Zoeken naar balans met een praktische kijk op informatiebeveiliging
|
|
- Christiaan Peeters
- 8 jaren geleden
- Aantal bezoeken:
Transcriptie
1 Zoeken naar balans met een praktische kijk op informatiebeveiliging Door de verregaande digitalisering van de maatschappij zijn we steeds afhankelijker geworden van Informatie en Communicatie Technology (ICT), maar daardoor zijn we ook steeds kwetsbaarder geworden voor aanvallen die de beschikbaarheid, integriteit en exclusiviteit aantast van informatie dat ermee verwerkt wordt. De nieuwsberichtgeving staat dagelijks vol met artikelen over inbraken in computernetwerken waarbij gegevens of wachtwoorden worden buitgemaakt of bijvoorbeeld DDoS aanvallen die internetbankieren onmogelijk maakt. Een veel gebruikt alomvattend mode woord voor de bescherming tegen alle mogelijke vormen van computercriminaliteit is Cyber security. In dit artikel wil ik ingaan hoe Cybersecurity op een praktische manier toegepast kan worden door niet (alleen) beveiligingsmaatregelen te beschouwen die ons vanuit diverse regelgeving (compliance) worden opgelegd, maar vooral door op een pragmatische manier naar bedreigingen en mogelijke beveiligingsmaatregelen te leren kijken, met gebruik van gezond verstand zoals we dat ook doen bij bedreigingen in het dagelijkse leven waar het de bescherming van onze eigendommen betreft (betrokkenheid). Om vast te stellen welke dreigingen relevant zijn en om te beoordelen welke beveiligingsmaatregelen noodzakelijk zijn om weerstand te kunnen bieden tegen die dreigingen, voeren we in de informatiebeveiliging doorgaans een risico analyse uit. Bij een traditionele risico analyse worden bedreigingen benoemd (in de fysieke beveiligingswereld wordt in dit verband vaak gesproken van een daderprofiel) en wordt in kaart gebracht wat de kans van optreden is en de gevolgschade (impact) indien deze bedreiging zich daadwerkelijk voordoet (Risico = Impact x Kans). Tegenwoordig wordt vaak een afhankelijkheids- en kwetsbaarheidsanalyse uitgevoerd, waarbij eerst de bedrijfsbelangen (assets) worden geïnventariseerd en de afhankelijkheid (waarde) ervan voor het bedrijf of de organisatie ervan wordt vastgesteld. Vervolgens wordt per belang een dreigingsanalyse opgesteld waarmee (potentiele) bedreigingen voor elk belang in kaart wordt gebracht. Ten slotte wordt de kwetsbaarheid per belang voor de in kaart gebrachte dreigingen vastgesteld. Uit deze afhankelijkheids- en kwetsbaarheidsanalyse volgt welke beveiligingsmaatregelen (fysiek, mensen, processen, technologie) moeten worden toegepast om de risico s tot een aanvaardbaar niveau terug te brengen. Beveiligingsmaatregelen kunnen als volgt worden ingedeeld: Preventie: Een preventieve maatregel is bedoeld om de gevolgen van een dreiging te voorkomen. Een voorbeeld is antimalware software dat kwaadaardige software detecteert en voorkomt dat het schade kan aanrichten. Detectie: Een detectieve maatregel is bedoeld om dreigingen te kunnen detecteren. Een voorbeeld is intrusion detectie waarmee inbraakpogingen door hackers kunnen worden gedetecteerd. 1
2 Repressie: Een repressieve maatregel is bedoeld om de gevolgen van een beveiligingsincident te beperken. Een voorbeeld hiervan is een brandblusinstallatie. Correctie: Een correctieve maatregel is bedoeld om de gevolgen van een beveiligingsincident te minimaliseren of zelfs op te heffen. Een voorbeeld hiervan is beheer software dat een dienst herstart indien deze is uitgevallen. Bij het uitvoeren van een risico analyse is een holistische benadering van essentieel belang. Met holistische benadering wordt bedoeld dat alle mogelijke risico s in ogenschouw moeten worden genomen. In dit verband wordt ook vaak gesproken van integrale beveiliging of van security convergence. Dit is geen sinecure en vereist specifieke beveiligingskennis over techniek, processen en mensen. In de praktijk blijkt echter vaak uit de risico analyse dat we in grote lijnen kwetsbaar blijken voor dezelfde typen dreigingen, waarop we dezelfde typen beveiligingsmaatregelen zouden kunnen toepassen. Het is vooral de mate waarin we kwetsbaar zijn per asset en het verschil in risico dat we daarbij willen lopen, dat uiteindelijk bepaalt welke maatregelen zullen worden toegepast. Zo is de dreiging van afluisteren in een WiFi netwerk in het algemeen groter dan die in een bedraad netwerk. Bovendien is het risico daarop dat we accepteren kleiner indien het WiFi netwerk deel uitmaakt van het interne netwerk, dan wanneer het een geïsoleerd netwerk betreft dat alleen gekoppeld is aan Internet. Aan de hand van 2 praktijkvoorbeelden in dit artikel, zullen we zien dat dit zelfs geldt voor twee op het oog zeer verschillende situaties. Een kritieke succesfactor in informatiebeveiliging is het beveiligingsbewustzijn (awareness) van gebruikers en personeel; mensen moeten betrokken zijn ( commitment ) bij het uitvoeren van beveiligingsbeleid zodat ze op de juiste wijze handelen indien verdachte omstandigheden zijn gesignaleerd, niet alleen omdat het vereist is ( compliance ). Op de een of andere manier zijn we daar, waar het informatiebeveiliging betreft, niet zo goed in. We zien in de praktijk (te) vaak dat bepaalde beveiligingsmaatregelen op een schijnbaar rigide manier worden toegepast, waarbij zowel functionaliteit als gebruikersvriendelijkheid ernstig wordt beperkt, terwijl noodzakelijke beveiligingsmaatregelen op een ander gebied (bv. screening van personeel) volledig achterwege worden gelaten. Hierdoor wordt informatiebeveiliging niet altijd serieus genomen en wordt vaak gezien als een lastig obstakel waar vooral omheen gewerkt wordt in plaats van dat het als waardevol bedrijfsasset wordt beschouwd. In situaties met een enigszins vergelijkbaar dreigingsprofiel, zoals de beveiliging van woning en inboedel, lijken we ons wel volledig bewust te zijn van de risico s en daar naar te handelen. Kennelijk spreekt dit meer tot onze verbeelding waardoor we vergelijkbare beveiligingsmaatregelen die ons door informatiebeveiligers in de IT-wereld zo nadrukkelijk lijkt te worden opgelegd, op een natuurlijke wijze en met gezond verstand kunnen toepassen. Zonder het bewust te zijn, proberen we ons hierbij te beschermen tegen gelijkwaardige dreigingsvormen en hanteren we dezelfde categorie van beveiligingsmaatregelen die van toepassing zijn op informatiebeveiliging. Mogelijk dat we (eindgebruikers, klanten, personeel) beveiligingsmaatregelen beter kunnen accepteren als we begrijpen waarom we deze toepassen en tegen welke realistische bedreigingen ze 2
3 bedoeld zijn en dat we (informatiebeveiligers) informatiebeveiliging op een meer consistente wijze kunnen uitdragen als we begrijpen in hoeverre het deelgebied van informatiebeveiliging waarin wij ons bewegen, deel uitmaakt van het gehele beveiligingsbeleid. In de volgende twee voorbeelden wordt een praktische beschouwing gegeven van de beveiliging van een woning en inboedel en die van de beveiliging van een fictief IT systeem en zijn data (informatie). Vervolgens wordt beargumenteerd hoe beide scenario s feitelijk gebruik maken van dezelfde vereenvoudigde set van dreigingscategorieën en dezelfde vereenvoudigde set van categorieën van beveiligingsmaatregelen zoals hieronder aangegeven en benoemd in appendix A. Beschouwing beveiliging woning Laten we het proces, de technieken en het inschakelen van mensen dat we uitvoeren bij de beveiliging van onze woning en inboedel tijdens vakantieperiodes eens beschouwen en analyseren tegen welke dreigingen we ons proberen te beschermen en welke beveiligingsmaatregel we daar bij toepassen. Technologie: Uitgangspunt is een solide gebouwde woning waarbij zonder zeer grof en opgemerkt geweld, inbraak alleen mogelijk is via ontzetting van ramen of deuren. Er zijn diverse IP camera s geïnstalleerd die we op afstand kunnen bekijken (bv. via smartphone). Meerdere camera s met overlappend bereik kunnen worden geïnstalleerd om falen op te kunnen vangen, of afplakken van een camera door kwaadwillenden te kunnen detecteren. Het pand is verder uitgerust met een multi-zone alarmsysteem dat verschillende zones in de woning kan beveiligen met een eigen code en opgegeven telefoonnummers kan bellen bij afgaan van een alarm. Het alarmsysteem is voorzien van bewegingsmelders en rookmelders en van een sabotagealarm dat afgaat indien geprobeerd wordt het alarm onklaar te maken. De code moet worden ingegeven in een codeslot dat op een gemakkelijk bereikbare, maar afgeschermde plek is geplaatst, zodat de ingevoerde code niet eenvoudig door een buitenstaander 3
4 op afstand kan worden uitgelezen. Ten slotte is aan de buitenkant van de woning aangegeven dat het pand beveiligd is met camera s en een alarmsysteem. Tijdens onze afwezigheid observeren camera s en bewegingsmelders het pand en nabije omgeving. Afwijkende gebeurtenissen worden gedetecteerd en genereren een alarm. Camerabeelden worden gearchiveerd op een systeem dat voldoende schijfruimte bevat om de grote hoeveelheid beelden tijdens de periode van afwezigheid te kunnen bewaren. Processen en mensen: Ter voorbereiding op onze afwezigheid controleren we brand- en inboedelverzekeringen en controleren hang- en sluitwerk dat we zo nodig vervangen, bijvoorbeeld door sloten voorzien van politiekeurmerk. We informeren buren en familieleden over de op handen zijnde afwezigheid en zij worden gevraagd om een oogje in het zeil te houden en actie te ondernemen bij onraad. We richten het pand zodanig in, dat het lijkt alsof het bewoond blijft. We zorgen ervoor dat de verlichting op gezette tijden automatisch in- en uitschakelt, we verzoeken de kinderen de aankomende afwezigheid niet via sociale media bekend te maken en we vragen de buren om tijdens onze afwezigheid de post netjes op te ruimen en de planten water te geven. Voor vertrek overhandigen we aan de buren de sleutel van de achterdeur en de (tijdelijk gewijzigde) code om het alarmsysteem uit en aan te zetten en geven duidelijke instructies mee om er zeker van te zijn dat het alarm weer wordt ingeschakeld bij het verlaten van het pand. Waardevolle bezittingen, documenten (of kopieën daarvan) en apparatuur, worden veilig gesteld op een fysiek andere locatie of bewaard in een afgesloten kluis. We zorgen er tevens voor dat familieleden in het bezit zijn van sleutels en codes van ruimtes en kluizen met gevoelige informatie of apparatuur, zodat zij in geval van noodsituaties deze kunnen benaderen. Voor buren zijn deze niet toegankelijk.vlak voor vertrek sluiten we alle ramen en deuren en schakelen het alarm in. Daarbij denken we ook aan het kleine WC raampje om te voorkomen dat een kind via die ingang het pand van binnenuit zou kunnen openen. Ten slotte willen we ook graag weten of de personen die toegang tot het pand hebben verkregen ook daadwerkelijk te vertrouwen zijn en kunnen bepaalde spullen op een zodanige manier zijn neergezet of opgeborgen (verzegeling) dat diefstal of ongeautoriseerd gebruik ervan kan worden gedetecteerd, mogelijk begeleidt met camerabeelden zodat de dader onomstotelijk kan worden vastgesteld. Het achterwege laten van een of meer van deze beveiligingsmaatregelen kan een ernstig effect hebben, variërend van een volledig verloren gegaan pand inclusief inhoud, een inbraak via een opengelaten raam of (al dan niet) raadselachtige ontvreemding van waardevolle spullen en/of vermeend misbruik van gevoelige informatie. 4
5 Beschouwing beveiliging IT systeem Wanneer we een vergelijkbare dreigingsanalyse toepassen op een (fictief) IT systeem 1, dan komen we tot een mogelijke implementatie van onderstaande beveiligingsmaatregelen. Technologie: Het IT systeem wordt in een ruimte geplaatst die fysiek wordt beveiligd zodat alleen bevoegd personeel de ruimte kan betreden, bv. via een tourniquet, toegangspas en/of via een bewaker. Het IT systeem wordt elektronisch beveiligd door een firewall die zodanig wordt ingesteld dat alleen toegestaan verkeer het IT systeem kan bereiken en mogelijk ongewenst verkeer (al dan niet tijdelijk) kan blokkeren (zoals van systemen die een DDoS aanval uitvoeren). Informatie op het systeem wordt beveiligd zodat alleen bevoegde gebruikers en beheerders toegang kunnen krijgen tot het systeem en toegang wordt beperkt tot informatie die voor het uitvoeren van de werkzaamheden behorende bij hun functie/rol noodzakelijk is (need-to-know). De verschillende systemen en applicaties worden zodanig gekoppeld, dat de gebruiker zoveel mogelijk met slechts één account hoeft aan te loggen en automatisch de vereiste toegangsrechten in die applicaties en tot informatie toegewezen krijgt (single sign-on). Wachtwoorden zijn onderhavig aan wachtwoordbeleidsinstellingen die o.a. lengte, duur en complexiteit van een wachtwoord opleggen. Voordat een gebruiker het systeem kan gebruiken, wordt een login banner getoond waarin is aangegeven dat ongeautoriseerd gebruik strafbaar is en dat activiteiten gemonitord worden. Het systeem wordt voorzien van antimalware applicaties om kwaadaardige software zoals virussen en wormen te voorkomen. Toegang tot Internet sites wordt gereguleerd (URL filtering) en bijlagen in web en mailberichten gefilterd op potentieel gevaarlijke extensies en op grootte. Componenten op het systeem die niet benodigd zijn, worden uitgeschakeld (hardening), om de kans op misbruik daarvan te beperken. Systeem en applicaties worden up-to-date gehouden om bestaande kwetsbaarheden te kunnen opheffen (patch management). Om ongebruikelijke en afwijkende gebeurtenissen te kunnen detecteren en daarvoor een alarm te genereren, wordt alle verkeer gemonitord, bv. met een Intrusion Detectie Systeem (IDS), worden gebruikersactiviteiten gelogd en worden auditrapportages daarvan beschikbaar gesteld. Het systeem kan op afstand worden gemonitord op fouten en prestaties, op onveilige configuraties, op lekkage van gevoelige bedrijfsinformatie (datalekkage) en op ongeautoriseerde wijzigingen van configuraties van het systeem en er kan bij afwijkingen een alarm worden gegenereerd. Voldoende reserve onderdelen zijn voorradig om de dienstverlening bij een storing te kunnen vervolgen of in ieder geval zo snel mogelijk voort te kunnen zetten. Systemen worden meervoudig uitgevoerd (redundantie/fouttolerantie) en voorzien van voldoende 1 Het hier geschetste voorbeeld is puur hypothetisch en stelt geen bestaand ontwerp voor. Het doel hiervan is niet om een volledig beeld te schetsen van alle mogelijke beveiligingsmaatregelen in een IT systeem, maar om een idee te geven waarom bepaalde beveiligingsmaatregelen worden ingezet, aan welke dreigingscategorieën ze weerstand bieden, en hoe dit zich verhoudt tot vergelijkbare maatregelen in een dreigingsscenario dat ons meer vertrouwd is. 5
6 capaciteit om storingen en aanvallen op de beschikbaarheid (DDoS) te kunnen weerstaan. Om te voorkomen dat zowel het systeem als de backups worden getroffen door hetzelfde incident, worden backups bewaard op een andere locatie en wordt op die locatie een beperkte IT dienst opgezet om operationeel te kunnen blijven (disaster recovery) na een calamiteit. Vertrouwde interne of publieke certificaten (PKI) kunnen worden gebruikt om berichten die met het systeem kunnen worden verstuurd, te tekenen (signing) met een certificaat dat alleen aan geauthentiseerde gebruikers is toegekend, om vertrouwensrelaties met diensten en applicaties op te kunnen zetten en om gevoelige informatie zoals authenticatie informatie te kunnen vercijferen. Opslag van gevoelige data (bv. credit card informatie) of gevoelige apparatuur (laptop) kan zijn versleuteld zodat gevoelige data, zelfs bij diefstal of verlies, niet beschikbaar is voor onbevoegden. Processen en mensen: Vertrouwen in personeel wordt gecontroleerd door regelmatig hun verleden na te trekken (screening) en personeel moet verplicht een geheimhoudingsverklaring tekenen zodat gevoelige bedrijfsinformatie zoals de inrichting van de IT infrastructuur intern blijft. Ontdekte kwetsbaarheden van systemen worden zo snel mogelijk beoordeeld en opgelost (vulnerability assessment). De beheerorganisatie wordt ingericht zodat bij een veiligheidsincident zo snel en adequaat mogelijk kan worden opgetreden (incident response). Personeel wordt beveiligingsbewustzijn bijgebracht zodat het bij een vermeend beveiligingsincident adequaat weet te reageren en alert is op onregelmatigheden in zijn nabije omgeving zoals pogingen om informatie zoals wachtwoorden te ontfutselen (social engineering) (proces en mensen). Toegang tot beschikbaarheid via de disaster recovery locatie wordt regelmatig getest, evenals de beschikbaarheid en integriteit van backups en controle op naleving van regelgeving (compliance), waarin opgenomen een disclaimer voor uitsluiting van schade wegens onvoorziene omstandigheden (calamiteiten). Het achterwege laten of onvoldoende uitvoeren van een of meerdere genoemde beveiligingsmaatregelen kan o.a. leiden tot inbraak in het systeem (bv. door misbruik van niet gerepareerde kwetsbaarheden), toegang tot geheime en gevoelige bedrijfsgegevens (bv. door een onveilige configuratie of onbewuste fout), introductie van kwaadaardige software of volledige onbeschikbaarheid van het systeem. De tabel in appendix B geeft voorbeelden weer van dreigingen in de diverse dreigingscategorieën voor de als voorbeeld genoemde beveiliging van woning en IT systeem. De tabel in Appendix C herschikt de genoemde beveiligingsmaatregelen uit appendix A voor de beveiliging van een woning en die van beveiliging van een IT systeem tegen de set van categorieën van beveiligingsmaatregelen uit appendix A en vergelijkt deze met elkaar. Deze vergelijking van twee op het oog zeer verschillende scenario s met een vergelijkbaar dreigingsprofiel en een vergelijkbare set van maatregelen, helpt ons mogelijk om op een meer praktische manier tegen informatiebeveiliging aan te kijken door de beveiliging van onze informatiesystemen op een vergelijkbare manier te benaderen als dat we dat doen met onze eigendommen. 6
7 Conclusie In dit artikel is een vergelijking gemaakt tussen het beveiligingsdomein van een IT systeem en een situatie die we van nature kennen en begrijpen, die van beveiliging van een woning tegen inbraak. Hierbij is sprake van de volgende rolverdeling tussen beide voorbeelden. Beveiliging woning Eigenaar Woning Inboedel Buren en omwonenden Familieleden Beveiliging IT systeem Chief Information Security Officer (CISO) IT systeem Data (informatie) en apparatuur (assets) Gebruikers Beheerders We hebben gezien dat beide scenario s een in grote lijnen vergelijkbaar dreigingsprofiel hebben en dat (in grote lijnen) vergelijkbare beveiligingsmaatregelen van toepassing zijn. Toch benaderen we de beveiliging van een woning en inboedel op een natuurlijke, betrokken manier (commitment based), terwijl we ons zo min mogelijk lijken te bekommeren om beveiligingsmaatregelen voor informatiesystemen, tenzij deze door de organisatie of van buitenaf worden opgedrongen (compliance based). Zo scherp en precies als we zijn voor de beveiliging van onze woning als we bijvoorbeeld op vakantie gaan, zo slordig springen we nog altijd om met het adequaat toepassen van beveiligingsmaatregelen in IT systemen. In de praktijk worden helaas veel noodzakelijke beveiligingsmaatregelen dan ook niet of onvoldoende uitgevoerd zoals: 1. Kwetsbaarheden in software worden niet of niet tijdig gerepareerd; 2. wachtwoorden kunnen eenvoudig worden achterhaald; 3. beveiligingsconfiguraties worden niet geverifieerd; 4. er wordt te weinig rekening gehouden met noodscenario s waardoor o.a. backups niet beschikbaar zijn als ze nodig zijn; 5. men schaft, kennelijk in de hoop op deze manier risico s af te kunnen kopen, juist (dure) beveiligingsproducten aan zonder deze adequaat in te richten. Wanneer we dezelfde onzorgvuldigheid zouden uitvoeren bij de beveiliging van onze woning en inboedel, dan zouden we respectievelijk de volgende tekortkomingen constateren: 1. De woning is voorzien van matig hang- en sluitwerk dat gemakkelijk open te breken is; 2. we weten niet wie allemaal in bezit is van de code van het alarmsysteem en diverse sleutels van het pand (mogelijk met adreslabel) zijn zoekgeraakt of mogelijk gestolen; 3. hang en sluitwerk wordt niet nagekeken, de werking van het alarmsysteem wordt niet getest en er wordt onvoldoende gecontroleerd of ramen en deuren zijn gesloten. 4. er wordt niet of onvoldoende gerealiseerd en gehandeld naar de gevolgen van volledig verlies van woning en inboedel (waaronder verlies van gevoelige administratie en spullen met emotionele waarde zoals foto s erfstukken en sieraden); 5. een alarmsysteem wordt aangeschaft maar in de default configuratie geïnstalleerd en niet of niet voldoende gecontroleerd op juiste werking. De vraag is gerechtvaardigd of we met deze onvolkomenheden, waaronder de mogelijkheid van open laten staan van deuren of ramen, nog wel met een gerust hart op vakantie zouden gaan 7
8 Naast deze zaken spelen in deze vergelijking bovendien nog een aantal zaken mee die nadelig uitvallen voor informatiebeveiliging, en die ons eigenlijk zou moeten dwingen om nog kritischer naar de beveiliging van onze informatiesystemen te kijken: De pakkans van een aanvaller in het voorbeeld van de beveiliging van een woning is groter dan die van een hacker in een informatiesysteem die zich veelal anoniem kan voordoen en bovendien op afstand, vanuit elke uithoek van de wereld en mogelijk via computers van nietsvermoedende gebruikers, zijn schadelijke werk kan uitvoeren. De reputatieschade bij een inbraak in informatiesystemen is doorgaans veel groter dan die bij een woninginbraak, zeker bij bekende organisaties en indien er klantgegevens op straat komen te liggen. Het kan zelfs leiden tot faillissementen (DigiNotar 2011). Inbraken in informatiesystemen worden lang niet altijd onmiddellijk gedetecteerd, waardoor een hacker soms langdurig zijn schadelijke acties kan uitvoeren zonder dat dat wordt opgemerkt (DigiNotar 2011). Inbraak in een informatiesysteem kan zeer nadelige gevolgen hebben voor de dienstverlening van de getroffen organisatie. Wanneer we informatiebeveiliging willen verbeteren, zullen we tenminste meer betrokkenheid moeten tonen bij de toepassing van beveiligingsmaatregelen in IT systemen. Het voorgaande maakt duidelijk dat hier nog wel de nodige stappen gemaakt moeten worden. Aanbevelingen Nu we beter kunnen begrijpen waarom beveiligingsmaatregelen noodzakelijk zijn, is de volgende stap te leren om beveiligingsmaatregelen maatregelen als vanzelfsprekend toe te passen in ITprojecten: Voor architecten, om noodzakelijke security requirements en functionaliteiten al vanaf het begin van het project mee te nemen; Voor ontwikkelaars, om bij het ontwikkelproject bewust te zijn van noodzakelijk te implementeren beveiligingsmaatregelen en benodigde beveiligingsfunctionaliteiten, zoals authenticatie, autorisatie, logging en beschikbaarheidsbeheer, zoveel mogelijk te laten aansluiten bij de standaarden die daarvoor in een organisatie geldend zijn, of het gebruik van (open) standaarden indien er nog geen standaard is gedefinieerd. Voor beheerders: om bewust te zijn waarom beveiligingsmaatregelen noodzakelijk zijn, om toegepaste beveiligingsmaatregelen consistent te gebruiken, om kwetsbaarheid van systemen te beperken, om uit de beschikbare tooling echte beveiligingsincidenten te kunnen distilleren, en om een adequaat reactie mechanisme in te richten om de gevolgen als het mis gaat zoveel mogelijk te beperken. Voor informatiebeveiligers om te zorgen voor een integraal, consistent en proportioneel beveiligingsbeleid (niet te teveel op het ene gebied en niet te weinig op een ander gebied). Voor gebruikers, om te snappen waarom beveiligingsmaatregelen noodzakelijk zijn en te accepteren dat dit soms ten koste kan gaan van functionaliteit en gebruikersvriendelijkheid en om bewustzijn te vergroten, zodat mogelijke beveiligingsincidenten kunnen worden opgemerkt en daarop alert kan worden gereageerd. Voor opdrachtgevers, leren accepteren dat het implementeren van beveiligingsmaatregelen een onlosmakelijk geheel vormt met IT projecten en dat implementatie van beveiligingsfunctionaliteiten tijd, geld en moeite kost. 8
9 Appendix A ID Categorie dreiging Beschrijving D1. Zich voordoen als iemand anders Deze dreiging omvat: Zich voordoen als een ander persoon door insiders; Zich voordoen als een ander persoon door buitenstaanders; Ongeautoriseerde toegang tot informatie. D2. Onrechtmatig gebruik Misbruik van resources en informatie door geautoriseerde personen. D3. Introductie van schadelijke componenten D4. Misbruik van communicatie kanalen Introductie van schadelijke of verstorende software en invoegen van kwaadaardige programmatuur. Interceptie, Infiltratie, manipulatie of verstoring van communicatie. D5. Weerlegbaarheid Ontkenning van sturen of ontvangen van informatie. D6. Falen van systeem of Storingen of falen van een systeem of componenten in een systeem. componenten D7. Onbewuste of Onbewuste gebruikers-, of onderhoudsfouten. onopzettelijke fouten D8. Omgevingsdreigingen Schade door brand, waterschade of natuurrampen. D9. Diefstal, verlies of vernietiging Opzettelijk verlies van apparatuur of componenten. ID Categorie maatregel Beschrijving M1. Identificatie Identificatie is het bepalen van de identiteit van personen en (soms) apparatuur en componenten. M2. Authenticatie Authenticatie is het verifiëren van de geclaimde identiteit. M3. Autorisatie Autorisatie betreft het toegang verlenen tot ruimtes, apparatuur, informatiesystemen en informatie aan personen die daartoe gerechtigd zijn en het voorkomen van toegang voor niet-gerechtigden. M4. Integriteit Het doel van integriteit is het identificeren van integriteitsfouten (inbreuk op ongewijzigde of ongeschonden toestand) die vervolgens, indien nodig, kunnen worden gecorrigeerd voordat deze tot incidenten en verdere schade kunnen leiden. M5. Beschikbaarheid Beschikbaarheidsmaatregelen bewaken of prestaties nog voldoen aan beschikbaarheidseisen en of componenten nog voldoende functioneren door te zorgen voor een hoge beschikbaarheid van componenten en dat indien onverhoopt toch een verstoring optreedt, de verstoring afdoende kan worden hersteld. M6. Scanning Het doel van scanning is proactief te zoeken naar kwaadaardige componenten en kwetsbaarheden, teneinde deze in een vroeg stadium te ontdekken en deze zo mogelijk op te lossen. M7. Logging Het doel van logging is het vastleggen van gegevens over uitgevoerde activiteiten teneinde (on)geautoriseerde activiteiten te kunnen ontdekken en het genereren van een alarm als er zich een vooraf gedefinieerde gebeurtenis voordoet. M8. Afscherming Het doel van afscherming is het bieden van beschermende maatregelen om informatie, apparatuur en componenten af te schermen van de buitenwereld. M9. Fysiek Fysieke beveiliging bevat maatregelen voor beveiliging van de fysieke toegang van personen, informatie, apparatuur en componenten en bescherming tegen opzettelijk of door toeval veroorzaakt fysiek onheil. M10. Training Het overdragen van kennis om de mogelijkheid van onopzettelijke fouten te verminderen en veiligheidsbewustzijn te vergroten. 9
10 Appendix B Dreiging categorie Voorbeelden dreigingen woning Voorbeelden dreigingen IT systeem Zich voordoen als iemand anders Toegang tot pand door onbevoegden; Ongeautoriseerde toegang tot gevoelige ruimtes en documenten door buren. Onrechtmatig gebruik Inkijken gevoelige informatie; Gebruik maken van apparatuur; Gebruikmaken van ruimte voor feesten. Introductie van schadelijke componenten Misbruik van communicatie kanalen Dreigingen van binnenuit; Post hengelen via brievenbus. Ontduiken detectie; Onklaar maken; detectieapparatuur (bv. afplakken, sabotage). Weerlegbaarheid Ontkenning doorzoeken gevoelige informatie; Ontkenning gebruik van ruimte en aanwezige apparatuur. Falen van systeem of componenten Onbewuste of onopzettelijke fouten Falen alarmsysteem; Falen camera s; Falen hang en sluitwerk; Afgebroken sleutels. Omgevingsdreigingen Brand; Water; Natuurramp. Diefstal, verlies of vernietiging Alarmsysteem verkeerd geconfigureerd of vergeten weer in te schakelen; Deur niet op slot gedaan; Sleutel verloren; Sleutel aan de verkeerde persoon meegegeven. Diefstal van gevoelige documenten; Diefstal van waardevolle spullen; Diefstal laptop of tablet; Vernietiging van camera of alarmsysteem. Gebruik ander user account door interne gebruiker; Gebruik van bestaand account door buitenstaander; Raden, uitproberen, afluisteren of anderszins achterhalen van wachtwoorden; Ongeautoriseerde toegang tot financiële gegevens. Gebruik van bedrijfssystemen voor privé gebruik (bv. gaming); Downloaden van niet-werk gerelateerde content van Internet; Installatie van niet-bedrijfs gerelateerde software; Data lekkage (Snowden, Manning). Virussen; trojan horses; worms; logic bombs; hostile mobile code; virussen; kwaadaardige Java en ActiveX componenten. Hacken van systemen zoals buffer overflow aanvallen; Opzettelijke Denial of Service; Spamming; Heimelijk monitoren van verkeersstromen; Actieve interceptie (Man in the Middle); Opzettelijke misroutering. Ontkenning dat een bericht door iemand is verstuurd; Ontkenning dat een bericht door iemand is ontvangen. Falen van CPU, netwerk interface of andere hardware; Schijf crashes en falen van schijven; Falen van netwerkapparatuur; Bugs in software, corrupte bestanden. Per ongeluk verwijderen bestanden; Account lockout door invoeren teveel onjuiste wachtwoorden; Mislukte software update; Sturen van gevoelige mail naar de verkeerde persoon. Brand; Water; Natuurramp. Diefstal bedrijfslaptop; Verlies van USB stick met gevoelige informatie; Vernietiging van server door ontstemde medewerker. 10
11 Appendix C Dreiging categorie Zich voordoen als iemand anders Onrechtmatig gebruik Introductie van schadelijke componenten Toegepaste maatregel Beveiliging woning Sleutel en juiste code alarmsysteem alleen aan vertrouwde personen (buren en familieleden) Alleen toegang tot pand met juiste sleutel en juiste code alarmsysteem Solide bouw, deugdelijk hang en sluitwerk Vergelijkbare maatregel Beveiliging IT systeem Categorie maatregel Type Maatregel Screening personeel Identificatie Preventie Alleen toegang tot systeem met Authenticatie Preventie geldig account en juiste wachtwoord. Fysiek beveiligde ruimte Fysiek Preventie Afsluiten ramen en deuren Firewall Afscherming Preventie Alarmsysteem IDS Scanning Detectie Alarmsysteem bellen IDS genereren alarm Scanning Repressie telefoonnummers Codeslot alarm op afgeschermde Wachtwoordbeleid Authenticatie Preventie plek, andere code voor buren Camera s IDS, logging gebruikersactiviteiten Scanning Detectie Camera s met kijkfunctie op afstand Monitoring op afstand Scanning Repressie Archivering camerabeelden Logging, auditrapportages Logging Detectie Bewoonde inrichting, automatische Compliance Beschikbaarheid Preventie verlichting, buren opbergen post en planten water geven Informeren buren over afwezigheid, Creëren awareness personeel Scanning Detectie oogje in het zeil houden Voorkomen bekend stellen afwezigheid via sociale media Geheimhoudingsverklaring Beschikbaarheid Preventie Multi-zone alarm: toegang tot meerdere zones met een code Single-sign-on Authenticatie Preventie Multi-zone alarm: alleen toegang tot Toepassen need-to-know Autorisatie Preventie gevoelige ruimtes met juiste sleutel en code alarmsysteem door familieleden Melding beveiligde woning Login banner Authenticatie Repressie Instructies buren Gedragscode, URL filtering Scanning Preventie Camera s IDS, logging gebruikersactiviteiten Scanning Detectie Camera s met kijkfunctie op afstand Monitoring op afstand Scanning Repressie Archivering camerabeelden Logging, auditrapportages Logging Detectie Verzegeling Fout en performance monitoring Integriteit Detectie Solide bouw, deugdelijk hang en Firewall Afscherming Preventie sluitwerk Controleren ondeugdelijk hang en Vulnerability assessment Scanning Preventie sluitwerk Buurt actie ondernemen bij onraad Incident response Scanning Repressie Vervanging ondeugdelijk hang en Patch management Scanning Preventie sluitwerk Afsluiten ramen en deuren, incl. Hardening Afscherming Preventie kleine ramen Camera s, bewegingsmelders Antimalware, IDS Scanning Detectie Archivering camerabeelden IDS, logging gebruikersactiviteiten Logging Detectie Opbergen post door buren URL filtering, blokkeren van Scanning Preventie (voorkomen post hengelen via brievenbus) potentieel gevaarlijke bijlagen Misbruik van Camera s met overlappend bereik Redundantie/fouttolerantie Scanning Detectie 11
12 communicatie Sabotagealarm Signing Integriteit Detectie kanalen Codeslot alarm op afgeschermde plek Vercijfering authenticatiegegevens Integriteit Detectie Weerlegbaarheid Verzegeling Signing Integriteit Detectie Falen van systeem of componenten Onbewuste of onopzettelijke fouten Omgevingsdreigingen Diefstal, verlies of vernietiging. Archivering camerabeelden Logging, auditrapportages Logging Detectie Solide bouw, deugdelijk hang en Fout en performance monitoring, Beschikbaarheid Preventie sluitwerk reserveonderdelen Camera s met overlappend bereik Duidelijke instructies activeren alarmsysteem Redundantie/fouttolerantie, backup en Disaster Recovery Training personeel, fout en performance monitoring Beschikbaarheid Beschikbaarheid Correctie Preventie Brandalarm en brandverzekering Disclaimer calamiteiten Beschikbaarheid Repressie Waardevolle bezittingen, documenten en apparatuur op andere locatie Fysieke beveiliging pand, afsluiten ramen en deuren Waardevolle bezittingen en documenten in kluis Waardevolle bezittingen, documenten en apparatuur op andere locatie Backup en Disaster Recovery Beschikbaarheid Repressie Fysiek beveiligde ruimte Fysiek Preventie Harde schijf versleuteling, vercijferde Afscherming Preventie USB opslag apparatuur. Backup en Disaster Recovery Beschikbaarheid Repressie Inboedelverzekering Reserveonderdelen Beschikbaarheid Repressie 12
Beveiligingsbeleid Stichting Kennisnet
Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek
Nadere informatiePrivacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers
Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Noordhoff Uitgevers is een educatieve uitgeverij die verschillende
Nadere informatie0.1 Opzet Marijn van Schoote 4 januari 2016
Vragenlijst Cyber ISPS Versie Revisiebeschrijving Auteur Datum 0.1 Opzet Marijn van Schoote 4 januari 2016 0.99 Finale concept versie Marijn van Schoote 11 februari 2016 Doelstelling: De doelstelling van
Nadere informatieWHO NEEDS ENEMIES WAAR DIENT U OP TE LETTEN? De BrainCheck is o.a.
WHO NEEDS ENEMIES Onze IT-omgeving staat bloot aan een groot aantal dreigingen. DDoS aanvallen zijn aan de orde van de dag en hackers proberen hun slag te slaan. Maar de grootste dreiging voor onze digitale
Nadere informatieInformatiebeveiligingsbeleid extern
ISO 27001:2013 Informatiebeveiligingsbeleid extern 25 oktober 2016 Status document: versie 1.0 Auteur: Frankie Lipsius CONCLUSION LEARNING CENTERS Postbus 85030 3508 AA Utrecht Nederland T +31 (0)30 744
Nadere informatieE. Procedure datalekken
E. Procedure datalekken Inleiding Deze procedure maakt integraal onderdeel uit van het privacybeleid van de ons bestuur en is vastgesteld door het college van bestuur. De procedure bestaat uit verschillende
Nadere informatieGratis bescherming tegen zero-days exploits
Gratis tegen zero-days exploits We zien de laatste jaren een duidelijke toename van geavanceerde dreigingen op onze computersystemen. In plaats van het sturen van alleen e-mails met geïnfecteerde bijlagen
Nadere informatieWHITEPAPER DEEPBLUE HONEYPOT
WHITEPAPER DEEPBLUE HONEYPOT PROTECTING YOUR DATA WHERE IT MATTERS Wij leveren een oplossing die helpt beschermen waar nodig, meetbare resultaten oplevert en bijspringt waar andere systemen tekortschieten.
Nadere informatieSr. Security Specialist bij SecureLabs
Wie ben ik? Ronald Kingma, CISSP ronald@securelabs.nl Sr. Security Specialist bij SecureLabs Introductie SecureLabs Voorheen ISSX Code of Conduct Real Penetration Testing Vulnerability Management Veiligheidsincidenten
Nadere informatieInformatiebeveiliging binnen de gemeente Delft COMMISSIE ECONOMIE, FINANCIËN EN BESTUUR
Informatiebeveiliging binnen de gemeente Delft COMMISSIE ECONOMIE, FINANCIËN EN BESTUUR 26 SEPTEMBER 2018 INLEIDING Onderzoeksvraag: Zijn de persoonsgegevens en andere gevoelige informatie bij de gemeente
Nadere informatieSamenvatting Meldplicht Datalekken. Michael van der Vaart Head of Technology ESET Nederland
Samenvatting Meldplicht Datalekken & Michael van der Vaart Head of Technology ESET Nederland DISCLAIMER LET OP: Het gaat hier om een interpretatie van de omtrent de meldplicht datalekken. Deze interpretatie
Nadere informatieChecklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument
Checklist NEN7510 Eén van de eerste stappen van het gestructureerd verbeteren van informatiebeveiliging en het implementeren van de NEN7510 omvat het bepalen van de status van de naleving van de NEN7510.
Nadere informatieBIJLAGE 2: BEVEILIGINGSBIJLAGE
BIJLAGE 2: BEVEILIGINGSBIJLAGE De Verwerker is overeenkomstig de AVG en artikel 7 en 8 Verwerkersovereenkomst verplicht passende technische en organisatorische maatregelen te nemen ter beveiliging van
Nadere informatie1. Beveiligingsbijlage
Bijlage 2 1. Beveiligingsbijlage 1.1 Omschrijving van de maatregelen zoals bedoeld in artikel 7 Verwerkersovereenkomst I. Omschrijving van de maatregelen om te waarborgen dat enkel bevoegd personeel toegang
Nadere informatieEen checklist voor informatiebeveiliging
Door: De IT-Jurist Versie: 1.0 Datum: juli 2015 Hoewel bij de totstandkoming van deze uitgave de uiterste zorg is betracht, kan De IT-Jurist niet aansprakelijk worden gehouden voor de gevolgen van eventuele
Nadere informatieSCAN UW NETWERK SECURITY. Krijg een helder beeld van de kwetsbaarheden en voorkom schade
SCAN UW NETWERK SECURITY Krijg een helder beeld van de kwetsbaarheden en voorkom schade Vandaag de dag hebben organisaties een zorgplicht om de digitale veiligheid op orde te hebben. De wetgeving, zoals
Nadere informatieTechnische en organisatorische beveiligingsmaatregelen
Beveiligingsbijsluiter - Bijlage 2 bij de Verwerkersovereenkomst Noordhoff Uitgevers Technische en organisatorische beveiligingsmaatregelen Omschrijving van de maatregelen zoals bedoeld in artikel 7 Verwerkersovereenkomst
Nadere informatieToelichting NEN7510 Informatiebeveiliging in de zorg. Drs. J.W.R. Schoemaker CISSP Security Officer/ Business Continuity Manager Erasmus MC
Toelichting NEN7510 Informatiebeveiliging in de zorg Drs. J.W.R. Schoemaker CISSP Security Officer/ Business Continuity Manager Erasmus MC Inhoud Toelichting informatiebeveiliging Aanpak van informatiebeveiliging
Nadere informatieFactsheet Penetratietest Infrastructuur
Factsheet Penetratietest Infrastructuur Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl
Nadere informatieStappenplan naar GDPR compliance
Stappenplan naar GDPR compliance In samenwerking met ESET heeft Mazars een whitepaper geschreven met als doel om meer inzicht te geven in het ontstaan en de gevolgen van de General Data Protection Regulation
Nadere informatieImpact van de meldplicht datalekken
Impact van de meldplicht datalekken Vanaf 1 januari 2016 wordt het wettelijk verplicht om datalekken te melden. Zowel grootschalige inbraak als ieder kwijtraken, diefstal of onbevoegd gebruik van persoonsgegevens
Nadere informatieUnified Enterprise Security wordt geleverd door onze strategische partner Masergy, de wereldspeler in global communications en security.
Het verlengstuk van uw IT security operations: altijd (24x7) de beste expertise en meest actuele kennis, geïntegreerd zicht op wat er gebeurt in uw datacenter en eerder en Security as a Service Het verlengstuk
Nadere informatieFactsheet Penetratietest Informatievoorziening
Factsheet Penetratietest Informatievoorziening Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl
Nadere informatiePrivacy Bijsluiter Registratie-/ Planningsoftware Uitgeverij Zwijsen B.V.
Bijlage 1 Privacy Bijsluiter Registratie-/ Planningsoftware Uitgeverij Zwijsen B.V. Uitgeverij Zwijsen B.V. is een educatieve uitgeverij die verschillende digitale producten en diensten ( digitale leermiddelen
Nadere informatieFactsheet DATALEKKEN COMPLIANT Managed Services
Factsheet DATALEKKEN COMPLIANT Managed Services DATALEKKEN COMPLIANT Managed Services We ontwerpen en implementeren security maatregelen om datalekken te detecteren en het risico daarop te minimaliseren.
Nadere informatieISO 27001:2013 Informatiebeveiligingsbeleid extern
ISO 27001:2013 Informatiebeveiligingsbeleid extern Utrecht: 24 januari 2018 Versie: 2.0 Inhoud Pagina BEGRIPPENLIJST 3 1. INLEIDING 4 2. WAT IS INFORMATIEBEVEILIGING? 5 3. GEDRAGSCODE 6 4. BELEIDSPRINCIPES
Nadere informatieWerkplekbeveiliging in de praktijk
Werkplekbeveiliging in de praktijk M.E.M. Spruit Geautomatiseerde werkplekken vormen een belangrijke schakel in de informatievoorziening van organisaties. Toch wordt aan de beveiliging van werkplekken
Nadere informatieMobiele gegevensdragers. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)
Mobiele gegevensdragers Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging
Nadere informatieBeveiligingsmaatregelen
Beveiligingsmaatregelen INTRAMED (ONLINE) DEFINITIES De in dit document met een beginhoofdletter geschreven termen, kennen de volgende definities: Aanmeldformulier Aanverwante Applicatie Account Formulier
Nadere informatieSecurity Testing. Omdat elk systeem anderis
Security Omdat elk systeem anderis Security U bent gebaat bij een veilig netwerk en beveiligde applicaties. Wij maken met een aantal diensten inzichtelijk hoe we uw security kunnen optimaliseren. Security
Nadere informatieStappenplan naar GDPR compliance
Stappenplan naar GDPR compliance Stappenplan voor compliance met de Algemene Verordening Gegevensbescherming Het Europees Parlement heeft op 14 april 2016 de Algemene Verordening Gegevensbescherming (AVG)
Nadere informatieBescherming tegen de gevolgen van cyber risico s. Bedrijfsverzekeringen. CyberEdge van AIG
Bescherming tegen de gevolgen van cyber risico s Bedrijfsverzekeringen CyberEdge van AIG Wat zijn cyber risico s? Cyber risico s zijn een vaststaand gegeven in een wereld van informatie, informatiesystemen
Nadere informatieDienstbeschrijving Zakelijk Veilig Werken
171018TZ Dienstbeschrijving Zakelijk Veilig Werken Werkplek Veilig en Mobiel Veilig (Protection Service for Business van F-Secure) Een dienst van Telfort Zakelijk Dienstbeschrijving Zakelijk Veilig Werken
Nadere informatieBIJLAGE 2: BEVEILIGINGSBIJLAGE LEARNBEAT
BIJLAGE 2: BEVEILIGINGSBIJLAGE LEARNBEAT Omschrijving van de maatregelen zoals bedoeld in artikel 7 Verwerkersovereenkomst I. Omschrijving van de maatregelen om te waarborgen dat enkel bevoegd personeel
Nadere informatieBeschrijving maatregelen Informatie beveiliging centrale omgeving
Beschrijving maatregelen Informatie beveiliging centrale omgeving Versie: 2.1 Datum: november 2017 Status: Concept Inhoud Inleiding... 3 Doelstelling... 3 Informatiebeveiliging... 3 Algemene verordening
Nadere informatieInformatiebeveiliging
Informatiebeveiliging HKZ, november 2016 Wie ik ben: adviseur/trainer/qarebase begeleiden bij kwaliteitsmanagement en certificering Lead Auditor Kiwa, o.a. HKZ, ISO 9001, ZKN, VMS, NEN 7510 en NEN-ISO
Nadere informatieDATALEK PROTOCOL. Versie 1.0. / I.D. Wagenaar
DATALEK PROTOCOL Versie 1.0. /08.2017. I.D. Wagenaar Op 1 januari 2016 is de meldplicht datalekken ingevoerd. Dit houdt in dat organisaties die een ernstig datalek hebben, dit direct moeten melden bij
Nadere informatieHardening. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)
Hardening Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst
Nadere informatieProtocol meldplicht datalekken
160235/1180 Protocol meldplicht datalekken Sinds 1 januari 2016 geldt de meldplicht datalekken. Deze meldplicht houdt in dat organisaties die een ernstig datalek hebben, dit direct moeten melden bij de
Nadere informatiewat te doen wat niet te doen valkuilen wat moet u rapporteren hoe blijft u overtuigend
wat te doen wat niet te doen valkuilen wat moet u rapporteren hoe blijft u overtuigend 1. Laat u niet misleiden door het weggeven van vertrouwelijke informatie Reageer nooit op e-mails of telefoontjes
Nadere informatieVerbeter je cybersecurity
Verbeter je cybersecurity Cybercrime Cybercrime, computercriminaliteit, digitale criminaliteit: verschillende termen voor misdaad die zich richt op computers of andere systemen zoals mobiele telefoons
Nadere informatieDatalekken (en privacy!)
Datalekken (en privacy!) Anita van Nieuwenborg Strategisch adviseur Privacy Gerard Heimans Adviseur Informatiebeveiliging 2 En wat is privacy? - Persoonlijke vrijheid - Recht op een persoonlijke levenssfeer
Nadere informatieProactief en voorspellend beheer Beheer kan effi ciënter en met hogere kwaliteit
Proactief en voorspellend beheer Beheer kan effi ciënter en met hogere kwaliteit Beheer kan efficiënter en met hogere kwaliteit Leveranciers van beheertools en organisaties die IT-beheer uitvoeren prijzen
Nadere informatieTechnische QuickScan. JOMA secundair Merksem Pagina 1 van 28
Technische QuickScan JOMA secundair Merksem Pagina 1 van 28 Technische QuickScan Technische Cybersecurity 1 Back up & Restore 1-1 Van welke systemen worden back-ups gemaakt? Indien geen back-ups gemaakt
Nadere informatieBeveiligingsbijlage Teachers Channel
Bijlage 2 Beveiligingsbijlage Teachers Channel Omschrijving van de maatregelen zoals bedoeld in artikel 7 Verwerkersovereenkomst I. Omschrijving van de maatregelen om te waarborgen dat enkel bevoegd personeel
Nadere informatieBijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Voortgezet Onderwijs, Noordhoff Uitgevers
Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Voortgezet Onderwijs, Noordhoff Uitgevers Noordhoff Uitgevers is een educatieve uitgeverij die verschillende
Nadere informatieGEDRAGSCODE DIGITALE MEDIA WOONSTAD ROTTERDAM
GEDRAGSCODE DIGITALE MEDIA WOONSTAD ROTTERDAM 30-07-2018 1 INHOUD Inleiding 3 1 Gedragsregels 4 2 Naleving van de code 6 2 INLEIDING Wat zijn digitale media? Onder digitale media verstaat Woonstad Rotterdam
Nadere informatieSKB Enterprise B.V. Service Level Agreement (SLA) Dedicated Server
Service Level Agreement (SLA) Dedicated Server Versie 1.0 1 Maart 2018 Inhoudsopgave Inleiding... 3 Definities... 4 Welke SLA s zijn er... 5 Voorwaarden... 6 Wanneer wel of geen aanspraak... 6 Afbakeningen...
Nadere informatieAbuse & acceptable use policy
Abuse & acceptable use policy PCextreme hanteert voor het gebruik van haar diensten een aantal gedragsregels. Deze gedragsregels hebben we vastgelegd in onze 'Acceptable Use Policy'. Overeenkomstig met
Nadere informatiePrivacybeleid. Welke informatie kunnen wij van u vragen/verzamelen? Wat doet Sendtrix met deze informatie?
Privacybeleid Sendtrix doet er alles aan om uw privacy te waarborgen en neemt alle nodige maatregelen om dit te bewerkstelligen. Dit document helpt u te begrijpen hoe wij de persoonlijke informatie die
Nadere informatieSysteemconfiguratie Policy VICnet/SPITS
Ministerie van Verkeer en Waterstaat opq Rijkswaterstaat Systeemconfiguratie Policy VICnet/SPITS 15 Februari 2005 Eindverantwoordelijkheid Opgesteld Naam Datum Paraaf Security Manager SPITS E.A. van Buuren
Nadere informatieKennissessie Information Security
Kennissessie Information Security 3 oktober 2013 Bonnefantenmuseum De sleutel ligt onder de mat Wachtwoord: welkom1234 Focus op vertaling strategie in de organisatie Advies, programma, project en interim
Nadere informatiePRIVACYVERKLARING IBN versie mei 2018
PRIVACYVERKLARING IBN versie 1.0-25 mei 2018 1. IBN IBN Holding B.V. ( IBN ) en de daaraan verbonden vennootschappen zijn Nederlandse bedrijven. Onze bedrijven zijn actief in de Europese Economische Ruimte
Nadere informatieInhoud. Dus u denkt dat internetbankieren veilig is? Informatiebeveiliging Cryptografie Internetbankieren. 26 september 2009 Harald Vranken
Dus u denkt dat internetbankieren veilig is? 26 september 2009 Harald Vranken Inhoud Informatiebeveiliging 2 Informatiebeveiliging Introductie Informatie betekenisvolle gegevens waardevol (privacy, bedrijfsinformatie)
Nadere informatie5W Security Improvement
2 Bij veel bedrijven zien we dat IT-gerelateerde beveiligingsmaatregelen verbeterd kunnen worden. Kent u het verhaal van het huis dat door inbrekers voorbij werd gelopen? Het was het enige huis waar men
Nadere informatieWaar in deze verklaring wordt gesproken over wij of ons wordt bedoeld: SUMMAVIEW B.V.
U deelt allerlei persoonsgegevens met ons. Wij gaan zorgvuldig met uw persoonsgegevens om. In deze verklaring leest u hoe wij dit doen. Daarnaast vertellen wij u welke rechten u heeft op het gebied van
Nadere informatiePrivacybeleid ConnectingTheDots
Privacybeleid ConnectingTheDots ConnectingTheDots behoudt zich het recht voor dit privacybeleid van tijd tot tijd te herzien ter aanpassing aan wettelijke en andere ontwikkelingen. U dient dit beleid dan
Nadere informatieBeveilig klanten, transformeer jezelf
Beveilig klanten, transformeer jezelf Managed Services Providers Hacks, ransomware en datalekken zijn dagelijks in het nieuws. Bedrijven moeten in 2018 voldoen aan de Algemene Verordening Gegevensbescherming
Nadere informatieSeminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging
Seminar Trends in Business & IT bij woningcorporaties Informatiebeveiliging Agenda Rondje verwachtingen Even voorstellen.. Informatiebeveiliging waarom? Stand van zaken bij corporaties Informatiebeveiliging
Nadere informatie2. Beveiligingsbijlage
Bijlage 2 2. Beveiligingsbijlage 2.1 Omschrijving van de maatregelen zoals bedoeld in artikel 7 Verwerkersovereenkomst I. Omschrijving van de maatregelen om te waarborgen dat enkel bevoegd personeel toegang
Nadere informatieDe Plaats GL Hendrik-Ido-Ambacht tel Privacy policy
Privacy policy Introductie Dit zijn de privacy voorwaarden die van toepassing zijn op de verwerking van persoonsgegevens door Id Est IT Holding B.V. en andere, binnen de Id Est IT Holding B.V. actieve
Nadere informatie1. Uw tablet beveiligen
11 1. Uw tablet beveiligen Het risico op virussen of andere schadelijke software (malware genoemd) is bekend van pc s. Minder bekend is dat u ook op een tablet met malware geconfronteerd kan worden als
Nadere informatieRegeling ICT-gebruik Zuyd Hogeschool
Regeling ICT-gebruik Zuyd Hogeschool Begripsbepalingen In deze regeling wordt verstaan onder: - Gebruiker: de werknemer, student of bezoeker die rechtmatig toegang heeft verkregen tot de ict-faciliteiten
Nadere informatieDienstbeschrijving Internetveiligheidspakket Protection Service for Business van F-Secure. Een dienst van KPN ÉÉN
Dienstbeschrijving Internetveiligheidspakket Protection Service for Business van F-Secure Een dienst van KPN ÉÉN Versie : v1.0 Datum : 1 januari 2018 Inhoud 1 Dit is Protection Service for Business van
Nadere informatieINFORMATIEBEVEILIGING VOOR WEBWINKELS
INFORMATIEBEVEILIGING VOOR WEBWINKELS HANDIGE CHECKLISTS In deze whitepaper bieden we u tips en checklists die kunnen bijdragen aan een optimale beveiliging van zowel uw eigen data als die van uw klanten.
Nadere informatieVerwerkersovereenkomst Openworx
Verwerkersovereenkomst Openworx Partijen Openworx, gevestigd te Weert en ingeschreven bij de Kamer van Koophandel onder nummer 14129365, hierna te noemen: Verwerker ; En De klant met wie de Hoofdovereenkomst
Nadere informatieCYBER SECURITY MONITORING
THREAT INTELLIGENCE & ANALYTICS CYBER SECURITY MONITORING Het continu monitoren van het netwerkverkeer en logbestanden draagt bij aan het vroegtijdig detecteren van bijvoorbeeld malware, ransomware of
Nadere informatieIn jouw schoenen. Een praktische invulling van informatiebeveiliging
In jouw schoenen Een praktische invulling van informatiebeveiliging Informatiebeveiliging hot topic Hoeveel weet jij eigenlijk van informatiebeveiliging? veel voldoende te weinig Vooraf.. Wat vind jij
Nadere informatieInstallatie Remote Backup
Juni 2015 Versie 1.2 Auteur : E.C.A. Mouws Pagina 1 Inhoudsopgave BusinessConnect Remote Backup... 3 Kenmerken... 3 Beperkingen... 3 Gebruik op meerdere systemen... 3 Systeemeisen... 4 Support... 4 Installatie...
Nadere informatieGEBRUIKERSVOORWAARDEN THE JOBCONNECTOR. B.V. ("The JobConnector"). The JobConnector is geregistreerd bij het Handelsregister te Amsterdam.
GEBRUIKERSVOORWAARDEN THE JOBCONNECTOR I. ALGEMENE BEPALINGEN 1 Algemeen 1.1 De website The JobConnector (de "Website") wordt beheerd door The JobConnector B.V. ("The JobConnector"). The JobConnector is
Nadere informatieBijlage 1 behorend bij de Algemene Voorwaarden Caresharing: Acceptable use policy
Bijlage 1 behorend bij de Algemene Voorwaarden Caresharing: Acceptable use policy Colofon Document : Acceptable Use Policy (AUP) Service : Caresharing Leverancier : CareSharing B.V. Versie: : 2.0 Datum
Nadere informatieBeveiligingsmaatregelen voor een doeltreffende Cyber verdediging
Beveiligingsmaatregelen voor een doeltreffende Cyber verdediging ivo.depoorter@v-ict-or.be V-ICT-OR Vlaamse ICT organisatie Ons overkomt dit niet.of toch? Inschatting Risico Kans X Schade Zijn wij een
Nadere informatieIB Beleid Gegevens naar aanleiding van Incident regio bijeenkomsten Q2
IB Beleid Gegevens naar aanleiding van Incident regio bijeenkomsten Q2 Jule Hintzbergen (IBD) Agenda 1. Bespreken casus 2. Bekijken verschillende facetten van het incident 3. Vragen 2 Herhaling Casus:
Nadere informatieInformatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours
Informatiebeveiligingsbeleid Stichting Pensioenfonds Chemours Versiebeheer Versie Datum Van Verspreid aan 0.1 J.W. Kinders W. Smouter Vroklage Goedkeuring Versie Goedgekeurd door Datum 2 INHOUD Algemeen
Nadere informatieWHITEPAPER. Security Assessment. Neem uw security serieus en breng het tot een hoger niveau. networking4all.com / whitepaper / security assessments
WHITEPAPER Security Assessment Neem uw security serieus en breng het tot een hoger niveau Bedrijfsbeveiliging is tegenwoording niet meer los te trekken van online security. Veel bedrijven doen bijna uitsluitend
Nadere informatieGebruikershandleiding MobiDM
Gebruikershandleiding MobiDM Gebruikershandleiding voor versie 3.6.2 Versie 1.0 INHOUDSOPGAVE 1. DE MOBIDM PORTAL.... 2 1.1. INLOGGEN... 2 1.2. WACHTWOORD VERGETEN?... 2 2. TOESTELBEHEER.... 3 2.1. OS-AFHANKELIJKE
Nadere informatieToelichting - Harddisk vervangen
Toelichting - Harddisk vervangen 1) Harddisk controle Voor een aantal problemen kan het belangrijk zijn om de harddisk te controleren op defecten. Defecte harddisk gevonden - Wat is het probleem a) De
Nadere informatieVoor onder meer volgende preventieve diensten hebben wij sterke partners : Doopput 14 2550 Kontich
P R E V E N T I E Cybercontract biedt bedrijven toegang tot een unieke set gespecialiseerde diensten bij lokale professionals! Diensten van bewezen kwaliteit snel en centraal toegankelijk. Zo helpen we
Nadere informatieProcedure melden beveiligingsincidenten en datalekken
Procedure melden beveiligingsincidenten en datalekken Panta Rhei, stichting voor r.k., openbaar en algemeen bijzonder primair onderwijs Bestuursbureau Panta Rhei Bezoekadres: Overgoo 13, 2266 JZ Leidschendam
Nadere informatieAgenda. De Cyberwereld. - Cybercrime en Cyber Security - Veilig Zakelijk Internetten. Allianz Cyber
Cyber Security Agenda De Cyberwereld - Cybercrime en Cyber Security - Veilig Zakelijk Internetten Allianz Cyber - Allianz Cyber Risicoscan - Allianz Cyberverzekering - Allianz Cyber Hulpdienst - Cyber
Nadere informatieHet Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV
Het Sebyde aanbod Secure By Design AUG 2012 Sebyde BV Wat bieden wij aan? 1. Web Applicatie Security Audit 2. Secure Development 3. Security Awareness Training 4. Security Quick Scan 1. Web Applicatie
Nadere informatieComsave Privacy voorwaarden. Laatste update: 16 mei 2018
Comsave Privacy voorwaarden Laatste update: 16 mei 2018 Introductie Dit zijn de privacy voorwaarden die van toepassing zijn op de verwerking van persoonsgegevens door Comsave B.V. Persoonsgegevens Persoonsgegevens
Nadere informatieDe beste, mooiste en meest intelligente oplossing voor de automatisering en beveiliging van uw domein.
De beste, mooiste en meest intelligente oplossing voor de automatisering en beveiliging van uw domein. Fibaro is een complete en krachtige oplossing voor het monitoren, beheren en intelligent automatiseren
Nadere informatiePrivacy Policy v Stone Internet Services bvba
Privacy Policy v09.16 Stone Internet Services bvba Stone Internet Services Privacy Policy Dit document heeft als doel te beschrijven hoe Stone Internet Services bvba omgaat met het opslaan en beheren van
Nadere informatieVraag 1: Is er sprake van verwerking van persoonsgegevens?
Protocol datalekken Version: Versie 1.1, vastgesteld op 2 maart 2016 Status: Dwingende interne instructie Goede naleving door Holla van de Algemene verordening gegevensbescherming (AVG) is cruciaal. Dit
Nadere informatieAan het eind van alle lesbrieven ben je digiveilig en mediawijs: je weet dan hoe je veilig moet omgaan met je computer en het internet.
SAMENVATTING HOOFDSTUK 1 Lesbrief 1 Inleiding Digiveilig en Mediawijs Aan het eind van alle lesbrieven ben je digiveilig en mediawijs: je weet dan hoe je veilig moet omgaan met je computer en het internet.
Nadere informatieHoe veilig is uw data? Oscar Vermaas Hoffmann bedrijfsrecherche B.V.
Hoe veilig is uw data? Oscar Vermaas Hoffmann bedrijfsrecherche B.V. Agenda Wat is Cybercrime Casus: Valse factuur Informatie verwerven Casus: Inloopactie Delen van informatie Awareness Tips Wat ziet de
Nadere informatieProtocol Datalekken en beveiligingsincidenten LUCAS ONDERWIJS
Protocol Datalekken en beveiligingsincidenten LUCAS ONDERWIJS Datum: 14-5-2018 Geactualiseerd en met instemming van de GMR (datum) door het CvB vastgesteld (datum) Inhoud Aanleiding... 3 Kader... 3 Afwegingen...
Nadere informatieInformatiebeveiligingsbeleid
Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...
Nadere informatieLaat u zich ook leiden door angst als het gaat om veilig zakelijk internet?
AVG PROOF GDPR PROOF Laat u zich ook st leiden door angst als het gaat om veilig zakelijk internet? Unified Threat Management DDoS beveiliging Intrusion Detection & Prevention LUUK VAN DER BURGH SENIOR
Nadere informatieChecklist Beveiliging Persoonsgegevens
Checklist Beveiliging Persoonsgegevens Beveiliging is een één van de belangrijkste vereisten binnen het privacyrecht. Iedere organisatie zal passende technische en organisatorische maatregelen moeten treffen
Nadere informatieBeknopt overzicht van bedreigingen en maatregelen
Beknopt overzicht van bedreigingen en maatregelen Dit voorbeelddocument omvat een beknopt overzicht van bedreigingen en maatregelen. De opgesomde componenten, bedreigingen en maatregelen zijn bedoeld om
Nadere informatiePrivacy Statement April 2018 Pagina 1 van 5
Privacy Statement U deelt allerlei persoonsgegevens met ons. Wij gaan zorgvuldig met uw persoonsgegevens om. In deze verklaring leest u hoe wij dit doen. Daarnaast vertellen wij u welke rechten u heeft
Nadere informatieInformatiebeveiliging En terugblik op informatiebeveiliging 2016
Informatiebeveiliging 2017 En terugblik op informatiebeveiliging 2016 Missie Waken over betrouwbaarheid, integriteit en beschikbaarheid van de gegevens waarvoor de gemeente verantwoordelijk is. Voldoen
Nadere informatieVOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.
Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten
Nadere informatieprivacy statement WerkvoorWerk.nl Privacy Statement aandachtig door te nemen. De schuin geschreven gebruiksvoorwaarden van WerkvoorWerk.nl.
privacy statement WerkvoorWerk.nl WerkvoorWerk.nl neemt de privacy van haar gebruikers zeer serieus en zal informatie over u op een veilige manier verwerken en gebruiken. In dit document wordt het Privacy
Nadere informatieBedrijfszekerheid. Altijd in bedrijf ACHTER ELK SUCCES SCHUILT EEN GOED COMPUTERPLAN
Bedrijfszekerheid Altijd in bedrijf ACHTER ELK SUCCES SCHUILT EEN GOED COMPUTERPLAN Altijd in bedrijf Onderwerpen Liveplan remote beheer Firmtel Telefonie Liveplan server backup LivePlan Remote Beheer
Nadere informatieProductopbouw. BrainCap levert cybersecurityoplossingen in 3 stappen.
U wilt online veiligheid voor uw bedrijf. U wilt daarom weten wat de cybersecuritystatus van uw organisatie is en inzicht hebben in de online risico s waaraan u bloot staat. Maar daar heeft u de kennis
Nadere informatieMedische gegevens zijn geclassificeerd als bijzondere persoonsgegevens en vragen extra aandacht!
Privacy is het recht op eerbiediging van de persoonlijke levenssfeer. Privacy van informatie is de afwezigheid van informatie over onszelf bij anderen en bovendien het verbod aan anderen om zonder onze
Nadere informatie