Toegang is geen open deur

Maat: px
Weergave met pagina beginnen:

Download "Toegang is geen open deur"

Transcriptie

1 Toegang is geen open deur Risico analyse op basis van de attack tree methode in een mobiele omgeving Ir. Eric Kaasenbrood Drs. Ing. Dirk de Wit CISSP Final 9/6/2009 1

2 Postgraduate IT Audit opleiding VU Amsterdam Team nummer: 921 Studenten: Ir. Eric Kaasenbrood Drs. Ing. Dirk de Wit CISSP VU coach: Drs. Bart van Staveren RE Bedrijfscoach: Drs. Henk Marsman CISSP CISA Contact gegevens: Eric Kaasenbrood tel Dirk de Wit tel If you think technology can solve your security problems, then you don't understand the problems and you don't understand the technology. (Bruce Schneier, 2000) 2

3 Inhoudsopgave Inhoudsopgave...3 Samenvatting...4 Onderzoeksvraag...4 Onderzoeksmethode...4 Resultaten...5 Voorwoord Inleiding Probleemstelling Onderzoeksmethodologie Afbakening van het onderzoek Definitie mobiel werken & trends Trends mobiel werken Mobiliteit bij consultancy en audit bedrijven Definitie mobiel werken Risico s in een mobiele omgeving Attack tree Vergelijking met andere risicoanalyse methodieken Omgeving Ontwikkeling van het model Bedreigingen en risico s Good practices voor beveiliging in een mobiele omgeving Wat zijn beheersmaatregelen? Beheersmodel Richtlijnen en procedures Bewustzijn bij gebruikers Organisatorische maatregelen Technische maatregelen Praktische toepassing door de IT auditor Case analyse Toepassing in de praktijk Gebruik van de attack trees Afweging bij tegengestelde belangen Rol IT-Auditor

4 6 Conclusie Reflectie en aanvullende onderzoeksresultaten...31 Samenvatting Bedrijven maken in toenemende mate gebruik van mobiele technologieën waarmee werknemers buiten de beheersbare bedrijfsomgeving hun werkzaamheden uitvoeren [NUS07]. Dit toenemende gebruik van mobiel werken en de daarbij behorende ontsluiting van vertrouwelijke informatie buiten de bedrijfsgrenzen leidt tot aanvullende dreigingen. Om deze dreigingen te beheersen moeten bedrijven diverse beheersmaatregelen implementeren. Onderzoeksvraag Voordat mobiel werken effectief en efficiënt beheerd kan worden is het noodzakelijk om inzicht in de risico s en de mogelijke beheersmaatregelen te krijgen. Dit heeft geleidt tot volgende hoofdvraag: Wat zijn de risico s voor de digitale bedrijfs(kritische) informatie met betrekking tot mobiel werken 1 bij consultancy/audit bedrijven en met welke maatregelen kunnen deze risico s beheerst worden? Bij deze vraagstelling is gekeken naar de kwaliteitsaspecten beschikbaarheid, integriteit, en vertrouwelijkheid. Onderzoeksmethode De basis van het onderzoek is een literatuurstudie naar de verschillende dreigingen en mogelijke beheersmaatregelen die mobiel werken met zich meebrengen. Deze literatuurstudie is aangevuld met eigen analyse. Aan de hand van de attack tree methode van Bruce Schneier zijn verschillende dreigingen in mobiel werken gestructureerd. Deze methodiek maakt het mogelijk om op gestructureerde wijze over risico s na te denken. De resultaten van dit onderzoek zijn in meer detail terug te vinden in appendi I. Het opgestelde model is geverifieerd met een een drietal security professionals. Resultaten van deze discussies zijn verwerkt in het model. Na het opstellen van het attack tree model zijn er matrices opgesteld (zie appendi II) om een duidelijk overzicht te krijgen van de dreigingen en beheersmaatregelen, waarmee de praktische toepasbaarheid is getoetst bij een tweetal bedrijven. Met behulp van een interview is aan de hand 1 Onder mobiel werken verstaan wij het gebruik van middelen om met bedrijfkritische elektronische gegevens te kunnen werken (op te slaan, te verwerken en/of te transporteren) buiten de fysieke grenzen van het bedrijf. 4

5 van het ontwikkelde attack tree model en de matrices bekeken waar mogelijke dreigingen zich voor doen. Ter ondersteuning van de analyse is gekozen voor een methode welke een gestructureerde manier van denken afdwingt. Deze methode, de attack tree, is een standaard manier om de informatiebeveiliging van systemen in kaart te brengen door te kijken wat mogelijke aanvallen zijn [SCH99]. Een attack tree geeft inzicht op de wijze waarop een informatiebeveiligingsdoelstelling (bijvoorbeeld de vertrouwelijkheid, integriteit of beschikbaarheid) teniet gedaan wordt. Resultaten Het onderzoek heeft een overzicht opgeleverd met daarin dreigingen en beheersmaatregelen die het mobiel werken met zich meebrengen. Daarnaast blijkt uit de praktische toepassing dat het ontwikkelde attack tree model in combinatie met de matrices geschikt zijn om snel inzicht te krijgen in mogelijke dreigingen op het gebied van mobiel werken. Dit helpt de IT-Auditor bij het bepalen van zijn audit strategie. Daarnaast geven de matrices inzicht in welke beheersmaatregelen welke risico s afdekken. Dit geeft management (van bedrijven waar medewerkers mobiel werken) een tool waarmee een afweging gemaakt kan worden tussen verschillende beheersmaatregelen. 5

6 Voorwoord Deze scriptie is geschreven in het kader van de afronding van de IT-Audit opleiding aan de Vrije Universiteit in Amsterdam. Wij bedanken onze afstudeerbegeleiders Bart van Staveren en Henk Marsman voor hun tips en feedback tijdens het onderzoek en schrijfproces. Daarnaast bedanken wij de geïnterviewde professionals Frank Fransen (TNO ICT), Tom Schuurmans (Deloitte ERS) en Marinus den Breejen (Gartner Consulting) voor de interessante discussies rondom dit onderwerp. Ook bedanken wij Henk Walstra (Coördinator ICT Security ATOS) en Marco Rijpert (Senior Manager Deloitte ICT) wie ons de mogelijkheid gaven om ons model in de praktijk te toetsen. Tot slot willen wij onze vriendinnen Dominique en Marieke bedanken voor hun geduld en begrip tijdens deze drukke periode. Eric en Dirk 6

7 1 Inleiding December 2008, McCain s campagneteam verkoopt een Blackberry vol met vertrouwelijke gegevens. Op de smartphone stonden vijftig telefoonnummers van mensen die bij de McCain-Palin campagne betrokken waren, alsmede honderden s van begin september [SEC08]. September 2008, de Britse overheid zegt het contract met een adviesbureau op na het verlies van een USB-stick [SEC081]. Januari 2009, een laptop met gegevens van 5000 patiënten wordt gestolen uit zorginstelling in Wales [SEC09] en zo zijn er nog veel meer incidenten op te noemen [SEC091]. Bedrijven maken in toenemende mate gebruik van mobiele technologieën waarmee werknemers buiten de beheersbare bedrijfsomgeving hun werkzaamheden uitvoeren. Hierbij hebben zij toegang nodig tot gevoelige informatie en kritische bedrijfsapplicaties. Dit toenemende gebruik van mobiele technologieën en de daarbij behorende ontsluiting buiten de bedrijfsgrenzen van gevoelige informatie wordt ook onderschreven door derden. Volgens Businessweek zal 2008 het jaar van de Super Mobility worden [NUS07]. Forrester voorspelt dat, ondanks de economische teruggang, mobiele initiatieven, zoals een mobiliteitsstrategie en het bieden van hulpmiddelen om mobiel te kunnen werken, in bedrijven prioriteit zullen hebben in 2009 [PEL081]. Een van de uitkomsten van Deloitte s Technology, Media & Telecommunications Security Survey [DEL07] is dat steeds meer mensen mobiel werken en daarbij gebruik maken van public WiFi access points of UMTS. Bedrijfsinformatie die vroeger veilig in het bedrijfsnetwerk zat, wordt nu door o.a. werknemers geraadpleegd via publieke netwerken. Dit wordt verder gestimuleerd door de tendens dat bedrijven hun werknemers meer mogelijkheden geven om zelf te kiezen waar en wanneer ze werken. Wij denken dat de stijging in mobiel werken, en alles wat daarmee samenhangt, grote gevolgen heeft en zal hebben voor de beveiliging van de digitale bedrijfskritische informatie van een bedrijf. Hoe kan een bedrijf zijn werknemers de mobiele fleibiliteit bieden en toch zijn beheersomgeving in control krijgen en houden? Hoe kan een bedrijf voorkomen dat er kritische informatie op straat komt te liggen? 7

8 1.1 Probleemstelling Voordat mobiel werken effectief en efficiënt beheerd kan worden is het noodzakelijk om inzicht in de risico s en de mogelijke beheersmaatregelen te krijgen. Het bovenstaande leidt tot volgende hoofdvraag: Wat zijn de risico s voor de digitale bedrijfs(kritische) informatie met betrekking tot mobiel werken 2 bij consultancy/audit bedrijven en met welke maatregelen kunnen deze risico s beheerst worden? Om deze vraag te kunnen beantwoorden zijn er de volgende deelvragen opgesteld: 1. Wat zijn de huidige trends t.a.v. mobiel werken? 2. Welke informatiebeveiligingsrisico s bestaan er bij consultancy / audit bedrijven ten aanzien van mobiel werken? 3. Wat zijn de best practices om deze informatiebeveiligingsrisico's te beperken? 4. Op welke wijze kan een IT auditor het voorgaande gebruiken bij zijn oordeelsvorming? 1.2 Onderzoeksmethodologie Het onderzoek heeft zich gericht op verregaande mobiliteit bij consultancy/ audit organisaties. De onderzoeksmethode bestaat uit een literatuurstudie aangevuld met eigen analyse en epert interviews. De gevonden resultaten zijn gemodelleerd en vervolgens getoetst in de praktijk; dit geeft inzicht in de wijze waarop het model in praktijk door de IT auditor gebruikt kan worden. Tijdens ons onderzoek hebben we bekeken in hoeverre frameworks voor bestaande best practices een leidraad kunnen zijn voor het implementeren van beheersmaatregelen voor een mobiele omgeving; hierbij is onder andere gekeken naar CoBiT [COB] en de code voor informatiebeveiliging [NEN07]. Beide raamwerken zijn van algemene aard en geven slechts beperkt houvast ten aanzien van de specifieke probleemstelling. Daarom is besloten deze raamwerken niet als leidraad te gebruiken. 2 Onder mobiel werken verstaan wij het gebruik van middelen om met bedrijfkritische elektronische gegevens te kunnen werken (op te slaan, te verwerken en/of te transporteren) buiten de fysieke grenzen van het bedrijf. 8

9 Figuur 1: Onderzoeksaanpak Bovenstaand overzicht (Figuur 1) geeft een samenvatting van de onderzoeksmethode en scriptieopbouw. Op basis van een literatuurstudie zal wordt een beeld gevormd worden van de huidige trends (Hoofdstuk 2), risico s (Hoofdstuk 3) en beheersmaatregelen (Hoofdstuk 4) ten aanzien van mobiel werken. Dit beeld zal wordt verder aangevuld worden met behulp van informatie uit interviews gehouden met security professionals welke die consultancy/ audit werkzaamheden uitvoeren op dit terrein. Bij deze interviews is gebruik gemaakt van een standaard vragenlijst (Appendi II). De verzamelde informatie is gestructureerd weergegeven in een attack tree. Een attack tree is een analyse methode welke ontwikkeld is ontwikkeld door Bruce Schneier [SCH99]. De scriptie zal, na de theoretische onderbouwing, een casus beschouwen. Voor deze casus zijn we in gesprek gegaan met IT managers van twee sterk gemobiliseerde bedrijven en daarbij ingaan op risico s die zij onderkennen en maatregelen die getroffen zijn. De resultaten zijn getoetst tegen de ontwikkelde attack tree om te bepalen in hoeverre dit model kan bijdragen bij het beoordelen van de mobiele veiligheid. Er is bewust voor gekozen om de gedetailleerde resultaten van deze casus niet op te nemen in deze scriptie. Gezien onze focus op grotere consultancy/audit organisaties zal verwerking van een praktisch voorbeeld herleidt kunnen worden tot een specifieke organisatie. Dit heeft tot gevolg dat de feitelijke omschrijving en daarmee ook mogelijke zwakheiden van die specifieke organisatie in een publiek toegankelijk document beschikbaar zijn. 9

10 1.3 Afbakening van het onderzoek De focus van het onderzoek ligt op informatiebeveiligingsrisico s bij verregaande mobiliteit binnen grotere consultancy/audit organisaties 3. In deze scriptie worden informatiebeveiligingsrisico s beperkt tot die risico s die betrekking hebben op: Het gebruik/transport van vertrouwelijke data buiten de fysieke gebouwen van een bedrijf (waarbij buiten als willekeurig bestempeld kan worden); De datamutatie vanaf een plaats buiten het bedrijfsnetwerk. De volgende type risico s zijn geen onderdeel zijn van het onderzoek: Algemene risico s en beheersmaatregelen die gelden voor interne platformen/applicaties/besturingssystemen en communicatie; Verbindingen tussen meerdere server centra/bedrijfslocaties. Er wordt vanuit gegaan dat alle informatie die consultancy/audit bedrijven over haar klanten vast leggen van vertrouwelijke aard is. 3 Grotere is hier gedefinieerd als bedrijven met meer dan 500 werknemers 10

11 2 Definitie mobiel werken & trends Het begrip mobiel werken wordt gedefinieerd, waarna wordt ingegaan op de verschillende risico s ten aanzien van mobiel werken en de mogelijke beheersmaatregelen. Om een goede definitie van mobiel werken te kunnen geven wordt een kort overzicht van de historie en huidige/toekomstige trends van de mobiele werker beschreven worden. Op basis van deze beschrijvingen wordt gekomen tot een definitie van mobiel werken. 2.1 Trends mobiel werken Informatie- en communicatietechnologie (ICT) heeft in korte tijd een belangrijk aandeel genomen in ons hedendaagse leven. Daar waar in 1943 de eerste elektronische computer genaamd de Colossus in het topgeheim in productie werd genomen met het doel om het onderschepte Duitse berichtenverkeer te ontcijferen [WIK09] zijn een halve eeuw later bedrijven in sterke mate afhankelijk van computers. Bedrijfsprocessen worden vaak ondersteund door computerprocessen waarbij primaire vastlegging ook geschiedt in deze systemen. Daarnaast maken medewerkers bij het uitoefenen van hun dagelijkse werkzaamheden gebruik van computers. Dit maakt het dat het correct functioneren van ICT van levensbelang is voor veel bedrijven. In de traditionele setting van het geautomatiseerde bedrijf vonden veel processen binnen de fysieke bedrijfsomgeving plaats. Computers waren gecentraliseerd (meestal een mainframe oplossing) en gebruikers maakten met hun desktop/client vanaf hun werkplek verbinding met deze computer. Het gebruik van internet op de werkplek was niet gebruikelijk. Hierdoor konden bedrijven hun informatiesystemen naast logisch ook fysiek scheiden van de buitenwereld. Een van de eerdere voorbeelden van mobiel werken zijn terug te vinden bij die van de beheerder die vanaf thuis, vaak buiten reguliere werktijden, onderhoud en beheer biedt voor de informatiesystemen. Het onderdeel mobiel wil hier eigenlijk alleen zeggen dat hij van buiten de bedrijfsomgeving zijn werkzaamheden uitvoert. Deze situatie geeft al toegang tot systemen van buiten het bestaande netwerk maar de beperkte schaal en beperkte toegangsmogelijkheden houden de compleiteit beperkt. Begin jaren tachtig deed de laptop zijn intrede [LAP00], eind jaren tachtig rusten bedrijven werknemers in de buitendienst steeds meer uit met een laptop. Veelal betroffen het hier standalone computers welke op het kantoor gesynchroniseerd werden [WIK091]. 11

12 Figuur 2: Het geschatte percentage van mobiele werknemers ligt rond de 20% Vandaag de dag is het mobiele en daarmee ook het thuiswerken voor een grotere groep werknemers van toepassing. Uit een enquête van Forrester [PEL08](zie Figuur 2) is gebleken dat een redelijke groep werknemers op een andere locatie dan kantoor hun werktijd besteden. Het resultaat is dat werknemers vanaf verschillende locaties (soms zelfs in beweging) verbinding met het bedrijfsnetwerk. Zeker als men bedenkt dat naast de laptop men ook toegang kan hebben via smartphones en webmail toepassingen. Er zullen dus maatregen getroffen moeten gaan worden om te voorkomen dat ongeautoriseerden zich toegang verschaffen via deze nieuwe toegangsmogelijkheden. 12

13 Figuur 3: Hypecycle mobiel werken Naast de toename in het mobiele werk worden de mogelijkheden van de mobiele gebruiker steeds groter; in een onderzoek uitgevoerd door Gartner zijn de technologieën en toepassingen die mobiel werken mogelijk maken weergegeven in een hypecycle [GAR08](zie Figuur 3). Hierin valt te zien dat diverse nieuwe diensten en producten in opkomst zijn. Het is dan ook te verwachten dat naast de adoptie door consumenten (een aantal van) deze diensten ook in het bedrijfsleven geadopteerd zullen worden of dat medewerkers de behoefte hebben deze diensten af te nemen met door het bedrijf verstrekte communicatieapparatuur. Uit een onderzoek van Forrester komt naar voren dat er naast de verscheidenheid van devices die gebruikt kunnen worden er ook een groeiende behoefte van de traditionele werknemer om ook met hun eigen mobiele devices toegang te krijgen tot het bedrijfsnetwerk. Forrester [PEL08] voorspelt dat dit mobiele wannabe segment in % van de werknemers zal bevatten. Om succesvol aan deze vraag te voldoen zullen service providers, fabrikanten en software bedrijven op deze behoeften moeten inspelen. Daarnaast zal ook het bedrijfsleven aansluiting moeten vinden op deze trends. Vraagstuk hierin is in hoeverre bedrijven een keuze hebben al dan niet mee te gaan met de mobiele trends en wensen vanuit de werknemer. Middels risico inschattingen en kosten/baten afwegingen zal bepaald moeten worden welke vormen van mobiel werken binnen de bedrijfsdoelstellingen passen. Het aspect van een aantrekkelijke werkgever blijven voor dit groeiende wannabe segment zal een steeds grotere rol spelen in deze inschattingen en afwegingen. Sommige bedrijven zullen er niet aan ontkomen (gedeeltelijk) toe te geven aan de wensen van de werknemer. 13

14 2.2 Mobiliteit bij consultancy en audit bedrijven Het werk bij consultancy/audit bedrijven kenmerkt zicht door werkzaamheden bij verschillende eterne klanten. Hierbij bezoekt de medewerker de klant om daar de werkzaamheden op locatie uit te voeren. Bij de uitvoering van de werkzaamheden wordt klantdata verzameld. Ook wordt daarbij gebruik gemaakt van centrale systemen voor verschillende doelstellingen, bijvoorbeeld: Synchroniseren mail; Raadplegen kennis databases; Raadplegen historische klantdata; Uploaden van huidige klantdata. Bij uitvoering van deze werkzaamheden wordt binnen de kantoren van verschillende ICT middelen gebruik gemaakt, onder andere: Laptop; USB-stick (gebruikt voor opslag/transport data); Smartphone; Webmail. Daarnaast kan er op verschillende manieren contact gemaakt worden met het bedrijfsnetwerk. Hieronder een aantal voorbeelden: Via de mobiele telefoon (UMTS); Via een internetconnectie van de klant; Via publiek toegankelijke internet access points. De trend lijkt dus te zijn dat bedrijven meer en meer initiatieven ontplooien om mobiel werken te ondersteunen. Hierbij worden de apparaten die dit ondersteunen steeds geavanceerder en diverser. 2.3 Definitie mobiel werken De bovenstaan analyse geeft een beeld van huidige trends in mobiel werken die bij kan dragen aan de definitie van mobiliteit. In deze paragraaf worden tevens definities uit de literatuur beoordeeld. De literatuur gebruikt diverse termen voor mobiel werken. Hierbij valt onder andere te denken aan: mobiel werken, telewerken, thuiswerken. Net als de verschillende termen zijn er ook een verscheidenheid aan definities terug te vinden; hierbij valt op dat de definitie vaak gebruik wordt om het betreffende onderzoek beter af te bakenen [SUL03]. Naast informatiebeveiliging wordt bij mobiel werken ook onderzoek gedaan naar sociale, economische gevolgen. Het is dan ook niet vreemd dat voor elk van deze onderzoeken andere definities gebruikt worden. 14

15 De Vries onderscheid verschillende vormen van telewerken/mobiel werken waarbij de volgende definities naar voren komen [VRI98]: Telewerken: een vorm van arbeid die op afstand van werk- of opdrachtgever wordt uitgevoerd met behulp van ICT. In het algemeen worden de volgende categorieën van telewerken onderscheiden: 1. Multi-site telewerken. Tele-thuiswerken. Iemand werkt thuis voor één werkgever. Telewerken vindt op structurele basis plaats en is meer dan (incidenteel) werken in de avonduren ( day etending ), weekenden of soms tijdens een werkdagdeel. Over het algemeen is hierbij sprake van een arbeidsovereenkomst. 2. Mobiel telewerken. Een medewerker werkt op meerdere en wisselende plekken (bijvoorbeeld bij klanten) en gebruikt mobiele telecommunicatieapparatuur voor contact met de opdrachtgever en/of collega s op kantoor. Hierbij zal meestal sprake zijn van een arbeidsovereenkomst. 3. Freelance telewerken. Iemand werkt altijd vanuit huis voor meerdere opdrachtgevers. Hierbij is sprake van opdracht/aanneming van werk. 4. Tele-uitbesteding. Een deel van het primaire arbeidsproces kan door informatie- en communicatietechnologie (ICT) gescheiden worden van de rest en wordt op afstand van de hoofdvestiging ondergebracht. Men kan hierbij denken aan callcenters, softwareontwikkeling, data-entry, etc. Er kan sprake zijn van verschillende contractvormen. Bij deze vorm van telewerken wordt ook wel gesproken van collectieve vormen van telewerken (tegenover individuele vormen die hierboven worden genoemd). 15

16 Vooral met het oog op mogelijke risico s en maatregelen die getroffen worden is het van belang een aansluitende definitie van telewerken te hanteren. Zo zullen mensen die aan tele-uitbesteding doen aan andere risico s blootgesteld worden en andere maatregelen voor handen hebben dan gebruikers die mobiel werken. Er kunnen bij tele-uitbesteding bijvoorbeeld ook een aantal fysieke maatregelen getroffen worden omdat medewerkers vanaf eenzelfde werkplek werken. Van de gepresenteerde definities sluit de definitie van mobiel telewerken het beste aan bij de werkwijze op grotere consultancy/audit bedrijven. Er is gekozen om deze definitie toe te spitsen op de voor ons van toepassing zijnde situatie. Tevens is het element informatie toegevoegd om de data die blootgesteld wordt aan de risico s met mobiel werken epliciete aandacht te geven. Wij hanteren de volgende definitie voor mobiel werken: Mobiel werken is het gebruik van middelen om met bedrijfkritische elektronische gegevens te kunnen werken (op te slaan, te verwerken en/of te transporteren) buiten de fysieke grenzen van het bedrijf. 16

17 3 Risico s in een mobiele omgeving Om bij de beschrijving van de risico s tot een bruikbaar model te komen, is de attack tree methode gebruikt. De attack tree methode is een methodiek ontwikkeld in de hackers-, beveilgingswereld, geschikt om dreigingen te modelleren. Bij mobiel werken heb je te maken met dreigingen buiten de fysieke grenzen van het bedrijf, daarom is ervoor gekozen de attack tree methode in te zetten voor een analyse in de IT-audit wereld. Dit hoofdstuk gaat in op de attack tree in de mobiele omgeving. Hierbij wordt eerst de attack tree methode uitgelegd, gevolgd door een vergelijking met andere risicoanalyse methodieken. Hierna wordt de omgeving en de ontwikkeling van het attack tree mode beschreven. Het hoofdstuk wordt afgesloten met de bedreigingen ten aanzien van mobiel werken. 3.1 Attack tree Een attack tree is een standaard manier om de informatiebeveiliging van systemen in kaart te brengen door te kijken wat mogelijke aanvallen zijn [SCH99]. Een attack tree geeft inzicht op de wijze waarop een informatiebeveiligingsdoelstelling (bijvoorbeeld de confidentialiteit, integriteit of beschikbaarheid) teniet gedaan wordt. De doelstelling (ook vaak wortel genoemd) van de attack tree is de negatie van de informatiebeveiligings-doelstelling. Oftewel, als de doelstelling vanuit informatiebeveiliging is om het systeem beschikbaar te houden, dan is de doelstelling van de attack tree om te onderzoeken hoe de beschikbaarheid aangevallen en geschaad kan worden. Onder deze wortel komen subdoelstellingen waaraan voldaan moet worden om de doelstelling in de wortel te halen. Elke subdoelstelling, ookwel knoop genoemd, kan op zijn beurt ook weer meerdere subdoelstellingen hebben (subdoelstellingen worden de kinderen van een knoop genoemd). Een knoop met kinderen heet de ouder. De relatie tussen een ouder en zijn kinderen kan een of een relatie zijn. In een relatie moeten de doelen van alle kinderen vervuld worden om het doel van de ouder te vervullen. In een relatie is het voldoende dat een van de doelen van de kinderen vervuld wordt om de ouderdoel te vervullen. Knopen zonder kinderen worden bladeren genoemd. De doelen in de bladeren worden direct beoordeeld en zijn een gedetailleerde beschrijving van de dreiging/risico. Een verzameling van bladeren welke het hoofddoel (wortel) vervult wordt een aanvalsscenario genoemd. Om bovenstaande te verduidelijken geven we een voorbeeld van het stelen van een auto(de wortel) (zie Figuur 4). Er zijn (tenminste) twee manieren om een auto te stelen, inbreken in auto of sleutels stelen. Zowel inbreken als sleutels stelen is een subdoel, waarbij er een relatie is met de wortel auto stelen. Een van beide (inbreken of stelen) is voldoende om het hoofddoel te 17

18 verwezenlijken. Sleutels stelen kun je verder opsplitsen in het vinden van de eigenaar en het afhandig maken van de sleutels. Dit heeft een relatie met de bovenliggende subdoelstelling (de ouder). Voor ons onderzoek is ervoor gekozen de attack tree te aan te vullen met beheersmaatregelen. Een beheersmaatregel maakt de kans of de impact dat een bepaalde aanval zich kan voordoen kleiner. Er is voor gekozen de beheersmaatregelen aan de betreffende bladeren te koppelen. Zie Figuur 4 voor een voorbeeld hiervan. Figuur 4: Voorbeeld attack tree 3.2 Vergelijking met andere risicoanalyse methodieken In de literatuur zijn verschillende risicoanalyse methodieken terug te vinden. Deze methoden zijn in verschillende onderzoeken vergeleken en geïnventariseerd. Zo vergelijken Vidalis [VID04], ENISA [ENI06] en Bornman[B03] methoden als SPRINT, A&K, CRAMM, ARiES en COBRA. Deze methodieken zijn geschikt om toe te passen op een concreet bedrijf; het doel van ons onderzoek was een meer generiek toepasbare lijst van risico s te identificeren welke van toepassing zijn op mobiel werken binnen de verzameling van consultancy/audit bedrijven. De genoemde methoden omvatten het daadwerkelijk inschatten en monitoren van risico s. Dit is in een algemeen raamwerk 18

19 minder van toepassing omdat dit afhankelijk is van de bedrijfsspecifieke implementatie. Waar bovengenoemde methoden beperkt aandacht aan besteden is hoe de lijst met mogelijke risico s/dreigingen op een gestructureerde en volledige manier tot stand kan komen. Hierin onderscheid de attack tree methode zich van de bovengenoemde methoden. De attack tree methode dwingt de onderzoeker om gestructureerd te zijn bij het identificeren van dreigingen [SCH99]. Het gestructureerd identificeren van dreigingen is wat ons betreft niet alleen voor belang voor de hackers- en beveilgingswereld. Wij zijn van mening dat de attack tree methode met zijn gestructureerde analyse aanpak een bijdrage kan leveren in de IT audit wereld. 3.3 Omgeving Ten aanzien van mobiele werkomgeving onderscheiden wij drie risicogebieden (onderschreven door Hoogenboom [HOG06]. Dat zijn (zie Figuur 5): (1) het mobiele apparaat zelf; inclusief gebruik ervan en de omgevingsrisico s; (2) de communicatiekanaal met het toegangspunt van het bedrijf; (3) het toegangspunt van het bedrijf. Mobiele apparaat (1) Communicatiekanaal (2) Toegangspunt Bedrijf (3) PDA Laptop Netwerk Connectie Desktop (home) USB Stick Kantoor Smartphone Webmail Figuur 5: Gebieden mobiele beveiliging In deze scriptie worden de bovenstaande drie gebieden onderkend waarop dreigingen zich kunnen manifesteren; het plaatsvinden van een dreiging heeft effect op een van de informatiebeveiligingsaspecten (integriteit, beschikbaarheid, vertrouwelijkheid). 19

20 3.4 Ontwikkeling van het model Voor de ontwikkeling van het model is voor elk van de informatiebeveiligingsaspecten een aparte attack tree gemaakt, waarin per attack tree de omgevingen zoals gedefinieerd in paragraaf 3.2 terugkomen. In deze attack trees is eenvoudig te zien welke verzameling van aanvallen het doel vervullen (zie appendi I). Het opgebouwde model is bij een drietal epert middels een interview geverifieerd, met name om de compleetheid van de attack tree te toetsen. Hierbij zijn de interviews in drietal fasen opgedeeld: Discussie over trends in een mobiele omgeving Discussie over de dreigingen en mogelijke beheersmaatregelen Beoordeling van het huidige model. Bij deze driedeling is gekozen om bij de eerste twee punten open vragen te stellen, op deze wijze zal de geïnterviewde meer vanuit zijn eigen ervaringen spreken en daarmee mogelijke aanvullingen op ons onderzoek niet te beperken. Bij het laatste punt is het model voorgelegd aan de geïnterviewden en is hen gevraagd dit te beoordelen op volledigheid, overzichtelijkheid, consistentie en kwaliteit. (Zie Appendi II). De input van de eperts is meegenomen in de verdere verfijning van het model. 3.5 Bedreigingen en risico s Bij mobiel werken wordt de digitale bedrijfskritische informatie in vergelijking met niet-mobiel werken blootgesteld aan verschillende nieuwe en specifieke bedreigingen in. Een dreiging definieren we naar Overbeek [OVE05] als een proces of een gebeurtenis die in potentie een verstorende invloed heeft op de betrouwbaarheid van een object. In het kader van informatiebeveiliging betreft het objecten van informatievoorziening: apparatuur, programmatuur, procedures en mensen. Door een verstoring van één of meerdere van deze objecten onstaat een directe dreiging op de data welke beschermd wordt door deze objecten. Een dreiging heeft effect op een van de informatiebeveiligingsaspecten [NEN07]: Beschikbaarheid Waarborgen dat geautoriseerde gebruikers op het juiste moment en plaats tijdig toegang hebben tot informatie en aanverwante bedrijfsmiddelen. Integriteit: Waarborgen van de correctheid en volledigheid van informatie en verwerking. Vertrouwelijkheid: Waarborgen dat informatie alleen toegankelijk is voor degenen die hiertoe zijn geautoriseerd. 20

21 Daarin kan een etra onderscheid gemaakt worden tussen menselijke (foutief handelen, criminaliteit & misbruik) en niet-menselijk bedreigingen (storm, bliksem, brand). Een risico drukken we uit in termen van de gemiddelde schade als gevolg van een bedreiging. De dreiging dat iemand inbreekt in mijn auto geeft mij het risico dat ik mijn auto kwijtraak (verlies uit te drukken in geld) waardoor ik ook een maatstaf heb om maatregelen tegen af te wegen om het risico te beperken. De schade van het risico wordt genomen over een gegeven tijdsperiode waarin (één of meer) bedreigingen leidt tot een verstoring van (één of meer) objecten van de informatievoorziening. Dit betekent dat er sprake is van een risico wat zich voordoet als één of meer objecten van de informatievoorziening door één of meer bedreigingen getroffen worden, met schade als gevolg. Binnen een mobiele omgeving zijn er dreigingen voor alle drie deelgebieden. In Figuur 6 zijn de dreigingen schematisch weergegeven. Aanvaller Netwerk connectie Mobiele apparaat Kantoor Mobiele Apparaat Communicatie Kanaal Toegangspunt Bedrijf Figuur 6: Dreigingen mobiele beveiliging Op basis van diverse bronnen uit de literatuur ([JAN08],[SAN01], [HOG06]) en interviews met informatiebeveiligingseperts (zie Appendi II) zijn er per informatiebeveiligingaspect dreigingen in meer detail gedefinieerd. Deze dreigingen zijn geplaatst per omgevingsonderdeel (zoals aangegeven in figuur 6). Het overzicht van de risico s is terug te vinden in de attack trees (Appendi I) en in de matrices (zie Appendi III). 21

In jouw schoenen. Een praktische invulling van informatiebeveiliging

In jouw schoenen. Een praktische invulling van informatiebeveiliging In jouw schoenen Een praktische invulling van informatiebeveiliging Informatiebeveiliging hot topic Hoeveel weet jij eigenlijk van informatiebeveiliging? veel voldoende te weinig Vooraf.. Wat vind jij

Nadere informatie

Beveiligingsbeleid Stichting Kennisnet

Beveiligingsbeleid Stichting Kennisnet Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek

Nadere informatie

Werkplekbeveiliging in de praktijk

Werkplekbeveiliging in de praktijk Werkplekbeveiliging in de praktijk M.E.M. Spruit Geautomatiseerde werkplekken vormen een belangrijke schakel in de informatievoorziening van organisaties. Toch wordt aan de beveiliging van werkplekken

Nadere informatie

BEVEILIGINGSARCHITECTUUR

BEVEILIGINGSARCHITECTUUR BEVEILIGINGSARCHITECTUUR Risico s onder controle Versie 1.0 Door: drs. Ir. Maikel J. Mardjan MBM - Architect 2011 cc Organisatieontwerp.nl AGENDA Is een beveiligingsarchitectuur wel nodig? Oorzaken beveiligingsincidenten

Nadere informatie

Een checklist voor informatiebeveiliging

Een checklist voor informatiebeveiliging Door: De IT-Jurist Versie: 1.0 Datum: juli 2015 Hoewel bij de totstandkoming van deze uitgave de uiterste zorg is betracht, kan De IT-Jurist niet aansprakelijk worden gehouden voor de gevolgen van eventuele

Nadere informatie

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002. Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten

Nadere informatie

Berry Kok. Navara Risk Advisory

Berry Kok. Navara Risk Advisory Berry Kok Navara Risk Advisory Topics Informatiebeveiliging in het nieuws Annual Benchmark on Patient Privacy & Data Security Informatiebeveiliging in de zorg Extra uitdaging: mobiel Informatiebeveiliging

Nadere informatie

INFORMATIEBEVEILIGING VOOR WEBWINKELS

INFORMATIEBEVEILIGING VOOR WEBWINKELS INFORMATIEBEVEILIGING VOOR WEBWINKELS HANDIGE CHECKLISTS In deze whitepaper bieden we u tips en checklists die kunnen bijdragen aan een optimale beveiliging van zowel uw eigen data als die van uw klanten.

Nadere informatie

Process Control Netwerk Security bij Lyondell. Dave Chong European IT Project Manager Lyondell Chemie Nederland B.V.

Process Control Netwerk Security bij Lyondell. Dave Chong European IT Project Manager Lyondell Chemie Nederland B.V. Process Control Netwerk Security bij Lyondell Dave Chong European IT Project Manager Lyondell Chemie Nederland B.V. Agenda Introductie Korte feiten over Lyondell Chemie Wat doet Lyondell Chemie aan PCN

Nadere informatie

Security Health Check

Security Health Check Factsheet Security Health Check De beveiligingsthermometer in uw organisatie DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl De Security

Nadere informatie

Factsheet Penetratietest Informatievoorziening

Factsheet Penetratietest Informatievoorziening Factsheet Penetratietest Informatievoorziening Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015

Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015 Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015 INHOUD 1) Wat is informatiebeveiliging (IB) nu eigenlijk? 2) Wat houdt IB binnen

Nadere informatie

Dataprotectie op school

Dataprotectie op school Dataprotectie op school ook een taak van het management Jacques Verleijen Wat is informatieveiligheid? Mogelijke actoren Netwerkschijven Cloud Backup- en restoremogelijkheden Encryptie Servers Firewalls

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...

Nadere informatie

Factsheet Penetratietest Infrastructuur

Factsheet Penetratietest Infrastructuur Factsheet Penetratietest Infrastructuur Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

INFORMATIEBEVEILIGING: WAAR STAAT U NU?

INFORMATIEBEVEILIGING: WAAR STAAT U NU? INFORMATIEBEVEILIGING: WAAR STAAT U NU? HANDIGE CHECKLISTS VOOR DE OVERHEIDSSECTOR In deze whitepaper bieden we u handvatten en checklists voor hoe u om kunt gaan met de nieuwe meldplicht datalekken. Steeds

Nadere informatie

Aanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA. Arjan Dekker

Aanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA. Arjan Dekker Aanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA Arjan Dekker 25 mei 2005 Inhoudsopgave 1 Inleiding 2 2 Analysemethoden 2 2.1 Kwalitatieve risicoanalyse......................

Nadere informatie

HOE OMGAAN MET DE MELDPLICHT DATALEKKEN?

HOE OMGAAN MET DE MELDPLICHT DATALEKKEN? HOE OMGAAN MET DE MELDPLICHT DATALEKKEN? EEN HANDIGE CHECKLIST In deze whitepaper bieden we u handvatten die u kunnen helpen bij de implementatie van de meldplicht datalekken binnen uw organisatie. We

Nadere informatie

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Noordhoff Uitgevers is een educatieve uitgeverij die verschillende

Nadere informatie

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument Checklist NEN7510 Eén van de eerste stappen van het gestructureerd verbeteren van informatiebeveiliging en het implementeren van de NEN7510 omvat het bepalen van de status van de naleving van de NEN7510.

Nadere informatie

Mobiele gegevensdragers. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Mobiele gegevensdragers. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Mobiele gegevensdragers Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging

Nadere informatie

De Uitdagingen van Mobiele Apparaten Managen

De Uitdagingen van Mobiele Apparaten Managen Kaseya Onderzoek De Uitdagingen van Mobiele Apparaten Managen 2011 www.kaseya.nl Over dit rapport In dit rapport worden de resultaten gepresenteerd van een onderzoek dat door Kaseya is geïnitieerd en uitgevoerd

Nadere informatie

Onderzoeksresultaten infosecurity.nl

Onderzoeksresultaten infosecurity.nl Onderzoeksresultaten infosecurity.nl Pagina 1 Introductie Tijdens de beurs infosecurity.nl, die gehouden werd op 11 en 12 oktober 2006, heeft Northwave een onderzoek uitgevoerd onder bezoekers en exposanten.

Nadere informatie

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1. www.traxion.com

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1. www.traxion.com Veilig de cloud in Whitepaper over het gebruik van Cloud-diensten deel 1 www.traxion.com Introductie Deze whitepaper beschrijft de integratie aspecten van clouddiensten. Wat wij merken is dat veel organisaties

Nadere informatie

Informatiebeveiliging voor gemeenten: een helder stappenplan

Informatiebeveiliging voor gemeenten: een helder stappenplan Informatiebeveiliging voor gemeenten: een helder stappenplan Bewustwording (Klik hier) Structureren en borgen (Klik hier) Aanscherping en maatwerk (Klik hier) Continu verbeteren (Klik hier) Solviteers

Nadere informatie

SURFdiensten Themabijeenkomst Beveiliging en Beschikbaarheid Utrecht, 15 februari 2007. drs.ir. Frank van den Hurk

SURFdiensten Themabijeenkomst Beveiliging en Beschikbaarheid Utrecht, 15 februari 2007. drs.ir. Frank van den Hurk SURFdiensten Themabijeenkomst Beveiliging en Beschikbaarheid Utrecht, 15 februari 2007 drs.ir. Frank van den Hurk Quarantainenet Drie producten: Qnet, Qmanage en Qdetect Samenwerking met de Universiteit

Nadere informatie

IT security in de mobiele MKB-wereld

IT security in de mobiele MKB-wereld IT security in de mobiele MKB-wereld Onderzoek onder o.a. Nederlandse MKB-bedrijven 14 maart 2013 Martijn van Lom General Manager Kaspersky Lab Benelux and Nordic PAGE 1 Onderzoek onder MKB-bedrijven in

Nadere informatie

De status van USB-schijfbeveiliging in Nederland

De status van USB-schijfbeveiliging in Nederland De status van USB-schijfbeveiliging in Nederland Gesponsord door Kingston Technology Onafhankelijk uitgevoerd door Ponemon Institute LLC Publicatiedatum: November 2011 Ponemon Institute Onderzoeksrapport

Nadere informatie

SVHT-IT. Mission statement

SVHT-IT. Mission statement SVHT-IT Mission statement Wij leveren oplossingen en diensten aan het MKB op het gebied van ICT, waarbij service, flexibiliteit en een persoonlijke relatie met de klant voorop staan SVHT-IT is een onderneming

Nadere informatie

Onderzoek naar de veiligheid c.q. beveiliging van de SURFnet IDS dienst. Lourens Bordewijk & Jimmy Macé

Onderzoek naar de veiligheid c.q. beveiliging van de SURFnet IDS dienst. Lourens Bordewijk & Jimmy Macé Onderzoek naar de veiligheid c.q. beveiliging van de SURFnet IDS dienst. Lourens Bordewijk & Jimmy Macé Amsterdam 8-2-2006 Achtergrond IDS dienst SURFnet netwerk Aangesloten instellingen te maken met security

Nadere informatie

Unified Enterprise Security wordt geleverd door onze strategische partner Masergy, de wereldspeler in global communications en security.

Unified Enterprise Security wordt geleverd door onze strategische partner Masergy, de wereldspeler in global communications en security. Het verlengstuk van uw IT security operations: altijd (24x7) de beste expertise en meest actuele kennis, geïntegreerd zicht op wat er gebeurt in uw datacenter en eerder en Security as a Service Het verlengstuk

Nadere informatie

Brochure ISO 27002 Advanced

Brochure ISO 27002 Advanced Brochure ISO 27002 Advanced Over Pink Elephant Bedrijfshistorie Pink Elephant is een Nederlandse IT onderneming die rond 1980 is ontstaan als bijverdienste van een drietal studenten aan de Technische Universiteit

Nadere informatie

Informatiebeveiliging en privacy. Remco de Boer Ludo Cuijpers

Informatiebeveiliging en privacy. Remco de Boer Ludo Cuijpers Informatiebeveiliging en privacy Remco de Boer Ludo Cuijpers Voorstellen Remco de Boer Informatiearchitect Kennisnet (programma SION) Ludo Cuijpers MSc, MIM Expert informatiebeveiliging en privacy Werkzaam

Nadere informatie

Voorwoord. Uitkomsten enquête 19-06-2011

Voorwoord. Uitkomsten enquête 19-06-2011 Voorwoord In mijn scriptie De oorlog om ICT-talent heb ik onderzoek gedaan of Het Nieuwe Werken als (gedeeltelijke) oplossing kon dienen voor de aankomende vergrijzing. Hiervoor werd de volgende onderzoeksvraag

Nadere informatie

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol SAMENVATTING ITIL ITIL is nog steeds dé standaard voor het inrichten van beheerspocessen binnen een IT-organisatie. En dekt zowel applicatie- als infrastructuur beheer af. Indien gewenst kan ITIL worden

Nadere informatie

Hardening. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Hardening. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Hardening Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst

Nadere informatie

BYOD-Beleid [Naam organisatie]

BYOD-Beleid [Naam organisatie] BYOD-Beleid [Naam organisatie] De werknemer mag gebruik maken van een persoonlijk mobiel apparaat zoals een telefoon, tablet of notebook voor zakelijke doeleinden ten behoeve van [naam organisatie], voor

Nadere informatie

Informatieveiligheid, de praktische aanpak

Informatieveiligheid, de praktische aanpak Informatieveiligheid, de praktische aanpak Wie ben ik? Frederik Baert Domeinverantwoordelijke Informatieveiligheid Domeinverantwoordelijke Infrastructuur & Connectiviteit @ V-ICT-OR V-ICT-OR cvba Dienstenorganisatie

Nadere informatie

Advies informatiebeveiligings analyse HvA

Advies informatiebeveiligings analyse HvA Advies informatiebeveiligings analyse HvA Wouter Borremans - 0461911 - v1.1 1 Juni 2005 1 Inleiding Dit document is geschreven met als doel om de Hogeschool van Amsterdam[5] (HvA) te voorzien van een advies

Nadere informatie

Van Samenhang naar Verbinding

Van Samenhang naar Verbinding Van Samenhang naar Verbinding Sogeti Page 2 VAN SAMENHANG NAAR VERBINDING Keuzes, keuzes, keuzes. Wie wordt niet horendol van alle technologische ontwikkelingen. Degene die het hoofd koel houdt is de winnaar.

Nadere informatie

De beheerrisico s van architectuur

De beheerrisico s van architectuur De beheerrisico s van architectuur Een overzicht van de ArChimate Risico Extensie versie 0.2 Bert Dingemans Inleiding Het implementeren van een (enterprise) architectuur brengt altijd risico s met zich

Nadere informatie

Smartphones onder vuur

Smartphones onder vuur Smartphones onder vuur Dominick Bertens Account Manager NAVO & NL Agenda Sectra Communications Bedreigingen Bring Your Own Device Panthon 3 Samenvatting Security Masterclass Vragen Sectra Communications

Nadere informatie

Stappen ze bij u ook gewoon door de achterdeur binnen? Bart de Wijs. IT Security in de Industrie. FHI 11 Mei 2006

Stappen ze bij u ook gewoon door de achterdeur binnen? Bart de Wijs. IT Security in de Industrie. FHI 11 Mei 2006 Bart de Wijs Stappen ze bij u ook gewoon door de achterdeur binnen? All rights reserved. 5/17/2006 IT Security in de Industrie FHI 11 Mei 2006 Achterdeuren? Heeft u ook: Slide 2 Van die handige USB memory

Nadere informatie

INVENTARISATIE EN CLASSIFICATIE VAN STANDAARDEN VOOR CYBERSECURITY

INVENTARISATIE EN CLASSIFICATIE VAN STANDAARDEN VOOR CYBERSECURITY INVENTARISATIE EN CLASSIFICATIE VAN STANDAARDEN VOOR CYBERSECURITY Leesvervangende samenvatting bij het eindrapport Auteurs: Dr. B. Hulsebosch, CISSP A. van Velzen, M.Sc. 20 mei 2015 In opdracht van: Het

Nadere informatie

Remote Toegang Policy VICnet/SPITS

Remote Toegang Policy VICnet/SPITS Ministerie van Verkeer en Waterstaat opq Rijkswaterstaat Remote Toegang Policy VICnet/SPITS 16 Februari 2005 Eindverantwoordelijkheid Goedgekeurd Naam Datum Paraaf Security Manager SPITS E.A. van Buuren

Nadere informatie

Veilig mobiel werken. Workshop VIAG 7 oktober 2013

Veilig mobiel werken. Workshop VIAG 7 oktober 2013 1 Veilig mobiel werken Workshop VIAG 7 oktober 2013 Stelling 1: 2 Heeft u inzicht in de opbrengsten van mobiel werken Ja, dit biedt veel toegevoegde waarde voor de organisatie Ja, dit biedt geen toegevoegde

Nadere informatie

Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard

Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard Pagina 1 van 6 Inhoudsopgave 1. Aanleiding 3 2. Structureel / incidenteel 3 3. Opdrachtgever 3 4. Opdrachtnemer 3 5. Relevante wet- en regelgeving 3 6.

Nadere informatie

We danken u voor u bijdrage in de vorm van het invullen van de vragenlijst. 1. De organisatie waarvoor u de vragenlijst gaat beantwoorden?

We danken u voor u bijdrage in de vorm van het invullen van de vragenlijst. 1. De organisatie waarvoor u de vragenlijst gaat beantwoorden? Introductie Deze vragenlijst is onderdeel van studie naar de business case van ehealth toepassingen. Op basis van een formeel model van het Nictiz worden een aantal stakeholders onderscheiden rond een

Nadere informatie

3-daagse praktijktraining. IT Audit Essentials

3-daagse praktijktraining. IT Audit Essentials 3-daagse praktijktraining IT Audit Essentials Programma IT-Audit Essentials Door de steeds verdergaande automatisering van de bedrijfsprocessen wordt de beveiliging en betrouwbaarheid van de IT systemen

Nadere informatie

Verantwoordingsrichtlijn

Verantwoordingsrichtlijn Verantwoordingsrichtlijn Verantwoordingsrichtlijn t.b.v. de edp-audit voor de beveiliging van Suwinet. Door Jan Breeman BKWI Verantwoordingsrichtlijn Verantwoording over de beveiliging van Suwinet De Regeling

Nadere informatie

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging Seminar Trends in Business & IT bij woningcorporaties Informatiebeveiliging Agenda Rondje verwachtingen Even voorstellen.. Informatiebeveiliging waarom? Stand van zaken bij corporaties Informatiebeveiliging

Nadere informatie

Black Hat Sessions X Past Present Future. Inhoud. 2004 BHS III Live Hacking - Looking at both sides of the fence

Black Hat Sessions X Past Present Future. Inhoud. 2004 BHS III Live Hacking - Looking at both sides of the fence Black Hat Sessions X Past Present Future Madison Gurkha BV 4 april 2012 Stefan Castille, MSc., GCIH, SCSA Frans Kollée, CISSP, GCIA, GSNA Inhoud Een terugblik naar 2004 BHS III De situatie vandaag de dag

Nadere informatie

Bijlage 2 Beveiligingsplan. Informatiebeveiliging

Bijlage 2 Beveiligingsplan. Informatiebeveiliging Bijlage 2 Beveiligingsplan Informatiebeveiliging De verantwoordelijkheid voor informatiebeveiliging ligt bij het dagelijks bestuur. In de DB-vergadering van 31 augustus 2015 is stilgestaan bij een aantal

Nadere informatie

1 Dienstbeschrijving all-in beheer

1 Dienstbeschrijving all-in beheer 1 Dienstbeschrijving all-in beheer De all-in beheer overeenkomst van Lancom is modulair opgebouwd. U kunt bij Lancom terecht voor deelgebieden zoals helpdesk ondersteuning of backup, maar ook voor totale

Nadere informatie

De alles-in-1 Zorgapp

De alles-in-1 Zorgapp De alles-in-1 Zorgapp Tevreden cliënten en medewerkers Impact van zorgapps op de zorgverlening Meerwaarde van zorgapps in het zorgproces De rol van de zorgverlener verandert in rap tempo door nieuwe technologie

Nadere informatie

Enterprise SSO Manager (E-SSOM) Security Model

Enterprise SSO Manager (E-SSOM) Security Model Enterprise SSO Manager (E-SSOM) Security Model INHOUD Over Tools4ever...3 Enterprise Single Sign On Manager (E-SSOM)...3 Security Architectuur E-SSOM...4 OVER TOOLS4EVER Tools4ever biedt sinds 2004 een

Nadere informatie

Beveiliging en bescherming privacy

Beveiliging en bescherming privacy Beveiliging en bescherming privacy Beveiliging en bescherming privacy Duobus B.V. Nieuwe Boteringestraat 82a 9712PR Groningen E info@duobus.nl I www.duobus.nl September 2014 2 Voorwoord Als organisatie

Nadere informatie

Patch management. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Patch management. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Patch management Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst

Nadere informatie

Kijken, kiezen, maar wat te kopen?

Kijken, kiezen, maar wat te kopen? Kijken, kiezen, maar wat te kopen? 15 aandachtspunten bij overgang naar de cloud Cloud biedt voor veel organisaties de mogelijkheid om te innoveren zonder hoge investeringen. Zowel Telecom providers als

Nadere informatie

Praktisch omgaan met Privacy & Security en het Wbp

Praktisch omgaan met Privacy & Security en het Wbp 2-daagse praktijktraining Praktisch omgaan met Privacy & Security en het Wbp Programma Praktisch omgaan met Privacy & Security en het Wbp De training Praktisch omgaan met Privacy & Security en het Wbp

Nadere informatie

Meest mobiele organisatie van Nederland

Meest mobiele organisatie van Nederland Resultaten onderzoek Meest mobiele organisatie van Nederland Juni 2013 Uitkomsten onderzoek onder top organisaties in Nederland Uitgevoerd door Keala Research & Consultancy in de periode mei tot en met

Nadere informatie

Brochure ISO 27002 Foundation

Brochure ISO 27002 Foundation Brochure ISO 27002 Foundation Over Pink Elephant Bedrijfshistorie Pink Elephant is een Nederlandse IT onderneming die rond 1980 is ontstaan als bijverdienste van een drietal studenten aan de Technische

Nadere informatie

NEN 7510: een ergernis of een hulpmiddel?

NEN 7510: een ergernis of een hulpmiddel? NEN 7510: een ergernis of een hulpmiddel? Tweedaagse van Ineen 17 September 2015 Nijmegen Den Haag SMASH en CIHN in cijfers i. 3 huisartsenposten/1 call center 2 huisartsenposten/ 1 call center ii. 4 visitewagens

Nadere informatie

Beveiligingsmaatregelen voor een doeltreffende Cyber verdediging

Beveiligingsmaatregelen voor een doeltreffende Cyber verdediging Beveiligingsmaatregelen voor een doeltreffende Cyber verdediging ivo.depoorter@v-ict-or.be V-ICT-OR Vlaamse ICT organisatie Ons overkomt dit niet.of toch? Inschatting Risico Kans X Schade Zijn wij een

Nadere informatie

Informatiebeveiliging: Hoe voorkomen we issues?

Informatiebeveiliging: Hoe voorkomen we issues? Informatiebeveiliging: Hoe voorkomen we issues? Workshop C Remco de Boer (Kennisnet) Ludo Cuijpers (MBO Taskforce IBB) Inhoud 1. Voorstelronde 2. Over uw rol 3. Maatregelen 4. De diepte in Voorstelronde

Nadere informatie

Security Hoe krijgt u grip op informatiebeveiliging?

Security Hoe krijgt u grip op informatiebeveiliging? Security Hoe krijgt u grip op informatiebeveiliging? INHOUDSOPGAVE 1 INLEIDING...3 2 WAT IS IT SECURITY?...4 2.1 IT SECURITY BELEID BLOK... 5 2.2 HET IT OPERATIE EN AUDIT BLOK... 5 2.3 HET IT SECURITY

Nadere informatie

Quinfox s visie op Bring Your Own Device

Quinfox s visie op Bring Your Own Device Quinfox s visie op Bring Your Own Device Steeds meer bedrijven staan het toe dat werknemers hun eigen smartphone, tablet of notebook gebruiken op het werk. Deze trend wordt aangeduid met de afkorting BYOD

Nadere informatie

Bijlage 1 behorend bij de Algemene Voorwaarden Caresharing: Acceptable use policy

Bijlage 1 behorend bij de Algemene Voorwaarden Caresharing: Acceptable use policy Bijlage 1 behorend bij de Algemene Voorwaarden Caresharing: Acceptable use policy Colofon Document : Acceptable Use Policy (AUP) Service : Caresharing Leverancier : CareSharing B.V. Versie: : 2.0 Datum

Nadere informatie

Bring it Secure. Whitepaper

Bring it Secure. Whitepaper Whitepaper Imtech ICT Communication Solutions, Rivium Boulevard 41 2909 LK Capelle a/d IJssel T +31 88 988 96 00, info.cs@imtech.nl, www.imtech.nl/cs Imtech Vandaag de dag moet security een standaard

Nadere informatie

Plan van aanpak Meesterproef 2: Workflowbeheer Voorwoord

Plan van aanpak Meesterproef 2: Workflowbeheer Voorwoord Plan van aanpak Meesterproef 2: Workflowbeheer Voorwoord Dit is het PVA versie 2. Dit wil zeggen dat ik de informatie op het gebeid van de netwerk instellingen en de setup heb verwerkt en uitgebreid heb

Nadere informatie

BISL Business Information Services Library. Een introductie. Algemene informatie voor medewerkers van SYSQA B.V.

BISL Business Information Services Library. Een introductie. Algemene informatie voor medewerkers van SYSQA B.V. BISL Business Information Services Library Een introductie Algemene informatie voor medewerkers van SYSQA B.V. Organisatie SYSQA B.V. Pagina 2 van 9 Inhoudsopgave 1 INLEIDING... 3 1.1 ALGEMEEN... 3 1.2

Nadere informatie

Doel van de opleiding informatieveiligheid

Doel van de opleiding informatieveiligheid Doel van de opleiding informatieveiligheid Het netwerk voor elektronische uitwisseling van persoonsgegevens tussen de diverse instellingen van de sociale zekerheid, dat door de Kruispuntbank wordt beheerd,

Nadere informatie

Taak 1.4.11 - Policy. Inhoud

Taak 1.4.11 - Policy. Inhoud Taak 1.4.11 - Policy Inhoud Taak 1.4.11 - Policy...1 Inleiding...2 Wat is een security policy?...3 Wat is het nut van een security policy?...3 Waarom een security policy?...3 Hoe implementeer je een security

Nadere informatie

Je bent zichtbaarder dan je denkt Een programma over cyber security awareness. Informatie voor managers

Je bent zichtbaarder dan je denkt Een programma over cyber security awareness. Informatie voor managers Je bent zichtbaarder dan je denkt Een programma over cyber security awareness Informatie voor managers Je bent zichtbaarder dan je denkt Informatie voor managers 2 Voorwoord Het cybersecuritybeeld van

Nadere informatie

Een veilige draadloze internet-en netwerkverbinding in uw gemeente, voor u en uw burgers. Hoe pakt u dit aan? impakt.be

Een veilige draadloze internet-en netwerkverbinding in uw gemeente, voor u en uw burgers. Hoe pakt u dit aan? impakt.be Een veilige draadloze internet-en netwerkverbinding in uw gemeente, voor u en uw burgers. Hoe pakt u dit aan? IMPAKT Secure ICT IMPAKT is meer dan 25 jaar actief in België en Luxemburg als ICT beveiliging

Nadere informatie

CMS Ronde Tafel. Cloud Continuity. Ir. Jurian Hermeler Principal Consultant

CMS Ronde Tafel. Cloud Continuity. Ir. Jurian Hermeler Principal Consultant CMS Ronde Tafel Cloud Continuity Ir. Jurian Hermeler Principal Consultant Introductie Quint Wellington Redwood Onafhankelijk Management Adviesbureau Opgericht in 1992 in Nederland Ruim 20 jaar ervaring

Nadere informatie

Archimate risico extensies modelleren

Archimate risico extensies modelleren Archimate risico extensies modelleren Notatiewijzen van risico analyses op basis van checklists versie 0.2 Bert Dingemans 1 Inleiding Risico s zijn een extra dimensie bij het uitwerken van een architectuur.

Nadere informatie

Werken zonder zorgen met uw ICT bij u op locatie

Werken zonder zorgen met uw ICT bij u op locatie Werken zonder zorgen met uw ICT bij u op locatie Naast de mogelijkheden om uw programmatuur en gegevens bij Drie-O via Evy 2.0 in de cloud te hosten hebt u ook de mogelijkheid om uw ICT omgeving bij u

Nadere informatie

BIJLAGE 4 Selectiecriteria met een gewogen karakter Perceel Switching

BIJLAGE 4 Selectiecriteria met een gewogen karakter Perceel Switching Europese aanbesteding Netwerkinfrastructuur Hardware, service en ondersteuning BIJLAGE 4 Selectiecriteria met een gewogen karakter Perceel Switching Niet openbare procedure Selectiecriteria met een gewogen

Nadere informatie

Solution Dag 2015. refresh-it. Printing. Frits de Boer Frenk Tames 1 12.06.2015

Solution Dag 2015. refresh-it. Printing. Frits de Boer Frenk Tames 1 12.06.2015 Solution Dag 2015. refresh-it Printing Frits de Boer Frenk Tames 1 12.06.2015 Agenda. 1. Welkom Frits de Boer 2. Samsung Printing Frenk Tames 3. Rondleiding Tonerfabriek ARP Supplies 2 12.06.2015 Solution

Nadere informatie

Bedrijfszekerheid. Altijd in bedrijf ACHTER ELK SUCCES SCHUILT EEN GOED COMPUTERPLAN

Bedrijfszekerheid. Altijd in bedrijf ACHTER ELK SUCCES SCHUILT EEN GOED COMPUTERPLAN Bedrijfszekerheid Altijd in bedrijf ACHTER ELK SUCCES SCHUILT EEN GOED COMPUTERPLAN Altijd in bedrijf Onderwerpen Liveplan remote beheer Firmtel Telefonie Liveplan server backup LivePlan Remote Beheer

Nadere informatie

Werkplekvisie. Hans van Zonneveld Senior Consultant Winvision

Werkplekvisie. Hans van Zonneveld Senior Consultant Winvision Werkplekvisie Hans van Zonneveld Senior Consultant Winvision De essentie De gebruiker centraal Verschillende doelgroepen Verschillende toepassingen Verschillende locaties Het beschikbaar

Nadere informatie

Social Media & Informatiebeveiliging Binnen de Retail. irisk it Retail, Platform voor InformatieBeveiliging 27 januari 2011

Social Media & Informatiebeveiliging Binnen de Retail. irisk it Retail, Platform voor InformatieBeveiliging 27 januari 2011 Social Media & Informatiebeveiliging Binnen de Retail irisk it Retail, Platform voor InformatieBeveiliging 27 januari 2011 Wie zijn wij? Maxeda = VendexKBB Enkele jaren geleden heeft een groep private

Nadere informatie

Protocol Thuis- en telewerken

Protocol Thuis- en telewerken Protocol Thuis- en telewerken Versie 1.1 Datum 18 juni 2009 Pagina 2 / 8 Inhoudsopgave 1 Algemeen 4 2 Toestemming 4 3 Transport van vertrouwelijke informatie 4 4 Thuissituatie 5 4.1 Spelregels voor het

Nadere informatie

Advocatuur en informatie beveiliging Een hot topic

Advocatuur en informatie beveiliging Een hot topic Advocatuur en informatie beveiliging Een hot topic René van den Assem Partner @ Verdonck, Klooster & Associates eherkenning adviseur @ ICTU Rene.vandenassem@vka.nl De achterstandspositie PwC en IronMountain

Nadere informatie

IT Security in de industrie

IT Security in de industrie IT Security in de industrie Praktische ervaringen met cyber security in de Energiesector en Procesindustrie Henk Spelt Henk.Spelt@kema.com Experience you can trust. Onderwerpen Waarom is (cyber) security

Nadere informatie

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce. Cloud Computing, een inleiding ICT Accountancy & Financials congres 2013: Cloud computing en efactureren 10 december 2013 Jan Pasmooij RA RE RO: jan@pasmooijce.com 10 december 2013 1 Kenmerken van Cloud

Nadere informatie

Business Continuity Management conform ISO 22301

Business Continuity Management conform ISO 22301 Business Continuity Management conform ISO 22301 Onderzoek naar effecten op de prestaties van organisaties Business continuity management gaat over systematische aandacht voor de continuïteit van de onderneming,

Nadere informatie

BEST PRACTICES MOBILE DEVICE MANAGEMENT EN MOBILE SECURITY.

BEST PRACTICES MOBILE DEVICE MANAGEMENT EN MOBILE SECURITY. BEST PRACTICES MOBILE DEVICE MANAGEMENT EN MOBILE SECURITY. With Kaspersky, now you can. kaspersky.nl/business Be Ready for What s Next INHOUD Pagina 1. 24/7 MOBIELE TOEGANG...2 2. MOBILE DEVICE MANAGEMENT

Nadere informatie

PRIVACY REGLEMENT PERCURIS

PRIVACY REGLEMENT PERCURIS PRIVACY REGLEMENT PERCURIS Inleiding. Van alle personen die door Percuris, of namens Percuris optredende derden, worden begeleid -dat wil zeggen geïntervenieerd, getest, gere-integreerd, geadviseerd en

Nadere informatie

Taakcluster Operationeel support

Taakcluster Operationeel support Ideeën en plannen kunnen nog zo mooi zijn, uiteindelijk, aan het eind van de dag, telt alleen wat werkelijk is gedaan. Hoofdstuk 5 Taakcluster Operationeel support V1.1 / 01 september 2015 Hoofdstuk 5...

Nadere informatie

Checklist calamiteiten

Checklist calamiteiten Checklist calamiteiten Op grond van de Voorbeeld Samenwerkingsovereenkomst Volmacht dienen gevolmachtigde assurantiebedrijven te beschikken over een calamiteitenplan. Het calamiteitenplan moet erin voorzien

Nadere informatie

IT-security bij kleine ondernemingen 10-2013

IT-security bij kleine ondernemingen 10-2013 IT-security bij kleine ondernemingen 10-2013 Analyse Peter Vermeulen, Directeur Pb7 Research: Het onderzoek laat zien dat kleinzakelijke ondernemingen zich vooral baseren op resultaten die in het verleden

Nadere informatie

T Titel stage/afstudeeropdracht : Toekomstvaste Applicatie Integratie - Interconnectiviteit

T Titel stage/afstudeeropdracht : Toekomstvaste Applicatie Integratie - Interconnectiviteit Titel stage/afstudeeropdracht : Toekomstvaste Applicatie Integratie - Interconnectiviteit Duur van stage/afstuderen Manager Begeleider Locatie : 6 à 9 Maanden : dr. ir. J.J. Aue : dr. ir. H.J.M. Bastiaansen

Nadere informatie

Sebyde Security in een organisatie A3 Management Workshop. 7 Januari 2014

Sebyde Security in een organisatie A3 Management Workshop. 7 Januari 2014 Sebyde Security in een organisatie A3 Management Workshop 7 Januari 2014 Even voorstellen Sebyde BV is Certified IBM Business Partner voor security systems, gespecialiseerd in applicatie security en security

Nadere informatie

Het BiSL-model. Een whitepaper van The Lifecycle Company

Het BiSL-model. Een whitepaper van The Lifecycle Company Het BiSL-model Een whitepaper van The Lifecycle Company Met dit whitepaper bieden we u een overzicht op hooflijnen van het BiSL-model. U vindt een overzicht van de processen en per proces een beknopte

Nadere informatie

Windows Server 2008 helpt museum met het veilig delen van informatie

Windows Server 2008 helpt museum met het veilig delen van informatie Windows Server 2008 helpt museum met het veilig delen van informatie Het Rijksmuseum Amsterdam beschikt over een collectie Nederlandse kunstwerken vanaf de Middeleeuwen tot en met de twintigste eeuw. Het

Nadere informatie

Veilig samenwerken. November 2010

Veilig samenwerken. November 2010 Veilig samenwerken November 2010 Overzicht Introductie Veilig Samenwerken Visie Vragen Afsluiting Introductie SkyDec Communicatie Navigatie Services Introductie Communicatie Voor afgelegen gebieden: Telefonie

Nadere informatie

DMZ Policy. Eindverantwoordelijkheid Goedgekeurd. 16 Februari 2005. Geaccepteerd Manager SPITS. Security Manager SPITS E.A. van Buuren.

DMZ Policy. Eindverantwoordelijkheid Goedgekeurd. 16 Februari 2005. Geaccepteerd Manager SPITS. Security Manager SPITS E.A. van Buuren. Ministerie van Verkeer en Waterstaat opq Rijkswaterstaat DMZ Policy 16 Februari 2005 Eindverantwoordelijkheid Goedgekeurd Naam Datum Paraaf Security Manager SPITS E.A. van Buuren Geaccepteerd Manager SPITS

Nadere informatie

NORA werkdocument. Katern Beveiliging. In 3 klikken naar bouwstenen voor invulling van de eisen. Sessie 6. Bijgewerkt op 23 aug.

NORA werkdocument. Katern Beveiliging. In 3 klikken naar bouwstenen voor invulling van de eisen. Sessie 6. Bijgewerkt op 23 aug. NORA werkdocument Sessie 6 In 3 klikken naar bouwstenen voor invulling van de eisen Katern Beveiliging Bijgewerkt op 23 aug. 2013 katern Beveiliging Jaap van der Veen Essentie Sessie 6 1. Opzet digitaal

Nadere informatie