercriminaliteit niet onderschatten. Volgens serieuze schattingen gaat er in deze wereld anderhalf keer meer geld om als in de internationale drugshandel. Dat maakt het tot een serieus probleem. Net als in de drugshandel gaat het cybercriminelen altijd om geld. Of ze verkopen de data die ze stelen of ze gebruiken gestolen gegevens om een organisatie of privépersoon te chanteren. Data wordt gegijzeld en pas als je betaalt, kun je er weer bij. We zien nu overigens wel dat er langzamerhand initiatieven ontstaan om overheden en bedrijven meer te laten samenwerken, zoals dat ook in de fysieke wereld gebeurt bij de bestrijding van de drugshandel. Dat is van belang als je bedenkt hoe cruciaal een solide IT-infra- LANCERING NIEUW ESET-PORTFOLIO ESET lanceerde begin 2015 zijn volgende generatie portfolio van IT-securityproducten voor de zakelijke markt dat vanaf de grond is ontworpen en gebouwd. Het bedrijf werkte in 2014 aan een wereldwijd gebruikersonderzoek en analyseerde de bevindingen. Deze vormden de basis voor de nieuwe reeks van beveiligingsproducten die eerst in de Verenigde Staten op de markt kwam. ESET Remote Administrator vormt het hart van het nieuwe ESET-productportfolio. Deze platformonafhankelijke console voor remote management is opnieuw gebouwd om meer gebruiksgemak, beveiliging en lagere implementatie- en beheerkosten te bieden. De console beschikt over een ingebouwd task-managementsysteem dat downtime minimaliseert en voorziet in het geautomatiseerd uitvoeren van acties op basis van dynamisch groepslidmaatschap. 6 INFOSECURITY MAGAZINE - NR. 1 - MAART

5 DAVE MAASLAND VAN ESET ENCRYPTIE BOX BREIDT UIT MET KEY MANAGEMENT Box heeft de Box Enterprise Key Management-dienst (EKM) gelanceerd. Hiermee probeert het bedrijf een combinatie te zoeken tussen strenge beveiliging enerzijds en gebruiksgemak (bijvoorbeeld eenvoudige synchronisatie van bestanden) anderzijds. structuur is voor onze economie. Als het internet langdurig zou uitvallen, hebben we een enorm probleem. TRENDS 2015 Volgens Maasland laat het jaarlijkse trendrapport van ESET voor 2015 vijf belangrijke trends zien op beveiligingsgebied. In de eerste plaats moeten we rekening houden met een toename van de Advanced Persistent Threats (APT). Deze zijn doelgericht en bijna niet te traceren. Dat vereist continue aandacht voor onregelmatige of afwijkende gedragingen in je netwerk en applicaties. In de tweede plaats blijft social engineering de belangrijkste aanvalsvector. Daarom is continue Dave Maasland bewustwording binnen de organisatie cruciaal. Social engineering wordt steeds geavanceerder en vraagt daarom awareness op alle niveaus binnen de organisatie. Als derde trend zien we dat betalingssystemen in de retail kwetsbaar blijven voor zero day-aanvallen. Er zijn voorbeelden te over van grote, bekende winkelketens waar betaalpasinformatie werd gestolen door het vervangen van betaalterminals of het skimmen van betaalpassen. De gevolgen voor de reputatie van deze bedrijven zijn natuurlijk desastreus. De vierde trend is de toename van ransom-ware waarvan we in 2014 ook in Nederland de nodige voorbeelden hebben gezien. Na het infecteren van je pc of laptop worden je bestanden versleuteld en krijg je de sleutel pas als je betaalt. Dit is te omzeilen met een goede back-up van je belangrijke bestanden en goede up-to-date software. Ook ransom-ware maakt graag gebruik van zwakheden in verouderde software. Tot slot is er het Internet of Things dat weer een heel nieuw perspectief biedt voor kwaadwillenden. De eerste voorbeelden hebben we al gezien: de elektrische sportwagen van Tesla is al gehackt en smart-tv s blijken back-doors te hebben die ook voor hackers interessant kunnen zijn. HOSTILE ENVIRONMENT Volgens Maasland is het zaak dat producenten van apparaten die aan het internet worden gehangen al in de eerste fase van de productontwikkeling security meenemen in de ontwerpen. Al die devices komen terecht in een hostile environment. Daar kun je dan ook het beste vanaf dag één rekening mee houden Criminelen gaan altijd voor het low hanging fruit. Je moet er dus voor zorgen dat daar zo weinig mogelijk sprake van is. OVER ESET Sinds 1987 ontwikkelt ESET bekroonde beveiligingssoftware die meer dan 100 miljoen gebruikers helpt om technologie veiliger te gebruiken. Het brede portfolio aan beveiligingsproducten omvat alle populaire platformen en biedt bedrijven en consumenten over de hele wereld de perfecte balans tussen prestaties en proactieve bescherming. Het wereldwijde verkoopnetwerk beslaat 180 landen en regionale kantoren in Bratislava, San Diego, Singapore en Buenos Aires. Het kantoor in Sliedrecht telt 27 beveiligingsspecialisten die klanten helpen bij het beveiligen van hun data en applicaties. Sectoren als financiële dienstverlening, overheid, advocatuur en gezondheidszorg worden geconfronteerd met nieuwe uitdagingen bij het behoud van de controle over hun content en bij het beheren van de toegang tot die content, zonder dat dit een negatieve invloed heeft op de samenwerking en productiviteit, zegt Aaron Levie, medeoprichter en CEO van Box. Met EKM verwijderen we de laatste barrière voor cloud-gebruik voor bedrijven die behoefte hebben aan de beste beveiliging van hun gegevens. TRADITIONELE BENADERING De traditionele benadering van door de klant beheerde encryptie belemmert de mobiliteit, bruikbaarheid en eenvoud van cloud services die essentieel zijn voor productiviteit. EKM Box introduceert een aanpak voor bedrijven met volledige single-tenant controle over hun encryptie- sleutels en audit-logboeken. Bedrijven van elke omvang zijn nu bezig met het implementeren van nieuwe applicaties en het verplaatsen van activiteiten naar de cloud om hun behendigheid te verhogen, producten sneller naar de markt te brengen en om de klantervaring te transformeren, aldus Adam Selipsky, Vice President, Amazon Web Services. Veiligheid is een topprioriteit voor ons. De AWS Cloud-infrastructuur is gebouwd voor de meest flexibele en veilige cloud computing-omgevingen die vandaag beschikbaar zijn. We zijn verheugd om met Box samen te werken en AWS CloudHSM te gebruiken om een nieuwe generatie van zakelijke productiviteit en samenwerking te stimuleren binnen organisaties die het hoogste niveau van beveiliging en naleving van de regelgeving vereisen. Informatiebeveiliging blijft een kritische 'Een betrouwbare oplossing voor het beschermen van de meest gevoelige gegevens voor bedrijven en organisaties die geen compromissen willen op het gebied van gegevensbeveiliging en toegangsbeheer' Aaron Levie overweging voor organisaties wanneer zij oplossingen, diensten en applicaties naar de cloud verplaatsen, zegt Prakash Panjwani, senior vice president van Identity and Data Protection, Gemalto. Gemalto en Box bieden een betrouwbare oplossing voor het beschermen van de meest gevoelige gegevens voor bedrijven en organisaties die geen compromissen willen op het gebied van gegevensbeveiliging en toegangsbeheer in ruil voor de flexibiliteit en functionaliteit van de meest populaire productiviteitstools. In een toenemend aantal gebruikssituaties, zoals BYOD-scenario s (bring your own device) en cloud-situaties, kan het misbruik van vertrouwelijke gegevens alleen worden beperkt door betrouwbare en efficiënte encryptietechnieken, stelt Jay Heiser, Research VP bij Gartner. Kopers van cloud services en mobiele apparaten moeten eisen dat providers de mogelijkheid bieden voor beheer van eigen encryptiesleutels. Alleen door het beheer van hun eigen sleutels kunnen organisaties ervoor zorgen dat buitenstaanders niet heimelijk toegang tot die sleutels kunnen verkrijgen. 8 INFOSECURITY MAGAZINE - NR. 1 - MAART

6 SOFTWARE-DEFINED NETWORKING Stephen Mills, Global Security Consulting Product Manager en Gary Middleton, Business Development Manager for Networking bij Dimension Data vinden dat de branche nalaat kritische vragen te stellen over beveiliging. Hoe kwetsbaar 10 HOE VEILIG IS EEN PROGRAMMEERBARE INFRASTRUCTUUR? Veel mensen zien software-defined networking als een van de grootste veranderingen in de IT sinds de verschuiving van mainframes naar desktops. Overigens zijn het niet alleen LANs, WAN s en datacenternetwerken die consequenties ondervinden van deze verschuiving. Software krijgt steeds meer dominantie in alle onderdelen van de IT-infrastructuur en daar is een goede reden voor. Op software gebaseerde systemen beloven meer flexibiliteit, schaalbaarheid en automatisering. De gedachte is dat de volledige IT-omgeving direct op afstand te programmeren is. Daarmee is beter in te spelen op de dynamiek, waarmee organisaties tegenwoordig te maken hebben. Maar hoe veilig is zo n programmeerbare infrastructuur eigenlijk? is een programmeerbare infrastructuur? En als de risico s groter zijn dan bij een hardware-georiënteerde omgeving, hoe kan software-defined beveiliging dan bijdragen aan het verlagen van risico s? OPKOMST Middleton wijst erop dat de programmeerbare infrastructuur weliswaar nog in de kinderschoenen staat, maar dat het niet lang meer zal duren voordat het een realiteit is in de ICT-branche. We zien al orkestratie- en automatiseringstechnologieën in het datacenter en software-defined LAN s en WAN s die voor betere ondersteuning zorgen van applicaties en technologieën. Er wordt in de branche ook al gesproken over programmeerbare mobiliteitsoplossingen en beveiligingsinfrastructuren. De route richting programmeerbaarheid wordt vooral gedreven door de open source-beweging - zoals Open Stack - en de orkestratietools die steeds meer worden ingezet. Middleton noemt ook de opkomst van de DevOps-benadering. In essentie maakt die het mogelijk om de infrastructuur voor een bepaald zakelijk doel te programmeren terwijl de infrastructuur draait. Hetzelfde team is verantwoordelijk voor de ontwikkeling én de bedrijfsvoering. Vandaar de term development operations. Facebook bijvoorbeeld, voert wel dertig infrastructuurupdates per dag uit met gebruik van DevOps-technologie. Dat is een tempo dat in een hardware-omgeving ongehoord is. Wij zijn al begonnen met het verschuiven naar een flexibeler manier van het runnen van ICT-infrastructuren. Dat is mogelijk door software. Er blijft altijd behoefte aan hardware, maar we gaan ervan uit dat de hardware-laag langzamerhand steeds dunner zal worden op alle infrastructuuronderdelen. BEVEILIGING EN RISICO S Het is waar dat de programmeerbare infrastructuur nog aan het begin staat, zegt Mills. Dat zorgt voor meer risico s omdat de branche nog geen inzicht heeft in de volle breedte van bedreigingen. Veel 'Software krijgt steeds meer dominantie in alle onderdelen van de ITinfrastructuur' technologie die we tot nu toe hebben gezien, is niet ontwikkeld en geïnstalleerd met het oog op beveiliging. Sterker nog: de software-defined infrastructuur als brede beweging heeft zich vanaf de start niet bekommerd om beveiliging. De beveiligingsindustrie loopt nu achter en moet opgeleid worden. We moeten weten wat de bedreigingen en risico s zijn en wat ze voor iedere organisatie specifiek betekenen. In de traditionele beveiligingswereld gebruikten we hardware in de vorm van netwerkpoorten om de luiken te sluiten, zegt Mills. Wanneer je poorten dicht zijn, is de infrastructuur beschermd tegen bedreigingen. Vergelijk het met een slotbrug van een kasteel. Dat is nu anders. De applicatielaag domineert de infrastructuur. Die moet daarom open zijn, omdat anders de business schade lijdt. Dit is een probleem voor de beveiliging, omdat de omgeving ook openstaat voor ongeautoriseerde toegang. In de afgelopen zes tot zeven jaar is de manier waarop we applicatiebeveiliging evalueerden veranderd, stelt Mills. Nog niet zo lang geleden was dit voor ons een compleet nieuw terrein. Nu is het onderdeel van ons DNA. Wij moeten nu ook kennis hebben van de applicatielaag, omdat de programmeerbare infrastructuur zich daar bevindt. HET BEVEILIGEN Middleton en Mills zijn het erover eens dat de basisprincipes van beveiliging ook bij de inzet van nieuwe technologie gelden, of het nu gaat om mobility, de cloud of software defined netwerken. Middleton: De programmeerbare infrastructuur is weliswaar een belangrijke technologische trend met een belangrijke impact. Niettemin moeten organisaties continu blijven letten op de beveiligingsaspecten. Mills voegt daar aan toe: Dit onderstreept nog eens het belang van een consistente benadering voor een architectuurraamwerk voor beveiliging. Uiteraard zul je op detailniveau verschillen en variaties zien, zoals de tooling die je gebruikt. Maar in de breedte zijn de benadering en de processen gelijk. Bij informatiebeveiliging gaat het om de data, benadrukt Middleton. En de drie pijlers van databeveiliging zijn: vertrouwelijkheid, integriteit en beschikbaarheid. Deze drie zijn ook relevant bij het beveiligen van een programmeerbare infrastructuur. Beleid is de eerste stap. Wanneer je overweegt een programmeerbare infrastructuur in te zetten, moet je je beveiligingsbeleid updaten. Daarna is het zaak om de juiste beveiligingsmiddelen te kiezen voor het beschermen van de infrastructuur. In een software-defined omgeving zijn deze middelen software georiënteerd. Dat betekent dat de aanvalsmogelijkheden toenemen. Software-gebaseerde systemen zijn immers op afstand te configureren. Je moet dus meer beveiliging implementeren rond de toegang tot software om bijvoorbeeld het toevoegen van niet-geautoriseerde of kwaadaardige code te voorkomen. De branche moet op dit moment nog bepalen hoe dat het beste kan. De focus heeft tot nu toe vooral gelegen op het gebruik van software defined netwerken om data sneller heen en weer te verplaatsen. Er is nog niet veel aandacht besteed aan de veiligheid. Dat betekent dat het aanvalsvlak groter is geworden, stelt Middleton. HOE KAN SDN HELPEN? Volgens Middleton biedt de programmeerbare infrastructuur interessante mogelijkheden voor beveiliging. De beveiligingstechnologieën zelf worden ook zo ontwikkeld dat ze programmeerbaar zijn. We zien nu al firewall- en intrusion detection-oplossingen in de vorm van software. Daarmee kun je tools op een optimale manier programmeren, inrichten, installeren en automatiseren. Bedenk dat de virtual machine binnen heel korte tijd de belangrijkste bouwsteen van moderne computingomgevingen is geworden. Er is op dit moment nog geen eenvoudige manier om een virtual machine te beveiligen. Je kunt het hele netwerk beveiligen of segmenten van het datacenter, maar het is erg moeilijk om een fijnmazig beveiligingsniveau te bieden voor de virtual machine. Wanneer beveiligingstechnologie is opgenomen in de software kun je per virtual machine een beveiligingspolicy toepassen waardoor deze direct beschermd wordt door een firewall en tegen intrusie. Dan kun je de beveiligingsinstellingen ook meeverhuizen met de virtual machine, of deze nu in of uit het datacenter gaat of naar de cloud. Mills zegt dat er al verschillende beveiligingsleveranciers zijn die deze aanpak kiezen. Dat is bemoedigend omdat het beveiligen van zo n snel bewegende dynamische omgeving in het verleden moeilijk is gebleken. Software defined security helpt bij het creëren van een zeer flexibele en wendbare infrastructuur die ook zeer veilig is. Een ander voordeel van software-gebaseerde beveiliging is de mogelijkheid om on demand en op basis van een policy zeer gevoelige datastromen dynamisch te beveiligen. Denk aan creditkaartgegevens of gevoelige persoonsgegevens, aldus Middleton. Je kunt dan verschillende encryptiemogelijkheden toepassen om een deel van het verkeer te beschermen, terwijl je het andere deel in clear text laat stromen. Je zou dat deel van data zelfs over een aparte netwerklink kunnen laten lopen. Op deze manier is het netwerkverkeer te controleren en pas je policies effectiever en efficiënter toe. Hans Vandam is journalist 'De basisprincipes van beveiliging gelden ook bij de inzet van nieuwe technologie' INFOSECURITY MAGAZINE - NR. 1 - MAART

7 NATIONAAL PRIVACYDEBAT PRIVACY HEEFT OMDENKEN NODIG De huidige staat van online-privacy in Nederland is zorgwekkend. Consumenten zeggen veel belang te hechten aan privacy. Woorden en daden blijken echter twee verschillende dingen. Dit blijkt uit onderzoek in opdracht van Kaspersky Lab. De onderzoeksuitkomsten waren aanleiding voor een privacy-debat met vooraanstaande experts. De bereidheid van burgers om hun privé-data af te staan, is veel groter dan politici denken. Zo luidde de stelling waarmee gespreksleider Charles Groenhuijsen het Nationaal Privacydebat van Kaspersky opende. Voor die aftrap was al duidelijk dat Nederlanders een grotere bereidheid hebben om hun privacy op te offeren dan die burgers zelf denken. Uit het door Kaspersky gepresenteerde privacy-onderzoek, uitgevoerd door Right Marktonderzoek, komt naar voren dat Nederlanders voornamelijk zéggen dat ze hun privacy belangrijk vinden. En ook niet willen opofferen in ruil voor voordeel en gebruiksgemak. IN DE PRAKTIJK TOCH OPOFFEREN Bij het voorleggen van concrete scenario s blijkt dat Nederlanders wel degelijk bereid zijn hun privacy deels op te geven voor korting en gemak. Grofweg de helft van de ondervraagde consumenten zegt niet bereid te zijn online-privacy in te leveren voor persoonlijk voordeel of gebruiksgemak. Deze 51 procent is de optelsom van 19 procent die zeker niet bereid is privacy in te ruilen en 32 procent die daar waarschijnlijk niet toe bereid is. Daarnaast stelt 16 procent van de respondenten dat ze het niet weten. Slechts 4 procent wil zeker wel wat privacy inruilen voor voordeel of gemak en nog eens 29 procent is daar waarschijnlijk wel toe bereid. De Nederlander is eerder bereid online-privacy op te geven, wanneer duidelijk is wat het oplevert, stelt Hans Homma van onderzoeksbureau Right. Verder valt op dat maar weinig Nederlanders besef hebben van wat er met hun privégegevens gebeurt. Logischerwijs hebben dus ook maar weinig burgers grip op hun gegevens. Zo weet slechts 14 procent van de ondervraagde consumenten wat er gebeurt met de persoonlijke informatie die ze afgeven bij hun gebruik van clouddiensten. In Nederland zijn online-services zoals icloud, Dropbox of OneDrive massaal in gebruik. Deze en meer onwetendheid die uit het onderzoek blijkt, kleurt de op het eerste oog forse 51 procent die zegt geen of waarschijnlijk geen privacy op te willen geven in ruil voor voordeel of gemak. UITLEG IS NODIG Het debat naar aanleiding van dit onderzoek en recente ontwikkelingen zoals de terreuraanslagen in Parijs ging dieper in op de materie. Onafhankelijk Digital Health Strategist Maarten den Braber meent dat we nog flink wat uit te leggen hebben aan de consument. Er is veel angst, veel negativiteit rondom privacy. Maar er zijn ook duidelijke voordelen, als je dat maar goed uitlegt. Hij stelt dat de huidige opzet van permissieverstrekking voor gegevensgebruik moet worden omgedraaid. Nu accepteren we voorwaarden die door anderen, zoals bedrijven en instellingen, zijn opgesteld. Den Braber wil over naar een model van gebruikslicenties die consumenten zelf toepassen op hun privégegevens. Net zoals de Creative Commons-licentie dat al doet voor bijvoorbeeld beeldmateriaal. Het gebrek aan uitleg hoeft niet per definitie de angst en negativiteit op te heffen. Meer uitleg zou zelfs tot meer terughoudendheid kunnen leiden. De overheid heeft gefaald in het uitleggen wat je met je privacy weggeeft en wat de monetaire waarde daarvan is, zegt Micha Mos, fractievoorzitter van GroenLinks in Amsterdam. Vanuit de zaal wordt ander onderzoek aangehaald waaruit is gebleken dat het verschil zit in 25 cent. Mensen zijn voor zo weinig korting bereid om persoonlijke informatie op te offeren. De diverse experts in het debatpanel zijn het er roerend over eens dat de waarde van die gegevens veel groter is. 'Nederlander geeft online-privacy op voor voordeel en gemak' WIE MAG IN DIGITALE TOILETTAS KIJKEN? Volgens Michiel Steltman, directeur van de Stichting Digitale Infrastructuur Nederland (DINL), is het vooral een kwestie van context. Ik vergelijk het met mijn toilettas als ik op Schiphol ben. De douane mag daar in kijken. Dat geldt niet voor elke willekeurige andere burger. Hij stelt dat er sprake is van verlies aan controle over eigen privacy. Tegenwoordig kan elke organisatie zich de rol van douanier toeëigenen. Dat staan consumenten ook toe. Marcel Joosten, directeur bij online retailer CentralPoint.nl, stipt aan dat er in Europa een flinke kloof is tussen wet- en regelgeving voor bedrijven en die voor consumenten. Organisaties kennen nauwelijks privacy wet- en regelgeving terwijl burgers bij het betuttelende af alom beschermd lijken te worden.toch zit er veel speelruimte in. Wij mogen van u als consument alleen gebruiken wat u zelf geeft. Daarbij kunnen we zelf bepalen wat we vragen. Jornt van der Wiel, security-onderzoeker bij Kaspersky Lab, bevestigt: Mensen verraden zichzelf. Hij meent dat mensen eerst slachtoffer moeten worden voordat bewustwording ontstaat. HET WORDT NIET MEER BEGREPEN Sander Klous, eerste Hoogleraar Big Data aan de Vrije Universiteit Amsterdam, benadrukt dat het waardeverlies van persoonsgegevens alleen voorkomt in combinatie met andere data. Het ene brokje data kan weinig waarde hebben, maar door het te combineren met meer gegevens wordt het ineens waardevol. Daarbij is er sprake van flinke complexiteit. Het wordt niet meer begrepen, erkent Klous. Panellid Eva de Leede, deelneemster van de Nationale DenkTank en uitvinder van de datawijzer, draagt een duidingssysteem aan. Wij pleiten voor icoontjes die de inhoud van gebruiksvoorwaarden duidelijk maken. Want, zo zegt zij, het kost 76 volle werkdagen per jaar om alle disclaimers te lezen. Nu wordt deze informatie veelal ongelezen geaccepteerd. Het door haar voorgestelde systeem van uitleggende iconen moet de gedetailleerde teksten niet verdringen. De consumenten kan dan zelf bepalen wat hij of zij wel of niet wil lezen. 12 INFOSECURITY MAGAZINE - NR. 1 - MAART

8 NATIONAAL PRIVACYDEBAT GEEN GRIP MAAR BEWUSTHEID WORDT GROTER Senior onderzoeker Geert Munnichs, verbonden aan het Rathenau Instituut, komt tijdens het debat met een gemengde boodschap. Er is een heel dubbel beeld. Enerzijds heeft de burger geen grip op wat er allemaal met zijn of haar gegevens gebeurt. Anderzijds is de burger wel steeds bewuster dat privacy belangrijk is. Het leeft in de maatschappij. JAARGANG 14 - MAART INFO SECURITY MAGAZINE Probleem daarbij is wel dat de consument volgens de onderzoeksuitkomsten niet alleen slecht op de hoogte is van eigen handelen, maar ook van de technische beschermingsmogelijkheden en overheidsmaatregelen. Bijna 90 procent van de Nederlandse consumenten erkent niet op de hoogte te zijn van huidige wetsvoorstellen die hun privacy moeten beschermen. ROL VAN OVERHEID EN CONSUMENT ZELF Tegelijkertijd vindt de burger dat de overheid een grote verantwoordelijkheid heeft voor privacybescherming. De ondervraagde consumenten vinden de overheid voor 72 procent zeer verantwoordelijk en voor 18 procent gewoon verantwoordelijk voor de bescherming van hun online-privacy. Daarmee wordt de overheid het meest verantwoordelijk geacht, gevolgd door financiële instellingen (zoals banken, hypotheekverstrekkers en verzekeraars). Die organisaties worden voor respectievelijk 61 en 27 procent verantwoordelijk gesteld. 14 Op de derde plaats volgen de gezondheidsinstellingen (zoals ziekenhuizen, apotheken en het GGD) die voor 60 procent zeer verantwoordelijk en voor 27 procent verantwoordelijk gezien worden voor online-privacybescherming. De consument zelf komt naar eigen mening op de vierde plaats in de verantwoordelijkheidsrangschikking. De consumenten vinden zichzelf voor 55 procent zeer verantwoordelijk en voor 34 procent verantwoordelijk. Online winkels en sociale media worden in nog mindere mate verantwoordelijk geacht voor de bescherming van online-privacy. 'Het kost 76 werkdagen per jaar om alle disclaimers te lezen die je accepteert' DE LINK MET SECURITY Privacy heeft hierbij ook een sterke relatie met security. Het gaat namelijk niet alleen om datagebruik door derden, maar ook om dataverlies waarmee de privacy van burgers geschonden kan worden. Privacy staat niet gelijk aan security, werpt DINL-directeur Steltman tegen. Je moet je security natuurlijk wel op orde hebben. Ironisch genoeg merken webshops die aan meer privacybescherming doen dat ze daar voor gestraft worden, stelt Centralpoint.nl-directeur Joosten. Wij zagen het aantal aankopen dalen nadat we strengere veiligheidsmaatregelen hadden genomen. Gebruiksgemak lijkt dus nog altijd betere beveiliging en daarmee ook betere privacybescherming te overtroeven. Het debatpanel meent dat dit deels ligt aan de onwetendheid en onverschilligheid die consumenten volgens het privacy-onderzoek hebben. De experts stellen dat er meer uitleg moet komen, dat er meer verantwoordelijkheid bij de burger moet liggen en dat er meer wetgeving moet komen om grip op privacy ook werkelijk te realiseren. OMDRAAIEN: NIETS, TENZIJ Onderzoeker Munnichs van het Rathenau Instituut stelt dat de toestemming die consumenten nu geven grotendeels virtueel is; gegeven vanuit onwetendheid. Ja, de consument kan bewuster zijn. Nee, daarmee heeft hij of zij niet automatisch meer grip. Directeur Steltman van de DINL haakt terug op het voorstel van Den Braber en zegt dat het permissiesysteem inderdaad geheel omgedraaid moet worden. Simpel: standaard mag er niks met je privégegevens worden gedaan, ténzij jij specifieke toestemming verleent. Hoe dit dan uitvoerbaar te maken, zonder in de valkuil van een tweede cookiewet te trappen, daarover heeft het Nationaal Privacydebat van Kaspersky vooralsnog geen uitsluitsel kunnen geven. SPECIAL SECURITY-OPLEIDINGEN PETER VERMEULEN, PB7 RESEARCH: TEN ONRECHTE OVERHEERST NOG ALTIJD DE VRAAG NAAR TECHNISCHE TRAININGEN BEVEILIGMIJ.NL: NETWERK VAN SECURITY SPECIALISTEN, ADVISEURS EN ENGINEERS - SECURITY SPECIALIST INHUREN OF MEDEWERKER OPLEIDEN? - OVER INFORMATIEBEVEILIGING BEN JE NOOIT KLAAR MET LEREN - DE CHIEF INFORMATION SECURITY OFFICER - EUROPEES COMPETENTIE FRAMEWORK VOOR ICT-PROFESSIONALS - SCOS ORGANISEERT WIRESHARK NETWORK EN SECURITY TRAINING - SECURITY-TRAININGEN HEBBEN DIEPGANG NODIG INFOSECURITY MAGAZINE - NR. 1 - MAART

9 SECURITY-OPLEIDINGEN: TEN ONRECHTE OVERHEERST NOG ALTIJD DE VRAAG NAAR TECHNISCHE TRAININGEN Informatiebeveiliging is en blijft een bijzonder dynamisch vakgebied. Zowel wat er beveiligd moet worden als wat er bedreigt, verandert snel en neemt in complexiteit toe. Cybercriminelen zijn steeds beter georganiseerd en proberen met steeds geavanceerdere aanvallen zoveel mogelijk schade aan te richten. Tegelijkertijd lijkt het wel of de business alle deuren wijd open probeert te zetten door met het ene na het andere mobiele apparaat en de ene na de andere cloud dienst te komen. Dat net op dat moment de overheid aankondigt flinke boetes uit te delen aan bedrijven die privacygevoelige data lekken, maakt het ook niet makkelijker. En nu beginnen we ook nog eens na te denken over het Internet of Things. Alsof dat nog niet genoeg is, hebben we ook nog te maken met gebruikers die de gevaren niet (willen) zien of zich er niet verantwoordelijk voor voelen. Het moge duidelijk zijn: wat IT-informatiebeveiliging betreft, is life long learning een zaak van leven of dood. Het goede nieuws is dat de meeste organisaties beseffen dat training een belangrijk thema is voor security en er prioriteit aan geven. In de Nationale IT-Security Monitor 2014 staat training op de vierde plek, slechts enkele procenten achter het belangrijkste thema, cybercrime. Dat betekent echter nog niet dat er voldoende, of op de juiste gebieden wordt geïnvesteerd. De meeste Nederlandse organisaties (69 procent) geven aan dat ze voldoende of ruim voldoende denken te investeren in security trainingen om een hoog niveau van informatiebeveiliging te garanderen. Slechts 21 procent zegt expliciet dat er onvoldoende budget is. En dan nog is het de vraag of het genoeg is. Volgens deze zelfde respondenten is het namelijk niet genoeg. 64 procent van alle respondenten gaf aan dat er niet genoeg in opleiding en training wordt geïnvesteerd. Een hoog niveau is mooi, maar blijkt niet genoeg. Maar waar komt dat verschil dan door? We komen hier later op terug, maar laten we eerst kijken naar waar Nederlandse bedrijven hun security trainingsbudget aan spenderen. INVESTERINGEN Als we naar de investeringen in training kijken, zien we dat databeveiliging een grote rol is gaan spelen. DLP en identiteits- en toegangsbeheer (IAM) staan hoog op het verlanglijstje met daar tussenin netwerkbeveiliging. De afgelopen jaren is er een duidelijke verschuiving op gang gekomen van de manier waarop organisaties beveiligen: waar voorheen vooral het hek bewaakt werd (netwerkbeveiliging), verschuift de beveiliging naar het niveau van de data zelf. De data moet veilig overal gebruikt kunnen worden en veilig in het datacenter kunnen resideren. Door de implementatie van IAM kan vervolgens op een gebruikersvriendelijke manier bepaald worden wie waar bij kan. 'Wat IT-informatiebeveiliging betreft, is life long learning een zaak van leven of dood' Dat DLP en IAM zo hoog op de prioriteitenlijst staan, betekent niet dat organisaties het goed voor elkaar hebben. Het betekent vooral dat men hierin is gaan investeren, of wil gaan investeren, maar dat het kennisniveau gebaat is bij een goede upgrade. We zien in de monitor bijvoorbeeld dat organisaties aangeven dat de grote groei in investeringen op het gebied van IAM een pas op de plaats maakt (blijft desalniettemin op een hoog niveau), terwijl de investeringen in mobiele beveiliging juist de lucht in schieten. Figuur 1: Security prioriteiten Welke van de volgende thema s zijn voor u de komende 12 maanden het belangrijkst op het gebied van IT-security? Figuur 2: Security prioriteiten Beschikt u over voldoende trainingsbudget om een hoog niveau van informatiebeveiliging te waarborgen? 16 INFOSECURITY MAGAZINE - NR. 1 - MAART

10 SECURITY-OPLEIDINGEN: Figuur 3: Investeringen in Security Training Op welke van de volgende gebieden gaat u de komende 12 maanden in training investeren? Figuur 4: Investeringen in Security Training Met welke van de volgende stellingen bent u het eens? Wat verder opvalt aan de prioriteitenlijst, is dat de nadruk op technische vaardigheden ligt. Uiteraard is de uitdaging al zeer groot om op technisch niveau bij te blijven, maar uit zo n beetje elk IT-security onderzoek komt al jarenlang naar voren dat de gebruiker het grootste gevaar vormt. Toch staat awareness training voor gebruikers pas op de vierde plaats. Ook kunnen we zien dat de aandacht voor training op het gebied van risicobeheersing vooralsnog op een vrij laag niveau blijft hangen, terwijl de risico s op het gebied van informatiebeveiliging een strategische aangelegenheid op directieniveau zou moeten zijn. Hoewel we niet hebben gevraagd naar voorkeuren voor accreditatie, zien we dat bij 21 procent er het nodige geïnvesteerd wordt in brede certificeringen, zoals CISSP. Zoals gebruikelijk spelen in Nederland certificeringen een grotere rol dan in de meeste andere landen. Opleidingen met accreditatie spelen een belangrijke rol om objectief vaardigheden vast te kunnen stellen. Dat is enerzijds handig bij het wervings- en selectieproces, maar is ook belangrijk voor een transparante communicatie, of verantwoording, naar de organisatie. Uiteraard is een accreditatie iets heel anders dan een garantie en kan het nooit het (enige) uitgangspunt zijn van een opleidingsprogramma. Ook zijn veel accreditatieprogramma s sterk gericht op bestaande infrastructuren en technologieën, terwijl de gevaren steeds meer komen van opkomende technologieën. Het valt ook op dat de aandacht voor security training die gericht is op het omgaan met veranderingen in de IT-omgeving, ook daadwerkelijk beperkt is. Nog geen 10 procent investeert in cloud security training, terwijl maar liefst 49 procent aangeeft onvoldoende kennis in huis te hebben om te garanderen dat cloudoplossingen veilig gebruikt worden. Ook op het gebied van mobiel gebruik, zegt 1 op de 2 dat de kennis ontbreekt om het veilig te laten plaatsvinden. En dan is er ook nog relatief weinig aandacht voor veilige softwareontwikkeling. In de Nationale IT-Security Monitor viel op dat veel organisaties aangeven secure by design en private by design software te ontwikkelen, maar dat in de praktijk veelal de beveiliging toch pas op het laatst aan een applicatie wordt toegevoegd met alle risico s van dien. De uitkomsten van de Nationale IT-Security Monitor laten zien dat IT-beveiliging ook wat betreft training zich vooral richt op de bestaande IT-omgeving, maar vaak achter de feiten aanloopt als we het over nieuwe technologie hebben. Daarmee wordt ook duidelijk waarom IT-beveiligers aangeven dat ze uiteindelijk toch te weinig investeren in training en opleiding. Security beveiligt de bestaande infrastructuur heel behoorlijk, maar beweegt te weinig mee met nieuwe technologie en zou meer de nadruk op het veiligheidsbewustzijn moeten leggen. Voor veel organisaties blijkt het allemaal simpelweg te complex te worden 'Waar voorheen vooral het hek bewaakt werd (netwerkbeveiliging), verschuift de beveiliging naar het niveau van de data zelf' en zoekt men steeds meer ondersteuning van buitenaf. Voor andere organisaties is er een andere, heel begrijpelijke reden waarom men zich vooral op de IT van gisteren richt: nieuwe oplossingen op het vlak van mobiel en cloud komen grotendeels buiten IT om, en zeker niet op initiatief van IT, de organisatie binnen. Waarom zou je je daar als IT - waar meestal nog altijd IT beveiliging zich bevindt - verantwoordelijk voor voelen? Waarom zou je extra budget moeten aanvragen om iets te beveiligen waar je niet om gevraagd hebt en waar je geen ownership over hebt? Als we er iets over te zeggen hebben, verbieden we het wel en anders is het niet ons probleem. Helaas blijkt het als het eenmaal misgaat wél als een probleem van IT te worden beschouwd. Daar kan je van alles van vinden, maar uiteindelijk kun je als informatiebeveiliger uiteindelijk beter de vlucht naar voren maken. Zorg ervoor dat je meer ruimte in het trainingsbudget reserveert voor security die helpt nieuwe technologie veilig te gebruiken. Zorg er ook voor dat je beter de vertaalslag naar de business kan maken en in termen van risico management kan werken. En zorg ervoor dat je met de gebruiker om tafel komt en hem bewust maakt van de risico s die hij neemt en wat hij er tegen kan doen. De beloning is groot: als je als informatiebeveiliger kan bijdragen aan een snelle, veilige lancering van nieuwe digitale producten en diensten en medewerkers ongeacht locatie veilige toegang kan geven tot belangrijke gegevens, verkrijgt je organisatie een belangrijke voorsprong op concurrenten. Met de opkomende digitalisering van de directieagenda, neemt de strategische positie sterk toe. Budget vrijmaken voor security training is geen kostenpost: het is een strategische investering. Peter Vermeulen is directeur van Pb7 Research 18 INFOSECURITY MAGAZINE - NR. 1 - MAART

11 EXPERTVISIE BEVEILIGMIJ.NL BEVEILIGMIJ.NL: NETWERK VAN SECURITY SPECIALISTEN, ADVISEURS EN ENGINEERS Voorkom identiteitsfraude. Zorg dat je veilig internet. Wees voorzichtig met het doorgeven van persoonlijke informatie. Gebruik geen makkelijk te raden wachtwoorden. Iedereen kent deze teksten, die in heel veel verschillende campagnes op ons afgevuurd worden. Toch blijven we bewust én onbewust nog altijd veel meer informatie delen dan we eigenlijk zouden moeten willen. Stiekem worden we misschien ook wel een beetje campagne-moe. BeveiligMij.nl heeft als doel om bedrijven te helpen beter om te gaan met informatie, zowel online als offline. Hoe kan dat beter dan door kennis gratis met hen te delen. Als we allemaal meer beveiligingsbewust zijn, zal de hele wereld er wel bij varen. BeveiligMij.nl heeft samen met Swipe Media een informatieportaal ontwikkeld om het veilig omgaan met informatie te ondersteunen. BeveiligMij.nl stelt materiaal en achtergrondinformatie beschikbaar om het bewust omgaan met (online) bedrijfs- en privégegevens te bevorderen. E-LEARNING ALS TOOL BeveiligMij.nl biedt naast het informatieportaal bewustwordingstrajecten aan waardoor medewerkers van bedrijven, overheid en semi-overheid zich meer 'Security awareness is een proces met als doel het (online) gedrag te veranderen' bewust worden van de risico s van dataverlies en diefstal. Security awareness is echter geen eenmalige training. Het is een proces met als doel het (online) gedrag te veranderen. Binnen de bewustwordingstrajecten van BeveiligMij.nl wordt naast klassikale trainingen gebruikgemaakt van e-learning. Ontwikkeld door Gouti, zorgt deze tool ervoor dat men regelmatig en herhaaldelijk gewezen wordt op de cyberrisico s en vooral op het voorkomen van dergelijke incidenten. Onze trainingen zijn gericht op bewustwording, maar een organisatie is er het meest mee gebaat als die bewustwording leidt tot veiliger gedrag. Om het gedrag meetbaar te maken en vooral ook de verandering in gedrag, is de e-learning een goede tool, zegt Frank Mulder, eigenaar van De Gesprekspartners dat onder het label Beveiligmij.nl security awareness trajecten exploiteert. BeveiligMij.nl leert gebruikers wat de meest voorkomende gevaren en valkuilen zijn bij het dagelijks gebruik van informatie, vervolgt Mulder. Zo krijgt men inzicht in de vraag hoe verschillende vormen van misbruik-door-derden kan worden herkend en - vooral - hoe zij dit kunnen voorkomen. WEGLEKKEN Er zijn veel bedreigen waardoor kritieke bedrijfsinformatie kan weglekken. Denk hierbij aan het onjuist vernietigen van papieren documentatie, waardoor informatie letterlijk op staat komt te liggen. Maar denk ook aan het voor bezoekers zichtbaar achterlaten van vertrouwelijke informatie. Ook dit soort vormen van informatieverlies worden behandeld in de trajecten van BeveiligMij.nl. Hiernaast een overzicht van de onderwerpen die tijdens de trainingen en e-learning aan bod komen: Cybercriminaliteit Wachtwoorden Veilig internetten Veilig en Wifi-netwerken Veilig mobiel PC beveiliging Informatievernietiging Multifunctionals Veilige werkplek Identiteitsbewijzen Social media PARTNERKANAAL BeveiligMij.nl biedt security awareness uitsluitend aan via partners. Zo is en blijft de partner voor de eindgebruiker het aanspreekpunt. Partners zorgen zelf voor het inplannen van trainingen, de facturatie en productadvisering naar hun klanten. Binnen het verkooptraject krijgen zij alle ondersteuning vanuit BeveiligMij. nl. Pieter Remers van De Gesprekspartners licht toe: We hebben als doel het Nederlandse bedrijfsleven bewuster om te laten gaan met informatie en dat is alleen mogelijk door samen te werken met professionele partners. Wij hebben dan ook besloten ons aanbod enkel via een partnerkanaal te laten verlopen. Hierdoor willen we onze partners helpen zich te onderscheiden door onze diensten aan te bieden in hun eigen huisstijl. Les- en promotiemateriaal, inclusief informatieportaal en online test kunnen worden aangepast aan de bedrijfsidentiteit van de BeveiligMij.nl partner. Door gebruik te maken van deze white label -optie kunnen ICT-resellers de opleidingen volledig onder hun eigen naam aanbieden en hebben zij toegang tot een zeer compleet en professioneel netwerk van security-specialisten, adviseurs en engineers. BeveiligMij.nl stimuleert kennisuitwisseling en biedt daartoe een passend aanbod aan achtergrondinformatie, uitgebreide tips en toegang tot het e-learning platform. ONLINE SECURITY AWARENESS TEST Henk-Jan Angerman, algemeen directeur SECWATCH Nederland en partner van BeveiligMij.nl: Door het security awareness-aanbod van BeveiligMij.nl - denk aan klassikale trainingen en de bijbehorende e-learning trajecten - kunnen wij ons verder onderscheiden in een competitieve markt. De kwaliteit en diversiteit Frank Mulder van BeveiligMij.nl is een goede aanvulling op ons bestaande aanbod. SECWATCH Nederland kan hiermee haar dienstverlening op het gebied van IT beveiliging verder uitbreiden. Pieter Remers 'We hebben als doel het Nederlandse bedrijfsleven bewuster om te laten gaan met informatie en dat is alleen mogelijk door samen te werken met professionele partners' Ook biedt BeveiligMij.nl een online security awareness test. Hiermee kunnen bedrijven in kaart brengen hoe goed (of slecht) zij op de hoogte zijn van cyberrisico s en -bedreigingen. BEVEILIGMIJ.NL BeveiligMij.nl werkt in een team van internet- en security-specialisten. De trainers hebben minimaal vijftien jaar ervaring in de beveiligingsbranche, waardoor zij veel kennis uit de praktijk kunnen delen met de cursisten. Naast het opleiden van organisaties op het gebied van veiligheid en privacy, profileert BeveiligMij.nl zich als onafhankelijk security-expert en -adviseur. De menselijke benadering staat bij BeveiligMij. nl daarbij hoog in het vaandel, aldus het bedrijf. BeveiligMij.nl is een label van De Gesprekspartners. De Gesprekspartners exploiteert onder de naam BeveiligMij.nl activiteiten op het gebied van Security Awareness. De Gesprekspartners komt graag in contact met geïnteresseerde partners. Zij kunnen via de website contact opnemen om mogelijkheden en voordelen te bespreken. Kijk voor meer informatie op 20 INFOSECURITY MAGAZINE - NR. 1 - MAART

12 EXPERTVISIE INSPEARIT EEN GOEDE OPLEIDING VERANDERT HET GEDRAG Wie serieus werk maakt van informatiebeveiliging, komt al snel uit op ISO27001, NEN7510, CobiT, OWASP of andere standaarden. Dat is niet per se verkeerd. Dergelijke standaarden bevatten immers een schat aan kennis: ze bundelen de ervaring van vele honderden organisaties en experts. Maar het lukraak implementeren van een standaard heeft veel weg van een schriftelijke cursus autorijden. Soms is het niet zo n slecht idee om ook een goede instructeur in te schakelen. Om de informatie in een organisatie succesvol te beveiligen, moet er meer gebeuren dan een standaard op de kop te tikken en een Information Security Officer aan te wijzen. Het doel moet zijn om een cultuur te ontwikkelen waarin veilig werken de norm is. Deze cultuurverandering is dan terug te zien in het gedrag van alle medewerkers met toegang tot waardevolle bedrijfsinformatie. In moderne organisaties zijn dat vrijwel alle medewerkers. Maar hoe brengen we zo n verandering tot stand? GEDRAG VERANDEREN Mensen veranderen van gedrag als aan drie voorwaarden is voldaan: de betrokken persoon weet wat het gewenste gedrag is heeft de competenties om dit gedrag te vertonen én is gemotiveerd. Voor veel medewerkers zal de nadruk liggen op het vergroten van kennis en motivatie, omdat van hen geen complex nieuw gedrag gevraagd wordt. Ongevraagde s verwijderen, bezoekers begeleiden zolang ze in het gebouw verblijven, een bureau opgeruimd achterlaten, kortom: alert zijn en gezond verstand gebruiken. Voor hen kan een (langlopende) awareness-campagne, aangevuld met standaard e-learning modules, voldoende zijn. Er zullen echter ook medewerkers zijn die hun kennis en competenties op een hoger niveau moeten brengen voordat ze in hun dagelijkse werk het gedrag kunnen vertonen dat noodzakelijk is om bedrijfsinformatie beschikbaar, integer en vertrouwelijk te houden. Denk aan IT-professionals die direct werken aan de informatievoorziening, mensen met een voorbeeldfunctie of personen die toegang hebben of verlenen tot bedrijfskritische informatie. Zij zullen zich nieuwe kennis en competenties eigen moeten maken en dan komt opleiden om de hoek kijken. DE ROL VAN OPLEIDEN In de jaren negentig van de vorige eeuw publiceerden Morgan McCall en zijn collega s van het Center for Creative Leadership hun invloedrijke model. Het beschrijft hoe professionals leren: 70 procent door werk uit te voeren, 20 procent van anderen (collega s, de baas) en 10 procent in opleidingen of door zelfstudie. We zouden dat kunnen opvatten als een pleidooi tegen het volgen van een opleiding, maar de werkelijkheid ligt genuanceerder. Wat het model laat zien, is dat het echte leren pas plaatsvindt als mensen de kans krijgen om te oefenen. Bijvoorbeeld door nieuwe methoden en technieken toe te passen. Opleidingen zijn een goede manier om zulke nieuwe methoden en technieken te ontdekken en ze bieden een veilige omgeving om alvast te experimenteren. De uren in een klaslokaal werken als een hefboom die het leren op de werkvloer in gang zet. Regelmatig een goede opleiding volgen, is dus onmisbaar. Maar hoe kiezen we uit het enorme aanbod op de markt? Drie criteria bepalen de effectiviteit van een opleiding: de docent, de onderwijsvorm en de aansluiting op de werkpraktijk. Daarnaast kan certificering belangrijk zijn. We behandelen deze aspecten een voor een. ERVARING Een goede docent weet uit ervaring waarover hij praat. Wijsheid uit boeken is mooi, maar als het erop aankomt, tellen de vlieguren. Zoek dus naar een opleiding waarin stevige docenten voor de klas staan die in de praktijk toepassen waarover ze lesgeven. Verhalen uit de loopgraven beklijven beter dan modellen en theorieën zonder link naar het echte leven. De ideale docent is bescheiden genoeg om ook anderen op het podium uit te nodigen. Als cursisten elkaar hun verhalen vertellen, vergroot dat het leereffect sterk: iedereen wordt dan deelnemer én docent. We leren zelf het meest van wat we een ander leren. De onderwijsvorm is minstens zo belangrijk. Een leidend principe is: niet gedaan, is niet geleerd. Alleen kennis tot ons nemen - door een boek te lezen of een hoorcollege te volgen - levert onvoldoende op. We moeten met de stof stoeien om het echt tot ons te nemen. Een goede opleiding ruimt daarom veel tijd in voor interactieve werkvormen zoals workshops, serious games en casussen. Dan vallen de kwartjes. Een goede opleiding slaat ook bij herhaling de brug naar de praktijk van de deelnemer. Intake-gesprekken, huiswerkopdrachten, coaching en begeleide intervisie zijn enkele mogelijkheden om de impact van een opleiding te vergroten door deelnemers uit te dagen het nieuw geleerde gedrag niet alleen toe te passen, maar ook vol te houden. Tot slot kan certificering belangrijk zijn. Niet voor niets zijn de CISSP-certificeringen van (ISC) onverminderd populair. Werkgevers en opdrachtgevers hebben behoefte aan kundige informatiebeveiligers en een certificaat van een betrouwbare instelling maakt kennis en ervaring aantoonbaar. CONCLUSIE Een organisatie die informatiebeveiliging serieus neemt, investeert in opleidingen die medewerkers in staat stellen hun werk beter en veiliger uit te voeren. Pas als iedereen zijn rol begrijpt en ook in staat is die uit te voeren, is het tijd om een standaard te implementeren. Of voelt u zich veilig bij een taxichauffeur die Autorijden voor dummies op het dashboard heeft liggen? Jacob Brunekreef, Kor Gerritsma en Eelco Rommes zijn docent en adviseur bij cibit academy, opleider op het gebied van informatiebeveiliging en de officiële Nederlandse partner van (ISC). 22 INFOSECURITY MAGAZINE - NR. 1 - MAART

13 EXPERTVISIE CISCO Wat is beter? SECURITY SPECIALIST INHUREN OF MEDEWERKER OPLEIDEN? Het aantal cyberaanvallen is de afgelopen twee jaar met 120 procent gestegen. De geschatte kosten van cybercriminaliteit lopen op naar gemiddeld 7,6 miljoen dollar per jaar voor elke grote organisatie. Er gaat geen week voorbij zonder dat we geconfronteerd worden met de zoveelste slag van cybercriminelen op overheid en bedrijfsleven. En zelfs individuele burgers blijven niet ongeschonden. Niet vreemd dat organisaties hun IT-beveiligingsbeleid vooral richten op externe dreigingen. Is dat terecht? Nee, zegt IT-leverancier Cisco. Uit recent onderzoek onder de Nederlandse beroepsbevolking blijkt dat het gedrag van werknemers een serieuze zwakke schakel is in de hedendaagse IT-beveiliging. De digitale vrijheden die werknemers zich vandaag de dag permitteren, staan op gespannen voet met de digitale veiligheid die organisaties koesteren om zowel financiële als reputatieschade te voorkomen. Dat vraagt om een security-beleid dat primair gericht is op de mens. Niet op Fred Noordam technische mogelijkheden of traditionele security-processen gebaseerd op de organisatiestructuur, zegt Fred Noordam, Security Lead bij Cisco in Nederland. GEEN OPTIE Uit het onderzoek blijkt dat 71 procent van de Nederlandse beroepsbevolking zich niet bewust is van security bloopers, zoals Heartbleed. Werknemers doen bovendien massaal beroep op het bedrijfsnetwerk voor persoonlijke transacties. 52 procent winkelt op het internet via het netwerk van de baas, 46 procent gebruikt het bedrijfsnetwerk voor hun sociale media activiteiten en 71 procent van onze beroepsbevolking bankiert via het bedrijfsnetwerk. Verbieden van deze activiteiten is allang geen optie meer, vertelt Peter Vermeulen, marktanalist van Pb7 tijdens een bijeenkomst die Cisco onlangs organiseerde in het TNO Security Lab in Den Haag. De gebruiker van nu is mondig, neemt zijn eigen apparatuur mee, haalt zelf applicaties uit de cloud, en ziet niet of nauwelijks gevaar. Totdat het mis gaat. Dan wijst de professional naar de IT-afdeling. Ook Fred Noordam van Cisco herkent de uitdagingen bij de huidige IT-gebruikers. Op basis van ons onderzoek hebben we vier verschillende gedragsprofielen opgesteld van medewerkers die uitgangspunt zijn voor de ontwikkeling van de juiste beveiligingsstrategie. Zo onderscheiden we de werknemers die zich bewust zijn van alle veiligheidsrisico s en hun best doen om online veilig te blijven. Organisaties beschikken verder over medewerkers met de beste bedoelingen, maar niet altijd met succes. De derde groep medewerkers is gemakzuchtig. Zij verwachten dat hun werkgever alles regelt zonder eigen verantwoordelijkheid te nemen. Het laatste gedragsprofiel is van toepassing op medewerkers die nog denken dat cybersecurity een hype is. Waar het hen uitkomt, omzeilen deze medewerkers zelfs het beveiligingsbeleid. COMPETENTIES Horrorscenario s voorleggen aan medewerkers heeft geen zin meer. Dat hebben we al vaak genoeg geprobeerd en maakt weinig of geen indruk, zegt Esther Oprins, Research Scientist van TNO. Zij doet onderzoek naar competenties en geeft op dat gebied trainingen bij organisaties waar veiligheid centraal staat. Uiteraard kunnen we mensen allerlei vaardigheden bijbrengen. Dat is echter niet genoeg. Het gaat om het totaal aan competenties die het verschil maken. Kennis, vaardigheden, houding en gedrag. Daarmee kunnen we medewerkers echt bewust veilig laten handelen. Zo kunnen we bijvoorbeeld veel leren van de luchtvaartindustrie. Daar zit veiligheidsbesef in de genen van medewerkers. Ze worden ermee opgevoed. De mindset van mensen moet veranderen. Oprins verwacht overigens dat dit makkelijker zal gaan bij de digital native generatie dan bij de huidige en vorige generatie van onze beroepsbevolking. Menselijke fouten die de informatiebeveiliging van een organisatie op het spel zetten, worden elke dag gemaakt. Een laptop die uit de auto gestolen wordt. Iemand die het bedrijf verlaat en concurrentiegevoelige data meeneemt, slechte wachtwoorden, ingaan op phishing, noem maar op. Het is zaak dat we deze menselijke fouten voorkomen door de juiste competenties te ontwikkelen. Een bedrijf kan de meest ervaren en hoogst opgeleide security-experts in huis hebben. Deze specialisten richten zich vooral op de systemen. Oprins pleit ervoor, meer aandacht te richten op de mens in plaats van het systeem. De beste security-experts in huis hebben of inhuren, is geen garantie voor een veilige werkomgeving als medewerkers niet beschikken over de juiste competenties. Peter Vermeulen CRUCIALE VRAAG De cruciale vraag is dan natuurlijk welke competenties werkend Nederland nodig heeft. Competenties zijn te onderscheiden op drie niveaus; kennis, vaardigheden en houding. Ontwikkeling van competenties kan spelenderwijs, via onderwijs en uiteraard zelfsturend. Kijk bijvoorbeeld naar karaktereigenschappen als stressbestendigheid, creativiteit en inventiviteit. Die zijn misschien wel belangrijker dan de juiste procedure weten te volgen. Weet je weg te vinden in een organisatie, hoe kun je dingen zelf makkelijk oplossen en zaken op de juiste manier her- en erkennen, en meld incidenten, adviseert de TNO-wetenschapper. Verder ervaren we dat serious gaming een hele effectieve leeroplossing is. Zeer geschikt voor het trainen van cybersecurity-bewustzijn. Het spelen van een spel, simulaties ervaren van echte omgevingen waarin de medewerker zelf een hoofdrol speelt, bordspelen of managementgames zijn heel effectief. En relatief goedkoop; in een korte tijd en op een impactvolle en ludieke manier wordt er veel geleerd. Peter Vermeulen van Pb7 voegt daaraan toe dat de hedendaagse werknemer niet meer naar allerlei dure gebruikerscursussen hoeft. Het innovatie- en onderzoeksinstituut TNO doet onderzoek naar de vaardigheden die nodig zijn voor de 21 e eeuw onder de noemer 21st century skills. Deze worden ook omarmd door de Europese Unie. Daarbij is volop aandacht voor digitale vaardigheden. Op dit moment is er op school nog nauwelijks aandacht voor digitale veiligheidsgevaren. Onze huidige leermethoden stammen nog uit de tijd van onze papieren generatie. De digitalisering van het onderwijs staat op de agenda van ons Ministerie van Onderwijs, Cultuur en Wetenschappen. Maar is helaas nog niet de praktijk van alledag op onze scholen, concludeert Oprins. HOOG OP DE AGENDA Peter Vermeulen van Pb7 prijst zich gelukkig met het feit dat IT-beveiliging steeds hoger op de agenda van organisaties komt te staan. Geld en tijd besteden Esther Oprins aan IT-beveiliging staat op dit moment bovenaan de ranglijst van belangrijkste investeringsgebieden. Toch wijst het Cisco-onderzoek uit dat Nederlandse werknemers security meer en meer als een barrière zien voor innovatie in plaats van een katalysator voor bedrijfssucces en vernieuwing. Dat herkent de marktanalist wel. Er is nog een hele weg te gaan. IT-security verschuift langzaam aan van een noodzakelijk kwaad naar een manier om ook innovatie te versnellen. In de Formule 1-wereld kun je geen snelheid maken zonder remmen. Meer dan de helft van de innovaties faalt omdat de veiligheid niet goed geregeld is. Bij de ontwikkeling van nieuwe producten komt veiligheid nog te vaak aan het einde van het proces in beeld. Dat moet veranderen naar een security by design aanpak. Fred Noordam van Cisco sluit zich daarbij aan. De Chief Information Security Officer (CISO) moet zijn beleid verschuiven van security-processen en -technieken naar een centraal geleid security-beleid vanuit het perspectief van de IT-gebruiker anno nu. Dit vraagt om een gedifferentieerde IT-beveiligingsstrategie afgestemd op het gedrag van het individu en gedragen door het bestuur van de organisatie. Anders gezegd: every company is a security company. 24 INFOSECURITY MAGAZINE - NR. 1 - MAART

14 EXPERTVISIE EXIN Snelle adoptie vraagt om verdere professionalisering OpenStack is een open source besturingssysteem voor het ontwikkelen en inrichten van publieke en private cloud-omgevingen. Oorspronkelijk van start gegaan als een project van Rackspace en de NASA is OpenStack de afgelopen jaren zeer populair geworden. Het is uitgegroeid tot een van de belangrijkste hulpmiddelen die bedrijven en organisaties inzetten om te komen tot een verdere flexibilisering van hun IT-systemen. Die populariteit zien we ook terug in de cijfers die marktonderzoekers publiceren. De markt voor OpenStack-oplossingen zal in 2018 vier maal zo groot zijn als in Naar verwachting heeft de EXIN LANCEERT CERTIFICERING VOOR OPENSTACK De afgelopen jaren heeft OpenStack een enorme groei doorgemaakt. Steeds meer bedrijven en overheidsorganisaties gebruiken deze open source-technologie voor het bouwen van publieke en private cloud-omgevingen. Daarmee groeit ook de behoefte aan het toetsen en certificeren van de kennis van ICT-professionals die met OpenStack-technologie werken. EXIN speelt op deze ontwikkeling in met de lancering van het certificeringsprogramma EXIN Certification in OpenStack Software. markt in 2018 een omvang bereikt van 3,3 miljard dollar. Figuur 1 schetst wat dat betreft een interessant beeld van de toekomst van OpenStack. Het project wordt aangestuurd via de OpenStack Foundation. Inmiddels zijn meer dan mensen lid van deze organisatie, terwijl bijna 350 bedrijven, universiteiten en onderzoeksinstellingen het project ondersteunen. SNELLE GROEI Deze indrukwekkende groei betekent dat steeds meer ICT-professionals in hun dagelijkse werk te maken hebben met OpenStack. De kennis die zij hiervoor nodig hebben, doen zij veelal op via praktijkervaring en trainingen die worden aangeboden door commerciële partijen. Vaak zal het dan gaan om trainingen die specifiek gericht zijn op bepaalde tools, terwijl in sommige gevallen ook een meer gedegen basiscursus wordt aangeboden. Er bestond voor ICT-professionals tot voor kort echter geen mogelijkheid om hun kennis op het gebied van OpenStack formeel te laten toetsen door een onafhankelijke partij. Dit had belangrijke gevolgen. Enerzijds konden zij zelf hooguit via de cursussen die zij via aanbieders hebben gevolgd een indicatie geven van hun kennis en ervaring op dit gebied. Anderzijds is het voor IT-managers en HR-managers erg lastig om te beoordelen in hoeverre hun medewerkers of eventuele kandidaten voor bepaalde technische functies over de juiste competenties beschikken. Met de lancering van EXIN Certification in OpenStack Software brengt EXIN hier nu verandering in. Het internationaal opererende maar van oorsprong Nederlandse instituut (EXIN is gevestigd in Utrecht) speelt hiermee in op een snel groeiende behoefte. Zoals wel mag blijken uit het feit dat de laatste OpenStack Summit in Parijs eind vorig jaar maar liefst meer dan vijfduizend deelnemers trok, bestaat er een enorme behoefte aan kwalitatief hoogwaardige informatie over deze technologie. Bovendien is OpenStack voor veel bedrijven en organisaties inmiddels dermate belangrijk dat het eigenlijk nauwelijks nog verantwoord te noemen is dat ICT-professionals het zonder formele vorm van opleiding en certificering moeten stellen. VENDOR NEUTRAL EXIN heeft bij het ontwikkelen van dit certificeringsprogramma nauw samengewerkt met HP, een van de belangrijkste ondersteuners van de OpenStack Foundation. HP levert zelf ook commerciële producten op basis van OpenStack, maar het programma dat EXIN nu heeft ontwikkeld is volledig vendor neutral, benadrukt EXIN in een toelichting. EXIN hanteert een open certificeringsmodel en zal meerdere opleiders accrediteren voor het programma. De rol van HP moet vooral gezien worden als die van kennispartner. EXIN Foundation Certificate in OpenStack Software kent een redelijk technisch karakter. Het biedt een entry-level introductie tot OpenStack. Dit betekent dat alle basiscomponenten die deel uitmaken van de OpenStack-infrastructuur aan de orde komen. Denk aan thema s als storage, identity management en networking. Hoewel de adoptie van OpenStack in eerste instantie vooral onder enterprise-organisaties snel op gang kwam, kent de certificering een bredere doelgroep. Ook voor ICT-professionals uit het middelgrote bedrijfsleven is het examen en het betrokken certificaat relevant. KENMERKEN Wat biedt EXIN met dit programma nu precies? Het gaat om een aantal belangrijke punten: Figuur 1. De verwachte groei van OpenStack. Figuur 2. De positie van EXIN Foundation Certification in OpenStack Software binnen het totale programma van EXIN. Onafhankelijke certificering - het certificeringsprogramma is niet gebonden aan een of meer commerciële aanbieders van OpenStack-producten, maar is geheel onafhankelijk. Inzicht in kennis - het behalen van een certificaat geeft aan dat de betrokken medewerker beschikt over een duidelijk omschreven basiskennis rond deze open source-technologie. Inzicht in competenties - voor HR-managers bij zowel enterpriseals middelgrote organisaties betekent het certificaat dat de betrokken ICT-professional beschikt over duidelijk omschreven competenties. Wereldwijd erkend - doordat EXIN dit programma wereldwijd aanbiedt, maakt EXIN Certification in OpenStack Software het voor organisaties die in meerdere landen actief zijn mogelijk om een beter inzicht te verkrijgen in de kennis van medewerkers die werkzaam zijn in meerdere landen en op tal van locaties. Dat maakt onder andere het inzetten van buitenlands personeel voor OpenStack-projecten eenvoudiger. Het programma is beschikbaar in meerdere talen. Compleet programma bouwend op het Foundation niveau certificaat wat nu al beschikbaar is, komt EXIN tevens later dit jaar met de eerste kwalificaties op Advanced-niveau. Deze richten zich op specifieke onderdelen van OpenStack-software, zoals Neutron, Cinder en Swift. Opstap naar bredere opleiding - doordat EXIN Foundation Certificate in OpenStack Software een integraal onderdeel uitmaakt van het veel bredere programma examens en certificeringen dat EXIN aanbiedt, kan het behalen van dit certificaat tevens een opstap betekenen naar vervolgstudies en -certificeringen. Figuur 2 geeft de positie van deze certificering binnen het totale EXIN-programma aan. Hans Vandam is journalist MEER WETEN? DOWNLOAD DE BROCHURE Certificering op basis van EXIN Foundation Certificate in OpenStack Software past doorgaans in een driedaagse training. De feitelijke examens worden afgenomen door partners van EXIN, veelal opleidingsinstituten. EXIN heeft een speciale brochure samengesteld waarin meer informatie wordt gegeven over dit certificeringsprogramma. Interesse? Kijk op downloads 26 INFOSECURITY MAGAZINE - NR. 1 - MAART

15 EXPERTVISIE IIR BRENNO DE WINTER: JE BENT NOOIT UITGELEERD ALS HET OVER INFORMATIEBEVEILIGING GAAT Steeds meer bedrijven schakelen professionals in die zich fulltime richten op informatiebeveiliging. Het is voor deze professionals echter niet eenvoudig op de hoogte te blijven van de ontwikkelingen op dit gebied. Door de grote hoeveelheid aspecten die bij informatiebeveiliging komen kijken ben je eigenlijk nooit klaar met leren, legt Brenno de Winter uit. De Winter is onderzoeksjournalist en daarnaast hoofddocent van de opleiding Informatiebeveiliging bij IIR. Informatiebeveiliging is een breed speelveld. Ik merk soms dat cursisten het heel ingewikkeld vinden met zoveel verschillende dingen bezig te zijn. Zij moeten alles afweten van techniek en informatie, maar ook kunnen omgaan met wetgeving. ÉÉN FTE IS NIET DE OPLOSSING! Security managers hebben geen eenvoudige taak. Zij zijn eigenlijk een soort achtervang voor alles wat er binnen een bedrijf niet goed is geregeld. Ze worden geacht alle verbeterpunten in kaart te brengen, wat door het brede speelveld enorm ingewikkeld is, legt Brenno uit. Daarnaast moeten ze ook nog eens een communicatie-expert zijn en het probleem goed adresseren anders snapt niemand in de organisatie wat het probleem is. Er moet dus bewustzijn ontstaan. Dit bewustzijn is van groot belang. Security managers worden aangesteld om een bepaalde taak uit te voeren, maar zodra zij dit in de praktijk doen kunnen zij op weinig waardering rekenen. Vaak wordt voor security simpelweg één fte ingeboekt, waarvan de Security Manager wordt ingehuurd. Bedrijven denken hiermee het onderwerp security te hebben afgedicht. In de praktijk komt de Security Manager na zijn audit van de situatie vaak met allerlei maatregelen, die extra geld vragen maar hier is vaak geen budget voor gereserveerd. Brenno de Winter TRAININGEN DOOR DOCENTEN UIT DE PRAKTIJK IIR leert cursisten onder andere hiermee omgaan. De opleiding geeft managers de juiste handvatten om hun (eerste) stappen te zetten als security manager. Zij leren het speelveld te overzien, waarna ze zich zelfstandig verder in het onderwerp kunnen verdiepen. Deelnemers krijgen brede kennis mee over specifieke onderwerpen en leren zowel hun sterke als zwakke punten kennen. Daarnaast werken we met veel verschillende docenten die afkomstig zijn uit de praktijk. In de lessen die ik geef speelt KPMG bijvoorbeeld een grote rol. Binnen een organisatie als KPMG zijn enorm veel auditors aanwezig, die heel strak volgens de regels naar informatiebeveiliging kijken. Deze jongens zijn dagelijks met informatiebeveiliging bezig en hebben dus veel ervaring. Zij behandelen de theorie vanuit een praktisch oogpunt, legt Brenno uit 'De opleiding geeft managers de juiste handvatten om hun (eerste) stappen te zetten als security manager' OVER IIR Het cursusaanbod bij IIR varieert continu. Zowel cybercriminelen als tegenmaatregelen ontwikkelen zich continu, waardoor ook de trainingen zich moeten aanpassen. De cursussen, trainingen en opleidingen van IIR worden dan ook continue afgestemd op ontwikkelingen in de praktijk. De volgende cursussen en trainingen staan de komende maanden op de agenda: Summercourse Informatiebeveiliging (6-daagse verkorte opleiding van t/m Scheveningen) Privacy Officer 2.0 (4-daagse opleiding van t/m Amsterdam) IT Risk Management & Assurance (5-daagsebootcamp van t/m Amsterdam) CISA: Certified Information System Auditor (6-daagse examentraining van t/m Amsterdam) CISM: Certified Information Security Manager (4-daagse examentraining van t/m Amsterdam) Praktijktraining Security Architectuur (2-daagse praktijktraining van t/m Amsterdam) Meer inhoudelijke informatie over de cursussen en trainingen van IIR is te vinden op Of neem contact op met de opleidingsadviseur via SUMMERCOURSE INFORMATIEBEVEILIGING Zorg dat uw informatiebeveiliging wél op orde is De Summercourse Informatiebeveiliging helpt u bij het creëren van awareness binnen uw organisatie. Zo voorkomt u dat uw beleid strandt in de uitvoering. Alle belangrijke beveiligingseisen uit (inter)nationale wet- en regelgeving Inzicht in technische en niet-technische risico s van (nieuwe) technologieën Elke dag een hands-on praktijkcasus Inclusief: 36 PE-punten & ipad Air met digitaal lesmateriaal De hoofddocenten zijn security specialisten Brenno de Winter en Vincent Damen, afgewisseld door zes gastsprekers. Locatie: Boomerang Beach Scheveningen Data: 16, 17, 18, 23, 24 en 30 juni INFOSECURITY MAGAZINE - NR. 1 - MAART

16 EXPERTVISIE LOI / NOVI De Chief Information Security Officer van morgen: Met de intrede van security in de boardroom wordt de vraag actueel hoe dit onderwerp te duiden. Hoe specificeren we het? Wie is verantwoordelijk en aansprakelijk? Dit is noodzakelijk om greep op de materie te krijgen. Het duiden is vooral lastig omdat de kritische assets (in dit geval data) doorgaans niet als zodanig op de balans staan en dus ook niet in het jaarverslag terugkomen. Zelden wordt de goodwill van de data op de balans tot uitdrukking gebracht. Daarom staat dit onderwerp in de meeste gevallen ook niet op het netvlies van de bestuurder (Raad van Bestuur) of de toezichthouder (Raad van Commissarissen). Incidenten waarbij de bestuurdersaansprakelijkheid nadrukkelijk aan Lec. Yuri Bobbert Msc RI is onderzoeker aan de Universiteit van Antwerpen op het terrein van bedrijfskritische informatiebeveiliging (Business Information Security). Daarnaast is hij lector bij Hogeschool NOVI en betrokken bij de realisatie van security opleidingsprogramma s van LOI Hogeschool. OP ZOEK NAAR EEN DUIZENDPOOT de orde is, komen vooral via de media naar buiten (denk aan RSA, Gemalto, ASML, NZA, Sony, ING) en zorgen daarmee voor de urgentie om meer grip te krijgen op dit fenomeen. Dat blijkt nog steeds lastig. De belangrijkste oorzaak hiervan is dat de bestuurder nog altijd onvoldoende wordt gevoed met input om een gefundeerde discussie te kunnen voeren. De CISO ofwel de Chief Information Security Officer zal hier in toenemende mate een rol vervullen, enerzijds als adviseur en anderzijds als sparring partner van het bestuur. De vraag is of de CISO-van-morgen wel over de juiste kennis en kunde beschikt en of de huidige opleidingen voldoende zijn toegerust op dat wat de moderne CISO moet kunnen en kennen. DE CISO VAN VANDAAG In 2013 heb ik een grootschalig onderzoek uitgevoerd om te verkennen wat de strategische kernvraagstukken zijn waar security professionals mee te maken hebben. Ik wilde vaststellen over welke kennis en vaardigheden CISO s moeten beschikken om de zogenaamde knowing-doing-gap te overbruggen. De bevraagde security experts geven aan dat security veelal wordt gezien als een project, maar meer zou moeten worden opgevat als een proces. Opvallend is dat de ondervraagden bij de beantwoording van de vragen weinig zachte vaardigheden aanreiken, zoals overtuigingskracht, communicatieve vaardigheden of sensitiviteit ten aanzien van ontwikkelingen in de organisatie. Terwijl ze wel veel waarde bleken te hechten aan zulke soft skills en deze zelfs als een belangrijke succesfactor aanmerkten. CISO s zitten ogenschijnlijk dus wat meer aan de kant van de hard skills (kennis en ervaring) en minder aan de zijde van de soft skills (vaardigheden en competenties). Dit is tegenstrijdig aan dat wat bestuurders en toezichthouders verwachten ten aanzien van de toekomstige ontwikkelingen van hun talenten. Zij zien een groeiende behoefte bij zichzelf en hun mensen aan onder andere helikopter view, kritisch doorvragen, oordeelsvermogen, commitment, resultaatgerichtheid, ondernemingszin en strategisch inzicht. Dit vraagt om een verschuiving binnen de CISO-capaciteiten en hedendaagse opleidingen. Inhoudelijke kennis zal moeten worden aangevuld met bedrijfsmatige, organisatorische en psychologische vaardigheden. Gericht op het aanzetten tot voorwaartse actie. Tenminste, als de CISO de verandering blijvend wil laten zijn en security als een continu proces wil borgen. Al met al kunnen we uit het onderzoek uit 2013 concluderen dat de CISO van vandaag beperkingen heeft. CISO s evalueren en adopteren maar deels de relevante krachten in hun strategie en beleid. Ze weten dat security een continu proces is maar hebben moeite het daadwerkelijk als zodanig te effectueren. Een mogelijke blinde vlek kunnen de sociale vaardigheden zijn. Bijvoorbeeld vaardigheden om doortastend te zijn of meer eisend ten aanzien van het management. DE CISO VAN DE TOEKOMST De CISO van de toekomst zal doordrongen moeten zijn van het enorme effect dat het vertrouwen van de stakeholders heeft op de continuïteit van de organisatie. Hij zorgt verder voor de noodzakelijke verbinding van de governance (het richten) met het management (het inrichten van processen) en met de operatie (het verrichten van activiteiten). En als er stakeholder-belangen in het geding zijn, dan grijpt hij in. Steeds zal hij hun belangen op het gebied van security verbinden aan de belangen en doelstellingen van de organisatie. De CISO van de toekomst is dus een verbinder. Hij is in staat om met bestuurders in begrijpelijke bewoordingen over technische onderwerpen te communiceren. Hij is een vaardige verandermanager die psychologisch inzicht paart aan organisatorische sensitiviteit. Hij beschikt over globale kennis van aanpalende disciplines zoals juridische zaken. Hij weet waar de grenzen van de wet liggen en waar die worden overtreden. Hij weet ook waar de aansprakelijkheden van de organisatie liggen. Hij heeft een inschatting gemaakt van de risico s die de organisatie loopt en is in staat om deze in financiële zin te kwantificeren. Hij heeft verder globale kennis van HR-processen. Hij weet wat de regels zijn waar gebruikers zich aan moeten houden en zorgt ervoor dat deze niet strijdig zijn met hun wettelijke rechten, zoals bijvoorbeeld vastgelegd in arbeidsrecht en de privacywetgeving. Hij is verder toegerust met globale kennis van architecturen (business systemen en IT-architecturen) en kan security architectuurprincipes duiden. Ook heeft hij globale kennis van marketing in huis. Kennis die hij vooral intern benut om bij de medewerkers de juiste houding en het juiste gedrag te bewerkstelligen. Niet in de laatste plaats heeft de CISO van morgen feeling voor finance. Hij begrijpt waar de organisatie haar geld mee verdient, hoeveel er wordt verdiend en of het op een verantwoorde wijze wordt uitgegeven (security van investeringen in relatie tot risico s). Hij is in staat om business cases uit te werken en toe te lichten om de noodzaak van investeringen in security te onderbouwen. Hij maakt een gedegen afweging van security uitgaven ten opzichte van te realiseren doelen en kan deze afzetten tegen de industriecijfers (benchmarks). De CISO van de toekomst weet bovenal wat hij niet weet. Daarom weet hij dat hij moet samenwerken en is hij daardoor in staat samen te werken in multidisciplinaire teams van experts. Hij waakt als een liaison over de juiste teamsamenstelling van kennis, vaardigheden en ervaring. PERMANENTE EDUCATIE Concluderend kunnen we stellen dat de CISO van de toekomst een duizendpoot is die zich door middel van permanente educatie de kennis en vaardigheden eigen maakt die hij nodig heeft om zijn organisatie blijvend te kunnen (be)dienen. Voor ons vakgebied - waarin veranderingen zich continu voordoen - zijn snelheid en doelgerichtheid van eminent belang. Interventies die nodig zijn om beveiliging naar een hoger plan te tillen, kunnen niet uit louter theoretische zaken bestaan. Er is een voortdurende terugkoppeling vanuit de praktijk nodig. Snelle feedback loops zijn dus essentieel. Daarom is action research & learning zo n uitermate geschikte methodiek voor ons vakgebied. Juist door deel uit te maken van het te onderzoeken object ontstaat levende kennis. Het is aan hogescholen en universiteiten om hiervoor opleidingen te hebben of te ontwikkelen. Niet alleen om de CISO van de toekomst op te leiden qua (technische) kennis en kunde, maar vooral ook om hem/haar de vaardigheden mee te geven die hij/zij nodig heeft om adequaat te blijven functioneren en zo zijn bestuurders te kunnen blijven adviseren. Daarom pleit ik ervoor om action learning en action research op te nemen in de onderzoekslijnen en leerlijnen van universiteiten en hogescholen. Hogeschool NOVI doet dit al tot grote tevredenheid van de deelnemers. De opleiding ICT van deze hogeschool is recent gekozen tot beste deeltijdopleiding van Nederland. Criteria om deze kwalificatie te verkrijgen waren kleinschaligheid, individuele begeleiding en de intensieve wijze zoals het onderwijs (action learning) wordt gegeven. Onder andere door praktijkgevallen in te brengen in onderzoek en onderwijs en zo actiegericht tot kennisverbreding en -verdieping te komen. Zowel Hogeschool NOVI als ook LOI Hogeschool hebben een leerlijn business information security gedefinieerd waarin de ISO en de CISO van de toekomst kunnen worden opgeleid. MEER WETEN? Yuri Bobbert schreef in 2010 het boek Maturing Business Information Security, a framework to establish the desired state of security maturity, dat wordt gebruikt op verschillende universiteiten en hogescholen. Vanuit dit boek zijn de MBIS-methode en het MBIS-platform ontstaan (mbis.eu). In 2014 verscheen zijn tweede boek: Hoe Veilig is mijn aandeel?, Het borgen van Reputatie, Vertrouwen en Continuïteit met de MBIS methode. Daarnaast heeft Bobbert meerdere wetenschappelijke publicaties op zijn naam. Dit artikel is een bewerking van het hoofdstuk Competentiemanagement dat is opgenomen in het boek Hoe veilig is mijn aandeel?. Dit boek is het resultaat van praktisch en wetenschappelijk onderzoek bij ruim honderd organisaties naar de beveiliging van kritische assets en de wijze waarop bestuurders en managers hun reputatie, vertrouwen en continuïteit kunnen borgen. 30 INFOSECURITY MAGAZINE - NR. 1 - MAART

17 EXPERTVISIE NEN Omdat er een groot tekort is aan ICT-experts in de EU, heeft de Europese Commissie vanaf 2003 de ontwikkeling van het e-competence Framework (e-cf) gestimuleerd door steun te geven aan de CEN Workshop ICT Skills. Het e-cf is een neutraal hulpmiddel voor de ICT-sector en een Europees referentiepunt bij het vaststellen van e-competenties (het kan bijvoorbeeld van belang zijn bij HR-management en -planning). Momenteel wordt gewerkt aan een Europese norm voor het e-cf, verwacht wordt dat deze eind 2015 verschijnt. e-cf zorgt voor structuur EUROPEES COMPETENTIE FRAMEWORK VOOR ICT-PROFESSIONALS In 2008 is de CEN Workshop Agreement (CWA) European e-competence Framework (ecf) gepubliceerd. Het e-cf is goed ontvangen en al enkele keren herzien. In 2013 is de derde versie verschenen. Het Italiaanse normalisatie-instituut UNI heeft het e-cf overgenomen als nationale norm en vervolgens het voortouw genomen om hier een Europese norm van te maken. Een Europese norm moet worden overgenomen door alle lidstaten van de EU, zo ontstaat er één speelveld voor e-competenties in Europa. PROCES OM TE KOMEN TOT EEN EUROPESE NORM Begin dit jaar is de CEN-normcommissie ecompetences and ICT professionalism opgericht die een Europese norm ontwikkelt op basis van de laatste versie van het e-cf. Eén van de verschillen met een CWA is dat in een norm duidelijk moet zijn wanneer eraan wordt voldaan. Verder heeft een Europese norm een gestandaardiseerde lay-out en hoofdstukindeling. De voorlopige indeling is als volgt: Inleiding Onderwerp en toepassingsgebied Normatieve verwijzingen Termen en definities Algemene uitgangspunten Doel Het laatste hoofdstuk gaat geheel over e-competences. Dit is vrij gedetailleerd en wordt opgedeeld in de te doorlopen fases: A. PLAN B. BUILD C. RUN D. ENABLE E. MANAGE In de bijlagen zijn voorbeelden opgenomen voor de mogelijke toepassing van de norm in organisaties met een sterke ICT-afhankelijkheid en/of ICT-component, voor IT-leveranciers in een zakelijke omgeving en voor MKB-bedrijven. De tekst van de CWA wordt nu omgewerkt naar het normformat. Het streven is dat er zo min mogelijk betekenisverschillen ontstaan tussen de CWA en de Europese norm. De veranderingen in de tekst worden voorgesteld, besproken en beoordeeld door de CEN-normcommissie. Inmiddels is een tweede concept van de Europese norm verschenen. Hierop zijn meer dan 100 commentaren binnengekomen die zijn besproken tijdens de laatste vergadering van de CEN-commissie, in oktober 2014 in Berlijn. Verwacht wordt dat de Europese e-cf -norm eind 2015 verschijnt. 'Het e-cf is een neutraal hulpmiddel voor de ICT-sector en een Europees referentiepunt bij het vaststellen van e-competenties' NEDERLANDSE VERTEGENWOORDIGING CEN is het Europese normalisatie-instituut. Aan de CEN-normcommissie wordt deelgenomen door de Europese normalisatie-instituten. Vanuit NEN werkt de normcommissie ICT-Competenties mee aan deze Europese norm. Op het moment zijn de firma s IT-Staffing en ABIO de twee leden van deze commissie. KOMENDE ONTWIKKELINGEN Op de CEN-commissievergadering begin 2015 komt de NEN-commissie met ideeën voor de volgende versie van de ecf norm. De NEN-commissie vindt het van belang dat de begrippen in het e-cf beter gedefinieerd worden en de relaties tussen de begrippen op een eenduidige wijze worden vastgelegd. Verder moet worden nagedacht over hoe het e-cf geautomatiseerd kan worden gebruikt. MEER WETEN? Als u meer wilt weten over deze normcommissies of deel wilt nemen aan het normalisatieproces dan kunt u contact opnemen met Jan Rietveld. Hij is secretaris van de normcommissie IT Beveiligingstechnieken en de commissie ICT-Competenties van NEN INFOSECURITY MAGAZINE - NR. 1 - MAART

18 EXPERTVISIE SCOS Als officiële Wireshark Trainings Center van de Wireshark University van Laura Chappell organiseert SCOS Software regelmatig de Wireshark Troubleshooting TCP/IP Networks-training. Wireshark is een populaire tool voor netwerkanalyse met meer dan downloads per maand. SCOS organiseert in Europa regelmatig trainingen rond deze tool. WIRESHARK UNIVERSITY: TROUBLESHOOTING TCP/IP NETWORKS In deze training (vijf dagen) wordt ingegaan op het efficiënt gebruiken van Wireshark en de packet-level TCP/IP communicatie door het bestuderen van zowel het correct als verkeerd gedrag van netwerken. In een groot gedeelte van de training wordt diep ingegaan op de mogelijkheden van Wireshark. Verder worden het beoordelen van zowel normale als abnormale communicatiepatronen van de TCP/IP-toepassing en de meest gangbare applicaties bestudeerd. Denk aan DHCP, DNS, FTP, Telnet, HTTP, POP en SMTP. De nadruk gedurende de training ligt sterk op hands-on lab-oefeningen en case studies uit de praktijk. Hiermee wordt kennis opgedaan welke direct na de training gebruikt kan worden. ADVANCED NETWORKS / SECURITY ANALYSIS Network en Security Analysis (eveneens vijf dagen) omvat de vaardigheden van niet alleen het vastleggen van gegevens, maar ook de mogelijkheid om ongebruikelijke patronen verborgen in schijnbaar normaal netwerkverkeer te onderscheiden. Deze cursus biedt de student een reeks van onderzoek- en analysetechnieken gericht op het gebruik van vendor-neutrale, open-source tools zoals Wireshark om inzicht te geven in de volgende gebieden: Advanced Network en Security Analysis methodieken Prestaties van het netwerk analyse en veiligheid bedreiging herkenning betreffende problemen met netwerkprestaties en netwerkaanvallen, Bot-Net gevaarherkenning evenals standaard gebruiker protocol problemen, waaronder IP-gerelateerde protocollen en andere op veelgebruikte internettechnologie gebaseerde user-protocollen (HTTP, VoIP, IRC, IM) SCOS organiseert Wireshark NETWORK EN SECURITY TRAINING Open-Source Network Analysis hulpmiddelen Gespecialiseerde Network Security Analysis technieken, waaronder reconstructie van verdacht dataverkeer en analyse technieken Real-World voorbeelden zullen tijdens de cursus worden gebruikt in combinatie met een groot aantal hands-on oefeningen om in de praktijk bewezen, praktische Network en Security Analysis vaardigheden te bieden. Deelnemers krijgen de beschikking over talrijke Wireshark trace-bestanden en een DVD met netwerk en beveiliging gereedschappen, evenals een bibliotheek van Network Security Analysis referentiedocumenten CSI TRAINING: CYBER SECURITY INVESTIGATION AND NETWORK FORENSIC ANALYSIS De CSI Training (lengte: vijf dagen) is door SCOS speciaal ontwikkeld voor netwerkbeveiligings- en wetshandhavingspersoneel met basis- tot gemiddelde kennis van algemene beveiliging en netwerken. Deze cursus maakt forensische netwerkanalyse (Network Forensics Analysis) toegankelijk voor de deelnemers. Indien men reeds beschikt over goede kennis van hostbased forensische analyse leert men toepassingen met betrekking tot het end-to-end digitale forensische proces. Forensische netwerkanalyse omvat het registreren van verdachte gegevens en het ontdekken van ongebruikelijke patronen die schuilgaan achter schijnbaar normaal netwerkverkeer. Deze cursus voorziet de deelnemer van een set onderzoekstechnieken en richt zich op het gebruik van leveranciersonafhankelijke, opensourcetools om inzicht te verschaffen in de volgende gebieden: De grondbeginselen van forensische analyse Datarecorder technologie en data mining Netwerkbeveiligingsprincipes, waaronder encryptietechnologieën en defensieve configuraties van apparaten voor de netwerkinfrastructuur Herkenning van beveiligingsrisico s voor verschillende algemene netwerkaanval- en exploitscenario s, waaronder netwerkverkenningstechnieken, gevaarherkenning van botnetwerken en man-in-the-middle -aanvallen evenals algemene kwetsbaarheden in het gebruikersprotocol, inclusief IP-gerelateerde protocollen (IP/TCP, DNS, ARP, ICMP), protocollen (POP/ SMTP/IMAP) en andere, algemene webbased gebruikersprotocollen Opensource-tools op het gebied van forensische netwerkanalyse Gespecialiseerde forensische netwerkanalysetechnieken, inclusief reconstructie van verdachte gegevens en inspectietechnieken Gedurende de cursus worden praktijkvoorbeelden gebruikt, in combinatie met verschillende praktijkoefeningen, zodat in de praktijk bewezen, praktische forensische analysevaardigheden worden verkregen. WIFI EN WLAN NETWORK ANALYSIS Deze vijfdaagse cursus is bedoeld voor Wireless Network Engineers en Ehernet-netwerk Engineers voor het verdiepen van hun kennis op het gebied van draadloze netwerken. Deze cursus biedt de cursist een set van analysetechnieken gericht op het gebruik van vendor-neutrale, open-source tools om inzicht te geven in de volgende gebieden: Wireless Network Analysis fundamentals Data Recorder technologie en data-mining Beveiliging gericht op draadloze netwerken, waaronder encryptie technologieën en defensieve configuraties van netwerkinfrastructuurapparaten Herkennen van diverse problemen die WiFi / WLAN-netwerken en de kwaliteit van de data beïnvloeden Factoren zoals latency, out-of-sequence pakketten, packet loss en retransmissions en hoe de ervaring van eindgebruikers kan worden geanalyseerd en geëvalueerd. Specifieke draadloze communicatie protocollen waaronder gegevens, beheer en controle en bijbehorende ondersteunende protocol architecturen zullen worden onderzocht. VOICE OVER IP (VOIP) ANALYSE Deze cursus (drie dagen) is bedoeld voor Network Engineers, VoIP en Netwerk Telefonie medewerkers welke een basiskennis bezitten over algemene VoIP / Telefonie en netwerken. Deze cursus biedt de cursist een set van analysetechnieken gericht op het gebruik van vendor-neutrale, open-source tools om inzicht te geven in de volgende gebieden: VoIP Network Analysis fundamentals Data Recorder technologie en data-mining VoIP gerichte netwerkbeveiliging principes waaronder encryptie technologieën en defensieve configuraties van netwerkinfrastructuurapparaten Herkennen van diverse problemen die VoIP-netwerken en de kwaliteit van de voice data beïnvloeden Factoren zoals latency, out-of-sequence pakketten, Jitter en Quality-of-Service en hoe de ervaringen van eindgebruikers kan worden geanalyseerd en geëvalueerd. Standaard VoIP gerelateerde protocollen waaronder SIP, MGCP, SCCP, UNISTEM, H.323 en bijbehorende ondersteunende protocol architecturen zullen worden behandeld. WINDOWS DIGITAL FORENSICS (5 DAGEN) Deze cursus is speciaal bedoeld voor Windows-beheerders, Windows forensische analisten en Law Enforcement personeel met basiskennis van de Microsoft Windows-architectuur, maar geen kennis van Windows Digital Forensics. Voor maximale effectiviteit, moeten de deelnemers ten minste elementaire kennis hebben van TCP/IP-netwerken, Windows-netwerken en Wireshark. De inhoud van de cursus richt zich op de mogelijkheden en technieken voor analyse in plaats van hoe men een specifiek instrument kan gebruiken. Tevens biedt het diepgaande forensische analyse van Windows-besturingssystemen en media gericht op Windows. Identificeer artefact en bewijs locaties die belangrijke vragen beantwoorden, waaronder vragen over de uitvoering van een programma, bestand openen, extern gebruik van het apparaat, geo-locatie, het downloaden van bestanden, anti-forensisch onderzoek en gebruik van het systeem. Na afloop is de deelnemer een effectieve Windows Digital forensisch analist en beheerder met een goed kennisniveau en inzicht om efficiënt digitaal bewijsmateriaal te behouden, extraheren en analyseren in Windows-systemen. Bovenstaande trainingen worden regelmatig door SCOS zowel in Amsterdam-Hoofddorp als op lokatie van de klant georganiseerd. OVER SCOS EN WIRESHARK SCOS is de enige partij in Europa die door de Wireshark University geautoriseerd is om de Wireshark Network en Security Training te verzorgen. SCOS-trainers zijn Certified Wireshark University Trainers, lid van FBI Infra- Gard, het Computer Security Institute, het IEEE en het Cyber Warfare Forum Initiative. Ze spreken regelmatig op regionale, nationale en internationale evenementen op het gebied van netwerken en beveiliging. De eerstvolgende cursussen worden verzorgd in Amsterdam-Hoofddorp: 1-5 Juni 2015 Troubleshooting TCP/IP Networks (Wireshark University) 8-12 Juni 2015 Advanced Networks and Security Analysis Voor meer inlichtingen: INFOSECURITY MAGAZINE - NR. 1 - MAART

19 EXPERTVISIE TSTC Informatiebeveiliging wordt volwassener, heeft daardoor steeds meer behoefte aan specialisten en zal door de groeiende focus op privacy nog meer aandacht gaan krijgen. Het in security trainingen gespecialiseerde opleidingsinstituut TSTC zit dicht bij het vuur als het gaat om trends in de informatiebeveiliging. Dagelijks leggen bedrijven en cursisten hun kennisbehoefte bij ons neer waardoor verschuivingen in het vakgebied snel zichtbaar zijn. Ons opleidingsprogramma wordt gevormd door die vraag en geeft dan ook een goed beeld van de Emile Kok: SECURITY-TRAININGEN HEBBEN DIEPGANG NODIG diversiteit die informatiebeveiliging tegenwoordig kenmerkt, stelt Emile Kok, algemeen directeur van TSTC VERANDERDE BEHOEFTE Tussen 2006 en 2012 was de vraag naar security trainingen volgens Kok redelijk homogeen. Om hun betrokkenheid bij beveiliging aan te tonen, streefden organisaties vooral naar security awareness en medewerkers met bekende titels als CISSP, CISM en CEH achter hun naam. Omdat vacatures hetzelfde beeld gaven, gingen professionals op zoek naar dergelijke trainingen om hun kansen op de arbeidsmarkt te vergroten. Deze behoefte is volgens TSTC niet verdwenen maar is de afgelopen jaren steeds meer uitgebreid met de wens naar verdere specialistische kennis. Waar een netwerkbeheerder eerder bij veel bedrijven nog kon worden aangewezen als de collega die alles weet over beveiliging is hij tegenwoordig nog slechts de firewallspecialist of één van de netwerkbeveiligers. Met het volwassener worden van informatiebeveiliging, zijn er meer specifieke rollen ontstaan met daarin afgebakende verantwoordelijkheden. Een security professional wordt nog wel geacht over veel zaken iets te weten, maar is bij veel organisaties niet langer meer generalist. Dit verklaart ook het succes van meer gerichte verdiepingstrainingen in penetratietesten, risk management, incident response en cloud security. Deze ontwikkeling wordt verder gestimuleerd door nieuwe eisen van de overheid zoals de jaarlijks verplichte DigiD audit waar bijvoorbeeld gemeenten mee te maken hebben en die dwingen te investeren in verdere ex- of interne security kennis. PRIVACY In dat kader zal de nieuwe Europese Verordening Bescherming Persoonsgegevens, die de WBP moet gaan vervangen, weer consequenties hebben voor de opleidingsvraag in Ondanks dat er nog enkele knopen doorgehakt moeten worden, is al wel duidelijk dat er een grote verantwoordelijkheid bij bedrijven komt te liggen op het gebied van bijvoorbeeld privacy management. Waar deze kennis voorheen beperkt bleef tot de juridische afdeling, wordt privacy steeds meer (mede) het domein van informatiebeveiligers en compliance officers. Omdat de nieuwe privacy verordening vergaande gevolgen heeft voor de informatiebeveiliging en we hier steeds meer vragen over kregen, is TSTC vorig jaar een exclusieve samenwerking aangegaan met IAPP, de grootste internationale vakvereniging voor privacy professionals. We zijn in mei gestart met hun bekendste CIPP/E titel die cursisten certificeert in globale- en Europese privacy wet- en regelgeving. Dit jaar zullen we het programma verder uitbreiden met CIPM en CIPT die gaan over hoe deze kennis toe te passen in een privacy management of technische functie. CIPP/E en CIPM sluiten in combinatie het beste aan op de eisen uit de Europese verordening waarmee veel bedrijven verplicht worden een privacy functionaris aan te stellen. CERTIFIED CHIEF INFORMATION SECURITY OFFICER (CCISO) Een andere nieuwe titel die TSTC in 2015 zal introduceren is CCISO. De laatste jaren is de eindverantwoordelijkheid voor informatiebeveiliging steeds hoger in de organisatie komen te liggen met de CISO functie tot gevolg. De CISO opereert op het grensvlak tussen beleid en techniek, tracht deze werelden in zijn functie te verenigen en heeft een organisatie brede kijk op informatiebeveiliging. Bij veel potentiële kandidaten schiet de vereiste management- of technische kennis volgens TSTC nog tekort om voldoende draagvlak te kunnen krijgen binnen alle lagen van de organisatie. De CCISO training behandelt al deze aspecten en met name de samenhang ertussen zodat de functie beter kan worden ingevuld. CCISO is een internationaal erkende certificering van EC-Council en fungeert tevens als aanvulling op een eventuele behaalde CISSP en/of CISM certificering in verband met de specifieke focus op de CISO-rol en de daarbij behorende werkzaamheden. OPLEIDEN ANNO 2015 Volgens TSTC s directeur is het werk van de opleider langzaam aan het verschuiven. Bedrijven schakelen ons naast hun reguliere trainingen vaker in voor maatwerktrajecten waarbij certificering nietof van ondergeschikt belang is. We hebben de beschikking tot een uitgebreid netwerk van internationale professionals die naast hun praktijkervaring ook didactisch in staat zijn om hun kennis over te brengen. Om niet voor elke klant een nieuwe training samen te hoeven stellen, zullen we in 2015 ook meer specialistische titels brengen die door kleine groepen te boeken en op punten aan te passen zijn. Kok noemt voorbeelden als SAP security, Malware Analysis en Exploit Development maar geeft aan dat klanten TSTC met al hun security en privacy vragen kunnen blijven benaderen. Want één ding verandert er niet, de kennisbehoefte van onze klanten bepaalt uiteindelijk de trainingen op onze agenda. 36 INFOSECURITY MAGAZINE - NR. 1 - MAART

20 WHITEPAPER BEST PRACTICES HELPEN GEBOUWBEHEER- SYSTEMEN GOED TE BEVEILIGEN Volgens Schneider Electric hebben organisaties de beveiliging van gebouwbeheersystemen (GBS) niet altijd op orde. Doordat de systemen nauw zijn geïntegreerd met de gehele IT enterprise, communiceren ze via allerlei open protocollen onder meer met internet en mobiele apparaten. Hierdoor zijn gebouwbeheersystemen zeer kwetsbaar voor cybersecurity. Schneider Electric geeft daarom best practices om grote financiële schade te voorkomen. De totale schade van cybercriminaliteit aan IT-systemen bedraagt volgens een onderzoek van McAfee zo n 263 miljard dollar per jaar. Het GBS is daar inmiddels een volwaardig onderdeel van. Het resultaat is verloren productiviteit, technische support en gemiste omzet. Maar ook minder kwantificeerbaar verlies zoals imagoschade. Het is volgens Marcel Spijkers, Algemeen Directeur bij Schneider Electric in Nederland, dan ook merkwaardig dat veel van deze systemen nog geen adequate beveiligingsstrategie hebben. Daar moet verandering in komen, aldus Spijkers. Organisaties behoren onder meer het beherende personeel goed te trainen, zodat zij (nieuwe) bedreigingen leren herkennen en passende maatregelen kunnen toepassen. Daarnaast zijn de best practices voor het beveiligen van IT in het algemeen ook zeer goed toepasbaar voor een GBS. Deze verminderen de kans op een digitale inbraak en de daaraan verbonden schade aanzienlijk. De best practices zijn: 1. Wachtwoordmanagement Bij de ingebruikname van apparaten wordt gemakshalve het standaardwachtwoord niet gewijzigd. Veel gemakkelijker kunnen bedrijven het een hacker niet maken. Het internet wemelt immers van de lijsten met apparaten en bijbehorende standaardwachtwoorden. 2. Netwerkmanagement Een GBS is onderdeel van het IT-netwerk en beveiliging van dit netwerk is dan ook een goed startpunt. Beperk toegang tot niet IP-gerelateerde communicatiekanalen zoals USB-poorten en beveilig webinterfaces tegen SQL-injecties. Investeer in goede firewalls en vergeet ook de fysieke beveiliging niet. 3.Gebruikersmanagement Verleen gebruikers slechts die toegangsrechten die zij nodig hebben om hun werk te doen. Op die manier voorkomen organisaties schade door bijvoorbeeld ongeautoriseerde medewerkers. 4. Softwaremanagement Laat alleen geautoriseerde gebruikers software uitrollen. Installeer altijd de nieuwste updates. Hiermee blijven ondernemingen maximaal beschermd tegen lekken en bugs in de code. 5. Beheers kwetsbaarheden Ontwikkel een risk management-plan dat alle types risico s afdekt. Zorg voor een formeel document voor iedere installatie. Lees voor meer informatie de whitepaper Five Best Practices to Improve Building Management Systems (BMS) Security via de website van Schneider Electric. MIGRATIE MIGRATIE STORAGE HYBRIDE CLOUDCOMPUTING SAAS PUBLIC DATACE IT MANAGEMENT GREEN IT PAAS PRIVATE SECURITY LAAS SOLUTIONS VIRTUALISATIE SECURITY SECURITYPRIVATE LAAS CONVERSION SLA CLOUDCOMPUTING VIRTUALISATIE GREEN IT HYBRIDE CLOUDSHOPPING SOLUTIONS PUBLIC STORAGE LAAS PAAS MIGRATIE APPS PRIVATE CONVERSION IT MANAGEMENT GREEN IT cloudworks.nu geheel vernieuwd! Feiten en fictie in kaart gebracht APPS 38 INFOSECURITY MAGAZINE - NR. 1 - MAART

Nationale IT Security Monitor 2015. Peter Vermeulen Pb7 Research

Nationale IT Security Monitor 2015. Peter Vermeulen Pb7 Research Nationale IT Security Monitor 2015 Peter Vermeulen Over het Onderzoek Jaarlijks terugkerende vragen Organisatie en beleid Investeringen en groei 2015 Thema s Databeveiliging (incl. Algemene Data Protectie

Nadere informatie

Asset 1 van 17. Mobile Application Management en security. Gepubliceerd op 18 april 2015

Asset 1 van 17. Mobile Application Management en security. Gepubliceerd op 18 april 2015 Asset 1 van 17 Mobile Application Management en security Gepubliceerd op 18 april 2015 Veel organisaties hebben de afgelopen jaren hun eigen mobiele enterprise apps ontwikkeld. De data hierin is potentieel

Nadere informatie

IBM; dataopslag; storage; infrastructuur; analytics; architectuur; big data

IBM; dataopslag; storage; infrastructuur; analytics; architectuur; big data Asset 1 van 10 Big Data Analytics voor Dummies Gepubliceerd op 30 june 2014 Gelimiteerde editie van de populaire Dummies-reeks, speciaal voor managers. Het boek legt uit waarom Big Data Analytics van cruciaal

Nadere informatie

Introduceert KASPERSKY ENDPOINT SECURITY FOR BUSINESS

Introduceert KASPERSKY ENDPOINT SECURITY FOR BUSINESS Introduceert KASPERSKY ENDPOINT SECURITY FOR BUSINESS 1 Business strategieën en de impact voor de IT FLEXIBILITEIT Snel handelen met wendbaarheid en flexibiliteit Voor 66% van de organisaties staat flexibiliteit

Nadere informatie

BEVEILIGINGSARCHITECTUUR

BEVEILIGINGSARCHITECTUUR BEVEILIGINGSARCHITECTUUR Risico s onder controle Versie 1.0 Door: drs. Ir. Maikel J. Mardjan MBM - Architect 2011 cc Organisatieontwerp.nl AGENDA Is een beveiligingsarchitectuur wel nodig? Oorzaken beveiligingsincidenten

Nadere informatie

HOE OMGAAN MET DE MELDPLICHT DATALEKKEN?

HOE OMGAAN MET DE MELDPLICHT DATALEKKEN? HOE OMGAAN MET DE MELDPLICHT DATALEKKEN? EEN HANDIGE CHECKLIST In deze whitepaper bieden we u handvatten die u kunnen helpen bij de implementatie van de meldplicht datalekken binnen uw organisatie. We

Nadere informatie

INFORMATIEBEVEILIGING: WAAR STAAT U NU?

INFORMATIEBEVEILIGING: WAAR STAAT U NU? INFORMATIEBEVEILIGING: WAAR STAAT U NU? HANDIGE CHECKLISTS VOOR DE OVERHEIDSSECTOR In deze whitepaper bieden we u handvatten en checklists voor hoe u om kunt gaan met de nieuwe meldplicht datalekken. Steeds

Nadere informatie

Factsheet DATALEKKEN COMPLIANT Managed Services

Factsheet DATALEKKEN COMPLIANT Managed Services Factsheet DATALEKKEN COMPLIANT Managed Services DATALEKKEN COMPLIANT Managed Services We ontwerpen en implementeren security maatregelen om datalekken te detecteren en het risico daarop te minimaliseren.

Nadere informatie

De Uitdagingen van Mobiele Apparaten Managen

De Uitdagingen van Mobiele Apparaten Managen Kaseya Onderzoek De Uitdagingen van Mobiele Apparaten Managen 2011 www.kaseya.nl Over dit rapport In dit rapport worden de resultaten gepresenteerd van een onderzoek dat door Kaseya is geïnitieerd en uitgevoerd

Nadere informatie

Het Sebyde aanbod. Secure By Design

Het Sebyde aanbod. Secure By Design Het Sebyde aanbod Secure By Design Ons aanbod Security Scan Secure Development Security Awareness Security Assessment 1. Security Scan > Scan van uw web applicatie(s) op kwetsbaarheden. Hiervoor gebruiken

Nadere informatie

Asset 1 van 5. Consumerisation of IT vraagt andere aanpak beheer. Gepubliceerd op 1 march 2014

Asset 1 van 5. Consumerisation of IT vraagt andere aanpak beheer. Gepubliceerd op 1 march 2014 Asset 1 van 5 Consumerisation of IT vraagt andere aanpak beheer Gepubliceerd op 1 march 2014 De grenzen tussen werk en privé vervagen en steeds vaker wordt technologie van thuis op het werk gebruikt. Bring

Nadere informatie

Hoe kunt u profiteren van de cloud? Whitepaper

Hoe kunt u profiteren van de cloud? Whitepaper Hoe kunt u profiteren van de cloud? Whitepaper Auteur: Roy Scholten Datum: woensdag 16 september, 2015 Versie: 1.1 Hoe u kunt profiteren van de Cloud Met de komst van moderne technieken en de opmars van

Nadere informatie

Banken en verzekeraars zijn niet onderscheidend genoeg

Banken en verzekeraars zijn niet onderscheidend genoeg Banken en verzekeraars zijn niet onderscheidend genoeg Werk aan de winkel wat betreft openheid, onderscheidingsvermogen en communicatiekanalen from Accenture and Microsoft 1 Werk aan de winkel wat betreft

Nadere informatie

Het Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV

Het Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV Het Sebyde aanbod Secure By Design AUG 2012 Sebyde BV Wat bieden wij aan? 1. Web Applicatie Security Audit 2. Secure Development 3. Security Awareness Training 4. Security Quick Scan 1. Web Applicatie

Nadere informatie

De cloud die gebouwd is voor uw onderneming.

De cloud die gebouwd is voor uw onderneming. De cloud die gebouwd is voor uw onderneming. Dit is de Microsoft Cloud. Elke onderneming is uniek. Van gezondheidszorg tot de detailhandel, van fabricage tot financiële dienstverlening: geen twee ondernemingen

Nadere informatie

Factsheet CLOUD DESIGN Managed Services

Factsheet CLOUD DESIGN Managed Services Factsheet CLOUD DESIGN Managed Services CLOUD DESIGN Managed Services We ontwerpen flexibele en kosteneffectieve cloud-architecturen als fundament voor uw digitale platform(en). De ontwikkelingen binnen

Nadere informatie

We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren.

We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren. Managed Services Managed Services We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren. Met onze Security Management diensten bewaken we de continuïteit

Nadere informatie

Onze gedifferentieerde benadering tot de Intelligent Workload Management markt

Onze gedifferentieerde benadering tot de Intelligent Workload Management markt Onze gedifferentieerde benadering tot de Intelligent Workload Management markt de markt 1 het IT-landschap is aan het veranderen De risico's en uitdagingen van computerservices in meerdere omgevingen moeten

Nadere informatie

Privacy. Rapportage onderzoek online privacy. 10 februari 2015. Right Marktonderzoek

Privacy. Rapportage onderzoek online privacy. 10 februari 2015. Right Marktonderzoek 2015 Rapportage onderzoek online privacy 10 februari 2015 Right Marktonderzoek Emmawijk 55-8011 CN Zwolle T 038 421 21 85 E info@rightmarktonderzoek.nl www.rightmarktonderzoek.nl Privacy Onderzoek online

Nadere informatie

Veilig mobiel werken. Workshop VIAG 7 oktober 2013

Veilig mobiel werken. Workshop VIAG 7 oktober 2013 1 Veilig mobiel werken Workshop VIAG 7 oktober 2013 Stelling 1: 2 Heeft u inzicht in de opbrengsten van mobiel werken Ja, dit biedt veel toegevoegde waarde voor de organisatie Ja, dit biedt geen toegevoegde

Nadere informatie

Factsheet SECURITY SCANNING Managed Services

Factsheet SECURITY SCANNING Managed Services Factsheet SECURITY SCANNING Managed Services SECURITY SCANNING Managed Services We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren. Met onze Security

Nadere informatie

INFORMATIEBEVEILIGING VOOR WEBWINKELS

INFORMATIEBEVEILIGING VOOR WEBWINKELS INFORMATIEBEVEILIGING VOOR WEBWINKELS HANDIGE CHECKLISTS In deze whitepaper bieden we u tips en checklists die kunnen bijdragen aan een optimale beveiliging van zowel uw eigen data als die van uw klanten.

Nadere informatie

Bring Your Own Device onder controle. Tanja de Vrede

Bring Your Own Device onder controle. Tanja de Vrede Bring Your Own Device onder controle Tanja de Vrede Bring Your Own Device onder controle 5 tools om zelf meegebrachte apparaten te beheren 12 maart 2013 Tanja de Vrede Het gebruik van eigen mobiele apparatuur

Nadere informatie

Verras uw business-collega s met een IT-sixpack

Verras uw business-collega s met een IT-sixpack Hybride-cloudaanpak Verras uw business-collega s met een IT-sixpack De CIO staat steeds meer onder druk: enerzijds vragen uw businesscollega s een s nellere en meer flexibele dienstverlening, anderzijds

Nadere informatie

Factsheet SECURITY CONSULTANCY Managed Services

Factsheet SECURITY CONSULTANCY Managed Services Factsheet SECURITY CONSULTANCY Managed Services SECURITY CONSULTANCY Managed Services We adviseren u over passende security-maatregelen voor uw digitale platform. Zo helpen we u incidenten als datadiefstal

Nadere informatie

IT-security bij kleine ondernemingen 10-2013

IT-security bij kleine ondernemingen 10-2013 IT-security bij kleine ondernemingen 10-2013 Analyse Peter Vermeulen, Directeur Pb7 Research: Het onderzoek laat zien dat kleinzakelijke ondernemingen zich vooral baseren op resultaten die in het verleden

Nadere informatie

BESCHERM UW BEDRIJF, WAAR U OOK GAAT. Protection Service for Business

BESCHERM UW BEDRIJF, WAAR U OOK GAAT. Protection Service for Business BESCHERM UW BEDRIJF, WAAR U OOK GAAT Protection Service for Business WE LEVEN IN EEN MOBIELE WERELD WiFi Voetganger We maken tegenwoordig gebruik van meer apparaten via meer verbindingen dan ooit tevoren.

Nadere informatie

De Exact MKB Cloud Barometer: Kansen in de Cloud voor het MKB. Peter Vermeulen Pb7 Research i.o.v. Exact

De Exact MKB Cloud Barometer: Kansen in de Cloud voor het MKB. Peter Vermeulen Pb7 Research i.o.v. Exact De Exact MKB Cloud Barometer: Kansen in de Cloud voor het MKB Peter Vermeulen Pb7 Research i.o.v. Exact Veldwerk Doel van de Exact MKB Cloud Barometer Hoeveel waarde haalt het MKB uit de cloud? Hoe kunnen

Nadere informatie

Zet de volgende stap in bedrijfsinnovatie met een Open Network Environment

Zet de volgende stap in bedrijfsinnovatie met een Open Network Environment Overzicht van oplossingen Zet de volgende stap in bedrijfsinnovatie met een Open Network Environment Wat u leert De opkomst van nieuwe technologieën zoals cloud, mobiliteit, sociale media en video die

Nadere informatie

Quinfox s visie op Bring Your Own Device

Quinfox s visie op Bring Your Own Device Quinfox s visie op Bring Your Own Device Steeds meer bedrijven staan het toe dat werknemers hun eigen smartphone, tablet of notebook gebruiken op het werk. Deze trend wordt aangeduid met de afkorting BYOD

Nadere informatie

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1. www.traxion.com

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1. www.traxion.com Veilig de cloud in Whitepaper over het gebruik van Cloud-diensten deel 1 www.traxion.com Introductie Deze whitepaper beschrijft de integratie aspecten van clouddiensten. Wat wij merken is dat veel organisaties

Nadere informatie

BRAIN FORCE THE JOURNEY TO THE CLOUD. Ron Vermeulen Enterprise Consultant

BRAIN FORCE THE JOURNEY TO THE CLOUD. Ron Vermeulen Enterprise Consultant BRAIN FORCE THE JOURNEY TO THE CLOUD Ron Vermeulen Enterprise Consultant BRAIN FORCE Europe Europese Professional Services Provider Consultancy, Projects & Solutions, Staffing Belangrijkste Partnerships

Nadere informatie

Be here, be there, be everywhere Maak meer mogelijk met videosamenwerking

Be here, be there, be everywhere Maak meer mogelijk met videosamenwerking Be here, be there, be everywhere Maak meer mogelijk met videosamenwerking VideoSamenwerking Met het oog op zakelijk succes Videosamenwerking (collaboration) is een snelle en effectieve oplossing voor face

Nadere informatie

Visie op co-sourcing

Visie op co-sourcing Visie op co-sourcing Ed Holtzer Manager Managed Services Meerdere functies bij diverse IT- en adviesorganisaties. O.a. sales manager, (business) consultant, projectleider en programmamanager in profit

Nadere informatie

Bescherming tegen de gevolgen van cyber risico s. Bedrijfsverzekeringen. CyberEdge van AIG

Bescherming tegen de gevolgen van cyber risico s. Bedrijfsverzekeringen. CyberEdge van AIG Bescherming tegen de gevolgen van cyber risico s Bedrijfsverzekeringen CyberEdge van AIG Wat zijn cyber risico s? Cyber risico s zijn een vaststaand gegeven in een wereld van informatie, informatiesystemen

Nadere informatie

Factsheet KICKSTARTERS Mirabeau

Factsheet KICKSTARTERS Mirabeau Factsheet KICKSTARTERS Mirabeau KICKSTARTERS We lanceren binnen twee maanden een nieuw digitaal platform waarmee u in hoog tempo business value genereert. De digitale transformatie is in volle gang. Consumenten

Nadere informatie

CMS Ronde Tafel. Cloud Continuity. Ir. Jurian Hermeler Principal Consultant

CMS Ronde Tafel. Cloud Continuity. Ir. Jurian Hermeler Principal Consultant CMS Ronde Tafel Cloud Continuity Ir. Jurian Hermeler Principal Consultant Introductie Quint Wellington Redwood Onafhankelijk Management Adviesbureau Opgericht in 1992 in Nederland Ruim 20 jaar ervaring

Nadere informatie

Sebyde Security in een organisatie A3 Management Workshop. 7 Januari 2014

Sebyde Security in een organisatie A3 Management Workshop. 7 Januari 2014 Sebyde Security in een organisatie A3 Management Workshop 7 Januari 2014 Even voorstellen Sebyde BV is Certified IBM Business Partner voor security systems, gespecialiseerd in applicatie security en security

Nadere informatie

Beveiligingsbeleid Stichting Kennisnet

Beveiligingsbeleid Stichting Kennisnet Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek

Nadere informatie

Factsheet SECURITY SCANNING Managed Services

Factsheet SECURITY SCANNING Managed Services Factsheet SECURITY SCANNING Managed Services SECURITY SCANNING Managed Services We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren. Met onze Security

Nadere informatie

m.b.v. digitale certificaten en PKI Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van VPN s

m.b.v. digitale certificaten en PKI Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van VPN s Beknopte dienstbeschrijving Beveiligen van VPN's m.b.v. digitale certificaten en PKI Document: Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van VPN s Inhoudsopgave 1. Inleiding 2 2. Snel te

Nadere informatie

Windows Server 2008 helpt museum met het veilig delen van informatie

Windows Server 2008 helpt museum met het veilig delen van informatie Windows Server 2008 helpt museum met het veilig delen van informatie Het Rijksmuseum Amsterdam beschikt over een collectie Nederlandse kunstwerken vanaf de Middeleeuwen tot en met de twintigste eeuw. Het

Nadere informatie

Datadiefstal: Gone in 60 Seconds!

Datadiefstal: Gone in 60 Seconds! Datadiefstal: Gone in 60 Seconds! Didacticum Solutions Datadiefstal en ontwikkelingen Het komt regelmatig voor: klantgegevens of intellectuele eigendommen van bedrijven worden door hackers gestolen. Denk

Nadere informatie

Dataprotectie op school

Dataprotectie op school Dataprotectie op school ook een taak van het management Jacques Verleijen Wat is informatieveiligheid? Mogelijke actoren Netwerkschijven Cloud Backup- en restoremogelijkheden Encryptie Servers Firewalls

Nadere informatie

BEST PRACTICES MOBILE DEVICE MANAGEMENT EN MOBILE SECURITY.

BEST PRACTICES MOBILE DEVICE MANAGEMENT EN MOBILE SECURITY. BEST PRACTICES MOBILE DEVICE MANAGEMENT EN MOBILE SECURITY. With Kaspersky, now you can. kaspersky.nl/business Be Ready for What s Next INHOUD Pagina 1. 24/7 MOBIELE TOEGANG...2 2. MOBILE DEVICE MANAGEMENT

Nadere informatie

Factsheet Enterprise Mobility

Factsheet Enterprise Mobility Factsheet Enterprise Mobility www.vxcompany.com Informatie willen we overal, altijd en op elk device beschikbaar hebben. Privé, maar zeker ook zakelijk. Met het gebruik van mobile devices zoals smartphones

Nadere informatie

EXIN Cloud Computing Foundation

EXIN Cloud Computing Foundation Voorbeeldexamen EXIN Cloud Computing Foundation Editie maart 2013 Copyright 2013 EXIN All rights reserved. No part of this publication may be published, reproduced, copied or stored in a data processing

Nadere informatie

Bring it Secure. Whitepaper

Bring it Secure. Whitepaper Whitepaper Imtech ICT Communication Solutions, Rivium Boulevard 41 2909 LK Capelle a/d IJssel T +31 88 988 96 00, info.cs@imtech.nl, www.imtech.nl/cs Imtech Vandaag de dag moet security een standaard

Nadere informatie

Geef uw onderneming vleugels. Met de soepele werkprocessen

Geef uw onderneming vleugels. Met de soepele werkprocessen Geef uw onderneming vleugels Met de soepele werkprocessen van Dutchict Cloud Online functionaliteiten Managed Cloud Online functio U wilt uw documenten overal kunnen beheren en delen. Maar applicaties

Nadere informatie

Staat u wel eens stil bij de datarisico s die u loopt? verzekering bedrijfsrisico hypotheek pensioen

Staat u wel eens stil bij de datarisico s die u loopt? verzekering bedrijfsrisico hypotheek pensioen Staat u wel eens stil bij de datarisico s die u loopt? verzekering bedrijfsrisico hypotheek pensioen Kinderen van een jaar weten tegenwoordig al de weg op een tablet. De computer en het internet zijn niet

Nadere informatie

Informatiebeveiliging voor gemeenten: een helder stappenplan

Informatiebeveiliging voor gemeenten: een helder stappenplan Informatiebeveiliging voor gemeenten: een helder stappenplan Bewustwording (Klik hier) Structureren en borgen (Klik hier) Aanscherping en maatwerk (Klik hier) Continu verbeteren (Klik hier) Solviteers

Nadere informatie

Brochure ISO 27002 Foundation

Brochure ISO 27002 Foundation Brochure ISO 27002 Foundation Over Pink Elephant Bedrijfshistorie Pink Elephant is een Nederlandse IT onderneming die rond 1980 is ontstaan als bijverdienste van een drietal studenten aan de Technische

Nadere informatie

Kennissessie Information Security

Kennissessie Information Security Kennissessie Information Security 3 oktober 2013 Bonnefantenmuseum De sleutel ligt onder de mat Wachtwoord: welkom1234 Focus op vertaling strategie in de organisatie Advies, programma, project en interim

Nadere informatie

5 CLOUD MYTHES ONTKRACHT

5 CLOUD MYTHES ONTKRACHT 5 CLOUD MYTHES ONTKRACHT Na enkele jaren ervaring met de cloud, realiseren zowel gebruikers als leveranciers zich dat enkele van de vaakst gehoorde mythes over cloud computing eenvoudigweg... niet waar

Nadere informatie

w o r k s h o p s 2 0 1 5

w o r k s h o p s 2 0 1 5 workshops 2015 Security en social engineering Internet is niet meer weg te denken uit ons dagelijks leven: bankzaken, contacten, informatie zoeken, (ver)kopen, spelletjes en ander vermaak vinden via internet

Nadere informatie

e-token Authenticatie

e-token Authenticatie e-token Authenticatie Bescherm uw netwerk met de Aladdin e-token authenticatie oplossingen Aladdin is een marktleider op het gebied van sterke authenticatie en identiteit management. De behoefte aan het

Nadere informatie

Unified Enterprise Security wordt geleverd door onze strategische partner Masergy, de wereldspeler in global communications en security.

Unified Enterprise Security wordt geleverd door onze strategische partner Masergy, de wereldspeler in global communications en security. Het verlengstuk van uw IT security operations: altijd (24x7) de beste expertise en meest actuele kennis, geïntegreerd zicht op wat er gebeurt in uw datacenter en eerder en Security as a Service Het verlengstuk

Nadere informatie

GOEDE ZORG VOOR ONDERZOEKSDATA.

GOEDE ZORG VOOR ONDERZOEKSDATA. GOEDE ZORG VOOR ONDERZOEKSDATA. Ziekenhuislaboratorium LabWest vertrouwt IT-infrastructuur toe aan Sentia Sinds 2011 werken verschillende ziekenhuizen in en rondom Den Haag met een gezamenlijke laboratoriumorganisatie.

Nadere informatie

We helpen u security-incidenten te voorkomen

We helpen u security-incidenten te voorkomen Managed Services Managed Services We adviseren u over passende security-maatregelen voor uw digitale platform. Zo helpen we u incidenten als datadiefstal te voorkomen en behoeden we u voor imagoschade.

Nadere informatie

Professionele softwareontwikkeling PRODUCTIVITEIT EN KWALITEIT MET FOCUS OP DE GEHELE LEVENSDUUR VAN APPLICATIES

Professionele softwareontwikkeling PRODUCTIVITEIT EN KWALITEIT MET FOCUS OP DE GEHELE LEVENSDUUR VAN APPLICATIES Professionele softwareontwikkeling PRODUCTIVITEIT EN KWALITEIT MET FOCUS OP DE GEHELE LEVENSDUUR VAN APPLICATIES ONZE VISIE OP PROFESSIONEEL SOFTWARE ONTWIKKELEN Bij succesvolle softwareontwikkeling draait

Nadere informatie

Jos Witteveen Wat komt er kijken bij Clouddiensten voor de Zorg? 29 oktober 2013

Jos Witteveen Wat komt er kijken bij Clouddiensten voor de Zorg? 29 oktober 2013 Jos Witteveen Wat komt er kijken bij Clouddiensten voor de Zorg? 29 oktober 2013 Wat en wie is Andarr? Wij zijn dé partner voor waardevaste ICT transities / migraties. Wij helpen organisaties om blijvend

Nadere informatie

De Enterprise Security Architectuur

De Enterprise Security Architectuur De Enterprise Security Architectuur Martijn Doedens Security Consultant Peter Mesker CTO IT SECURITY IS TOPSPORT! Wat is de definitie?! Een enterprise security architectuur omvat alle noodzakelijke elementen

Nadere informatie

Profiteer van veranderende technologieën

Profiteer van veranderende technologieën Profiteer van veranderende technologieën Lees hoe Managed Services Providers u kunnen helpen profiteren van de nieuwste ontwikkelingen Uitdagingen en kansen in veranderende technologieën Ontwikkelingen

Nadere informatie

Brochure ISO 27002 Advanced

Brochure ISO 27002 Advanced Brochure ISO 27002 Advanced Over Pink Elephant Bedrijfshistorie Pink Elephant is een Nederlandse IT onderneming die rond 1980 is ontstaan als bijverdienste van een drietal studenten aan de Technische Universiteit

Nadere informatie

Uw IT, onze business

Uw IT, onze business Techniek gaat prima samen. Uw IT, onze business Hoogendoorn IT Services biedt vele mogelijkheden om de kantoorautomatisering van bedrijven te beheren, optimaal te laten functioneren of het bedrijf zelfs

Nadere informatie

Training en workshops

Training en workshops Mirabeau Academy HACKING OWASP TOP 10 Training en workshops MIRABEAU ACADEMY AHEAD IN A DIGITAL WORLD Digitaal denken zit in onze code. We weten exact wat er online speelt. Sinds 2001 ontwikkelen we platformen

Nadere informatie

Werkplekvisie. Hans van Zonneveld Senior Consultant Winvision

Werkplekvisie. Hans van Zonneveld Senior Consultant Winvision Werkplekvisie Hans van Zonneveld Senior Consultant Winvision De essentie De gebruiker centraal Verschillende doelgroepen Verschillende toepassingen Verschillende locaties Het beschikbaar

Nadere informatie

BENT U ER KLAAR VOOR?

BENT U ER KLAAR VOOR? ISO 9001:2015 EN ISO 14001:2015 HERZIENINGEN ZIJN IN AANTOCHT BENT U ER KLAAR VOOR? Move Forward with Confidence WAT IS NIEUW IN ISO 9001:2015 & ISO 14001:2015 MEER BUSINESS GEORIENTEERD KERNASPECTEN "LEIDERSCHAP

Nadere informatie

Factsheet SECURITY DESIGN Managed Services

Factsheet SECURITY DESIGN Managed Services Factsheet SECURITY DESIGN Managed Services SECURITY DESIGN Managed Services We ontwerpen solide security-maatregelen voor de bouw en het gebruik van digitale platformen. Met onze Security Management diensten

Nadere informatie

Trends in de Campusinfrastuctuur. In samenwerking met Stratix

Trends in de Campusinfrastuctuur. In samenwerking met Stratix Trends in de Campusinfrastuctuur In samenwerking met Stratix Agenda Workshop Trends in Campusinfrastructuur 30-4-2015 Agenda Introductie: SURFnet Automated Networks IaaS en SaaS Wireless Privacy en Security

Nadere informatie

Desktop Delivery: een zakelijke afweging

Desktop Delivery: een zakelijke afweging Desktop Delivery: een zakelijke afweging Client - Server, SBC, virtuele desktops, virtuele applicaties of een virtueel besturingssysteem? Er zijn genoeg mogelijkheden om desktop functionaliteit aan de

Nadere informatie

Partneren met een Cloud broker

Partneren met een Cloud broker Partneren met een Cloud broker Vijf redenen om als reseller te partneren met een Cloud broker Introductie Cloud broker, een term die je tegenwoordig vaak voorbij hoort komen. Maar wat is dat nu precies?

Nadere informatie

Advocatuur en informatie beveiliging Een hot topic

Advocatuur en informatie beveiliging Een hot topic Advocatuur en informatie beveiliging Een hot topic René van den Assem Partner @ Verdonck, Klooster & Associates eherkenning adviseur @ ICTU Rene.vandenassem@vka.nl De achterstandspositie PwC en IronMountain

Nadere informatie

Marlin Family. Marlin

Marlin Family. Marlin PCA Mobile PCA Mobile Organisatie PCA Mobile BV maakt deel uit van de Mobile Solution Group en biedt met ruim 40 enthousiaste collega s een veelomvattend pakket van innovatieve en gebruiksvriendelijke

Nadere informatie

Strategisch en tactisch advies van hoog niveau

Strategisch en tactisch advies van hoog niveau Strategisch en tactisch advies van hoog niveau Mark Jenniskens MARK JENNISKENS, SENIOR CONSULTANT MOBILE ENTERPRISE M.Jenniskens@strict.nl 06-54 24 69 57 @markjenniskens www.linkedin.com/in/markjenniskens

Nadere informatie

Cloud. BSA The Software Alliance

Cloud. BSA The Software Alliance Cloud Steeds meer bedrijven omarmen het werken in de cloud. Maar wat betekent dit voor bedrijven, hun werknemers en het managen van de softwarelicenties? Dit e-book behandelt dergelijke ontwikkelingen

Nadere informatie

Case: Oxyma en Solvinity delen hetzelfde DNA

Case: Oxyma en Solvinity delen hetzelfde DNA Case: Oxyma en Solvinity delen hetzelfde DNA Oxyma helpt organisaties bij het optimaliseren van marketing- en salesprocessen en verzorgt de uitvoering daarvan. Om een brede groep klanten complete dienstverlening

Nadere informatie

Factsheet E COMMERCE BEHEER Managed Services

Factsheet E COMMERCE BEHEER Managed Services Factsheet E COMMERCE BEHEER Managed Services E COMMERCE BEHEER Managed Services We zorgen voor een gegarandeerd stabiel, snel en schaalbaar e-business platform. Efficiënt beheer is cruciaal voor de continuïteit

Nadere informatie

VOOR EN NADELEN VAN DE CLOUD

VOOR EN NADELEN VAN DE CLOUD VOOR EN NADELEN VAN DE CLOUD VOOR EN NADELEN VAN DE CLOUD Cloud storage. Back-up in de cloud. Er zijn verschillende benamingen voor diensten die computergebruikers in staat stellen om hun documenten en

Nadere informatie

Optimale ICT-beveiliging. Van advies en ontwikkeling tot implementatie en beheer

Optimale ICT-beveiliging. Van advies en ontwikkeling tot implementatie en beheer Optimale ICT-beveiliging Van advies en ontwikkeling tot implementatie en beheer 1 Inhoud Deze brochure geeft u meer uitleg over de manier waarop Telenet de ICT van uw bedrijf kan beveiligen. Ervaring,

Nadere informatie

IAM en Cloud Computing

IAM en Cloud Computing IAM en Cloud Computing Cloud café 14 Februari 2013 W: http://www.identitynext.eu T: @identitynext www.everett.nl www.everett.nl Agenda 1. Introductie 2. IAM 3. Cloud 4. IAM en Cloud 5. Uitdagingen 6. Tips

Nadere informatie

Beveiliging en bescherming privacy

Beveiliging en bescherming privacy Beveiliging en bescherming privacy Beveiliging en bescherming privacy Duobus B.V. Nieuwe Boteringestraat 82a 9712PR Groningen E info@duobus.nl I www.duobus.nl September 2014 2 Voorwoord Als organisatie

Nadere informatie

Altijd en overal in de cloud. Al uw data en applicaties vanaf elk device bereikbaar voor uw medewerkers

Altijd en overal in de cloud. Al uw data en applicaties vanaf elk device bereikbaar voor uw medewerkers Altijd en overal in de cloud Al uw data en applicaties vanaf elk device bereikbaar voor uw medewerkers Zorgeloos in de cloud De wereld verandert voortdurend en ook ons werkmodel bevindt zich in een fase

Nadere informatie

Alles in de cloud: bent u er al klaar voor? Whitepaper OGD ict-diensten. Alles in de cloud: bent u er al klaar voor? Whitepaper OGD ict-diensten

Alles in de cloud: bent u er al klaar voor? Whitepaper OGD ict-diensten. Alles in de cloud: bent u er al klaar voor? Whitepaper OGD ict-diensten Alles in de cloud: bent u er al klaar voor? Whitepaper OGD ict-diensten Alles in de cloud: bent u er al klaar voor? Whitepaper OGD ict-diensten 1 Cloudcomputing is populair, en niet zonder reden. Clouddiensten

Nadere informatie

Omarm de cloud. Een onderzoek naar de acceptatie van cloud computing onder Europese MKB s

Omarm de cloud. Een onderzoek naar de acceptatie van cloud computing onder Europese MKB s Omarm de cloud Een onderzoek naar de acceptatie van cloud computing onder Europese MKB s Introductie Cloud computing symboliseert een grote verschuiving in de manier waarop ITdiensten worden geleverd binnen

Nadere informatie

NDERE KIJK OP ICT CONSULTANCY

NDERE KIJK OP ICT CONSULTANCY DE a NDERE KIJK OP ICT CONSULTANCY Innervate is al ruim 13 jaar succesvol in het adviseren van vele organisaties op het gebied van ICT vraagstukken. Naast onze dienstverlening op het gebied van ICT Beleid

Nadere informatie

Factsheet BEHEER CONSULTANCY Managed Services

Factsheet BEHEER CONSULTANCY Managed Services Factsheet BEHEER CONSULTANCY Managed Services BEHEER CONSULTANCY Managed Services We geven gedegen advies om de beschikbaarheid van uw platform en daarmee de user experience te verbeteren. Inclusief concrete

Nadere informatie

Berry Kok. Navara Risk Advisory

Berry Kok. Navara Risk Advisory Berry Kok Navara Risk Advisory Topics Informatiebeveiliging in het nieuws Annual Benchmark on Patient Privacy & Data Security Informatiebeveiliging in de zorg Extra uitdaging: mobiel Informatiebeveiliging

Nadere informatie

HOE EENVOUDIG IS HET OM GEBRUIK TE MAKEN VAN CLOUD COMPUTING?

HOE EENVOUDIG IS HET OM GEBRUIK TE MAKEN VAN CLOUD COMPUTING? Innervate: Januari 2011 WHITEPAPER CLOUD COMPUTING HOE EENVOUDIG IS HET OM GEBRUIK TE MAKEN VAN CLOUD COMPUTING? Lees hier in het kort hoe u zich het best kunt bewegen in de wereld van cloud computing

Nadere informatie

Factsheet CLOUD CONSULTANCY Managed Services

Factsheet CLOUD CONSULTANCY Managed Services Factsheet CLOUD CONSULTANCY Managed Services CLOUD CONSULTANCY Managed Services We geven gedegen advies over ontwerp, integratie, bouw en beheer van schaalbare platformen op basis van cloud-technologie.

Nadere informatie

Virtueel of Fysiek. Uitdagingen bij migratie naar Windows 7

Virtueel of Fysiek. Uitdagingen bij migratie naar Windows 7 Het jaar 2011/2012 staat voor veel organisaties in het teken van Windows 7. De overstap van Windows XP naar Windows 7 lijkt in eerste instantie eenvoudig te zijn maar blijkt in de praktijk toch complex.

Nadere informatie

vakbladen - websites - e-mailnieuwsbrieven - congressen - PR - research - persberichten - marketingcommunicatie

vakbladen - websites - e-mailnieuwsbrieven - congressen - PR - research - persberichten - marketingcommunicatie vakbladen - websites - e-mailnieuwsbrieven - congressen - PR - research - persberichten - marketingcommunicatie Recht op uw doel af FenceWorks heeft dankzij de combinatie van haar printtitels, contacten

Nadere informatie

SaaS en cloud computing: in de mist of in de wolken? Karin Zwiggelaar, partner 20 september 2010

SaaS en cloud computing: in de mist of in de wolken? Karin Zwiggelaar, partner 20 september 2010 SaaS en cloud computing: in de mist of in de wolken? Karin Zwiggelaar, partner 20 september 2010 We staan aan de vooravond van de volgende Internetrevolutie De klassieke werkwijze van organisaties zal

Nadere informatie

Meer mogelijkheden voor mobiele medewerkers met secure app delivery

Meer mogelijkheden voor mobiele medewerkers met secure app delivery Meer mogelijkheden voor mobiele medewerkers met secure app delivery Werken met Windows-applicaties op alle mogelijke devices, met volledige security. Om gemakkelijk en productief te werken, willen veel

Nadere informatie

Tags: online; websites; automatisering; infrastructuur; cloud; infrastructure; Mirabeau; 626; automation; guidelines

Tags: online; websites; automatisering; infrastructuur; cloud; infrastructure; Mirabeau; 626; automation; guidelines Asset 1 van 4 Effectief in de cloud Gepubliceerd op 7 october 2013 Cloud technologie speelt een steeds grotere rol binnen de exploitatie van web omgevingen. De voordelen van cloud zijn inmiddels breeduit

Nadere informatie

Robert de Heer. IT Service Group. Cybercrime. Grote markt

Robert de Heer. IT Service Group. Cybercrime. Grote markt uw thema vandaag DE WET OP DATALEKKEN Robert de Heer IT Service Group Wakker worden! Security noodzaak voor u en uw bedrijf het geluid van ondernemers uw gastheer Pieter van Egmond Weet U Internet is de

Nadere informatie

Factsheet CONTINUOUS VALUE DELIVERY Mirabeau

Factsheet CONTINUOUS VALUE DELIVERY Mirabeau Factsheet CONTINUOUS VALUE DELIVERY Mirabeau CONTINUOUS VALUE DELIVERY We zorgen ervoor dat u in elke volwassenheidsfase van uw digitale platform snel en continu waarde kunt toevoegen voor eindgebruikers.

Nadere informatie

Solution Dag 2015. refresh-it. Printing. Frits de Boer Frenk Tames 1 12.06.2015

Solution Dag 2015. refresh-it. Printing. Frits de Boer Frenk Tames 1 12.06.2015 Solution Dag 2015. refresh-it Printing Frits de Boer Frenk Tames 1 12.06.2015 Agenda. 1. Welkom Frits de Boer 2. Samsung Printing Frenk Tames 3. Rondleiding Tonerfabriek ARP Supplies 2 12.06.2015 Solution

Nadere informatie