Zoeken naar balans met een praktische kijk op informatiebeveiliging

Maat: px
Weergave met pagina beginnen:

Download "Zoeken naar balans met een praktische kijk op informatiebeveiliging"

Transcriptie

1 Zoeken naar balans met een praktische kijk op informatiebeveiliging Door de verregaande digitalisering van de maatschappij zijn we steeds afhankelijker geworden van Informatie en Communicatie Technology (ICT), maar daardoor zijn we ook steeds kwetsbaarder geworden voor aanvallen die de beschikbaarheid, integriteit en exclusiviteit aantast van informatie dat ermee verwerkt wordt. De nieuwsberichtgeving staat dagelijks vol met artikelen over inbraken in computernetwerken waarbij gegevens of wachtwoorden worden buitgemaakt of bijvoorbeeld DDoS aanvallen die internetbankieren onmogelijk maakt. Een veel gebruikt alomvattend mode woord voor de bescherming tegen alle mogelijke vormen van computercriminaliteit is Cyber security. In dit artikel wil ik ingaan hoe Cybersecurity op een praktische manier toegepast kan worden door niet (alleen) beveiligingsmaatregelen te beschouwen die ons vanuit diverse regelgeving (compliance) worden opgelegd, maar vooral door op een pragmatische manier naar bedreigingen en mogelijke beveiligingsmaatregelen te leren kijken, met gebruik van gezond verstand zoals we dat ook doen bij bedreigingen in het dagelijkse leven waar het de bescherming van onze eigendommen betreft (betrokkenheid). Om vast te stellen welke dreigingen relevant zijn en om te beoordelen welke beveiligingsmaatregelen noodzakelijk zijn om weerstand te kunnen bieden tegen die dreigingen, voeren we in de informatiebeveiliging doorgaans een risico analyse uit. Bij een traditionele risico analyse worden bedreigingen benoemd (in de fysieke beveiligingswereld wordt in dit verband vaak gesproken van een daderprofiel) en wordt in kaart gebracht wat de kans van optreden is en de gevolgschade (impact) indien deze bedreiging zich daadwerkelijk voordoet (Risico = Impact x Kans). Tegenwoordig wordt vaak een afhankelijkheids- en kwetsbaarheidsanalyse uitgevoerd, waarbij eerst de bedrijfsbelangen (assets) worden geïnventariseerd en de afhankelijkheid (waarde) ervan voor het bedrijf of de organisatie ervan wordt vastgesteld. Vervolgens wordt per belang een dreigingsanalyse opgesteld waarmee (potentiele) bedreigingen voor elk belang in kaart wordt gebracht. Ten slotte wordt de kwetsbaarheid per belang voor de in kaart gebrachte dreigingen vastgesteld. Uit deze afhankelijkheids- en kwetsbaarheidsanalyse volgt welke beveiligingsmaatregelen (fysiek, mensen, processen, technologie) moeten worden toegepast om de risico s tot een aanvaardbaar niveau terug te brengen. Beveiligingsmaatregelen kunnen als volgt worden ingedeeld: Preventie: Een preventieve maatregel is bedoeld om de gevolgen van een dreiging te voorkomen. Een voorbeeld is antimalware software dat kwaadaardige software detecteert en voorkomt dat het schade kan aanrichten. Detectie: Een detectieve maatregel is bedoeld om dreigingen te kunnen detecteren. Een voorbeeld is intrusion detectie waarmee inbraakpogingen door hackers kunnen worden gedetecteerd. 1

2 Repressie: Een repressieve maatregel is bedoeld om de gevolgen van een beveiligingsincident te beperken. Een voorbeeld hiervan is een brandblusinstallatie. Correctie: Een correctieve maatregel is bedoeld om de gevolgen van een beveiligingsincident te minimaliseren of zelfs op te heffen. Een voorbeeld hiervan is beheer software dat een dienst herstart indien deze is uitgevallen. Bij het uitvoeren van een risico analyse is een holistische benadering van essentieel belang. Met holistische benadering wordt bedoeld dat alle mogelijke risico s in ogenschouw moeten worden genomen. In dit verband wordt ook vaak gesproken van integrale beveiliging of van security convergence. Dit is geen sinecure en vereist specifieke beveiligingskennis over techniek, processen en mensen. In de praktijk blijkt echter vaak uit de risico analyse dat we in grote lijnen kwetsbaar blijken voor dezelfde typen dreigingen, waarop we dezelfde typen beveiligingsmaatregelen zouden kunnen toepassen. Het is vooral de mate waarin we kwetsbaar zijn per asset en het verschil in risico dat we daarbij willen lopen, dat uiteindelijk bepaalt welke maatregelen zullen worden toegepast. Zo is de dreiging van afluisteren in een WiFi netwerk in het algemeen groter dan die in een bedraad netwerk. Bovendien is het risico daarop dat we accepteren kleiner indien het WiFi netwerk deel uitmaakt van het interne netwerk, dan wanneer het een geïsoleerd netwerk betreft dat alleen gekoppeld is aan Internet. Aan de hand van 2 praktijkvoorbeelden in dit artikel, zullen we zien dat dit zelfs geldt voor twee op het oog zeer verschillende situaties. Een kritieke succesfactor in informatiebeveiliging is het beveiligingsbewustzijn (awareness) van gebruikers en personeel; mensen moeten betrokken zijn ( commitment ) bij het uitvoeren van beveiligingsbeleid zodat ze op de juiste wijze handelen indien verdachte omstandigheden zijn gesignaleerd, niet alleen omdat het vereist is ( compliance ). Op de een of andere manier zijn we daar, waar het informatiebeveiliging betreft, niet zo goed in. We zien in de praktijk (te) vaak dat bepaalde beveiligingsmaatregelen op een schijnbaar rigide manier worden toegepast, waarbij zowel functionaliteit als gebruikersvriendelijkheid ernstig wordt beperkt, terwijl noodzakelijke beveiligingsmaatregelen op een ander gebied (bv. screening van personeel) volledig achterwege worden gelaten. Hierdoor wordt informatiebeveiliging niet altijd serieus genomen en wordt vaak gezien als een lastig obstakel waar vooral omheen gewerkt wordt in plaats van dat het als waardevol bedrijfsasset wordt beschouwd. In situaties met een enigszins vergelijkbaar dreigingsprofiel, zoals de beveiliging van woning en inboedel, lijken we ons wel volledig bewust te zijn van de risico s en daar naar te handelen. Kennelijk spreekt dit meer tot onze verbeelding waardoor we vergelijkbare beveiligingsmaatregelen die ons door informatiebeveiligers in de IT-wereld zo nadrukkelijk lijkt te worden opgelegd, op een natuurlijke wijze en met gezond verstand kunnen toepassen. Zonder het bewust te zijn, proberen we ons hierbij te beschermen tegen gelijkwaardige dreigingsvormen en hanteren we dezelfde categorie van beveiligingsmaatregelen die van toepassing zijn op informatiebeveiliging. Mogelijk dat we (eindgebruikers, klanten, personeel) beveiligingsmaatregelen beter kunnen accepteren als we begrijpen waarom we deze toepassen en tegen welke realistische bedreigingen ze 2

3 bedoeld zijn en dat we (informatiebeveiligers) informatiebeveiliging op een meer consistente wijze kunnen uitdragen als we begrijpen in hoeverre het deelgebied van informatiebeveiliging waarin wij ons bewegen, deel uitmaakt van het gehele beveiligingsbeleid. In de volgende twee voorbeelden wordt een praktische beschouwing gegeven van de beveiliging van een woning en inboedel en die van de beveiliging van een fictief IT systeem en zijn data (informatie). Vervolgens wordt beargumenteerd hoe beide scenario s feitelijk gebruik maken van dezelfde vereenvoudigde set van dreigingscategorieën en dezelfde vereenvoudigde set van categorieën van beveiligingsmaatregelen zoals hieronder aangegeven en benoemd in appendix A. Beschouwing beveiliging woning Laten we het proces, de technieken en het inschakelen van mensen dat we uitvoeren bij de beveiliging van onze woning en inboedel tijdens vakantieperiodes eens beschouwen en analyseren tegen welke dreigingen we ons proberen te beschermen en welke beveiligingsmaatregel we daar bij toepassen. Technologie: Uitgangspunt is een solide gebouwde woning waarbij zonder zeer grof en opgemerkt geweld, inbraak alleen mogelijk is via ontzetting van ramen of deuren. Er zijn diverse IP camera s geïnstalleerd die we op afstand kunnen bekijken (bv. via smartphone). Meerdere camera s met overlappend bereik kunnen worden geïnstalleerd om falen op te kunnen vangen, of afplakken van een camera door kwaadwillenden te kunnen detecteren. Het pand is verder uitgerust met een multi-zone alarmsysteem dat verschillende zones in de woning kan beveiligen met een eigen code en opgegeven telefoonnummers kan bellen bij afgaan van een alarm. Het alarmsysteem is voorzien van bewegingsmelders en rookmelders en van een sabotagealarm dat afgaat indien geprobeerd wordt het alarm onklaar te maken. De code moet worden ingegeven in een codeslot dat op een gemakkelijk bereikbare, maar afgeschermde plek is geplaatst, zodat de ingevoerde code niet eenvoudig door een buitenstaander 3

4 op afstand kan worden uitgelezen. Ten slotte is aan de buitenkant van de woning aangegeven dat het pand beveiligd is met camera s en een alarmsysteem. Tijdens onze afwezigheid observeren camera s en bewegingsmelders het pand en nabije omgeving. Afwijkende gebeurtenissen worden gedetecteerd en genereren een alarm. Camerabeelden worden gearchiveerd op een systeem dat voldoende schijfruimte bevat om de grote hoeveelheid beelden tijdens de periode van afwezigheid te kunnen bewaren. Processen en mensen: Ter voorbereiding op onze afwezigheid controleren we brand- en inboedelverzekeringen en controleren hang- en sluitwerk dat we zo nodig vervangen, bijvoorbeeld door sloten voorzien van politiekeurmerk. We informeren buren en familieleden over de op handen zijnde afwezigheid en zij worden gevraagd om een oogje in het zeil te houden en actie te ondernemen bij onraad. We richten het pand zodanig in, dat het lijkt alsof het bewoond blijft. We zorgen ervoor dat de verlichting op gezette tijden automatisch in- en uitschakelt, we verzoeken de kinderen de aankomende afwezigheid niet via sociale media bekend te maken en we vragen de buren om tijdens onze afwezigheid de post netjes op te ruimen en de planten water te geven. Voor vertrek overhandigen we aan de buren de sleutel van de achterdeur en de (tijdelijk gewijzigde) code om het alarmsysteem uit en aan te zetten en geven duidelijke instructies mee om er zeker van te zijn dat het alarm weer wordt ingeschakeld bij het verlaten van het pand. Waardevolle bezittingen, documenten (of kopieën daarvan) en apparatuur, worden veilig gesteld op een fysiek andere locatie of bewaard in een afgesloten kluis. We zorgen er tevens voor dat familieleden in het bezit zijn van sleutels en codes van ruimtes en kluizen met gevoelige informatie of apparatuur, zodat zij in geval van noodsituaties deze kunnen benaderen. Voor buren zijn deze niet toegankelijk.vlak voor vertrek sluiten we alle ramen en deuren en schakelen het alarm in. Daarbij denken we ook aan het kleine WC raampje om te voorkomen dat een kind via die ingang het pand van binnenuit zou kunnen openen. Ten slotte willen we ook graag weten of de personen die toegang tot het pand hebben verkregen ook daadwerkelijk te vertrouwen zijn en kunnen bepaalde spullen op een zodanige manier zijn neergezet of opgeborgen (verzegeling) dat diefstal of ongeautoriseerd gebruik ervan kan worden gedetecteerd, mogelijk begeleidt met camerabeelden zodat de dader onomstotelijk kan worden vastgesteld. Het achterwege laten van een of meer van deze beveiligingsmaatregelen kan een ernstig effect hebben, variërend van een volledig verloren gegaan pand inclusief inhoud, een inbraak via een opengelaten raam of (al dan niet) raadselachtige ontvreemding van waardevolle spullen en/of vermeend misbruik van gevoelige informatie. 4

5 Beschouwing beveiliging IT systeem Wanneer we een vergelijkbare dreigingsanalyse toepassen op een (fictief) IT systeem 1, dan komen we tot een mogelijke implementatie van onderstaande beveiligingsmaatregelen. Technologie: Het IT systeem wordt in een ruimte geplaatst die fysiek wordt beveiligd zodat alleen bevoegd personeel de ruimte kan betreden, bv. via een tourniquet, toegangspas en/of via een bewaker. Het IT systeem wordt elektronisch beveiligd door een firewall die zodanig wordt ingesteld dat alleen toegestaan verkeer het IT systeem kan bereiken en mogelijk ongewenst verkeer (al dan niet tijdelijk) kan blokkeren (zoals van systemen die een DDoS aanval uitvoeren). Informatie op het systeem wordt beveiligd zodat alleen bevoegde gebruikers en beheerders toegang kunnen krijgen tot het systeem en toegang wordt beperkt tot informatie die voor het uitvoeren van de werkzaamheden behorende bij hun functie/rol noodzakelijk is (need-to-know). De verschillende systemen en applicaties worden zodanig gekoppeld, dat de gebruiker zoveel mogelijk met slechts één account hoeft aan te loggen en automatisch de vereiste toegangsrechten in die applicaties en tot informatie toegewezen krijgt (single sign-on). Wachtwoorden zijn onderhavig aan wachtwoordbeleidsinstellingen die o.a. lengte, duur en complexiteit van een wachtwoord opleggen. Voordat een gebruiker het systeem kan gebruiken, wordt een login banner getoond waarin is aangegeven dat ongeautoriseerd gebruik strafbaar is en dat activiteiten gemonitord worden. Het systeem wordt voorzien van antimalware applicaties om kwaadaardige software zoals virussen en wormen te voorkomen. Toegang tot Internet sites wordt gereguleerd (URL filtering) en bijlagen in web en mailberichten gefilterd op potentieel gevaarlijke extensies en op grootte. Componenten op het systeem die niet benodigd zijn, worden uitgeschakeld (hardening), om de kans op misbruik daarvan te beperken. Systeem en applicaties worden up-to-date gehouden om bestaande kwetsbaarheden te kunnen opheffen (patch management). Om ongebruikelijke en afwijkende gebeurtenissen te kunnen detecteren en daarvoor een alarm te genereren, wordt alle verkeer gemonitord, bv. met een Intrusion Detectie Systeem (IDS), worden gebruikersactiviteiten gelogd en worden auditrapportages daarvan beschikbaar gesteld. Het systeem kan op afstand worden gemonitord op fouten en prestaties, op onveilige configuraties, op lekkage van gevoelige bedrijfsinformatie (datalekkage) en op ongeautoriseerde wijzigingen van configuraties van het systeem en er kan bij afwijkingen een alarm worden gegenereerd. Voldoende reserve onderdelen zijn voorradig om de dienstverlening bij een storing te kunnen vervolgen of in ieder geval zo snel mogelijk voort te kunnen zetten. Systemen worden meervoudig uitgevoerd (redundantie/fouttolerantie) en voorzien van voldoende 1 Het hier geschetste voorbeeld is puur hypothetisch en stelt geen bestaand ontwerp voor. Het doel hiervan is niet om een volledig beeld te schetsen van alle mogelijke beveiligingsmaatregelen in een IT systeem, maar om een idee te geven waarom bepaalde beveiligingsmaatregelen worden ingezet, aan welke dreigingscategorieën ze weerstand bieden, en hoe dit zich verhoudt tot vergelijkbare maatregelen in een dreigingsscenario dat ons meer vertrouwd is. 5

6 capaciteit om storingen en aanvallen op de beschikbaarheid (DDoS) te kunnen weerstaan. Om te voorkomen dat zowel het systeem als de backups worden getroffen door hetzelfde incident, worden backups bewaard op een andere locatie en wordt op die locatie een beperkte IT dienst opgezet om operationeel te kunnen blijven (disaster recovery) na een calamiteit. Vertrouwde interne of publieke certificaten (PKI) kunnen worden gebruikt om berichten die met het systeem kunnen worden verstuurd, te tekenen (signing) met een certificaat dat alleen aan geauthentiseerde gebruikers is toegekend, om vertrouwensrelaties met diensten en applicaties op te kunnen zetten en om gevoelige informatie zoals authenticatie informatie te kunnen vercijferen. Opslag van gevoelige data (bv. credit card informatie) of gevoelige apparatuur (laptop) kan zijn versleuteld zodat gevoelige data, zelfs bij diefstal of verlies, niet beschikbaar is voor onbevoegden. Processen en mensen: Vertrouwen in personeel wordt gecontroleerd door regelmatig hun verleden na te trekken (screening) en personeel moet verplicht een geheimhoudingsverklaring tekenen zodat gevoelige bedrijfsinformatie zoals de inrichting van de IT infrastructuur intern blijft. Ontdekte kwetsbaarheden van systemen worden zo snel mogelijk beoordeeld en opgelost (vulnerability assessment). De beheerorganisatie wordt ingericht zodat bij een veiligheidsincident zo snel en adequaat mogelijk kan worden opgetreden (incident response). Personeel wordt beveiligingsbewustzijn bijgebracht zodat het bij een vermeend beveiligingsincident adequaat weet te reageren en alert is op onregelmatigheden in zijn nabije omgeving zoals pogingen om informatie zoals wachtwoorden te ontfutselen (social engineering) (proces en mensen). Toegang tot beschikbaarheid via de disaster recovery locatie wordt regelmatig getest, evenals de beschikbaarheid en integriteit van backups en controle op naleving van regelgeving (compliance), waarin opgenomen een disclaimer voor uitsluiting van schade wegens onvoorziene omstandigheden (calamiteiten). Het achterwege laten of onvoldoende uitvoeren van een of meerdere genoemde beveiligingsmaatregelen kan o.a. leiden tot inbraak in het systeem (bv. door misbruik van niet gerepareerde kwetsbaarheden), toegang tot geheime en gevoelige bedrijfsgegevens (bv. door een onveilige configuratie of onbewuste fout), introductie van kwaadaardige software of volledige onbeschikbaarheid van het systeem. De tabel in appendix B geeft voorbeelden weer van dreigingen in de diverse dreigingscategorieën voor de als voorbeeld genoemde beveiliging van woning en IT systeem. De tabel in Appendix C herschikt de genoemde beveiligingsmaatregelen uit appendix A voor de beveiliging van een woning en die van beveiliging van een IT systeem tegen de set van categorieën van beveiligingsmaatregelen uit appendix A en vergelijkt deze met elkaar. Deze vergelijking van twee op het oog zeer verschillende scenario s met een vergelijkbaar dreigingsprofiel en een vergelijkbare set van maatregelen, helpt ons mogelijk om op een meer praktische manier tegen informatiebeveiliging aan te kijken door de beveiliging van onze informatiesystemen op een vergelijkbare manier te benaderen als dat we dat doen met onze eigendommen. 6

7 Conclusie In dit artikel is een vergelijking gemaakt tussen het beveiligingsdomein van een IT systeem en een situatie die we van nature kennen en begrijpen, die van beveiliging van een woning tegen inbraak. Hierbij is sprake van de volgende rolverdeling tussen beide voorbeelden. Beveiliging woning Eigenaar Woning Inboedel Buren en omwonenden Familieleden Beveiliging IT systeem Chief Information Security Officer (CISO) IT systeem Data (informatie) en apparatuur (assets) Gebruikers Beheerders We hebben gezien dat beide scenario s een in grote lijnen vergelijkbaar dreigingsprofiel hebben en dat (in grote lijnen) vergelijkbare beveiligingsmaatregelen van toepassing zijn. Toch benaderen we de beveiliging van een woning en inboedel op een natuurlijke, betrokken manier (commitment based), terwijl we ons zo min mogelijk lijken te bekommeren om beveiligingsmaatregelen voor informatiesystemen, tenzij deze door de organisatie of van buitenaf worden opgedrongen (compliance based). Zo scherp en precies als we zijn voor de beveiliging van onze woning als we bijvoorbeeld op vakantie gaan, zo slordig springen we nog altijd om met het adequaat toepassen van beveiligingsmaatregelen in IT systemen. In de praktijk worden helaas veel noodzakelijke beveiligingsmaatregelen dan ook niet of onvoldoende uitgevoerd zoals: 1. Kwetsbaarheden in software worden niet of niet tijdig gerepareerd; 2. wachtwoorden kunnen eenvoudig worden achterhaald; 3. beveiligingsconfiguraties worden niet geverifieerd; 4. er wordt te weinig rekening gehouden met noodscenario s waardoor o.a. backups niet beschikbaar zijn als ze nodig zijn; 5. men schaft, kennelijk in de hoop op deze manier risico s af te kunnen kopen, juist (dure) beveiligingsproducten aan zonder deze adequaat in te richten. Wanneer we dezelfde onzorgvuldigheid zouden uitvoeren bij de beveiliging van onze woning en inboedel, dan zouden we respectievelijk de volgende tekortkomingen constateren: 1. De woning is voorzien van matig hang- en sluitwerk dat gemakkelijk open te breken is; 2. we weten niet wie allemaal in bezit is van de code van het alarmsysteem en diverse sleutels van het pand (mogelijk met adreslabel) zijn zoekgeraakt of mogelijk gestolen; 3. hang en sluitwerk wordt niet nagekeken, de werking van het alarmsysteem wordt niet getest en er wordt onvoldoende gecontroleerd of ramen en deuren zijn gesloten. 4. er wordt niet of onvoldoende gerealiseerd en gehandeld naar de gevolgen van volledig verlies van woning en inboedel (waaronder verlies van gevoelige administratie en spullen met emotionele waarde zoals foto s erfstukken en sieraden); 5. een alarmsysteem wordt aangeschaft maar in de default configuratie geïnstalleerd en niet of niet voldoende gecontroleerd op juiste werking. De vraag is gerechtvaardigd of we met deze onvolkomenheden, waaronder de mogelijkheid van open laten staan van deuren of ramen, nog wel met een gerust hart op vakantie zouden gaan 7

8 Naast deze zaken spelen in deze vergelijking bovendien nog een aantal zaken mee die nadelig uitvallen voor informatiebeveiliging, en die ons eigenlijk zou moeten dwingen om nog kritischer naar de beveiliging van onze informatiesystemen te kijken: De pakkans van een aanvaller in het voorbeeld van de beveiliging van een woning is groter dan die van een hacker in een informatiesysteem die zich veelal anoniem kan voordoen en bovendien op afstand, vanuit elke uithoek van de wereld en mogelijk via computers van nietsvermoedende gebruikers, zijn schadelijke werk kan uitvoeren. De reputatieschade bij een inbraak in informatiesystemen is doorgaans veel groter dan die bij een woninginbraak, zeker bij bekende organisaties en indien er klantgegevens op straat komen te liggen. Het kan zelfs leiden tot faillissementen (DigiNotar 2011). Inbraken in informatiesystemen worden lang niet altijd onmiddellijk gedetecteerd, waardoor een hacker soms langdurig zijn schadelijke acties kan uitvoeren zonder dat dat wordt opgemerkt (DigiNotar 2011). Inbraak in een informatiesysteem kan zeer nadelige gevolgen hebben voor de dienstverlening van de getroffen organisatie. Wanneer we informatiebeveiliging willen verbeteren, zullen we tenminste meer betrokkenheid moeten tonen bij de toepassing van beveiligingsmaatregelen in IT systemen. Het voorgaande maakt duidelijk dat hier nog wel de nodige stappen gemaakt moeten worden. Aanbevelingen Nu we beter kunnen begrijpen waarom beveiligingsmaatregelen noodzakelijk zijn, is de volgende stap te leren om beveiligingsmaatregelen maatregelen als vanzelfsprekend toe te passen in ITprojecten: Voor architecten, om noodzakelijke security requirements en functionaliteiten al vanaf het begin van het project mee te nemen; Voor ontwikkelaars, om bij het ontwikkelproject bewust te zijn van noodzakelijk te implementeren beveiligingsmaatregelen en benodigde beveiligingsfunctionaliteiten, zoals authenticatie, autorisatie, logging en beschikbaarheidsbeheer, zoveel mogelijk te laten aansluiten bij de standaarden die daarvoor in een organisatie geldend zijn, of het gebruik van (open) standaarden indien er nog geen standaard is gedefinieerd. Voor beheerders: om bewust te zijn waarom beveiligingsmaatregelen noodzakelijk zijn, om toegepaste beveiligingsmaatregelen consistent te gebruiken, om kwetsbaarheid van systemen te beperken, om uit de beschikbare tooling echte beveiligingsincidenten te kunnen distilleren, en om een adequaat reactie mechanisme in te richten om de gevolgen als het mis gaat zoveel mogelijk te beperken. Voor informatiebeveiligers om te zorgen voor een integraal, consistent en proportioneel beveiligingsbeleid (niet te teveel op het ene gebied en niet te weinig op een ander gebied). Voor gebruikers, om te snappen waarom beveiligingsmaatregelen noodzakelijk zijn en te accepteren dat dit soms ten koste kan gaan van functionaliteit en gebruikersvriendelijkheid en om bewustzijn te vergroten, zodat mogelijke beveiligingsincidenten kunnen worden opgemerkt en daarop alert kan worden gereageerd. Voor opdrachtgevers, leren accepteren dat het implementeren van beveiligingsmaatregelen een onlosmakelijk geheel vormt met IT projecten en dat implementatie van beveiligingsfunctionaliteiten tijd, geld en moeite kost. 8

9 Appendix A ID Categorie dreiging Beschrijving D1. Zich voordoen als iemand anders Deze dreiging omvat: Zich voordoen als een ander persoon door insiders; Zich voordoen als een ander persoon door buitenstaanders; Ongeautoriseerde toegang tot informatie. D2. Onrechtmatig gebruik Misbruik van resources en informatie door geautoriseerde personen. D3. Introductie van schadelijke componenten D4. Misbruik van communicatie kanalen Introductie van schadelijke of verstorende software en invoegen van kwaadaardige programmatuur. Interceptie, Infiltratie, manipulatie of verstoring van communicatie. D5. Weerlegbaarheid Ontkenning van sturen of ontvangen van informatie. D6. Falen van systeem of Storingen of falen van een systeem of componenten in een systeem. componenten D7. Onbewuste of Onbewuste gebruikers-, of onderhoudsfouten. onopzettelijke fouten D8. Omgevingsdreigingen Schade door brand, waterschade of natuurrampen. D9. Diefstal, verlies of vernietiging Opzettelijk verlies van apparatuur of componenten. ID Categorie maatregel Beschrijving M1. Identificatie Identificatie is het bepalen van de identiteit van personen en (soms) apparatuur en componenten. M2. Authenticatie Authenticatie is het verifiëren van de geclaimde identiteit. M3. Autorisatie Autorisatie betreft het toegang verlenen tot ruimtes, apparatuur, informatiesystemen en informatie aan personen die daartoe gerechtigd zijn en het voorkomen van toegang voor niet-gerechtigden. M4. Integriteit Het doel van integriteit is het identificeren van integriteitsfouten (inbreuk op ongewijzigde of ongeschonden toestand) die vervolgens, indien nodig, kunnen worden gecorrigeerd voordat deze tot incidenten en verdere schade kunnen leiden. M5. Beschikbaarheid Beschikbaarheidsmaatregelen bewaken of prestaties nog voldoen aan beschikbaarheidseisen en of componenten nog voldoende functioneren door te zorgen voor een hoge beschikbaarheid van componenten en dat indien onverhoopt toch een verstoring optreedt, de verstoring afdoende kan worden hersteld. M6. Scanning Het doel van scanning is proactief te zoeken naar kwaadaardige componenten en kwetsbaarheden, teneinde deze in een vroeg stadium te ontdekken en deze zo mogelijk op te lossen. M7. Logging Het doel van logging is het vastleggen van gegevens over uitgevoerde activiteiten teneinde (on)geautoriseerde activiteiten te kunnen ontdekken en het genereren van een alarm als er zich een vooraf gedefinieerde gebeurtenis voordoet. M8. Afscherming Het doel van afscherming is het bieden van beschermende maatregelen om informatie, apparatuur en componenten af te schermen van de buitenwereld. M9. Fysiek Fysieke beveiliging bevat maatregelen voor beveiliging van de fysieke toegang van personen, informatie, apparatuur en componenten en bescherming tegen opzettelijk of door toeval veroorzaakt fysiek onheil. M10. Training Het overdragen van kennis om de mogelijkheid van onopzettelijke fouten te verminderen en veiligheidsbewustzijn te vergroten. 9

10 Appendix B Dreiging categorie Voorbeelden dreigingen woning Voorbeelden dreigingen IT systeem Zich voordoen als iemand anders Toegang tot pand door onbevoegden; Ongeautoriseerde toegang tot gevoelige ruimtes en documenten door buren. Onrechtmatig gebruik Inkijken gevoelige informatie; Gebruik maken van apparatuur; Gebruikmaken van ruimte voor feesten. Introductie van schadelijke componenten Misbruik van communicatie kanalen Dreigingen van binnenuit; Post hengelen via brievenbus. Ontduiken detectie; Onklaar maken; detectieapparatuur (bv. afplakken, sabotage). Weerlegbaarheid Ontkenning doorzoeken gevoelige informatie; Ontkenning gebruik van ruimte en aanwezige apparatuur. Falen van systeem of componenten Onbewuste of onopzettelijke fouten Falen alarmsysteem; Falen camera s; Falen hang en sluitwerk; Afgebroken sleutels. Omgevingsdreigingen Brand; Water; Natuurramp. Diefstal, verlies of vernietiging Alarmsysteem verkeerd geconfigureerd of vergeten weer in te schakelen; Deur niet op slot gedaan; Sleutel verloren; Sleutel aan de verkeerde persoon meegegeven. Diefstal van gevoelige documenten; Diefstal van waardevolle spullen; Diefstal laptop of tablet; Vernietiging van camera of alarmsysteem. Gebruik ander user account door interne gebruiker; Gebruik van bestaand account door buitenstaander; Raden, uitproberen, afluisteren of anderszins achterhalen van wachtwoorden; Ongeautoriseerde toegang tot financiële gegevens. Gebruik van bedrijfssystemen voor privé gebruik (bv. gaming); Downloaden van niet-werk gerelateerde content van Internet; Installatie van niet-bedrijfs gerelateerde software; Data lekkage (Snowden, Manning). Virussen; trojan horses; worms; logic bombs; hostile mobile code; virussen; kwaadaardige Java en ActiveX componenten. Hacken van systemen zoals buffer overflow aanvallen; Opzettelijke Denial of Service; Spamming; Heimelijk monitoren van verkeersstromen; Actieve interceptie (Man in the Middle); Opzettelijke misroutering. Ontkenning dat een bericht door iemand is verstuurd; Ontkenning dat een bericht door iemand is ontvangen. Falen van CPU, netwerk interface of andere hardware; Schijf crashes en falen van schijven; Falen van netwerkapparatuur; Bugs in software, corrupte bestanden. Per ongeluk verwijderen bestanden; Account lockout door invoeren teveel onjuiste wachtwoorden; Mislukte software update; Sturen van gevoelige mail naar de verkeerde persoon. Brand; Water; Natuurramp. Diefstal bedrijfslaptop; Verlies van USB stick met gevoelige informatie; Vernietiging van server door ontstemde medewerker. 10

11 Appendix C Dreiging categorie Zich voordoen als iemand anders Onrechtmatig gebruik Introductie van schadelijke componenten Toegepaste maatregel Beveiliging woning Sleutel en juiste code alarmsysteem alleen aan vertrouwde personen (buren en familieleden) Alleen toegang tot pand met juiste sleutel en juiste code alarmsysteem Solide bouw, deugdelijk hang en sluitwerk Vergelijkbare maatregel Beveiliging IT systeem Categorie maatregel Type Maatregel Screening personeel Identificatie Preventie Alleen toegang tot systeem met Authenticatie Preventie geldig account en juiste wachtwoord. Fysiek beveiligde ruimte Fysiek Preventie Afsluiten ramen en deuren Firewall Afscherming Preventie Alarmsysteem IDS Scanning Detectie Alarmsysteem bellen IDS genereren alarm Scanning Repressie telefoonnummers Codeslot alarm op afgeschermde Wachtwoordbeleid Authenticatie Preventie plek, andere code voor buren Camera s IDS, logging gebruikersactiviteiten Scanning Detectie Camera s met kijkfunctie op afstand Monitoring op afstand Scanning Repressie Archivering camerabeelden Logging, auditrapportages Logging Detectie Bewoonde inrichting, automatische Compliance Beschikbaarheid Preventie verlichting, buren opbergen post en planten water geven Informeren buren over afwezigheid, Creëren awareness personeel Scanning Detectie oogje in het zeil houden Voorkomen bekend stellen afwezigheid via sociale media Geheimhoudingsverklaring Beschikbaarheid Preventie Multi-zone alarm: toegang tot meerdere zones met een code Single-sign-on Authenticatie Preventie Multi-zone alarm: alleen toegang tot Toepassen need-to-know Autorisatie Preventie gevoelige ruimtes met juiste sleutel en code alarmsysteem door familieleden Melding beveiligde woning Login banner Authenticatie Repressie Instructies buren Gedragscode, URL filtering Scanning Preventie Camera s IDS, logging gebruikersactiviteiten Scanning Detectie Camera s met kijkfunctie op afstand Monitoring op afstand Scanning Repressie Archivering camerabeelden Logging, auditrapportages Logging Detectie Verzegeling Fout en performance monitoring Integriteit Detectie Solide bouw, deugdelijk hang en Firewall Afscherming Preventie sluitwerk Controleren ondeugdelijk hang en Vulnerability assessment Scanning Preventie sluitwerk Buurt actie ondernemen bij onraad Incident response Scanning Repressie Vervanging ondeugdelijk hang en Patch management Scanning Preventie sluitwerk Afsluiten ramen en deuren, incl. Hardening Afscherming Preventie kleine ramen Camera s, bewegingsmelders Antimalware, IDS Scanning Detectie Archivering camerabeelden IDS, logging gebruikersactiviteiten Logging Detectie Opbergen post door buren URL filtering, blokkeren van Scanning Preventie (voorkomen post hengelen via brievenbus) potentieel gevaarlijke bijlagen Misbruik van Camera s met overlappend bereik Redundantie/fouttolerantie Scanning Detectie 11

12 communicatie Sabotagealarm Signing Integriteit Detectie kanalen Codeslot alarm op afgeschermde plek Vercijfering authenticatiegegevens Integriteit Detectie Weerlegbaarheid Verzegeling Signing Integriteit Detectie Falen van systeem of componenten Onbewuste of onopzettelijke fouten Omgevingsdreigingen Diefstal, verlies of vernietiging. Archivering camerabeelden Logging, auditrapportages Logging Detectie Solide bouw, deugdelijk hang en Fout en performance monitoring, Beschikbaarheid Preventie sluitwerk reserveonderdelen Camera s met overlappend bereik Duidelijke instructies activeren alarmsysteem Redundantie/fouttolerantie, backup en Disaster Recovery Training personeel, fout en performance monitoring Beschikbaarheid Beschikbaarheid Correctie Preventie Brandalarm en brandverzekering Disclaimer calamiteiten Beschikbaarheid Repressie Waardevolle bezittingen, documenten en apparatuur op andere locatie Fysieke beveiliging pand, afsluiten ramen en deuren Waardevolle bezittingen en documenten in kluis Waardevolle bezittingen, documenten en apparatuur op andere locatie Backup en Disaster Recovery Beschikbaarheid Repressie Fysiek beveiligde ruimte Fysiek Preventie Harde schijf versleuteling, vercijferde Afscherming Preventie USB opslag apparatuur. Backup en Disaster Recovery Beschikbaarheid Repressie Inboedelverzekering Reserveonderdelen Beschikbaarheid Repressie 12

Beveiligingsbeleid Stichting Kennisnet

Beveiligingsbeleid Stichting Kennisnet Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek

Nadere informatie

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Noordhoff Uitgevers is een educatieve uitgeverij die verschillende

Nadere informatie

Gratis bescherming tegen zero-days exploits

Gratis bescherming tegen zero-days exploits Gratis tegen zero-days exploits We zien de laatste jaren een duidelijke toename van geavanceerde dreigingen op onze computersystemen. In plaats van het sturen van alleen e-mails met geïnfecteerde bijlagen

Nadere informatie

Een checklist voor informatiebeveiliging

Een checklist voor informatiebeveiliging Door: De IT-Jurist Versie: 1.0 Datum: juli 2015 Hoewel bij de totstandkoming van deze uitgave de uiterste zorg is betracht, kan De IT-Jurist niet aansprakelijk worden gehouden voor de gevolgen van eventuele

Nadere informatie

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument Checklist NEN7510 Eén van de eerste stappen van het gestructureerd verbeteren van informatiebeveiliging en het implementeren van de NEN7510 omvat het bepalen van de status van de naleving van de NEN7510.

Nadere informatie

Samenvatting Meldplicht Datalekken. Michael van der Vaart Head of Technology ESET Nederland

Samenvatting Meldplicht Datalekken. Michael van der Vaart Head of Technology ESET Nederland Samenvatting Meldplicht Datalekken & Michael van der Vaart Head of Technology ESET Nederland DISCLAIMER LET OP: Het gaat hier om een interpretatie van de omtrent de meldplicht datalekken. Deze interpretatie

Nadere informatie

Bescherming tegen de gevolgen van cyber risico s. Bedrijfsverzekeringen. CyberEdge van AIG

Bescherming tegen de gevolgen van cyber risico s. Bedrijfsverzekeringen. CyberEdge van AIG Bescherming tegen de gevolgen van cyber risico s Bedrijfsverzekeringen CyberEdge van AIG Wat zijn cyber risico s? Cyber risico s zijn een vaststaand gegeven in een wereld van informatie, informatiesystemen

Nadere informatie

Hardening. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Hardening. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Hardening Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst

Nadere informatie

Sr. Security Specialist bij SecureLabs

Sr. Security Specialist bij SecureLabs Wie ben ik? Ronald Kingma, CISSP ronald@securelabs.nl Sr. Security Specialist bij SecureLabs Introductie SecureLabs Voorheen ISSX Code of Conduct Real Penetration Testing Vulnerability Management Veiligheidsincidenten

Nadere informatie

Unified Enterprise Security wordt geleverd door onze strategische partner Masergy, de wereldspeler in global communications en security.

Unified Enterprise Security wordt geleverd door onze strategische partner Masergy, de wereldspeler in global communications en security. Het verlengstuk van uw IT security operations: altijd (24x7) de beste expertise en meest actuele kennis, geïntegreerd zicht op wat er gebeurt in uw datacenter en eerder en Security as a Service Het verlengstuk

Nadere informatie

Factsheet DATALEKKEN COMPLIANT Managed Services

Factsheet DATALEKKEN COMPLIANT Managed Services Factsheet DATALEKKEN COMPLIANT Managed Services DATALEKKEN COMPLIANT Managed Services We ontwerpen en implementeren security maatregelen om datalekken te detecteren en het risico daarop te minimaliseren.

Nadere informatie

Factsheet Penetratietest Infrastructuur

Factsheet Penetratietest Infrastructuur Factsheet Penetratietest Infrastructuur Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

Privacy Bijsluiter Registratie-/ Planningsoftware Uitgeverij Zwijsen B.V.

Privacy Bijsluiter Registratie-/ Planningsoftware Uitgeverij Zwijsen B.V. Bijlage 1 Privacy Bijsluiter Registratie-/ Planningsoftware Uitgeverij Zwijsen B.V. Uitgeverij Zwijsen B.V. is een educatieve uitgeverij die verschillende digitale producten en diensten ( digitale leermiddelen

Nadere informatie

Factsheet Penetratietest Informatievoorziening

Factsheet Penetratietest Informatievoorziening Factsheet Penetratietest Informatievoorziening Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

In jouw schoenen. Een praktische invulling van informatiebeveiliging

In jouw schoenen. Een praktische invulling van informatiebeveiliging In jouw schoenen Een praktische invulling van informatiebeveiliging Informatiebeveiliging hot topic Hoeveel weet jij eigenlijk van informatiebeveiliging? veel voldoende te weinig Vooraf.. Wat vind jij

Nadere informatie

Mobiele gegevensdragers. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Mobiele gegevensdragers. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Mobiele gegevensdragers Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging

Nadere informatie

GEBRUIKERSVOORWAARDEN THE JOBCONNECTOR. B.V. ("The JobConnector"). The JobConnector is geregistreerd bij het Handelsregister te Amsterdam.

GEBRUIKERSVOORWAARDEN THE JOBCONNECTOR. B.V. (The JobConnector). The JobConnector is geregistreerd bij het Handelsregister te Amsterdam. GEBRUIKERSVOORWAARDEN THE JOBCONNECTOR I. ALGEMENE BEPALINGEN 1 Algemeen 1.1 De website The JobConnector (de "Website") wordt beheerd door The JobConnector B.V. ("The JobConnector"). The JobConnector is

Nadere informatie

Werkplekbeveiliging in de praktijk

Werkplekbeveiliging in de praktijk Werkplekbeveiliging in de praktijk M.E.M. Spruit Geautomatiseerde werkplekken vormen een belangrijke schakel in de informatievoorziening van organisaties. Toch wordt aan de beveiliging van werkplekken

Nadere informatie

Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Voortgezet Onderwijs, Noordhoff Uitgevers

Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Voortgezet Onderwijs, Noordhoff Uitgevers Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Voortgezet Onderwijs, Noordhoff Uitgevers Noordhoff Uitgevers is een educatieve uitgeverij die verschillende

Nadere informatie

Voor onder meer volgende preventieve diensten hebben wij sterke partners : Doopput 14 2550 Kontich

Voor onder meer volgende preventieve diensten hebben wij sterke partners : Doopput 14 2550 Kontich P R E V E N T I E Cybercontract biedt bedrijven toegang tot een unieke set gespecialiseerde diensten bij lokale professionals! Diensten van bewezen kwaliteit snel en centraal toegankelijk. Zo helpen we

Nadere informatie

Impact van de meldplicht datalekken

Impact van de meldplicht datalekken Impact van de meldplicht datalekken Vanaf 1 januari 2016 wordt het wettelijk verplicht om datalekken te melden. Zowel grootschalige inbraak als ieder kwijtraken, diefstal of onbevoegd gebruik van persoonsgegevens

Nadere informatie

Systeemconfiguratie Policy VICnet/SPITS

Systeemconfiguratie Policy VICnet/SPITS Ministerie van Verkeer en Waterstaat opq Rijkswaterstaat Systeemconfiguratie Policy VICnet/SPITS 15 Februari 2005 Eindverantwoordelijkheid Opgesteld Naam Datum Paraaf Security Manager SPITS E.A. van Buuren

Nadere informatie

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging Seminar Trends in Business & IT bij woningcorporaties Informatiebeveiliging Agenda Rondje verwachtingen Even voorstellen.. Informatiebeveiliging waarom? Stand van zaken bij corporaties Informatiebeveiliging

Nadere informatie

1. Uw tablet beveiligen

1. Uw tablet beveiligen 11 1. Uw tablet beveiligen Het risico op virussen of andere schadelijke software (malware genoemd) is bekend van pc s. Minder bekend is dat u ook op een tablet met malware geconfronteerd kan worden als

Nadere informatie

Inhoud. Dus u denkt dat internetbankieren veilig is? Informatiebeveiliging Cryptografie Internetbankieren. 26 september 2009 Harald Vranken

Inhoud. Dus u denkt dat internetbankieren veilig is? Informatiebeveiliging Cryptografie Internetbankieren. 26 september 2009 Harald Vranken Dus u denkt dat internetbankieren veilig is? 26 september 2009 Harald Vranken Inhoud Informatiebeveiliging 2 Informatiebeveiliging Introductie Informatie betekenisvolle gegevens waardevol (privacy, bedrijfsinformatie)

Nadere informatie

Kennissessie Information Security

Kennissessie Information Security Kennissessie Information Security 3 oktober 2013 Bonnefantenmuseum De sleutel ligt onder de mat Wachtwoord: welkom1234 Focus op vertaling strategie in de organisatie Advies, programma, project en interim

Nadere informatie

Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015

Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015 Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015 INHOUD 1) Wat is informatiebeveiliging (IB) nu eigenlijk? 2) Wat houdt IB binnen

Nadere informatie

INFORMATIEBEVEILIGING VOOR WEBWINKELS

INFORMATIEBEVEILIGING VOOR WEBWINKELS INFORMATIEBEVEILIGING VOOR WEBWINKELS HANDIGE CHECKLISTS In deze whitepaper bieden we u tips en checklists die kunnen bijdragen aan een optimale beveiliging van zowel uw eigen data als die van uw klanten.

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...

Nadere informatie

Bijlage 1 behorend bij de Algemene Voorwaarden Caresharing: Acceptable use policy

Bijlage 1 behorend bij de Algemene Voorwaarden Caresharing: Acceptable use policy Bijlage 1 behorend bij de Algemene Voorwaarden Caresharing: Acceptable use policy Colofon Document : Acceptable Use Policy (AUP) Service : Caresharing Leverancier : CareSharing B.V. Versie: : 2.0 Datum

Nadere informatie

HOE OMGAAN MET DE MELDPLICHT DATALEKKEN?

HOE OMGAAN MET DE MELDPLICHT DATALEKKEN? HOE OMGAAN MET DE MELDPLICHT DATALEKKEN? EEN HANDIGE CHECKLIST In deze whitepaper bieden we u handvatten die u kunnen helpen bij de implementatie van de meldplicht datalekken binnen uw organisatie. We

Nadere informatie

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002. Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten

Nadere informatie

Installatie Remote Backup

Installatie Remote Backup Juni 2015 Versie 1.2 Auteur : E.C.A. Mouws Pagina 1 Inhoudsopgave BusinessConnect Remote Backup... 3 Kenmerken... 3 Beperkingen... 3 Gebruik op meerdere systemen... 3 Systeemeisen... 4 Support... 4 Installatie...

Nadere informatie

Plan van Aanpak beschikbaar stellen broncode Basisregistratie Personen (BRP)

Plan van Aanpak beschikbaar stellen broncode Basisregistratie Personen (BRP) Plan van Aanpak beschikbaar stellen broncode Basisregistratie Personen (BRP) Samenvatting De minister van Binnenlandse Zaken en Koninkrijksrelaties (BZK) heeft in de Tweede Kamer toegezegd de broncode

Nadere informatie

Beknopt overzicht van bedreigingen en maatregelen

Beknopt overzicht van bedreigingen en maatregelen Beknopt overzicht van bedreigingen en maatregelen Dit voorbeelddocument omvat een beknopt overzicht van bedreigingen en maatregelen. De opgesomde componenten, bedreigingen en maatregelen zijn bedoeld om

Nadere informatie

Arrix Automatisering Heideanjer 2 9202 PG DRACHTEN Tel. (0512) 54 32 21 www.arrix.nl

Arrix Automatisering Heideanjer 2 9202 PG DRACHTEN Tel. (0512) 54 32 21 www.arrix.nl 10 security tips Security wordt vaak als hinderlijk ervaren. Wachtwoorden worden vergeten en software wordt niet geupdate. Kortom, men ziet niet altijd het belang van informatiebeveiliging en voelt zich

Nadere informatie

Privacy Bijsluiter (digitale) leermiddelen en educatieve diensten voor het primair onderwijs van Blink

Privacy Bijsluiter (digitale) leermiddelen en educatieve diensten voor het primair onderwijs van Blink Bijlage 1 Privacy Bijsluiter (digitale) leermiddelen en educatieve diensten voor het primair onderwijs van Blink Blink is een educatieve uitgeverij die verschillende (digitale) producten en diensten (

Nadere informatie

Hoe gaat u dit gemeentelijke varkentje wassen? Aansluiten bij de IBD Anita van Nieuwenborg

Hoe gaat u dit gemeentelijke varkentje wassen? Aansluiten bij de IBD Anita van Nieuwenborg Hoe gaat u dit gemeentelijke varkentje wassen? Aansluiten bij de IBD Anita van Nieuwenborg Programma 1. De IBD 2. stappenplan Aansluiten bij de IBD 3. VCIB-gesprek (plenair) 2 1.1 De IBD Gezamenlijk initiatief

Nadere informatie

Het Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV

Het Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV Het Sebyde aanbod Secure By Design AUG 2012 Sebyde BV Wat bieden wij aan? 1. Web Applicatie Security Audit 2. Secure Development 3. Security Awareness Training 4. Security Quick Scan 1. Web Applicatie

Nadere informatie

POP locatie. Straatkast. i-box. i-box NOC. i-box. Datacenter

POP locatie. Straatkast. i-box. i-box NOC. i-box. Datacenter Straatkast POP locatie Datacenter Het beheer van uw telecomruimten neemt veel tijd in beslag en is een kostbaar proces. U heeft immers 24/7 personeel nodig dat alle processen nauwkeurig in de gaten houdt.

Nadere informatie

Sebyde Web Applicatie Security Scan. 7 Januari 2014

Sebyde Web Applicatie Security Scan. 7 Januari 2014 Sebyde Web Applicatie Security Scan 7 Januari 2014 Even voorstellen Sebyde BV is Certified IBM Business Partner voor security systems, gespecialiseerd in applicatie security en security awareness. We leveren

Nadere informatie

Medische gegevens zijn geclassificeerd als bijzondere persoonsgegevens en vragen extra aandacht!

Medische gegevens zijn geclassificeerd als bijzondere persoonsgegevens en vragen extra aandacht! Privacy is het recht op eerbiediging van de persoonlijke levenssfeer. Privacy van informatie is de afwezigheid van informatie over onszelf bij anderen en bovendien het verbod aan anderen om zonder onze

Nadere informatie

Gebruikershandleiding MobiDM

Gebruikershandleiding MobiDM Gebruikershandleiding MobiDM Gebruikershandleiding voor versie 3.6.2 Versie 1.0 INHOUDSOPGAVE 1. DE MOBIDM PORTAL.... 2 1.1. INLOGGEN... 2 1.2. WACHTWOORD VERGETEN?... 2 2. TOESTELBEHEER.... 3 2.1. OS-AFHANKELIJKE

Nadere informatie

IT Security in de industrie

IT Security in de industrie IT Security in de industrie Praktische ervaringen met cyber security in de Energiesector en Procesindustrie Henk Spelt Henk.Spelt@kema.com Experience you can trust. Onderwerpen Waarom is (cyber) security

Nadere informatie

Beveiligingsmaatregelen voor een doeltreffende Cyber verdediging

Beveiligingsmaatregelen voor een doeltreffende Cyber verdediging Beveiligingsmaatregelen voor een doeltreffende Cyber verdediging ivo.depoorter@v-ict-or.be V-ICT-OR Vlaamse ICT organisatie Ons overkomt dit niet.of toch? Inschatting Risico Kans X Schade Zijn wij een

Nadere informatie

DigiNotar certificaten

DigiNotar certificaten DigiNotar certificaten Onlangs is duidelijk geworden dat er digitaal is ingebroken bij het bedrijf Diginotar. Daarmee worden alle DigiNotar certificaten niet meer als veilig geaccepteerd. Certificaten

Nadere informatie

Hoe veilig is uw data? Oscar Vermaas Hoffmann bedrijfsrecherche B.V.

Hoe veilig is uw data? Oscar Vermaas Hoffmann bedrijfsrecherche B.V. Hoe veilig is uw data? Oscar Vermaas Hoffmann bedrijfsrecherche B.V. Agenda Wat is Cybercrime Casus: Valse factuur Informatie verwerven Casus: Inloopactie Delen van informatie Awareness Tips Wat ziet de

Nadere informatie

Factsheet Penetratietest Webapplicaties

Factsheet Penetratietest Webapplicaties Factsheet Penetratietest Webapplicaties Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

Forecast XL Technology

Forecast XL Technology Forecast XL Technology Introductie Forecast XL is een vertrouwde, eenvoudig te gebruiken cloud applicatie, gekenmerkt door redundante IT-omgevingen en dynamische toewijzing van middelen. Gebruikers kunnen

Nadere informatie

ROC Leeuwenborgh. Gedragscode computergebruik en gebruik van Sociale Media

ROC Leeuwenborgh. Gedragscode computergebruik en gebruik van Sociale Media ROC Leeuwenborgh Gedragscode computergebruik en gebruik van Sociale Media Documentstatus Datum: Aard wijziging: Door: Toelichting: 26 februari 2013 Bert Wetzels Instemming OR Deze gedragscode geeft de

Nadere informatie

BEVEILIGINGSARCHITECTUUR

BEVEILIGINGSARCHITECTUUR BEVEILIGINGSARCHITECTUUR Risico s onder controle Versie 1.0 Door: drs. Ir. Maikel J. Mardjan MBM - Architect 2011 cc Organisatieontwerp.nl AGENDA Is een beveiligingsarchitectuur wel nodig? Oorzaken beveiligingsincidenten

Nadere informatie

Gedragscode voor leerlingen van RSG Broklede voor gebruik van informatie- en communicatiemiddelen en voorzieningen

Gedragscode voor leerlingen van RSG Broklede voor gebruik van informatie- en communicatiemiddelen en voorzieningen Gedragscode voor leerlingen van RSG Broklede voor gebruik van informatie- en communicatiemiddelen en voorzieningen Vastgesteld door de SL op 2 september 2010 Instemming van de MR op 28 september 2010 De

Nadere informatie

Sebyde Security in een organisatie A3 Management Workshop. 7 Januari 2014

Sebyde Security in een organisatie A3 Management Workshop. 7 Januari 2014 Sebyde Security in een organisatie A3 Management Workshop 7 Januari 2014 Even voorstellen Sebyde BV is Certified IBM Business Partner voor security systems, gespecialiseerd in applicatie security en security

Nadere informatie

COPYRIGHT GARANTIEBEPERKINGEN

COPYRIGHT GARANTIEBEPERKINGEN COPYRIGHT SLC BV 1996. All rechten voorbehouden. Niets uit deze uitgave mag worden verveelvoudigd, overgebracht, opgeslagen in een opslagsysteem of doorgegeven in welke vorm of op welke manier ook - elektronisch,

Nadere informatie

Help! Mijn website is kwetsbaar voor SQL-injectie

Help! Mijn website is kwetsbaar voor SQL-injectie Help! Mijn website is kwetsbaar voor SQL-injectie Controleer uw website en tref maatregelen Factsheet FS-2014-05 versie 1.0 9 oktober 2014 SQL-injectie is een populaire en veel toegepaste aanval op websites

Nadere informatie

Procedurerichtlij nen voor informanten

Procedurerichtlij nen voor informanten Procedurerichtlij nen voor informanten De bijgevoegde procedurerichtlijnen voor informanten die door elke bestuurder, directeur en werknemer van BARNES Group Holland B.V., zakendoend met de naam KENT,

Nadere informatie

Aanvullende Voorwaarden

Aanvullende Voorwaarden Aanvullende Voorwaarden Onlinediensten augustus 2011 aanvullende voorwaarden Onlinediensten KPN B.V. versie augustus 2011 I n H o u d 1: BEGRIPSBEPALINGEN... 2 2: TOEPASSELIJKHEID EN TOTSTANDKOMING OVEREENKOMST...

Nadere informatie

Raadsmededeling - Openbaar

Raadsmededeling - Openbaar Raadsmededeling - Openbaar Nummer : 54/2016 Datum : 22 maart 2016 B&W datum : 22 maart 2016 Beh. ambtenaar : Annelies te Booij Portefeuillehouder : G. Berghoef Onderwerp : Meldplicht datalekken Aanleiding

Nadere informatie

Handleiding voor snelle installatie

Handleiding voor snelle installatie Handleiding voor snelle installatie ESET NOD32 Antivirus v3.0 ESET NOD32 Antivirus biedt de beste beveiliging voor uw computer tegen kwaadaardige code. Gebouwd met de ThreatSense scanmachine, die geïntroduceerd

Nadere informatie

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1. www.traxion.com

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1. www.traxion.com Veilig de cloud in Whitepaper over het gebruik van Cloud-diensten deel 1 www.traxion.com Introductie Deze whitepaper beschrijft de integratie aspecten van clouddiensten. Wat wij merken is dat veel organisaties

Nadere informatie

Voorwaarden Repper-account

Voorwaarden Repper-account Voorwaarden Repper-account Versie 1 3 2014 Toepasselijkheid 1. De bepalingen in deze overeenkomst zijn onlosmakelijk verbonden met de algemene voorwaarden van leverancier. Bij tegenstrijdigheid tussen

Nadere informatie

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid»

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» SCSZ/11/135 ADVIES NR 11/16 VAN 8 NOVEMBER 2011 BETREFFENDE DE AANVRAAG VAN HET NATIONAAL ZIEKENFONDS PARTENA

Nadere informatie

Informatiebeveiliging voor gemeenten: een helder stappenplan

Informatiebeveiliging voor gemeenten: een helder stappenplan Informatiebeveiliging voor gemeenten: een helder stappenplan Bewustwording (Klik hier) Structureren en borgen (Klik hier) Aanscherping en maatwerk (Klik hier) Continu verbeteren (Klik hier) Solviteers

Nadere informatie

Datadiefstal: Gone in 60 Seconds!

Datadiefstal: Gone in 60 Seconds! Datadiefstal: Gone in 60 Seconds! Didacticum Solutions Datadiefstal en ontwikkelingen Het komt regelmatig voor: klantgegevens of intellectuele eigendommen van bedrijven worden door hackers gestolen. Denk

Nadere informatie

Bijlage 2 Beveiligingsplan. Informatiebeveiliging

Bijlage 2 Beveiligingsplan. Informatiebeveiliging Bijlage 2 Beveiligingsplan Informatiebeveiliging De verantwoordelijkheid voor informatiebeveiliging ligt bij het dagelijks bestuur. In de DB-vergadering van 31 augustus 2015 is stilgestaan bij een aantal

Nadere informatie

privacy statement WerkvoorWerk.nl Privacy Statement aandachtig door te nemen. De schuin geschreven gebruiksvoorwaarden van WerkvoorWerk.nl.

privacy statement WerkvoorWerk.nl Privacy Statement aandachtig door te nemen. De schuin geschreven gebruiksvoorwaarden van WerkvoorWerk.nl. privacy statement WerkvoorWerk.nl WerkvoorWerk.nl neemt de privacy van haar gebruikers zeer serieus en zal informatie over u op een veilige manier verwerken en gebruiken. In dit document wordt het Privacy

Nadere informatie

Smartphones onder vuur

Smartphones onder vuur Smartphones onder vuur Dominick Bertens Account Manager NAVO & NL Agenda Sectra Communications Bedreigingen Bring Your Own Device Panthon 3 Samenvatting Security Masterclass Vragen Sectra Communications

Nadere informatie

m.b.v. digitale certificaten en PKI Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van e-mail

m.b.v. digitale certificaten en PKI Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van e-mail Beknopte dienstbeschrijving Beveiligen van e-mail m.b.v. digitale certificaten en PKI Document: Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van e-mail Inhoudsopgave 1. Inleiding 2 2. Snel te

Nadere informatie

ailexpert Privacy beleid MailExpert

ailexpert Privacy beleid MailExpert ailexpert Privacy beleid MailExpert MailExpert BV is onderdeel van de PPOM groep vestigings- en correspondentieadres : Zambezilaan 189 1448 ME PURMEREND MailExpert BV Algemene Gouw 60 inlichtingen: 1441

Nadere informatie

GEDRAGS- CODE. Gebruik van elektronische communicatiemiddelen

GEDRAGS- CODE. Gebruik van elektronische communicatiemiddelen GEDRAGS- CODE Gebruik van elektronische communicatiemiddelen 2 3 Gedragscode voor het gebruik van elektronische communicatiemiddelen Inhoud 1. Doel van de regeling 2. Werkingssfeer 3. Algemene gedragsregels

Nadere informatie

De beste, mooiste en meest intelligente oplossing voor de automatisering en beveiliging van uw domein.

De beste, mooiste en meest intelligente oplossing voor de automatisering en beveiliging van uw domein. De beste, mooiste en meest intelligente oplossing voor de automatisering en beveiliging van uw domein. Fibaro is een complete en krachtige oplossing voor het monitoren, beheren en intelligent automatiseren

Nadere informatie

mpix VPN Dienstbeschrijving Copyright The Voip Company 2011 Pagina 1 van 8

mpix VPN Dienstbeschrijving Copyright The Voip Company 2011 Pagina 1 van 8 mpix VPN Dienstbeschrijving Copyright The Voip Company 2011 Pagina 1 van 8 Inhoudsopgave Inhoudsopgave... 2 1 mpix VPN... 3 2 Productbeschrijving... 4 2.1 mpix en IP-VPN... 5 2.2 Kwaliteit... 7 2.3 Service

Nadere informatie

Shenandoa a Forensic Challenge DIGITAL INVESTIGATION B.V.

Shenandoa a Forensic Challenge DIGITAL INVESTIGATION B.V. Shenandoa a Forensic Challenge DIGITAL INVESTIGATION B.V. Past Present Future Black Hat Sessions 2012 AGENDA Past Present Future Black Hat Sessions 2012 Wie is DI? Shenandoa case Uitdagingen Eerste Bevindingen

Nadere informatie

Process Control Netwerk Security bij Lyondell. Dave Chong European IT Project Manager Lyondell Chemie Nederland B.V.

Process Control Netwerk Security bij Lyondell. Dave Chong European IT Project Manager Lyondell Chemie Nederland B.V. Process Control Netwerk Security bij Lyondell Dave Chong European IT Project Manager Lyondell Chemie Nederland B.V. Agenda Introductie Korte feiten over Lyondell Chemie Wat doet Lyondell Chemie aan PCN

Nadere informatie

Risico beperkende maatregelen bij Windows XP na 8 april 2014

Risico beperkende maatregelen bij Windows XP na 8 april 2014 Login Consultants Risico beperkende maatregelen bij Windows XP na 8 april 2014 White paper Leeswijzer Dit document geeft een beeld van de maatregelen die een organisatie kan nemen indien na 8 april 2014

Nadere informatie

1 Dienstbeschrijving all-in beheer

1 Dienstbeschrijving all-in beheer 1 Dienstbeschrijving all-in beheer De all-in beheer overeenkomst van Lancom is modulair opgebouwd. U kunt bij Lancom terecht voor deelgebieden zoals helpdesk ondersteuning of backup, maar ook voor totale

Nadere informatie

Checklist calamiteiten

Checklist calamiteiten Checklist calamiteiten Op grond van de Voorbeeld Samenwerkingsovereenkomst Volmacht dienen gevolmachtigde assurantiebedrijven te beschikken over een calamiteitenplan. Het calamiteitenplan moet erin voorzien

Nadere informatie

Informatiebeveiliging in de praktijk gebracht! Een pragmatische aanpak van IT-beveiliging.

Informatiebeveiliging in de praktijk gebracht! Een pragmatische aanpak van IT-beveiliging. Informatiebeveiliging in de praktijk gebracht! Een pragmatische aanpak van IT-beveiliging. Nick Pieters IT Security audits IT Security consulting & oplossingen IT Security trainer Human... nick@secure-it.be

Nadere informatie

NETQ Healthcare: Voor inzicht in het effect van therapie

NETQ Healthcare: Voor inzicht in het effect van therapie NETQ Healthcare: Voor inzicht in het effect van therapie INHOUD Inleiding 3 Eisen vanuit NEN 7510 en de Wet Bescherming Persoonsgegevens 4 Beheerst wijzigingsproces 4 Toegankelijkheid geautoriseerde gebruikers

Nadere informatie

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid»

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» SCSZ/13/187 ADVIES NR 13/77 VAN 3 SEPTEMBER 2013 BETREFFENDE DE AANVRAAG VAN HET RIJKSINSTITUUT VOOR DE SOCIALE

Nadere informatie

Betrouwbaar computergebruik: op weg naar een veilig mobiel platform

Betrouwbaar computergebruik: op weg naar een veilig mobiel platform Betrouwbaar computergebruik: op weg naar een veilig mobiel platform Iedereen is zich zo langzaamaan bewust van de gevaren die het mobiele computerplatform bedreigen virussen, wormen, Trojaanse paarden,

Nadere informatie

uw (bedrijfs)naam, e-mail adres, adres, (statutaire) vestigingsadres, telefoonnummer en geslacht.

uw (bedrijfs)naam, e-mail adres, adres, (statutaire) vestigingsadres, telefoonnummer en geslacht. Privacybeleid Zoek en Vind Algemeen Zoek en Vind maakt voor de exploitatie van haar website en diensten gebruik van persoonsgegevens. Ter bescherming van de persoonsgegevens van de gebruiker heeft Zoek

Nadere informatie

Werken zonder zorgen met uw ICT bij u op locatie

Werken zonder zorgen met uw ICT bij u op locatie Werken zonder zorgen met uw ICT bij u op locatie Naast de mogelijkheden om uw programmatuur en gegevens bij Drie-O via Evy 2.0 in de cloud te hosten hebt u ook de mogelijkheid om uw ICT omgeving bij u

Nadere informatie

1. Uw computer beveiligen

1. Uw computer beveiligen 15 1. Uw computer beveiligen Voor computers die verbinding maken met internet is goede beveiliging essentieel. Een goed beveiligingssysteem verkleint het risico op malware (virussen of andere schadelijke

Nadere informatie

Informatiebeveiliging

Informatiebeveiliging Informatiebeveiliging Jeroen van Luin 30-11-2011 jeroen.van.luin@nationaalarchief.nl Wat is informatiebeveiliging? Informatiebeveiliging is het geheel van preventieve, detectieve, repressieve en correctieve

Nadere informatie

ISSX, Experts in IT Security. Wat is een penetratietest?

ISSX, Experts in IT Security. Wat is een penetratietest? De Stuwdam 14/B, 3815 KM Amersfoort Tel: +31 33 4779529, Email: info@issx.nl Aanval- en penetratietest U heeft beveiligingstechnieken geïnstalleerd zoals Firewalls, Intrusion detection/protection, en encryptie

Nadere informatie

cprotect BESCHERM HET ONVERVANGBARE VOOR ANDROID-SMARTPHONES EN -TABLETS GEBRUIKERSHANDLEIDING

cprotect BESCHERM HET ONVERVANGBARE VOOR ANDROID-SMARTPHONES EN -TABLETS GEBRUIKERSHANDLEIDING cprotect BESCHERM HET ONVERVANGBARE VOOR ANDROID-SMARTPHONES EN -TABLETS GEBRUIKERSHANDLEIDING Inleiding cprotect: Bescherm het onvervangbare! cprotect is een applicatie die u eenvoudig op uw (Android)

Nadere informatie

Remote Toegang Policy VICnet/SPITS

Remote Toegang Policy VICnet/SPITS Ministerie van Verkeer en Waterstaat opq Rijkswaterstaat Remote Toegang Policy VICnet/SPITS 16 Februari 2005 Eindverantwoordelijkheid Goedgekeurd Naam Datum Paraaf Security Manager SPITS E.A. van Buuren

Nadere informatie

Verantwoord beveiligen

Verantwoord beveiligen Verantwoord beveiligen Verantwoord beveiligen De kerncentrale van EPZ is door de Nederlandse regering aangemerkt als vitaal object. De beveiliging van deze installatie is opgezet volgens nationale en internationale

Nadere informatie