INFO SECURITY SPECIAL EDITION MAGAZINE SECURITY TOP 10 IN ELKE PORIE VAN DE ORGANISATIE AANBEVELINGEN VOOR SOFTWARE-ONTWIKKELAARS

Maat: px
Weergave met pagina beginnen:

Download "INFO SECURITY SPECIAL EDITION MAGAZINE SECURITY TOP 10 IN ELKE PORIE VAN DE ORGANISATIE AANBEVELINGEN VOOR SOFTWARE-ONTWIKKELAARS"

Transcriptie

1 JAARGANG 14 - JULI INFO SECURITY MAGAZINE SECURITY IN ELKE PORIE VAN DE ORGANISATIE TOP 10 AANBEVELINGEN VOOR SOFTWARE-ONTWIKKELAARS SPECIAL EDITION MEEST OPVALLENDE CIJFERS NATIONALE IT-SECURITY MONITOR ETHISCH HACKEN? ETHISCHE SECURITY! - 'PERSONEELSVERLOOP IS VRIJ HOOG' - SECURITY-KENNIS GROOTSTE UITDAGING IN KOMENDE TIEN JAAR - SECURITY-EXPERTS MOETEN HET CLOUDJESVOLK DIENEN - STAYING AHEAD IN THE CYBER SECURITY GAME - LOOPBAANONTWIKKELING IS EEN PROBLEEM - OVERZICHT SECURITY-SCANNERS

2 g Colofon - Editorial Infosecurity Magazine is het enige onafhankelijke vakblad in de Benelux dat zich expliciet bezighoudt met informatiebeveiliging. Het blad beweegt zich op het snijvlak van technologie en beleid. Vanaf het hekwerk tot in de boardroom. Toezending van Infosecurity Magazine vindt plaats op basis van abonnementen en controlled circulation. Vraag uw abonnement aan via VOORWOORD Angst is een slechte raadgever. Daar zijn we het snel over eens. En toch is dit vreemd genoeg de manier waarop security leveranciers hun diensten steeds weer aan de man brengen. Websites, boeken of advertenties staan bol van hackers die met een bivakmuts achter hun laptop zitten. Uitgever Jos Raaphorst twitter.com/raaphorstjos nl.linkedin.com/pub/dir/jos/raaphorst Hoofdredacteur Robbert Hoeffnagel twitter.com/rhoeffnagel nl.linkedin.com/in/robberthoeffnagel Advertentie-exploitatie Will Manusiwa Eindredactie/traffic Ab Muilwijk Vormgeving Media Service Uitgeest Druk Control Media Infosecurity magazine is een uitgave van FenceWorks BV Beatrixstraat CK Zoetermeer Niets uit deze uitgave mag op enigerlei wijze worden overgenomen zonder uitdrukkelijke toestemming van de uitgever. Meer informatie: Sloten of onleesbare codes vormen veelal de achtergrond van teksten als miljoenenschade door hackers. Volgens mij helpt dat niet of nauwelijks bij het creëren van draagvlak of verandering. Net zo goed als waarschuwingsteksten op sigarettenpakjes niet werken. Hoe komt het toch dat we tijdens het autorijden onze berichtjes op de smartphone blijven bekijken ondanks de bekende gevaren voor grote ongelukken? Wij denken vaak alleen in het hier en nu. Als het ons direct iets oplevert, passen we ons gedrag aan. Daarom pleit ik voor de inzet van security als business-enabler. Maak inzichtelijk wat het oplevert als je bijvoorbeeld het borgen van de veiligheid van applicaties direct meeneemt bij de ontwikkeling van de software. Een concreet voorbeeld van wat zo mooi heet, het omarmen van een proactieve security strategie. Bent u net zo benieuwd als ik hoe organisaties ervoor staan op dat gebied? Dan moet u zeker even de uitkomsten van de jaarlijkse Nationale IT-Security Monitor bekijken. Ook Achmea laat haar licht schijnen op de IT-security uitdagingen binnen grote organisaties. Zouden hackers een hele andere kijk op de zaak hebben? U leest het in het rondetafelgesprek met zeven ervaren ethische hackers van Sogeti. Verder heb ik voor u alle wereldwijde en Nederlandse security normeringen op een rij gezet, de overlap eruit gehaald en daarmee de tien belangrijkste punten in beeld gebracht voor de ontwikkeling van veilige software. Wellicht handig om die punten bij uw software-ontwikkelaars aan de muur te hangen. En wilt u weten welk security gereedschap u voor welk doel het beste kunt gebruiken? Ga dan snel naar pagina 22. Kortom, veel leesplezier! Marinus Kuivenhoven Senior Specialist Informatiebeveiliging Sogeti 2 INFOSECURITY MAGAZINE - JULI

3 INHOUD Dé cloud bestaat niet. Meest opvallende cijfers Nationale IT- Security Monitor De tweede editie van de Nationale IT Security Monitor is een feit. Op initiatief van Infosecurity Magazine voert Pb7 Research een jaarlijks terugkerend onderzoek uit onder bedrijven met minimaal 50 medewerkers (N=225) om in kaart te brengen hoe Nederlandse organisaties omgaan met IT-beveiliging. Ethisch hacken? Ethische security! SECURITY IN ELKE PORIE VAN DE ORGANISATIE 8 Het is voor grote organisaties allang niet meer voldoende om hun eigen ICT-systemen te beveiligen. Sterker nog, beveiliging volledig integreren binnen de eigen IT-huishouding lijkt ook niet meer afdoende. Te vaak blijkt dat een bedrijf of overheidsinstelling op één punt goed is beveiligd, maar op andere punten tekort schiet. En daardoor grote risico s loopt. Volgens Franck Greverie, wereldwijd verantwoordelijk voor Cybersecurity bij IT-dienstverlener Sogeti, is het daarom van cruciaal belang security integraal onderdeel te laten zijn van het gehele reilen en zeilen van een organisatie. Zowel binnenshuis als daarbuiten. In plaats van alleen beoordelen of een IT-systeem technisch al dan niet veilig is. Daarbij maakt het dus niet uit of het gaat om mensen, bedrijfsapplicaties, inzet van de cloud, het alles en iedereen aan het internet verbinden of zelfs industriële systemen. 10 Ethisch hacken is in de mode, maar sommige beoefenaars hebben een hekel aan de toevoeging ethisch. Niet omdat ze blackhat zijn, maar omdat ethiek eigenlijk normaal moet zijn. Ook voor kwetsbare organisaties die soms te weinig doen aan security. Je noemt een dokter toch ook geen ethische dokter, zeggen de hackers bijna in koor. TOP 10 aanbevelingen voor software-ontwikkelaars 16 Kwaliteit, betrouwbaarheid, gebruiksgemak, functionaliteit en mobiel toegankelijk. Om maar een aantal zaken te noemen waar goede software aan moet voldoen. Maar hoe zorg je voor de veiligheid van software? PERSONEELSVERLOOP IS VRIJ HOOG 14 Achmea wil de meest vertrouwde verzekeraar in Nederland zijn. Dat is een bedrijfsdoelstelling die Achmea een aantal jaren geleden heeft vastgesteld. Dat heeft direct gevolgen voor de betrouwbaarheid van de digitale systemen. Manager IT Security Henry Meutstege doet er alles aan veilige applicaties te leveren, maar merkt dat het moeilijk is goed personeel te vinden en te houden. Hoe ziet een modern IT-landschap eruit? Met welke in richting krijgt uw organisatie meer snelheid en flexibiliteit tegen zo laag mogelijke kosten? En via welke route be reikt u dat? Bezorg uzelf rust en ruimte. Begin bij Sogeti. Wij helpen u met concrete cloudoplossingen. Van een stapsgewijze aanpak tot de meest ver gaande cloud-only strategie. In alle gevallen hebben we het dan over úw cloud. Want dé cloud bestaat niet. Door onze no-nonsense aanpak genieten wij al jaren het vertrouwen van top 500 organisaties binnen de overheid en het bedrijfs leven, waaronder PostNL. Verbreed uw horizon. Kijk op en ontdek dat dé cloud niet bestaat. Security-experts moeten het cloudjesvolk dienen 20 De belangrijkste vraag rondom security is en blijft wat zijn we nou eigenlijk aan het securen? Zeker als we ons realiseren dat de meeste medewerkers virtueel allang het bedrijfspand hebben verlaten. Verrassende opinie van Menno van Doorn. Het schaap met de vijf poten 22 Het aanbod van security tools om geautomatiseerd zwakheden in software te vinden, is groot. Welke tool heeft welke eigenschappen? Een overzicht. Staying ahead in the Cyber Security Game 26 Het is een spel. Dit is een veelgehoorde uitspraak in de gesprekken die ik had voorafgaand aan de ontwikkeling van ons boek. Een voortdurende strijd tussen aanvallers en verdedigers. Kunnen we die strijd winnen? Helaas niet', antwoordde menig Security Manager met een positieve kanttekening daarbij. We kunnen de ander wel voor blijven. Dat is al een groot goed. Zo werd de titel van het boek geboren: Staying Ahead in the Cyber Security Game. Lees waarom dit boek een aanrader is. SECURITY-KENNIS GROOTSTE UITDAGING IN KOMENDE TIEN JAAR 18 Afgelopen decennium is ons IT-landschap drastisch veranderd. De complexiteit en afhankelijkheid van technologie is immers enorm en wordt alleen maar groter. Daar is iedereen het snel over eens. Maar als er een thema in veel opzichten aan verandering onderhevig is, dan is het wel de rol van informatiebeveiliging. Van een technisch naar een maatschappelijk thema. Van een gedelegeerd probleem naar een agendapunt in de bestuurskamer. De tijd van incidenteel management is voorbij. Wat hebben we van de afgelopen tien jaar geleerd? En wat zijn onze verwachtingen voor het komende decennium? We vragen het aan Rogier van Agt, leider van de security-divisie bij IT-dienstverlener Sogeti. LOOPBAANONTWIKKELING IS EEN PROBLEEM 28 Het is misschien een wat treurige constatering, maar als CISO loop je constant achter de feiten aan. Voor een belangrijk deel is dat inherent aan IT-beveiliging. Hoe goed je de boel ook dichttimmert, er zitten altijd zwakke plekken in je beveiliging die je pas ontdekt als er iemand doorheen is gekomen. En dan wordt een deel van de aanvallen ook nog eens in een snel tempo geavanceerder. 4 maakt cloud concreet. INFOSECURITY MAGAZINE - JULI

4 ONDERZOEK Preview: MEEST OPVALLENDE CIJFERS NATIONALE IT-SECURITY MONITOR 2015 De tweede editie van de Nationale IT- Security Monitor is een feit. Op initiatief van Infosecurity Magazine voert Pb7 Research een jaarlijks terugkerend onderzoek uit onder bedrijven met minimaal 50 medewerkers (N=225) om in kaart te brengen hoe Nederlandse organisaties omgaan met IT-beveiliging. Het onderzoek wordt onafhankelijk opgezet en uitgevoerd en wordt gefinancierd met behulp van een aantal sponsors. In plaats van in te gaan op het aantal incidenten, kijken we in de Monitor naar hoe IT-beveiliging georganiseerd wordt, hoe er wordt geïnvesteerd, hoe bedrijven omgaan met het veranderende dreigingsveld en welke uitdagingen ze daarbij tegenkomen. Ook gaan we ieder jaar in op een aantal specifieke thema s. Dit jaar gaat het daarbij onder meer om training & ontwikkeling, cloud security, managed services en SIEM. In de komende maanden wordt uitgebreid ingegaan op de uitkomsten en zult u steeds meer analyses van de verschillende onderwerpen voorbij zien komen. Bij deze bieden we u alvast een blik op een aantal van de meest opvallende cijfers. Peter Vermeulen is directeur van Pb7 Research 6 INFOSECURITY MAGAZINE - JULI

5 VISIE Het is voor grote organisaties allang niet meer voldoende om hun eigen ICT-systemen te beveiligen. Sterker nog, beveiliging volledig integreren binnen de eigen IT-huishouding lijkt ook niet meer afdoende. Te vaak blijkt dat een bedrijf of overheidsinstelling op één punt goed is beveiligd, maar op andere punten tekort schiet. En daardoor grote risico s loopt. In gesprek met Franck Greverie, wereldwijd security topman bij Sogeti SECURITY IN ELKE PORIE VAN DE ORGANISATIE Volgens Franck Greverie, wereldwijd verantwoordelijk voor Cybersecurity bij IT-dienstverlener Sogeti, is het daarom van cruciaal belang security integraal onderdeel te laten zijn van het gehele reilen en zeilen van een organisatie. Zowel binnenshuis als daarbuiten. In plaats van alleen beoordelen of een IT-systeem technisch al dan niet veilig is. Daarbij maakt het dus niet uit of het gaat om mensen, bedrijfsapplicaties, inzet van de cloud, het alles en iedereen aan het internet verbinden of zelfs industriële systemen. De meeste organisaties hebben geen holistisch beeld van cybersecurity. Daarom zien we nog altijd zoveel cyberaanvallen. Gezien zijn enorm rijke ervaring, mag het geen verrassing zijn dat brancheveteraan Greverie zich niet blindstaart op een beperkt aantal security-aspecten. In het verleden was de Fransman securityverantwoordelijke bij technologiegigant Thales. Als Vice President voor Thales Shield hield Greverie zich bezig met de beveiliging van onder meer luchthavens en de energie-infrastructuur. Later was hij eindverantwoordelijke voor de security-divisie van mainframe-leverancier Bull. Sinds vorig jaar is hij wereldwijd verantwoordelijk voor het bepalen en incorporeren van security-dienstverlening bij Sogeti. Omdat organisaties veelal geen holistisch beeld hebben van cybersecurity, helpt ons raamwerk om alle aspecten de revue te laten passeren DRIE FAMILIES, VIJF PILAREN Sogeti biedt intelligente diensten voor cybersecurity, begint hij zijn verhaal. We verkopen geen product maar helpen onze klanten zichzelf goed te organiseren, te beschermen en stellen hen in staat met succes te reageren op cyberaanvallen. Daarbij onderscheiden we drie dienstenfamilies: consulting, beschermingsdiensten en security monitoring. Daarvoor hebben we een raamwerk van type diensten ontwikkeld dat bestaat uit vijf pilaren: de veiligheid van datacenters, applicatiesecurity, endpoint security, dataveiligheid en identity access management voor veilig toegangsbeheer. Dus je hebt eigenlijk drie families maal vijf pilaren, waardoor we organisaties helpen op zo n vijftien security-gebieden. Maar hoe eenvoudig dat ook lijkt, het blijkt voor veel organisaties toch lastig hier adequaat mee om te gaan. Dat terwijl de wereldwijde cybercrime schade jaarlijks op een slordige half miljard dollar wordt geschat. Het kan soms een half jaar duren om een informatiesysteem opnieuw op te bouwen na een cyberaanval. We zien helaas nog al teveel organisaties waarbij zo maar vijf van genoemde gebieden niet adequaat georganiseerd zijn, verzucht hij. Hij snapt ook wel waarom. Niet alle domeinen zijn even risicovol. Omdat organisaties veelal geen holistisch beeld hebben van cybersecurity helpt ons raamwerk om alle aspecten de revue te laten passeren. En daar gezamenlijk bepaalde prioriteiten aan te geven. SECURITY ALS ONDERDEEL VAN DE TRANSFORMATIE Greverie adviseert grote organisaties dan ook bij ieder project een audit uit te voeren waarbij de beveiliging wordt doorgelicht. Na zo n audit is het zaak de applicaties te testen, zegt hij. Zelf hebben we een cloud-omgeving waarin dat gedaan kan worden. De volgende stap is om na te gaan of er een reactiesysteem op mogelijke aanvallen is ingericht. Dat ontbreekt in 95 procent van de gevallen. En als laatste is het zaak om goed voor bevoorrechte gebruikers te zorgen, zoals systeem- en netwerkbeheerders. Zij moeten de omgeving veilig kunnen houden en daar de juiste toegang voor hebben. Met die filosofie in het achterhoofd heeft Capgemini in samenwerking met Sogeti eerder dit jaar een Global Service Line Cybersecurity opgestart, onder leiding van Frank Greverie. Die bestaat uit meer dan security experts waaronder onderzoekers, auditors, consultants, ICT-architecten en ethisch hackers. Het idee van dit initiatief is om security deel uit te laten maken van transformatieprojecten binnen organisaties, zo legt Greverie uit. Het is een uitstekende gelegenheid voor een groot bedrijf om zijn ICT-systemen te renoveren of op te waarderen, zegt hij. We werken nauw samen met het team dat de transformatie bij de klant uitvoert. Dan maakt het in wezen niet uit wat voor soort project het is. Dat kan de uitrol zijn van verschillende applicaties, een big data project, de transformatie naar mobiel of de cloud. Om maar een paar voorbeelden te noemen. DE ICT VOORBIJ Maar zelfs dat is voor Greverie niet compleet genoeg. In een wereld waarin de informatiesystemen en fabriekssystemen ook steeds meer samenkomen, is veiligheid ook van cruciaal belang. Of anders gezegd, IT (Informatietechnologie) en OT (Operationele Technologie) convergeren. Afgelopen jaar hebben wij het bedrijf Euriware overgenomen. Een organisatie die de beveiliging verzorgt voor Areva; de grootste producent ter wereld van nucleaire reactoren en hernieuwbare energie. Ook onze HighTech divisie die organisaties helpt bij de ontwikkeling van Internet-of-Things producten heeft een speciaal security team. Op het moment dat steeds meer dingen en mensen aan het internet hangen, wordt veiligheid nog belangrijker. Sogeti is klaar voor deze ontwikkelingen. We hebben extreem veel knowhow in huis. Het is uiteindelijk zaak om je niet blind te staren op de technologie, zo vindt Greverie. Natuurlijk hebben wij een goed netwerk met uitstekende leveranciers, zegt hij. Maar voor elke technologie kies ikzelf altijd twee leveranciers die niet alleen voldoen op het gebied van functionaliteit, maar ook op de kennis en kunde deze goed uit te rollen. Er zijn veel goede producten op de markt, maar uiteindelijk gaat het om de uitkomst van het geheel. Michiel van Blommestein is freelance journalist In een wereld waarin informatiesystemen en fabriekssystemen steeds meer samenkomen, is veiligheid van cruciaal belang 8 Franck Greverie, Hoofd Cybersecurity bij IT-dienstverlener Sogeti INFOSECURITY MAGAZINE - JULI

6 RONDETAFELGESPREK Sogeti hackers vertellen over de valkuilen van de praktijk ETHISCH HACKEN? ETHISCHE SECURITY! Ethisch hacken is in de mode, maar sommige beoefenaars hebben een hekel aan de toevoeging ethisch. Niet omdat ze blackhat zijn, maar omdat ethiek eigenlijk normaal moet zijn. Ook voor kwetsbare organisaties die soms te weinig doen aan security. Je noemt een dokter toch ook geen ethische dokter, zeggen de hackers bijna in koor. Michel van Veen: Er zijn verschillende ethische stromingen Marinus Kuivenhoven: We helpen steeds meer bedrijven met het maken van een security roadmap 10 INFOSECURITY MAGAZINE - JULI

7 RONDETAFELGESPREK Ethiek kun je niet in één ding vangen, zegt securitytester Arend Wolters tijdens een rondetafelgesprek over ethisch hacken. Hij en zijn collega-hackers bij IT-dienstverlener Sogeti bespreken het belang van ethiek plus de haken en ogen daaraan voor security. Het gaat om hele grote dilemma s, knikt securityspecialist Rory Breuk. GROTE DILEMMA'S Cybersecurity specialist Michel van Veen vult aan: Er zijn verschillende ethische stromingen. Want wat is nou precies ethisch: het melden en stilhouden van een kwetsbaarheid of het openlijk onthullen van een lek? De felle discussie over respectievelijk non-disclosure en full disclosure loopt al jaren, met nog tussenvormen zoals responsible disclosure en coordinated disclosure. Tessa Smolenaars: Het gaat steeds beter, ook al verschilt het nog erg per organisatie Jacco van Tuijl: Full disclosure is niet ethisch Full disclosure is niet ethisch, reageert Jacco van Tuijl. Het volledig vrijgeven van een kwetsbaarheid compleet met details om er misbruik van te maken, kan niet door de beugel. De andere hackers vallen hem bij. Een aanpak met een timer voor de disclosure, zoals Google hanteert, kan beter zijn. Responsible disclosure is wel een stok achter de deur, erkent Breuk. Hij zet dit dilemma verder uiteen met de hamvraag: hoe lang wacht je voordat je tot onthulling overgaat? TIJD VERSUS IMPACT De timing van onthulling na een paar dagen kan namelijk conflicteren met de complexiteit van een fix en de benodigde tijd voor het uitrollen daarvan. Hoe lang is er nodig?, vraagt Breuk. Securitytester Guus Siebers draagt aan om het aan de organisatie zelf te vragen, wat hun inschatting is. Maar soms kun je niet updaten, weet Van Tuijl. Het dichten van een lek kan bijvoorbeeld technisch niet mogelijk zijn of heeft teveel bijwerkingen. Soms wordt een oplossing overruled, bijvoorbeeld omdat het teveel business impact heeft, weet Siebers uit ervaring. Belangrijk is ook een afweging over de kwetsbaarheid zelf, voegt Breuk weer toe. Wat is het: een klantenbestand of een DoS? Kunnen gevoelige gegevens op straat komen te liggen of loopt een organisatie slechts het risico van een DoS-aanval (denial of service)? Het beste zou zijn om samen met de getroffen leverancier of gebruikende organisatie een kwetsbaarheid in stilte te fixen, opperen de securityspecialisten van Sogeti. En het moet ook via een betrouwbaar kanaal gaan, concludeert Wolters. OBSTAKELS IN DE PRAKTIJK Helaas is de realiteit anders. Enerzijds omdat de factor tijd niet alleen wordt bepaald door de ontdekkers en de fixers van kwetsbaarheden. Als wij iets kunnen vinden, kan een ander dat ook, legt de groep ethische hackers uit. Die ander Rory Breuk: Het gaat om hele grote dilemma s kan dan criminele bedoelingen hebben. Anderzijds is er nog de complicerende factor van de getroffen leverancier of gebruikende partij. Soms kan of wil die een kwetsbaarheid niet oplossen. Bijvoorbeeld vanwege te hoog geachte kosten voor het fixen. Ik heb dat wel vaker gehoord, vertelt Van Tuijl. Hij heeft lang geleden een kwetsbaarheid bij gemeenten gevonden waardoor hij toegang kon hebben tot informatie over alle uitkeringen. Na netjes melding te hebben gedaan, kreeg hij een verrassende reactie: Het fixen hiervan kost tien euro per inwoner, dat gaan we niet doen. De ethische hacker verbaasde zich over het gebrek aan verantwoordelijkheidsgevoel van de kwetsbare instantie. Want wat kost de eventuele schade die burgers lijden wel niet? En is dit wel ethisch? MOEIZAAM MELDEN Zijn eigen ethiek heeft hem er nog wel toe aangezet om de gevonden kwetsbaarheid elders aan te kaarten. Maar waar dan? Waar kun je terecht? Het NCSC (Nationaal Cyber Security Center) en het centrale meldpunt daar bestonden toen nog niet, legt Van Tuijl uit. En bij GovCERT.nl kreeg hij nul op het rekest. De kleinschalige voorganger van het NCSC opereerde namelijk voor organisaties die lid waren en het lek bij gemeenten viel buiten die scope. In die tijd was het lastig om van hacken een fulltime baan te maken, geeft de security-expert van Sogeti aan. Dat is na 2011 wel veranderd. Mede door de beruchte Lektober-actie waarbij elke dag in oktober een beveiligingsgat of privacylek is onthuld. Tegenwoordig valt er een goede boterham te verdienen met ethisch hacken, zegt Van Tuijl. Ik kan nu volledig met security bezig zijn. ALIAS UIT BITTERE NOODZAAK Naast hacken binnen het werkgebied van Sogeti en haar klanten, zoekt hij ook elders naar kwetsbaarheden. Om die dan netjes te melden. Vanuit een drijfveer om de wereld veiliger te maken. Dat doe ik niet uit eigen naam, geeft Van Tuijl aan. Het vinden van een kwetsbaarheid kan al strafbaar zijn, of in ieder geval vervolgbaar. Bovendien kun je een kwetsbaarheid al toevallig tegenkomen bij normaal gebruik, legt hij uit. Van Tuijl heeft ooit melding gedaan van een groot beveiligingsgat en kreeg van de betrokken minister de boodschap dat hackers niet vervolgd worden als ze er geen gewin bij hebben. Dus gebruik ik een alias. Dit om buiten schot te blijven wanneer een organisatie of aanklager toch meent dat er sprake is van gewin, of van schade die op iemand verhaald moet worden. Het is dus zaak om een betrouwbare tussenpartij te hebben. ORGANISATIES DOEN HET STEEDS BETER Op de vraag hoe bedrijven en overheden vandaag de dag met hun digitale veiligheid omgaan, zijn de hackers het snel eens over het antwoord. Het gaat steeds beter, ook al verschilt het nog erg per organisatie. Bij het ene bedrijf moet de security-mindset nog veel groter worden, vertelt Tessa Smolenaars. Bij andere organisaties is het bewustzijn groot, maar Guus Siebers: Soms wordt een oplossing overruled, bijvoorbeeld omdat het teveel business impact heeft Arend Wolters: Ethiek kun je niet in één ding vangen wordt er nog teveel op eilandjes gewerkt. Zo leiden wij ontwikkelaars op om security te borgen in het ontwikkelproces, vertelt Van Veen. We helpen steeds meer bedrijven met het maken van een security roadmap, voegt Kuivenhoven toe. En toch is er ook nog altijd sprake van een bepaalde mate van naïviteit, vindt Van Tuijl. Zo zijn er nog genoeg ontwikkelaars die denken dat bijvoorbeeld een Internet-of-Things oplossing in een gesloten netwerk ontwikkeld kan worden. Dat is een illusie. Overal zit al draadloze technologie, aldus Van Tuijl. HEKEL AAN ETHISCH HACKEN De ethische hackers aan tafel bij Sogeti zeggen tenslotte dat hacken nog te vaak verkeerd wordt gezien. Het is geen boosaardige of zelfs kwaadaardige activiteit. De toevoeging van het woord ethisch aan wat hackers doen, is eigenlijk fout. Van Tuijl: Dat komt door de media en films waarin de vreselijkste doemscenario s voorbij komen. Noem dat andere gewoon crimineel hacken! Zijn collega Breuk vat kort samen: Ik heb een hekel aan ethisch hacken. Jasper Bakker, freelance journalist 12 INFOSECURITY MAGAZINE - JULI

8 PRAKTIJK PERSONEELSVERLOOP IS VRIJ HOOG Achmea wil de meest vertrouwde verzekeraar in Nederland zijn. Dat is een bedrijfsdoelstelling die Achmea een aantal jaren geleden heeft vastgesteld. Dat heeft direct gevolgen voor de betrouwbaarheid van de digitale systemen. Manager IT Security Henry Meutstege doet er alles aan veilige applicaties te leveren, maar merkt dat het moeilijk is goed personeel te vinden en te houden. HOE GROOT IS DE DRUK OM VEILIGE APPLICATIES TE LEVEREN? Het vertrouwen in een verzekeraar hangt in belangrijke mate af van hoe wij in staat zijn onze klantgegevens af te schermen, transacties snel af te handelen en onze communicatie betrouwbaar en vlot te laten verlopen. Dat is lastig in een wereld die steeds digitaler wordt. Dat schept kansen, maar natuurlijk ook bedreigingen. Deze ontwikkelingen stellen hoge eisen aan de automatisering van ons bedrijf. Je moet niet vergeten dat het aan de andere kant ook steeds professioneler is geworden. Het loont tegenwoordig veel meer om data te stelen dan een bank te beroven. We zijn in gevecht met de georganiseerde misdaad, die tot ver over onze landsgrenzen heen reikt. WELK PLAN MOET JE DAN TREKKEN? Wij hebben contact gezocht met adviesbureau KPMG. Zij hebben het Security Maturity Framework ontwikkeld. Dat hebben we getoetst aan onze eigen organisatie. Eind 2013 hebben we een nulmeting gedaan. Toen bleek onze organisatie op niveau 2 te zitten. De schaal loopt van 0 tot 5. Op het hoogste niveau kun je spreken van een resilient enterprise. Twee keer per jaar bekijken we hoe we op de schaal scoren. Begin 2015 zaten we gemiddeld op niveau 3. Op sommige onderdelen zaten we daar net onder. Op Het vertrouwen in een verzekeraar hangt in belangrijke mate af van hoe wij in staat zijn onze klantgegevens af te schermen andere onderdelen daar net boven. De komende twee jaar willen we toegroeien naar schaalniveau 4+. Inmiddels hebben we flinke stappen gezet in die richting. WAT DOET U NU ANDERS DAN VROEGER? In het verleden is vrijwel alle aandacht gegaan naar het fortificeren van onze systemen. Met firewalls, antivirus software, DMZ en alles wat erbij hoort. Alles was gericht op preventie. Dat blijven we nog steeds doen, maar we hebben nu veel meer aandacht voor detectie en response. We willen inzicht hebben in het gedrag van onze systemen. En vervolgens weten hoe je moet handelen als zich iets voordoet waar dreigingen uit kunnen ontstaan. Dan hebben we het over intrusion detection, controle van gedrag van verkeer, en dergelijke. We monitoren voortdurend onze systemen. Dit betekent tegelijkertijd ook dat je moet oefenen. Zo stellen we draaiboeken op hoe je moet reageren op bepaalde situaties. Dit moet je minutieus uitschrijven: wie doet wat, wanneer, en met wie? Vervolgens proberen we dat uit. Net zoals je ook ontruimingsoefeningen doet in het kantoor. BEVEILIGING IS NIET ALLEEN GERICHT OP DE INFRASTRUCTUUR. WAT DOET U OP HET GEBIED VAN APPLICATIES? Dat begint eigenlijk allereerst met het bevorderen van ons beveiligingsbewustzijn in alle lagen van ons bedrijf. Ik moet zeggen dat onze medewerkers de laatste twee jaar veel bewuster omgaan met het belang van veiligheid. Niet in het minst door alle problemen die in de openbaarheid zijn gekomen. En er is scherpe aandacht voor de intrinsieke beveiliging van applicaties. We doen penetratietesten op alle applicaties: mobiel, web, bedrijfsapplicaties; alles gaat door de handen van onze testers. Helaas is het verloop onder beveiligingsdeskundigen vrij hoog. Wij doen ons best een interessante werkgever te zijn om personeel aan te trekken en te behouden. Onze IT-security specialisten zijn gevestigd op ons kantoor in het oosten van het land. Daarmee hebben we gelukkig wat minder concurrentie met andere bedrijven zoals in de Randstad. Toch heeft het binden en boeien van security experts onze volle aandacht. Zo hebben we vorig jaar een aantal HBO IT-security schoolverlaters aangenomen. Ik merk dat zij het prettig vinden bij ons te werken. Tegelijkertijd brengt zo n groep jonge mensen nieuw elan op de afdeling. Dat is leuk om te zien. REDT U HET ZO BINNEN DE EIGEN ORGANISATIE? Nee; we moeten ook een beroep doen op IT-dienstverleners. Voor het testen van applicaties hebben we Sogeti ingeschakeld. Er is echt specialistische kennis nodig voor pentesting. Bovendien heb je vaak speciale apparatuur nodig. Zij beschikken over die specifieke vaardigheden en de apparatuur. Bovendien passen ze in ons team en dragen al doende kennis over aan onze eigen medewerkers. WORDT UW AFDELING SERIEUS GENOMEN? Uitermate serieus. Gelukkig wel. Dat is uiteraard ook gerelateerd aan onze bedrijfsstrategie van meest vertrouwde verzekeraar. We hebben een programma opgesteld om alle applicaties door de mangel te halen. Zo hebben we Sogeti ingeschakeld om alle websites te testen op veiligheid. Als een site niet voldoet op dit punt, dan hebben wij de bevoegdheid om hem onmiddellijk te sluiten. We willen de risico s op onze websites zoveel mogelijk beperken. De site mag pas weer de lucht in als alles in orde is. WAT STAAT ER NOG OP UW TO-DO LIJST? Op hoofdlijnen werken we nu aan drie zaken. We hebben een SIEM-tool aangeschaft (Security Information and Event Management) dat inzicht geeft in de gebeurtenissen binnen onze systemen. Daarmee kunnen we ook goede analyses maken. Wij breiden het werkterrein van deze tool steeds verder uit. Verder werken we waar nodig vaker met versleuteld verkeer. Dat betekent dat je het beheer van certificaten goed op orde moet hebben. En verder voeren we sterke authenticatie op de werkplekken in. Zo zetten we naast gebruikersnaam en wachtwoord een token in waarop een certificaat staat Manager IT Security Henry Meutstege om in te loggen op pc en/of laptop. Verder is het heel belangrijk bewust te zijn van het feit dat security geen project maar een proces is! Teus Molenaar is journalist We hebben nu veel meer aandacht voor detectie en response 14 INFOSECURITY MAGAZINE - JULI

9 TOP 10 aanbevelingen voor software-ontwikkelaars Kwaliteit, betrouwbaarheid, gebruiksgemak, functionaliteit en mobiel toegankelijk. Om maar een aantal zaken te noemen waar goede software aan moet voldoen. Maar hoe zorg je voor de veiligheid van software? Er bestaan verschillende lijsten en normeringen voor de ontwikkeling van veilige software. Senior security-expert Marinus Kuivenhoven van Sogeti heeft alle normeringen op een rij gezet. De tien belangrijkste punten uit deze lijsten geselecteerd en eenduidig beschreven. 5 Scheiden van data en logica Zorg bij het aanspreken van een verwerkende eenheid (zoals database) voor onderscheid tussen data en logica. Lever data gescheiden aan of sla de data plat zodat de gegevens geen logica kunnen bevatten. Zwakheden als SQL-injection, cross-site scripting en XML entityaanvallen worden hiermee voorkomen Functiescheiding in functionaliteiten en systemen Geen enkele gebruiker mag over het gehele proces van begin tot eind controle hebben. Implementeer daarom functiescheiding in functionaliteiten en systemen. Dat zorgt ook voor minimale hoeveelheid autorisaties voor de eindgebruiker. 7 8 Voorkom CSRF-aanvallen Voeg een transactietoken toe aan requests die wijzigingen aanbrengen in het systeem. Hiermee voorkom je herhaling van acties of een CSRF-aanval. Signaleringsfuncties inrichten Stel in de applicaties vast welke transacties onweerlegbaar gelogd moeten worden. Richt de signaleringsfuncties (registratie en detectie) actief en beveiligd in. Maak daarbij gebruik van centrale loggingfaciliteiten. De trace en versleutelde loggevens altijd buiten de applicatie opslaan. Deze top 10 is geselecteerd op basis van de meest vooraanstaande normeringen van o.a. de Nederlandse overheid (SSD), het Nationaal Cyber Security Center (NCSC), Amerikaanse overheid (NIST) en de internationale security federatie (SANS). 1 Minimale 2 Geen overbodige 3 4 Client-side-security Instellingen rule-based bestaat niet functionaliteit Vertrouw alleen gegevens die de Maak gebruik van een bedrijfs- applicatie zelf valideert of verifieert. Dus garantie geven op de integriteit van gegevens is niet mogelijk. brede authenticatie en autorisatie- - voorziening. Dit voorkomt meerdere implementaties. En helpt bij toegangsbeheer. Laat IAM oplossingen functiecreep beperken. Biedt daarom minimale rule-based functionaliteit aan. informatie Stuur alleen informatie aan die functioneel nodig is voor gebruik. Overige informatie zoals technische foutmeldingen, type en versie of debug informatie geeft onnodig veel prijs. aanpassen Activeer alleen functioneel noodzakelijke protocollen, services, content en accounts. Deze instellingen moeten ook gaandeweg bijgewerkt worden in nieuwbouwtemplates. 9 Gebruiker pro-actief beschermen Definieer standaard de http headers op de veiligste settings. Met de toevoeging van security flags en paden aan cookies, content-type, CORS en HTST-headers en het toepassen van de Content Security Policy wordt de gebruiker proactief beschermd. 10 Versleutel gegevens Versleutel gegevens tijdens verwerking, verzending en opslag op basis van de content en de context tegenover de BIV classificatie. 10 Door SECURITY Marinus Kuivenhoven van Sogeti Illustratie van Ivo van IJzendoorn (Axioma) 18 INFOSECURITY MAGAZINE - JULI

10 VISIE Afgelopen decennium is ons IT-landschap drastisch veranderd. De complexiteit en afhankelijkheid van technologie is immers enorm en wordt alleen maar groter. Daar is iedereen het snel over eens. Maar als er een thema in veel opzichten aan verandering onderhevig is, dan is het wel de rol van informatiebeveiliging. Van een technisch naar een maatschappelijk thema. Van een gedelegeerd probleem naar een agendapunt in de bestuurskamer. De tijd van incidenteel management is voorbij. Wat hebben we van de afgelopen tien jaar geleerd? En wat zijn onze verwachtingen voor het komende decennium? We vragen het aan Rogier van Agt, bij ICT-dienstverlener Sogeti verantwoordelijk voor security. Security-kennis op peil houden is voor de meeste Chief Information Security Officers (CISO s) de grootste uitdaging, zegt Van Agt. Hij vertelt hoe deze uitdaging aan te gaan. WAT HEBBEN WE GELEERD VAN DE AFGELOPEN TIEN JAAR? We kunnen enorm veel lessen trekken als we terugkijken. Zo weten we inmiddels dat voorkomen beter is dan genezen. Iedere organisatie is zich bewust van de noodzaak voor preventief securitybeleid en beleid dat erop gericht is adequaat te handelen tijdens en na security-aanvallen. De belangrijkste les is wel dat we gelijk bij de start van het ontwerp en de ontwikkeling van IT-systemen security-eisen meenemen. Voorheen werden veiligheidsmaatregelen achteraf genomen. Daarmee ben je per definitie te laat. En krijg je met extra maatregelen te maken. Met het inbedden van securitymaatregelen in het initiële proces, kun je veel gedoe, tijd en kosten besparen. HOE ORGANISEER JE SECURITY- BY-DESIGN? Uiteraard begint het bij de erkenning dat het nodig is security-eisen mee te nemen bij de start van een project. Dan is het een kwestie van doen. De eerste stap daarbij is het vaststellen van security-eisen naast de benodigde functionele requirements. Beide requirements samen laten komen, gaat voor het echte succes zorgen. Functionele systeemeisen die tegelijkertijd ook veilig zijn. WAT IS VOLGENS JOU DE GROOTSTE SECURITY-UITDAGING VOOR KOMEND DECENNIUM? Kennis op peil houden. We hebben nog een achterstand in te halen op de slimmigheid van aanvallers. Je zou het een beetje kunnen vergelijken met de ontwikkeling van autodiefstal. Jaren terug waren dieven de autofabrikanten veel te slim af met hun handige manieren om snel en effectief in te breken. Auto-inbraken aan de lopende band waren het gevolg. Inmiddels is het aantal inbraken en autodiefstallen aanzienlijk verminderd omdat de fabrikanten een goede inhaalslag hebben gemaakt. In gesprek met Rogier van Agt SECURITY-KENNIS GROOTSTE UITDAGING IN KOMENDE TIEN JAAR HOE ZORG JE ERVOOR, DAT SECURITY-KENNIS OP PEIL BLIJFT TERWIJL HACKERS STEEDS SLIMMER WORDEN? Haal ethische hackers in huis. Zij kijken op een andere manier naar de wereld en in het bijzonder naar informatiesystemen en processen. Met een gecontroleerde inzet van deze kennis en ervaring, toets je voortdurend of genomen maatregelen effectief zijn. En uiteraard waar verbetering nodig is. De aanval is toch uiteindelijk de beste verdediging. We weten dat het niet de vraag is of je gehackt wordt, maar wanneer dat gaat gebeuren. Dat betekent dat je ervan uit moet gaan, dat het fout gaat. Dat dwingt je om van tevoren alle mogelijke scenario s tegen het licht te houden. Een goede voorbereiding is het halve werk. Door op voorhand maatregelen te treffen, kun je je volledig richten op de oplossing op het moment dat een aanval zich voordoet. IS MET HET IN HUIS HALEN VAN HACKERS SECURITY-KENNIS GEWAARBORGD? Nee, zeker niet. Het is slechts een voorbeeld van benodigde maatregelen. Een ander belangrijk aandachtspunt is het bewustzijn van medewerkers. Het staat als een paal boven water dat de mens nog altijd de zwakste schakel is in het proces. Dan is het zaak dat je medewerkers meeneemt in het bewustwordingsproces. Niet door een willekeurige training. Dat gaat geen verschil maken. Om een gedragsverandering te laten slagen, moet je een handeling zeker dertig keer hebben gedaan. Zorg dat je dat beloont, in plaats van te straffen. Een blijvende gedragsverandering realiseer je door goed gedrag op een ludieke manier kort cyclisch te tonen en te belonen. HOE BLIJFT HET KENNISNIVEAU VAN SECURITYSPECIALISTEN OP PEIL? Een van de grootste uitdagingen van morgen, is het behoud van goed opgeleid personeel. Op dat vlak is er ook veel veranderd. Ook al bestaat IT-security al jarenlang, de functie heeft nog niet zo lang geleden een vaste plaats in de organisatie gekregen. Dat betekent dat er nog weinig wordt gedaan aan loopbaanontwikkeling voor securityspecialisten. Uiteraard is dat in eerste instantie een verantwoordelijkheid van zowel de specialist als zijn of haar werkgever. Echter, daarin kan de leverancier ook een belangrijke rol spelen. In zo n situatie is er geen sprake meer van een klant-leverancier relatie maar een gedegen partnerrelatie. Zo werken wij samen met de klant om kennis en personeel uit te wisselen. Hoe kun je bijvoorbeeld een security Om gedragsverandering te laten slagen, moet je een handeling zeker dertig keer hebben gedaan Rogier van Agt analist die in een vast team van een Security Operating Centre (SOC) werkt, perspectief op groei geven? Er is tenslotte maar een SOC-manager en een omgeving waar hij afgelopen twee jaar heeft gemonitord. Met deze security analisten ga je bekijken hoe en waar verandering van omgeving mogelijk is. Weg van het vaste eiland. Daarmee bied je de analist een nieuwe uitdaging, maar wel in een vertrouwde omgeving. En de organisatie is verzekerd van behoud van kennis en continuïteit plus binding met de medewerker. Ontwikkeling van deze binden & boeien aanpak kan heel goed samen met je leverancier. HEB JE DAN ALLE MAATREGELEN GETROFFEN OM SECURITY- KENNIS OP PEIL TE HOUDEN? Je zult ook moeten blijven monitoren. Meten is weten. Dat is ook van toepassing op security. IT-systemen actief en voortdurend monitoren, betekent continu inzicht in wat er precies gebeurt. Die data omzetten in kennis en intelligentie helpt bij het nog beter anticiperen op afwijkend gedrag. Inzet van goede monitoringtechnologie maar ook de inzichten van ervaringsdeskundigen zoals security-analisten en (ethische) hackers zijn daarbij onontbeerlijk. En natuurlijk is het daarbij belangrijk dat je leert van het verleden. Nog altijd zijn de meest succesvolle organisaties die bedrijven en instellingen die zich voortdurend weten aan te passen. Ook als straks alles aan het internet hangt. Bij de ontwikkeling van Internet-of-Things is security-by-design een absolute must. HOE HOUDT TENSLOTTE DE CISO ZIJN EIGEN KENNIS OP PEIL OVER DE DIVERSITEIT AAN SECURITY-TOOLING? Het is van belang dat organisaties weten waar naartoe ontwikkeld wordt. De bekende stip op de horizon. Of anders gezegd Think big, start small. Op deze manier kan de CISO een gedegen afweging maken welke technologie daar het beste bij past. De geselecteerde technologie kan voortdurend getoetst worden aan gekozen strategie. Dat is niet altijd even makkelijk met de wildgroei aan technologie. Bepaal dan ook of je die kennis zelf op peil wilt houden, of dat je daarbij een beroep doet op onafhankelijke kennis van IT-dienstverleners. 18 INFOSECURITY MAGAZINE - JULI

11 OPINIE foto: Denys Prykhodov - SECURITY-EXPERTS MOETEN HET CLOUDJESVOLK DIENEN De belangrijkste vraag rondom security is en blijft wat zijn we nou eigenlijk aan het securen? Het logische antwoord luidt: bedrijfsgeheimen, de dagelijkse operaties en administraties van onze organisaties. In mijn ogen zaken die nauwelijks de moeite waard zijn om te beschermen. De uiterste houdbaarheidsdatum van de meeste traditionele organisaties is namelijk al lang gepasseerd. Flexibele netwerkorganisaties zijn de toekomst. Medewerkers hebben het pand virtueel overigens al lang verlaten. Iedereen Whatsappt zich het ongans, en samenwerken doet de nieuwe generatie professionals tegenwoordig het liefst in Slack. Dat is San Francisco s nieuwe social business trots. In een paar tellen ben je je eigen baas en run je de tent voor een appel en een ei. Allemaal op supergoede systemen die gebouwd zijn op het DNA van de genetwerkte samenleving. Zo wordt het klootjesvolk het cloudjesvolk. Tegelijkertijd doet de security-expert alsof zijn neus bloed. De vraag is of deze wise-guy zo wijs is. Met ge- en verboden, strakke procedures en regeltjes proberen de veiligheidsofficieren de boel dicht te timmeren. Je vraagt je af hoe dat komt. Daar is een logisch antwoord op te geven. Fraai verwoordt door Melvin Conway. Van Conway s Law leren we dat organisaties systemen bouwen die exacte kopieën zijn van hun eigen structuren. Als de structuur van een bedrijf hiërarchisch is, lossen we het probleem ook hiërarchisch op. Met van bovenaf opgelegde oekazes. Deze organisatietragiek noemt antropoloog David Graeber total bureaucratization. Na te lezen in zijn nieuwste boek The Utopia of rules: on technology, stupidity and the secret joys of bureaucracy. Dat secret joys verraadt het al. Het lijkt erop, dat mensen er plezier aan beleven. Wie weet zal dat ook zo zijn. Inmiddels hebben de bureaucraten de overhand. Zo zien we waterhoofdorganisaties verder groeien. Meer dan de helft van tijd en geld zit in het controleapparaat. Dat is niet alleen van toepassing op overheidsinstellingen en het onderwijs. De totale bureaucratisering beslaat ziekenhuizen, banken en zelfs industriële ondernemingen. Kortom, organisaties in elke sector. DO I HAVE AN ASSISTANT? Blijft de vraag wat zijn we dus nou eigenlijk aan het beveiligen? Misschien onze eigen banen? Ietsje pijnlijker nog dan in zijn boek, beschrijft Graeber de huidige situatie in zijn essay On the phenomenon of bullshit jobs. Graeber is een anarchist. Die inschatting had u wellicht al gemaakt. Hij is een van de belangrijkste figuren uit de occupy-beweging. Zijn recalcitrante gedrag heeft hem zijn baan gekost aan het prestigieuze Yale. Inmiddels heeft hij zich weer opgewerkt tot professor aan de London School of Economics. Ik heb uren achter hem aangezeten voor zijn speech op ons VINT symposium Computers say no. G d, gebeld en geslijmd. Zelfs bij hem op de stoep gestaan, een selfie genomen en getwittert naar deze actieve twitteraar. Het enige dat ik ooit van hem te horen kreeg, was een mail van 1 regel lang die hij zaterdagnacht om 02:30 uur verstuurde. Do I have an assistant? was de tekst in die ene regel. Het was zijn antwoord op mijn laatste poging: Als u het te druk heeft, kan ik dan een afspraak van 5 minuten met u regelen via uw assistent? Anarchisten hebben geen assistenten weet ik inmiddels. Terug naar het al dan niet veiligstellen van die bullshit jobs. Een goed voorbeeld is de baan van de bedrijfsjurist. Volgens Graeber zal elke bedrijfsjurist dat direct beamen. Die juristen hebben het maar al te druk met onzin. Daarom komen ze niet meer toe aan alledaagse dingen als het uitlaten van hun hond. De hondenuitlaatdiensten zijn dus een afgeleide en behoren volgens de anarchist ook tot de categorie bullshit-banen. Zowel bedrijfsjuristen als de security-officers inspireren de klerken daaronder om hun goede werk te doen volgens de door hen opgelegde structuren. We zijn weer terug waar we waren. OUT-OF-THE-BOX OPLOSSING Zoals altijd geeft een out-of-the-box oplossing redding en verlichting. Verander simpelweg de hele organisatie in een bedrijf dat wel het beveiligen waard is. Een netwerkorganisatie dus. De taak van de security-officer is om u te gidsen en te begeleiden in uw data-integriteit. Vertellen wat helpt en waar u op moet letten. Een vriendelijke meneer of mevrouw (het wordt waarschijnlijk een intelligente machine) die u voor uw grootste stommiteiten behoedt. Dat maakt de organisatie niet alleen productiever, maar ook een stuk leuker om voor te werken. De tweede stap is om de organisatie op de blockchain te krijgen. Onlangs mocht ik dat komen uitleggen bij De Nederlandse Bank. Er zaten veel slachtoffers van Conway in de zaal. De Hoofd risk-management zei dat er meer geïnnoveerd moet worden. Dat geeft hoop. By the way, de blockchain is een netwerkorganisatie pur sang. Met een gedecentraliseerde public key infrastructuur waar transparantie de norm is. Dat wordt ook wel de nieuwe manier van vertrouwen organiseren genoemd. Het volk is de eigenaar van het netwerk en rekent mee of het allemaal Menno van Doorn klopt. Als 51% van de aangesloten computers akkoord is, is de transactie een feit. Zo kijkt er constant een notaris mee. Verlos u van Conway. Bouw een organisatie die het securen waard is. Menno van Doorn Directeur Verkenningsinstituut Nieuwe Technologie (VINT) van Sogeti 'Met ge- en verboden, strakke procedures en regeltjes proberen de veiligheidsofficieren de boel dicht te timmeren' 20 INFOSECURITY MAGAZINE - JULI

12 SECURITY Overzicht van security tools met de meest gevraagde eigenschappen HET SCHAAP MET DE VIJF POTEN Het aanbod van security tools om geautomatiseerd zwakheden in software te vinden, is groot. Bovendien blijkt uit onderzoek dat er geen tool te vinden is die in staat is alle kwetsbaarheden bloot te leggen. Zelfs niet als je alle beschikbare tools los zou laten op een applicatie en de uitkomsten combineert. Dan komen niet meer dan de helft van alle kwetsbaarheden boven tafel. Dat is logisch. Security scans herkennen nu eenmaal alleen contentpatronen van reeds bekende zwakheden. Bovendien is dit geautomatiseerde gereedschap niet bekend met de business logica. Ook de intelligentie voor de juiste context ontbreekt. Toch zijn geautomatiseerde scans niet meer weg te denken in onze IT-security omgeving. Sterker nog, veel organisaties zetten in op meer automatisering om eenvoudige kwetsbaarheden snel en makkelijk te detecteren. En daarmee ontwikkelprocessen met een hoge release cycle, zoals DevOps, ook te ondersteunen. Kortom, hoog tijd voor een overzicht van de meest gevraagde eigenschappen van security scanners. En antwoord op de vraag welke tools daar het beste op aansluiten. Zeven eigenschappen op een rij: 22 INFOSECURITY MAGAZINE - JULI

13 SECURITY PROTOCOL SUPPORT 1 De meeste scanners richten zich op het webverkeer. Tegelijkertijd zijn informatiesystemen ook in staat informatie te ontsluiten via andere protocollen. Daarom zijn er scanners die ook een inkijk geven op de netwerklaag. Bijvoorbeeld Nessus van Tenable en Nexpose van AppSpider. Deze security scanners kunnen ook hardingsfouten vinden. 'Nexpose en HP WebInspect beschikken over de meest uitgebreide rapportagemogelijkheden' AUTHENTICATIE 2 Een deel van de zwakheden is alleen te vinden als de tool zowel verticale (zelfde informatie, meer rechten) als horizontale (verschillende informatie met dezelfde rechten) escalaties vindt. Dat betekent dat de scan in staat moet zijn zich in verschillende rollen aan te melden. En de verschillen daarbij ook kan opsporen. De meeste tools nemen authenticatiestappen op. Deze worden daarna bij het testen afgespeeld. HP WebInspect en OWASP ZAP bieden daarnaast de beste mogelijkheden om de autorisatiezwakheden te vinden. HANDMATIGE CONTROLE 3 Om false positives ofwel schijnresultaten te voorkomen, moet een tool in staat zijn bevindingen uit de geautomatiseerde test handmatig te verifiëren. Daarom moet de security scan de mogelijkheid bieden iedere stap van de test na te spelen. BurpSuite en OWASP ZAP zijn van oorsprong tools die ingezet worden bij handmatig testen. Deze beide tools komen dan ook als beste uit de test voor handmatige controle. RAPPORTAGE 4 Verschillende specialisten en gebruikers doen een beroep op de uitkomsten van de security scan. Dat betekent dat de tool ook in staat moet zijn op verschillende wijzen inzicht te geven in de resultaten. Zo wil een technicus exact weten hoe de bevinding is geconstateerd, wat de bewijslast is en hoe de zwakheden opgelost kunnen worden. Tegelijkertijd willen interne klanten vanuit de business inzage hebben in de risico s. Daarmee kan de impact op de business 'Veel organisaties zetten in op meer automatisering om eenvoudige kwetsbaarheden snel en makkelijk te detecteren' worden bepaald. Iedere beschikbare tool kan een XML weergeven, zodat informatie kan worden omgezet naar een eigen template. Nexpose en HP WebInspect beschikken over de meest uitgebreide rapportagemogelijkheden. CRAWLING 5 Een scanner kan alleen testen uitvoeren op plaatsen waarvan bekend is dat ze bestaan. Daarom beschikken security tools over verschillende manieren om alle mogelijke invoerspunten te vinden. OWASP ZAP en AppSpider maken allebei gebruik van dezelfde type engine. Beide tools zetten namelijk de browserengine in om dynamische links op die manier te vinden. TESTCAPACITEITEN 6 Uiteraard zijn alle security scanners bedoeld om op een geautomatiseerde manier zoveel mogelijk zwakheden te vinden. Uit onze test blijkt wel dat Arachni en HP WebInspect in staat zijn de meeste kwetsbaarheden op te sporen met de minste false positives. COMMAND & CONTROL 7 Bij een dagelijkse scan van honderden applicaties, is het aan te raden een portaal in te zetten waarop scans worden ingepland. Daarop kunnen de uitkomsten van grote hoeveelheden scans ook overzichtelijk gepubliceerd worden. Als dit een belangrijk aanschafcriterium is, kies dan voor IBM AppScan of HP WebInspect. Beide security tools voorzien in een console die overzicht biedt over meerdere scans. BRONNEN: AppScan - AppSpider - Arachni - BurpSuite - Nessus - Nexpose - WebInspect - ZAP - ALGEMENE EIGENSCHAPPEN Wat voor elke investering geldt, is uiteraard ook van toepassing op de aanschaf van security tooling: algemene criteria voor het maken van een keuze. Ook deze zetten we nog even op een rij. AANSCHAFCRITERIA PRIORISEREN Stel vast wat de belangrijkste functies moeten zijn van de security scanners. Uiteraard zal dat voor meerdere personen anders zijn. Maak onderscheid in de must-haves en nice-to-haves. ALLE KOSTEN MEENEMEN Natuurlijk zijn de kosten afhankelijk van de mate van gebruik en grootte van de organisatie. Neem in het kostenoverzicht alles mee. Aanschafprijs, kosten voor voortdurend onderhoud, aanvullende hardware kosten, trainingsmogelijkheden, de kwaliteit van de documentatie, gebruikersgemak, toegang tot een gebruikerscommunity, kosten voor regelmatige updates en licentiebeperkingen. WELKE SCAN OP DE SHORTLIST Zet alleen die security tools op de shortlist die uitblinken in de must-haves. Daarmee wordt veel tijd bespaard voor een gedegen evaluatie van alle security scanners. LAATSTE VERSIES OP SHORTLIST Het lijkt een open deur maar zorg ervoor, dat alleen de meest recente versies van de security scanners deel uitmaken van de shortlist. Leveranciers voorzien veelal in software die voor een beperkte periode beschikbaar is. Hou daar rekening mee tijdens de evaluatieperiode. VOORAF AAN PITCH BEPALEN WELKE APPLICATIES GETOETST WORDEN Bepaal vooraf aan het testen van de geselecteerde security scanners welke applicaties ingezet worden. Het is het beste om applicaties mee te nemen die actief zijn in de dagelijkse operatie. Selecteer daarbij applicaties gebaseerd op meerdere technologie platformen. Als de organisatie veel Java en.net applicaties heeft, neem deze dan mee in de pitch. En kies daarbij uiteenlopende type applicaties van de webwinkel tot de bedrijfsapplicatie voor declaraties. GOEDE VOORBEREIDING VOOR HET SCANNEN VAN APPLICATIES De voorkeur gaat uit naar het scannen van applicaties die buiten een huidige productie-omgeving staan. Met name applicaties die nog niet eerder gescand zijn. Mocht je toch applicaties meenemen in een bestaande productie-omgeving, zorg dan voor goede back-ups van relevante databases. Ook is het zaak dat betrokken collega s goed ingelicht zijn. RESULTATEN PUBLICEREN Zorg voor gedegen gedetailleerde opslag van de resultaten uit de scannerevaluatie op bestaande applicaties. Denk aan applicatieversienummers, web server types, database versies en besturingssystemen. De resultaten kunnen dan makkelijker her- of elders gebruikt worden. Marinus Kuivenhoven, Sogeti 24 INFOSECURITY MAGAZINE - JULI

14 EBOOK STAYING AHEAD IN THE CYBER SECURITY GAME DRIE REDENEN OM STAYING AHEAD IN THE CYBER SECURITY GAME TE LEZEN: 1. Een snelle en heldere manier om bij te zijn 2. Veel inzichten en tips om direct tot actie over te gaan 3. Overtuigende stellingen die helpen in de discussie rondom veiligheidsbewustzijn Het is een spel. Dit is een veelgehoorde uitspraak in de gesprekken die ik had voorafgaand aan de ontwikkeling van ons boek. Een voortdurende strijd tussen aanvallers en verdedigers. De verdedigers schermen met één hand op de rug en soms geblinddoekt tegen een legertje tegenstanders die altijd met nieuwe manieren uit onverwachte hoek komen. Kunnen we die strijd winnen? was vervolgens mijn vraag. Helaas niet, antwoordde menig Security Manager met een positieve kanttekening daarbij. We kunnen de ander wel voor blijven. Dat is al een groot goed. Zo werd de titel van het boek geboren: Staying Ahead in the Cyber Security Game. Met het lezen van dit boek ben je volledig bij over de stand van zaken rondom Cyber Security. Je krijgt alle ontwikkelingen op het vizier. En ook praktische tips aangereikt hoe jouw organisatie veiliger te maken. Het boek staat stil bij de verschuiving van security als technisch risico naar een bedrijfsrisico. Inmiddels zijn veel bestuurders zich bewust van de imagoschade, de bedrijfsvoering die op het spel staat en bijvoorbeeld het kwijtraken van gevoelige data dat kan leiden tot hoge juridische kosten. Om maar een paar niet-technische risico s te noemen. Dat vraagt om een allesomvattende aanpak. Zowel op communicatief vlak, financieel, juridisch als uiteraard ook technisch. In het boek beschrijven we welke preventieve stappen te ondernemen, hoe voorbereid te zijn op een cyber-aanval en hoe de impact van een geslaagde aanval te verkleinen. Ook de uitdagingen op het gebied van het gebruik van nieuwe technologie komen aan bod. Een groeiend aantal apparaten in allerlei verschijningsvormen verbindt zich met onze systemen. De VOOR WIE IS DIT CYBERSECURITY BOEK BEDOELD? Elke manager die voor het eerst volop met informatiebeveiliging te maken krijgt. Met dit boek kom je goed beslagen ten ijs tijdens beleidsdiscussies en gesprekken met security experts. evolutie gaat snel. Innovatie ligt grotendeels in handen van de gebruiker. Je eigen telefoon, tablet en straks ook jouw eigen smartwatch of body-sensor. Deze apparaten hebben een ding gemeen. Ze lijken op precies het tegenovergestelde van alles wat we ooit met beveiliging wilden bereiken. Ze zijn overal en je raakt ze makkelijk kwijt. De mobiele apparatuur is doorgaans slecht beveiligd, terwijl het apparaat mogelijk vol zit met gevoelige informatie. In het boek spreken we dan ook van mobile als de doos van Pandora. Het beheer van deze apparatuur is al een onderneming op zich. Gelukkig gaat nieuwe technologie niet alleen gepaard met nieuwe risico s. De techniek helpt ons inmiddels ook om proactief beleid te ontwikkelen op het vlak van beveiliging. Data, automatische analyses en slimme systemen laten ons live meekijken met wat er gebeurt. Zo kunnen we direct ingrijpen in plaats van achteraf repareren op basis van een forensische analyse. Waar we vroeger omkwamen in de logfiles waar niemand iets mee kon, helpen geautomatiseerde systemen ons nu de uitzonderingen te vinden waar we extra aandacht aan moeten besteden. Het boek geeft interessante inzichten hoe dit te organiseren. Last but not least, is en blijft de voornaamste uitdaging wel de rol van de mens. Iedereen doet een beroep op data en systemen. Daarmee draagt ieder mens ook een eigen verantwoordelijkheid voor de veiligheid daarvan. Daar lijkt iedereen het wel mee eens te zijn. Toch is de praktijk helaas wat weerbarstiger. Of sterker nog, het is een enorme puzzel om het gedrag van mensen zo te beïnvloeden dat dit bijdraagt aan de vermindering van bedrijfsrisico s. Zonder dat de digitale vrijheden van gebruikers worden beperkt. Of zonder de gebruiker te frustreren of processen nodeloos complex te maken. Een deel van de oplossing ligt in communicatie, cultuur en zaken als gamification: het op een andere manier belonen en stimuleren van het juiste gedrag. En het zit hem ook in de boodschap zelf. Zolang we security als een duister thema behandelen, met alleen gevaren en risico s, is het lastig om echt enthousiasme te kweken. Angst als motivatie is snel uitgewerkt. Verander daarentegen de discussie van Fear naar Value en de sfeer verandert. Werk dus binnen de organisatie aan breed gedeelde inzichten over hoe goede security bijdraagt aan een goede service voor de klant, en hoe security dicht bij de waarde ligt die een organisatie wil creëren. Deze en andere onderwerpen, praktische tips, do s en don ts, worden allemaal besproken in dit Cyber Security boek. Verkrijgbaar via Dit Sogeti-boek is geschreven in samenwerking met het IBM Institute for Advanced Security. De auteurs van Staying ahead in the Cyber Security Game What matters now : Erik van Ommeren (Sogeti), Martin Borrett (IBM) en Marinus Kuivenhoven (Sogeti). Erik van Ommeren, trend watcher bij Sogeti DRIE CONCLUSIES UIT DIT CYBERSECURITY BOEK: 1. Jouw organisatie wordt ook gehacked. Dat is een fact of life. Jouw reactie daarop maakt het verschil 2. Digitale veiligheid is niet langer een IT-thema maar ook agendapunt in de bestuurskamer 3. Er zijn meer dan genoeg tools, methodes en inzichten voorhanden om stappen vooruit te zetten. Zowel op het vlak van cultuur, gedrag als technologie 26 Erik van Ommeren INFOSECURITY MAGAZINE - JULI

15 ANALYSE Daarnaast is de IT-omgeving een alsmaar sterker bewegende entiteit. Constant worden nieuwe applicaties in gebruik genomen, komt er nieuwe apparatuur het netwerk binnen en worden nieuwe manieren bedacht om workloads te verwerken en data op te slaan. Het zwaartepunt van de security-investeringen blijft in Nederland echter hardnekkig liggen bij netwerkbeveiliging. En dat terwijl de meeste security beslissers aangeven dat er onvoldoende kennis in huis is om het gebruik van slimme mobiele apparaten en cloudoplossingen afdoende te kunnen beveiligen. Doorgroeimogelijkheden voor IT-security professionals (N=225) Vraag: Welke mogelijkheden biedt u de security professionals binnen uw organisatie? Bron: Nationale IT-Security Monitor 2015, Pb7 Research LOOPBAANONTWIKKELING IS EEN PROBLEEM Het is misschien een wat treurige constatering, maar als CISO loop je constant achter de feiten aan. Voor een belangrijk deel is dat inherent aan IT-beveiliging. Hoe goed je de boel ook dichttimmert, er zitten altijd zwakke plekken in je beveiliging die je pas ontdekt als er iemand doorheen is gekomen. En dan wordt een deel van de aanvallen ook nog eens in een snel tempo geavanceerder. Intussen neemt het belang van IT voor de organisatie in snel tempo toe. Steeds meer producten en processen worden gedigitaliseerd. Veel CISO s zijn zich ervan bewust dat principes als secure by design en private by design mede bepalend worden voor het succes van de gehele organisatie. Dat betekent dat ze vroeg betrokken moeten worden bij de ontwikkeling van toepassingen en steeds meer ook bij het ontwerp van de processen zelf. Terwijl er dus aan de ene kant steeds meer aan de technische kant wordt geëist, worden zachte vaardigheden en de kennis van bedrijfsprocessen steeds meer een vereiste. Dat is geen eenvoudige opgave, maar het heeft ook iets moois te bieden aan de security professional: doorgroeimogelijkheden. Het hebben van doorgroeimogelijkheden is voor een IT-security professional geen vanzelfsprekendheid. Natuurlijk, je bent constant aan het leren en je krijgt regelmatig de kans om je kennis te verdiepen met behulp van cursussen. Maar zeker bij middelgrote bedrijven zijn er niet altijd evenveel mogelijkheden om in de organisatie door te groeien. Van de Nederlandse organisaties met 50 of meer medewerkers biedt net iets minder dan de helft de security professionals de kans om zich te laten certificeren, bijvoorbeeld als CISSP. Een vergelijkbaar aantal biedt kansen om de technische vaardigheden te vergroten. Het is opvallend te zien dat inmiddels 1 op de 3 organisaties aangeeft dat ze ook buiten het securitygebied trainingsmogelijkheden aanbieden. Ook op het vlak van zachte vaardigheden zegt bijna 1 op de 3 mogelijkheden aan te bieden. Hoewel er redelijk veel trainingsmogelijkheden worden aangeboden, blijven de doorgroeimogelijkheden steken. In de meeste organisaties geldt dat een security professional een security professional is en blijft. Natuurlijk neemt de senioriteit gaandeweg toe en blijven er ontwikkelingsmogelijkheden, maar het is minder eenvoudig om een grote stap te maken. Juist nu er steeds meer wordt gevraagd van de breedte van de kennis van de security professional, is het wenselijk om een breder carrièreperspectief te kunnen bieden. Het is gunstig voor de organisatie als securitykennis in meerdere lagen van de organisatie te vinden is en er zo steeds meer met een securitybril naar nieuwe producten en diensten en allerlei kleine en grote procestransformaties wordt gekeken. En het zorgt ervoor dat de security professional langer bij je blijft of juist bij je wil komen werken. Natuurlijk geldt niet voor iedere IT-security professional dat deze op zoek is naar een verbreding met een uitgebreide kennis van bedrijfsprocessen. Veel professionals willen zich juist liever verdiepen en eventueel specialiseren. Bij sommige organisaties is die ruimte er, maar bij heel veel organisaties is er geen ruimte voor vergaande specialisatie, omdat de schaal simpelweg ontbreekt. Om deze medewerkers toch gemotiveerd te houden, zou je kunnen overwegen om samen met een andere partij, of meerdere partijen, deze schaal te creëren. Maak bijvoorbeeld goede afspraken met een security specialist. Met zo n partij zou je een onderhoudsplan kunnen maken over het gehele kennisniveau, zodat het kennisniveau altijd op het juiste peil is en security professionals toegang krijgen tot meer doorgroeimogelijkheden. Natuurlijk zou je dat ook kunnen realiseren door alles uit te besteden, maar dat is voor veel organisaties geen gewenste situatie. Een hybride variant ligt eerder voor de hand. Ook zien we dat steeds meer organisaties van managed security services gebruik gaan maken. Sommige security-activiteiten, bijvoorbeeld monitoring, lenen zich daar zeer goed voor, omdat het in-huis vaak een behoorlijk arbeidsintensieve klus is geworden. En deze kan veel baat hebben bij automatisering en schaalvergroting. Dat biedt ruimte om andere prioriteiten op te pikken, maar niet iedere security professional die zo zijn activiteiten (deels) ziet verdwijnen, zit daar per se op te wachten. De hybride variant, co-sourcing zo je wilt, kan deze transitie makkelijker maken voor zowel de professional (elders doorgroeien) en voor de CISO. Op dit moment maken veel security beslissers zich zorgen over de doorgroeimogelijkheden die securitymedewerkers wordt geboden. Maar 44% van de respondenten in de Nationale IT-Security Monitor zegt dat er voldoende loopbaanmogelijkheden zijn binnen de eigen organisatie voor security professionals. Als we dat combineren met de behoefte aan nieuwe vaardigheden die meekomt met nieuwe technologie als cloud, mobiel, Big Data, of het Internet der Dingen, zien we een bedreiging en een kans. Er is een bedreiging dat security het niet meer kan bolwerken, met alle negatieve gevolgen van dien. En er is een kans om door samenwerking het kennisniveau naar een hoger niveau te tillen en security professionals nieuwe kansen te bieden. Peter Vermeulen is directeur van Pb7 Research 28 Peter Vermeulen INFOSECURITY MAGAZINE - JULI

16 BLOG It SIEMs that way PREVENTIE OF DETECTIE? KUNNEN WE JOU DE BEVEILIGING VAN MILJOENEN KLANTGEGEVENS TOEVERTROUWEN? Diezelfde praktijk wordt nog complexer met alle technologische veranderingen in ons vooruitzicht. Onze wens om informatie met alles en iedereen te delen groeit alleen maar. Bring your own Device en Internet of Things maken het er ook niet makkelijker op. Risicoanalyses in deze nieuwe omgevingen laten zien dat er steeds nieuwe dreigingsactoren bijkomen. Deze actoren genereren dus weer andere veiligheidsrisico s. In de goed beveiligde winkel kan het zomaar gebeuren dat de dreiging van binnen komt. Een kwaadwillende medewerker kent ongetwijfeld allerlei listige manieren om te stelen. Mede om die reden kiest de winkelier dus niet alleen voor preventieve maatregelen, maar ook voor acties om criminaliteit op te sporen. Denk aan camera s, bewakers, kledingbeveiliging en detectiepoortjes. Kortom, preventie is niet genoeg. Dat gaat hand in hand met detectie. Security Information and Event Management (SIEM) lijkt de uitkomst. Deze monitoring software helpt cyberaanvallen te detecteren en de aanvallen vervolgens af te slaan. Veel security experts positioneren SIEM als het walhalla. Ofwel de holy grail voor optimale detectie. Tegelijkertijd gaan er stemmen op die zeggen dat SIEM implementaties falen of uiteindelijk 30 Als winkeldeuren goed beveiligd zijn, de kledingstukken allemaal aan het rek vastzitten of achter slot en grendel van de vitrinekast worden bewaard, wordt er niks gestolen. Zo zijn veel security specialisten van mening dat preventieve maatregelen afdoende zijn om cybercriminelen buiten de deur te houden. Kort door de bocht gezegd, als een document of andere bron van informatie versleuteld is en enkel toegankelijk is voor de gewenste gebruikers, dan zou er niks mis kunnen gaan. In theorie ongetwijfeld waar. Helaas is de praktijk weerbarstiger. veel te duur zijn. De waarheid is sterk afhankelijk van het gebruik en aansluiting bij de organisatie. Zo blijkt dat organisaties vaak weinig geduld hebben bij de implementatie van SIEM en moeite hebben met het beheer ervan. Op zich begrijpelijk want de urgentie om op te sporen is hoog. Alle aandacht gaat uit naar de SIEM applicatie en niet naar het doel van detectie en monitoren. Er worden geen incident response processen bepaald. Dus een incident wordt opgemerkt, maar men weet niet hoe onderzoek te doen. En het is veelal onbekend wie vanuit de business eindverantwoordelijk is voor de applicaties. Een aanvaller heeft wel veel geduld. Soms blijkt dat hackers al vijf jaar rondneuzen in een bepaald computersysteem van een organisatie. Dat betekent dat de organisatie en haar Security Operations Center (SOC) zelf ook het geduld zou moeten hebben om beleid en maatregelen op het gebied van detectie, monitoringtools, processen en personeel te ontwikkelen. En voortdurend bij te sturen. Het continu blijven verbeteren is echter alleen mogelijk in een volwassen organisatie die haar security intelligentie toepast als een soort vaccinatie. Eerst ent je de organisatie in met een kleine gecontroleerde injectie van ziektes zoals red teaming en responsible disclosure. Vervolgens bouw je de weerstand verder op tegen de ongecontroleerde aanvallen van buitenaf. Kortom, geduld is een schone zaak! Er is nog meer dat bijdraagt aan een succesvolle inzet van SIEM. Zorg voor de uitvoering van een gedegen risicoanalyse. Het incident respons proces wordt vastgelegd waarbij helder is wie verantwoordelijk is voor welke applicaties en bedrijfsprocessen. Uiteraard met toevoeging van externe betrokkenen zoals technologieleveranciers en serviceproviders. Zorg vervolgens ook voor de bouw van een Security Intelligence database en het toepassen van Security Intelligence. Dat kan met eigen onderzoek van beheerders en analisten of pentesters die detectieve maatregelen testen (red & blue teaming). Hun Modus Operandi kan verwerkt worden in een Security Intelligence database. Tenslotte dragen Indicators of Compromise en dreigingsinformatie van derde partijen ook bij. Dit alles in combinatie met eindeloos geduld helpt je goed op weg voor zowel een preventief als detectief security beleid! Ilse van Werkhoven, security specialist bij Sogeti Achmea heeft de ambitie om de meest vertrouwde verzekeraar te zijn. Daarbij speelt IT een cruciale rol. We zijn dan ook voortdurend op zoek naar ambitieuze IT ers. Bijvoorbeeld IT ers die gaan meewerken aan zaken zoals security monitoring, Intrusion Prevention/Detection, security testing, en auditing. Professionals die grote uitdagingen aangaan in een complexe infrastructuur en met de opkomst van cyber crime. Zo bouwen we verder aan ons bedrijf als de grootste digitale verzekeraar en het vertrouwen van onze klanten. We bieden je een groot aantal opleidingen en doorgroeimogelijkheden. Meer weten? Kijk op werkenbijachmea.nl IT VACATURES Senior Security Tester in Apeldoorn Security Specialist in Apeldoorn WIJ STAAN VOOR GROTE IT-UITDAGINGEN KUNNEN WE DIE JOU TOEVERTROUWEN? Technisch Tester in Amsterdam AGIS AVÉRO ACHMEA CENTRAAL BEHEER ACHMEA FBTO I NTE R PO L IS ZILVEREN KRUIS ACHMEA Bekijk alle vacatures op werkenbijachmea.nl INFOSECURITY MAGAZINE - JULI

17 Hoeveel dagen per jaar voelt u zich veilig? Kent u dat verhaal van die kalkoen die zich het hele jaar veilig voelde? De afloop laat zich raden... Ook op het gebied van IT-security is het verschil tussen veilig voelen en veilig zijn levensgroot. Vandaar onze vraag: hoeveel dagen per jaar voelt u zich veilig? Heeft uw organisatie alles onder controle of loopt u het risico verrast te worden? Sogeti helpt u graag met het identifi ceren, verminderen en voorkomen van risico s. Dankzij onze kennis, ervaring en bewezen aanpak op het gebied van IT-security is uw informatiebeveiliging 365 dagen per jaar op orde. Zodat u zich volledig kunt richten op uw strate gische bedrijfsdoelstellingen. Kijk op sogeti.nl/security. Want zolang u zich veilig voelt, bent u het niet. Security. Uw veiligheid, onze drive.

Factsheet SECURITY SCANNING Managed Services

Factsheet SECURITY SCANNING Managed Services Factsheet SECURITY SCANNING Managed Services SECURITY SCANNING Managed Services We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren. Met onze Security

Nadere informatie

Factsheet SECURITY SCANNING Managed Services

Factsheet SECURITY SCANNING Managed Services Factsheet SECURITY SCANNING Managed Services SECURITY SCANNING Managed Services We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren. Met onze Security

Nadere informatie

We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren.

We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren. Managed Services Managed Services We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren. Met onze Security Management diensten bewaken we de continuïteit

Nadere informatie

Informatiebeveiliging voor gemeenten: een helder stappenplan

Informatiebeveiliging voor gemeenten: een helder stappenplan Informatiebeveiliging voor gemeenten: een helder stappenplan Bewustwording (Klik hier) Structureren en borgen (Klik hier) Aanscherping en maatwerk (Klik hier) Continu verbeteren (Klik hier) Solviteers

Nadere informatie

Uw bedrijf beschermd tegen cybercriminaliteit

Uw bedrijf beschermd tegen cybercriminaliteit Uw bedrijf beschermd tegen cybercriminaliteit MKB is gemakkelijke prooi voor cybercriminelen Welke ondernemer realiseert zich niet af en toe hoe vervelend het zou zijn als er bij zijn bedrijf wordt ingebroken?

Nadere informatie

INFORMATIEBEVEILIGING VOOR WEBWINKELS

INFORMATIEBEVEILIGING VOOR WEBWINKELS INFORMATIEBEVEILIGING VOOR WEBWINKELS HANDIGE CHECKLISTS In deze whitepaper bieden we u tips en checklists die kunnen bijdragen aan een optimale beveiliging van zowel uw eigen data als die van uw klanten.

Nadere informatie

Het Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV

Het Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV Het Sebyde aanbod Secure By Design AUG 2012 Sebyde BV Wat bieden wij aan? 1. Web Applicatie Security Audit 2. Secure Development 3. Security Awareness Training 4. Security Quick Scan 1. Web Applicatie

Nadere informatie

INFORMATIEBEVEILIGING: WAAR STAAT U NU?

INFORMATIEBEVEILIGING: WAAR STAAT U NU? INFORMATIEBEVEILIGING: WAAR STAAT U NU? HANDIGE CHECKLISTS VOOR DE OVERHEIDSSECTOR In deze whitepaper bieden we u handvatten en checklists voor hoe u om kunt gaan met de nieuwe meldplicht datalekken. Steeds

Nadere informatie

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1. www.traxion.com

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1. www.traxion.com Veilig de cloud in Whitepaper over het gebruik van Cloud-diensten deel 1 www.traxion.com Introductie Deze whitepaper beschrijft de integratie aspecten van clouddiensten. Wat wij merken is dat veel organisaties

Nadere informatie

in verhuur van IT en multimedia.

in verhuur van IT en multimedia. in verhuur van IT en multimedia. slim veilig voordelig bezoekers hebben de boodschap ontvangen Livingston levert jaarlijks voor meer dan 200 beurzen, evenementen en congressen IT-oplossingen op maat. Dit

Nadere informatie

Factsheet DATALEKKEN COMPLIANT Managed Services

Factsheet DATALEKKEN COMPLIANT Managed Services Factsheet DATALEKKEN COMPLIANT Managed Services DATALEKKEN COMPLIANT Managed Services We ontwerpen en implementeren security maatregelen om datalekken te detecteren en het risico daarop te minimaliseren.

Nadere informatie

Sebyde Web Applicatie Security Scan. 7 Januari 2014

Sebyde Web Applicatie Security Scan. 7 Januari 2014 Sebyde Web Applicatie Security Scan 7 Januari 2014 Even voorstellen Sebyde BV is Certified IBM Business Partner voor security systems, gespecialiseerd in applicatie security en security awareness. We leveren

Nadere informatie

HOE OMGAAN MET DE MELDPLICHT DATALEKKEN?

HOE OMGAAN MET DE MELDPLICHT DATALEKKEN? HOE OMGAAN MET DE MELDPLICHT DATALEKKEN? EEN HANDIGE CHECKLIST In deze whitepaper bieden we u handvatten die u kunnen helpen bij de implementatie van de meldplicht datalekken binnen uw organisatie. We

Nadere informatie

Beveiligingsbeleid Stichting Kennisnet

Beveiligingsbeleid Stichting Kennisnet Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek

Nadere informatie

IBM; dataopslag; storage; infrastructuur; analytics; architectuur; big data

IBM; dataopslag; storage; infrastructuur; analytics; architectuur; big data Asset 1 van 10 Big Data Analytics voor Dummies Gepubliceerd op 30 june 2014 Gelimiteerde editie van de populaire Dummies-reeks, speciaal voor managers. Het boek legt uit waarom Big Data Analytics van cruciaal

Nadere informatie

Boordevol eyeopeners op het gebied van softwareveiligheid. Onze inspirerende events 24-09-2015. Identity & Access Management 29-09-2015

Boordevol eyeopeners op het gebied van softwareveiligheid. Onze inspirerende events 24-09-2015. Identity & Access Management 29-09-2015 Magazine met IT-nieuws, praktische tips en inspiratie van Sogeti Nederland B.V. SECURITY nr 1 juli 2015 HANDIGE LEIDRAAD Wat iedere CIO moet weten 10 JAAR VOORUIT In gesprek met securityleider 5 HACKER-EIGENSCHAPPEN

Nadere informatie

Unified Enterprise Security wordt geleverd door onze strategische partner Masergy, de wereldspeler in global communications en security.

Unified Enterprise Security wordt geleverd door onze strategische partner Masergy, de wereldspeler in global communications en security. Het verlengstuk van uw IT security operations: altijd (24x7) de beste expertise en meest actuele kennis, geïntegreerd zicht op wat er gebeurt in uw datacenter en eerder en Security as a Service Het verlengstuk

Nadere informatie

DIGID-AUDIT BIJ ZORGPORTAAL RIJNMOND

DIGID-AUDIT BIJ ZORGPORTAAL RIJNMOND DIGID-AUDIT BIJ ZORGPORTAAL RIJNMOND SAFEHARBOUR Audit en Security ISO 27001/ NEN7510 implementatie Projectadvies Risicoanalyses Zorg en overheden @djakoot @safeharbour_nl WAAROM DIGID-AUDIT? DAAROM DIGID-AUDIT

Nadere informatie

BEVEILIGINGSARCHITECTUUR

BEVEILIGINGSARCHITECTUUR BEVEILIGINGSARCHITECTUUR Risico s onder controle Versie 1.0 Door: drs. Ir. Maikel J. Mardjan MBM - Architect 2011 cc Organisatieontwerp.nl AGENDA Is een beveiligingsarchitectuur wel nodig? Oorzaken beveiligingsincidenten

Nadere informatie

vakbladen - websites - e-mailnieuwsbrieven - congressen - PR - research - persberichten - marketingcommunicatie

vakbladen - websites - e-mailnieuwsbrieven - congressen - PR - research - persberichten - marketingcommunicatie vakbladen - websites - e-mailnieuwsbrieven - congressen - PR - research - persberichten - marketingcommunicatie Recht op uw doel af FenceWorks heeft dankzij de combinatie van haar printtitels, contacten

Nadere informatie

Het Sebyde aanbod. Secure By Design

Het Sebyde aanbod. Secure By Design Het Sebyde aanbod Secure By Design Ons aanbod Security Scan Secure Development Security Awareness Security Assessment 1. Security Scan > Scan van uw web applicatie(s) op kwetsbaarheden. Hiervoor gebruiken

Nadere informatie

Datadiefstal: Gone in 60 Seconds!

Datadiefstal: Gone in 60 Seconds! Datadiefstal: Gone in 60 Seconds! Didacticum Solutions Datadiefstal en ontwikkelingen Het komt regelmatig voor: klantgegevens of intellectuele eigendommen van bedrijven worden door hackers gestolen. Denk

Nadere informatie

Security web services

Security web services Security web services Inleiding Tegenwoordig zijn er allerlei applicaties te benaderen via het internet. Voor bedrijven zorgt dit dat zei de klanten snel kunnen benaderen en aanpassingen voor iedereen

Nadere informatie

Factsheet SECURITY DESIGN Managed Services

Factsheet SECURITY DESIGN Managed Services Factsheet SECURITY DESIGN Managed Services SECURITY DESIGN Managed Services We ontwerpen solide security-maatregelen voor de bouw en het gebruik van digitale platformen. Met onze Security Management diensten

Nadere informatie

Factsheet SECURITY CONSULTANCY Managed Services

Factsheet SECURITY CONSULTANCY Managed Services Factsheet SECURITY CONSULTANCY Managed Services SECURITY CONSULTANCY Managed Services We adviseren u over passende security-maatregelen voor uw digitale platform. Zo helpen we u incidenten als datadiefstal

Nadere informatie

Asset 1 van 17. Mobile Application Management en security. Gepubliceerd op 18 april 2015

Asset 1 van 17. Mobile Application Management en security. Gepubliceerd op 18 april 2015 Asset 1 van 17 Mobile Application Management en security Gepubliceerd op 18 april 2015 Veel organisaties hebben de afgelopen jaren hun eigen mobiele enterprise apps ontwikkeld. De data hierin is potentieel

Nadere informatie

Beveiligingsmaatregelen voor een doeltreffende Cyber verdediging

Beveiligingsmaatregelen voor een doeltreffende Cyber verdediging Beveiligingsmaatregelen voor een doeltreffende Cyber verdediging ivo.depoorter@v-ict-or.be V-ICT-OR Vlaamse ICT organisatie Ons overkomt dit niet.of toch? Inschatting Risico Kans X Schade Zijn wij een

Nadere informatie

vakbladen - websites - e-mailnieuwsbrieven - congressen - PR - research - persberichten - marketingcommunicatie

vakbladen - websites - e-mailnieuwsbrieven - congressen - PR - research - persberichten - marketingcommunicatie vakbladen - websites - e-mailnieuwsbrieven - congressen - PR - research - persberichten - marketingcommunicatie Recht op uw doel af FenceWorks heeft dankzij de combinatie van haar printtitels, mediacontacten

Nadere informatie

Wat is Cyber Security Management? 3 oktober 2014. ISA / Hudson Cybertec Arjan Meijer Security Consultant

Wat is Cyber Security Management? 3 oktober 2014. ISA / Hudson Cybertec Arjan Meijer Security Consultant Wat is Cyber Security Management? 3 oktober 2014 ISA / Hudson Cybertec Arjan Meijer Security Consultant 1 Agenda Introductie spreker / ISA 3 pijlers van security IT versus OT Cyber Security Management

Nadere informatie

Taakcluster Operationeel support

Taakcluster Operationeel support Ideeën en plannen kunnen nog zo mooi zijn, uiteindelijk, aan het eind van de dag, telt alleen wat werkelijk is gedaan. Hoofdstuk 5 Taakcluster Operationeel support V1.1 / 01 september 2015 Hoofdstuk 5...

Nadere informatie

Beveiliging en bescherming privacy

Beveiliging en bescherming privacy Beveiliging en bescherming privacy Beveiliging en bescherming privacy Duobus B.V. Nieuwe Boteringestraat 82a 9712PR Groningen E info@duobus.nl I www.duobus.nl September 2014 2 Voorwoord Als organisatie

Nadere informatie

vakbladen - websites - e-mailnieuwsbrieven - congressen - PR - research - persberichten - marketingcommunicatie

vakbladen - websites - e-mailnieuwsbrieven - congressen - PR - research - persberichten - marketingcommunicatie vakbladen - websites - e-mailnieuwsbrieven - congressen - PR - research - persberichten - marketingcommunicatie Recht op uw doel af FenceWorks heeft dankzij de combinatie van haar printtitels, mediacontacten

Nadere informatie

Testnet Presentatie Websecurity Testen "Hack Me, Test Me" 1

Testnet Presentatie Websecurity Testen Hack Me, Test Me 1 Testnet Voorjaarsevenement 05 April 2006 Hack Me, Test Me Websecurity test onmisbaar voor testanalist en testmanager Edwin van Vliet Yacht Test Expertise Center Hack me, Test me Websecurity test, onmisbaar

Nadere informatie

Verras uw business-collega s met een IT-sixpack

Verras uw business-collega s met een IT-sixpack Hybride-cloudaanpak Verras uw business-collega s met een IT-sixpack De CIO staat steeds meer onder druk: enerzijds vragen uw businesscollega s een s nellere en meer flexibele dienstverlening, anderzijds

Nadere informatie

Factsheet CONTINUOUS VALUE DELIVERY Mirabeau

Factsheet CONTINUOUS VALUE DELIVERY Mirabeau Factsheet CONTINUOUS VALUE DELIVERY Mirabeau CONTINUOUS VALUE DELIVERY We zorgen ervoor dat u in elke volwassenheidsfase van uw digitale platform snel en continu waarde kunt toevoegen voor eindgebruikers.

Nadere informatie

Partneren met een Cloud broker

Partneren met een Cloud broker Partneren met een Cloud broker Vijf redenen om als reseller te partneren met een Cloud broker Introductie Cloud broker, een term die je tegenwoordig vaak voorbij hoort komen. Maar wat is dat nu precies?

Nadere informatie

Bescherming tegen de gevolgen van cyber risico s. Bedrijfsverzekeringen. CyberEdge van AIG

Bescherming tegen de gevolgen van cyber risico s. Bedrijfsverzekeringen. CyberEdge van AIG Bescherming tegen de gevolgen van cyber risico s Bedrijfsverzekeringen CyberEdge van AIG Wat zijn cyber risico s? Cyber risico s zijn een vaststaand gegeven in een wereld van informatie, informatiesystemen

Nadere informatie

Bring it Secure. Whitepaper

Bring it Secure. Whitepaper Whitepaper Imtech ICT Communication Solutions, Rivium Boulevard 41 2909 LK Capelle a/d IJssel T +31 88 988 96 00, info.cs@imtech.nl, www.imtech.nl/cs Imtech Vandaag de dag moet security een standaard

Nadere informatie

Meer Business mogelijk maken met Identity Management

Meer Business mogelijk maken met Identity Management Meer Business mogelijk maken met Identity Management De weg naar een succesvolle Identity & Access Management (IAM) implementatie David Kalff OGh 14 september 2010 't Oude Tolhuys, Utrecht Agenda Herkent

Nadere informatie

SaaS en cloud computing: in de mist of in de wolken? Karin Zwiggelaar, partner 20 september 2010

SaaS en cloud computing: in de mist of in de wolken? Karin Zwiggelaar, partner 20 september 2010 SaaS en cloud computing: in de mist of in de wolken? Karin Zwiggelaar, partner 20 september 2010 We staan aan de vooravond van de volgende Internetrevolutie De klassieke werkwijze van organisaties zal

Nadere informatie

w o r k s h o p s 2 0 1 5

w o r k s h o p s 2 0 1 5 workshops 2015 Security en social engineering Internet is niet meer weg te denken uit ons dagelijks leven: bankzaken, contacten, informatie zoeken, (ver)kopen, spelletjes en ander vermaak vinden via internet

Nadere informatie

9 redenen waarom jouw website geen klanten oplevert.

9 redenen waarom jouw website geen klanten oplevert. 9 redenen waarom jouw website geen klanten oplevert. Introductie Een goed ingerichte website met een goed uitgevoerde marketingstrategie is het ideale marketing tool voor ondernemers. Een goede website

Nadere informatie

Voor onder meer volgende preventieve diensten hebben wij sterke partners : Doopput 14 2550 Kontich

Voor onder meer volgende preventieve diensten hebben wij sterke partners : Doopput 14 2550 Kontich P R E V E N T I E Cybercontract biedt bedrijven toegang tot een unieke set gespecialiseerde diensten bij lokale professionals! Diensten van bewezen kwaliteit snel en centraal toegankelijk. Zo helpen we

Nadere informatie

Meest mobiele organisatie van Nederland

Meest mobiele organisatie van Nederland Resultaten onderzoek Meest mobiele organisatie van Nederland Juni 2013 Uitkomsten onderzoek onder top organisaties in Nederland Uitgevoerd door Keala Research & Consultancy in de periode mei tot en met

Nadere informatie

Parasoft toepassingen

Parasoft toepassingen Testen op basis van OSB en Digikoppeling Voor de bestaande Overheid Service Bus en de nieuwe standaard Digikoppeling zijn verschillende test- omgevingen opgezet. Hiermee kan het asynchrone berichtenverkeer

Nadere informatie

Factsheet BEHEER CONSULTANCY Managed Services

Factsheet BEHEER CONSULTANCY Managed Services Factsheet BEHEER CONSULTANCY Managed Services BEHEER CONSULTANCY Managed Services We geven gedegen advies om de beschikbaarheid van uw platform en daarmee de user experience te verbeteren. Inclusief concrete

Nadere informatie

Kennissessie Information Security

Kennissessie Information Security Kennissessie Information Security 3 oktober 2013 Bonnefantenmuseum De sleutel ligt onder de mat Wachtwoord: welkom1234 Focus op vertaling strategie in de organisatie Advies, programma, project en interim

Nadere informatie

Informatie over EthicsPoint

Informatie over EthicsPoint Informatie over EthicsPoint Melden algemeen Beveiliging en vertrouwelijkheid van meldingen Tips en beste praktijken Informatie over EthicsPoint Wat is EthicsPoint? EthicsPoint is een uitgebreid en vertrouwelijk

Nadere informatie

Installatie Remote Backup

Installatie Remote Backup Juni 2015 Versie 1.2 Auteur : E.C.A. Mouws Pagina 1 Inhoudsopgave BusinessConnect Remote Backup... 3 Kenmerken... 3 Beperkingen... 3 Gebruik op meerdere systemen... 3 Systeemeisen... 4 Support... 4 Installatie...

Nadere informatie

Sebyde Security in een organisatie A3 Management Workshop. 7 Januari 2014

Sebyde Security in een organisatie A3 Management Workshop. 7 Januari 2014 Sebyde Security in een organisatie A3 Management Workshop 7 Januari 2014 Even voorstellen Sebyde BV is Certified IBM Business Partner voor security systems, gespecialiseerd in applicatie security en security

Nadere informatie

ISSX, Experts in IT Security. Wat is een penetratietest?

ISSX, Experts in IT Security. Wat is een penetratietest? De Stuwdam 14/B, 3815 KM Amersfoort Tel: +31 33 4779529, Email: info@issx.nl Aanval- en penetratietest U heeft beveiligingstechnieken geïnstalleerd zoals Firewalls, Intrusion detection/protection, en encryptie

Nadere informatie

Sr. Security Specialist bij SecureLabs

Sr. Security Specialist bij SecureLabs Wie ben ik? Ronald Kingma, CISSP ronald@securelabs.nl Sr. Security Specialist bij SecureLabs Introductie SecureLabs Voorheen ISSX Code of Conduct Real Penetration Testing Vulnerability Management Veiligheidsincidenten

Nadere informatie

NORTHWAVE Intelligent Security Operations

NORTHWAVE Intelligent Security Operations Intelligent Security Operations UW BUSINESS BETER BESCHERMD DOOR GEDREVEN EXPERTS Northwave (2006) helpt u bij het realiseren van een slim en integraal proces van informatiebeveiliging. Dat biedt u betere

Nadere informatie

Partners in Information Security. Partners in Information Security. Peter Rietveld. DDoS in perspectief

Partners in Information Security. Partners in Information Security. Peter Rietveld. DDoS in perspectief Partners in Information Security Partners in Information Security Peter Rietveld DDoS in perspectief Peter Rietveld Security Adviseur Traxion Even voorstellen Domein Manager Situational Awareness Competence

Nadere informatie

Introduceert KASPERSKY ENDPOINT SECURITY FOR BUSINESS

Introduceert KASPERSKY ENDPOINT SECURITY FOR BUSINESS Introduceert KASPERSKY ENDPOINT SECURITY FOR BUSINESS 1 Business strategieën en de impact voor de IT FLEXIBILITEIT Snel handelen met wendbaarheid en flexibiliteit Voor 66% van de organisaties staat flexibiliteit

Nadere informatie

Doe de poll via the Live App

Doe de poll via the Live App INGRID LIGTHART Je software in de private cloud Doe de poll via the Live App Iedereen heeft het over cloud Cloud is de toekomst Doe mee aan de private cloud poll! Geef nu uw mening via de Exact live app

Nadere informatie

Onze gedifferentieerde benadering tot de Intelligent Workload Management markt

Onze gedifferentieerde benadering tot de Intelligent Workload Management markt Onze gedifferentieerde benadering tot de Intelligent Workload Management markt de markt 1 het IT-landschap is aan het veranderen De risico's en uitdagingen van computerservices in meerdere omgevingen moeten

Nadere informatie

Leidraad om te komen tot een praktijk van Responsible Disclosure

Leidraad om te komen tot een praktijk van Responsible Disclosure Leidraad om te komen tot een praktijk van Responsible Disclosure 1 Inhoudsopgave 1 Wat is een kwetsbaarheid 2 Responsible Disclosure 3 Verantwoordelijkheden 4 Bouwstenen voor Responsible Disclosure 2 Inleiding

Nadere informatie

HOE EENVOUDIG IS HET OM GEBRUIK TE MAKEN VAN CLOUD COMPUTING?

HOE EENVOUDIG IS HET OM GEBRUIK TE MAKEN VAN CLOUD COMPUTING? Innervate: Januari 2011 WHITEPAPER CLOUD COMPUTING HOE EENVOUDIG IS HET OM GEBRUIK TE MAKEN VAN CLOUD COMPUTING? Lees hier in het kort hoe u zich het best kunt bewegen in de wereld van cloud computing

Nadere informatie

Nationale IT Security Monitor 2015. Peter Vermeulen Pb7 Research

Nationale IT Security Monitor 2015. Peter Vermeulen Pb7 Research Nationale IT Security Monitor 2015 Peter Vermeulen Over het Onderzoek Jaarlijks terugkerende vragen Organisatie en beleid Investeringen en groei 2015 Thema s Databeveiliging (incl. Algemene Data Protectie

Nadere informatie

THE CLOUD IN JURIDISCH PERSPECTIEF SPREKERSPROFIEL. Mr. Jan van Noord Directeur International Tender Services (ITS) BV

THE CLOUD IN JURIDISCH PERSPECTIEF SPREKERSPROFIEL. Mr. Jan van Noord Directeur International Tender Services (ITS) BV THE CLOUD IN JURIDISCH PERSPECTIEF SPREKERSPROFIEL Mr. Jan van Noord Directeur International Tender Services (ITS) BV Wat is Cloud Op het moment dat content uit het eigen beheer c.q. toezicht verdwijnt

Nadere informatie

doel bereikt zelfsturing inrichten veiligheid fundament Behoeftepiramide van een "Social Business"

doel bereikt zelfsturing inrichten veiligheid fundament Behoeftepiramide van een Social Business Behoeftepiramide van een "" (Naar analogie piramide van Maslow) Maslow rangschikte de volgens hem universele behoeften van de mens in een hiërarchie. Volgens zijn theorie zou de mens pas streven naar bevrediging

Nadere informatie

SSA 2015 Onderzoek Integrale Beveiliging: hoe werken IT beveiliging en beveiligers beter samen. Peter Vermeulen Pb7 Research

SSA 2015 Onderzoek Integrale Beveiliging: hoe werken IT beveiliging en beveiligers beter samen. Peter Vermeulen Pb7 Research SSA 2015 Onderzoek Integrale Beveiliging: hoe werken IT beveiliging en beveiligers beter samen Peter Vermeulen Pb7 Research Samenwerken? Digitalisering op de agenda Stellingen (% eens) Bron: Enterprise

Nadere informatie

Whitepaper. Hoe de kans op een succesvolle ERP-implementatie te vergroten. ..het effect van vreemde ogen.. VERTROUWELIJK. www.implementatie-erp.

Whitepaper. Hoe de kans op een succesvolle ERP-implementatie te vergroten. ..het effect van vreemde ogen.. VERTROUWELIJK. www.implementatie-erp. Whitepaper Hoe de kans op een succesvolle ERP-implementatie te vergroten..het effect van vreemde ogen.. VERTROUWELIJK W E www.implementatie-erp.nl info@opdic.nl Hoe de kans op een succesvolle ERP-implementatie

Nadere informatie

We helpen u security-incidenten te voorkomen

We helpen u security-incidenten te voorkomen Managed Services Managed Services We adviseren u over passende security-maatregelen voor uw digitale platform. Zo helpen we u incidenten als datadiefstal te voorkomen en behoeden we u voor imagoschade.

Nadere informatie

Dynamisch risicomanagement eenvoudig met behulp van GRCcontrol

Dynamisch risicomanagement eenvoudig met behulp van GRCcontrol Dynamisch risicomanagement eenvoudig met behulp van GRCcontrol Mike de Bruijn roduct Owner Agenda Inleiding Over CompLions GRCcontrol management software Risicomanagement Uitdagingen Dynamisch risicomanagement

Nadere informatie

e-token Authenticatie

e-token Authenticatie e-token Authenticatie Bescherm uw netwerk met de Aladdin e-token authenticatie oplossingen Aladdin is een marktleider op het gebied van sterke authenticatie en identiteit management. De behoefte aan het

Nadere informatie

Factsheet E COMMERCE BEHEER Managed Services

Factsheet E COMMERCE BEHEER Managed Services Factsheet E COMMERCE BEHEER Managed Services E COMMERCE BEHEER Managed Services We zorgen voor een gegarandeerd stabiel, snel en schaalbaar e-business platform. Efficiënt beheer is cruciaal voor de continuïteit

Nadere informatie

PQR Lifecycle Services. Het begint pas als het project klaar is

PQR Lifecycle Services. Het begint pas als het project klaar is PQR Lifecycle Services Het begint pas als het project klaar is IT wordt een steeds crucialer onderdeel van de dagelijkse bedrijfsvoering. Waar u ook bent, het moet altijd beschikbaar en binnen bereik zijn.

Nadere informatie

De kracht van een sociale organisatie

De kracht van een sociale organisatie De kracht van een sociale organisatie De toegevoegde waarde van zakelijke sociale oplossingen Maarten Verstraeten. www.netvlies.nl Prinsenkade 7 T 076 530 25 25 E mverstraeten@netvlies.nl 4811 VB Breda

Nadere informatie

Enabling Enterprise Mobility. Chantal Smelik csmelik@microsoft.com

Enabling Enterprise Mobility. Chantal Smelik csmelik@microsoft.com Enabling Enterprise Mobility Chantal Smelik csmelik@microsoft.com Nieuwe werkplek & digitaal toetsen Hanzehogeschool Groningen Agenda 1. Introductie Chantal Smelik Microsoft Maaike van Mourik project

Nadere informatie

Welkom bij parallellijn 1 On the Move 14.20 15.10 uur

Welkom bij parallellijn 1 On the Move 14.20 15.10 uur Welkom bij parallellijn 1 On the Move 14.20 15.10 uur Stap 4 van de BIG Hoe stel ik vast of de informatiebeveiligingsmaatregelen van mijn gemeente effectief zijn en hoe rapporteer ik hierover? 1 IBD-Praktijkdag

Nadere informatie

Hardening. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Hardening. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Hardening Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst

Nadere informatie

Patch management. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Patch management. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Patch management Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst

Nadere informatie

Digital Independence. Plan Today to be ready for Tomorrow. Grip op uw continuïteit! Information Security and Continuity Services

Digital Independence. Plan Today to be ready for Tomorrow. Grip op uw continuïteit! Information Security and Continuity Services Digital Independence Grip op uw continuïteit! Plan Today to be ready for Tomorrow Information Security and Continuity Services Digital Independence Grip op uw continuïteit! Weet u welke risico s uw bedrijf

Nadere informatie

Kijken, kiezen, maar wat te kopen?

Kijken, kiezen, maar wat te kopen? Kijken, kiezen, maar wat te kopen? 15 aandachtspunten bij overgang naar de cloud Cloud biedt voor veel organisaties de mogelijkheid om te innoveren zonder hoge investeringen. Zowel Telecom providers als

Nadere informatie

HOUD UW BEDRIJFSVOERING ALTIJD EN OVERAL VEILIG. Protection Service for Business

HOUD UW BEDRIJFSVOERING ALTIJD EN OVERAL VEILIG. Protection Service for Business HOUD UW BEDRIJFSVOERING ALTIJD EN OVERAL VEILIG Protection Service for Business WE LEVEN IN EEN MOBIELE WERELD WiFi Voetganger We maken gebruik van meer apparaten en verbindingen dan ooit tevoren. De mogelijkheid

Nadere informatie

Monitoring. Voorkomen is beter dan genezen! Kon ik maar in de toekomst kijken!

Monitoring. Voorkomen is beter dan genezen! Kon ik maar in de toekomst kijken! Monitoring ieder bedrijf heeft te maken met IT. IT is tegenwoordig niet meer weg te denken uit de bedrijfsvoering. Binnen het MKB zijn de bedrijven vaak te klein om de benodigde specifieke IT kennis in

Nadere informatie

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol SAMENVATTING ITIL ITIL is nog steeds dé standaard voor het inrichten van beheerspocessen binnen een IT-organisatie. En dekt zowel applicatie- als infrastructuur beheer af. Indien gewenst kan ITIL worden

Nadere informatie

Onderzoek naar de veiligheid c.q. beveiliging van de SURFnet IDS dienst. Lourens Bordewijk & Jimmy Macé

Onderzoek naar de veiligheid c.q. beveiliging van de SURFnet IDS dienst. Lourens Bordewijk & Jimmy Macé Onderzoek naar de veiligheid c.q. beveiliging van de SURFnet IDS dienst. Lourens Bordewijk & Jimmy Macé Amsterdam 8-2-2006 Achtergrond IDS dienst SURFnet netwerk Aangesloten instellingen te maken met security

Nadere informatie

Sebyde AppScan Reseller. 7 Januari 2014

Sebyde AppScan Reseller. 7 Januari 2014 Sebyde AppScan Reseller 7 Januari 2014 Even voorstellen Sebyde BV is Certified IBM Business Partner voor security systems, gespecialiseerd in applicatie security en security awareness. We leveren diensten

Nadere informatie

imagine. change. Omdat u liever iets effectiever werkt Ricoh WerkPlek Scan De slimme check van uw werkplek

imagine. change. Omdat u liever iets effectiever werkt Ricoh WerkPlek Scan De slimme check van uw werkplek imagine. change. Omdat u liever iets effectiever werkt Ricoh WerkPlek Scan De slimme check van uw werkplek Uw bedrijf op orde met de WerkPlek Scan Als ondernemer weet u dat communicatie en samen werken

Nadere informatie

owncloud centraliseren, synchroniseren & delen van bestanden

owncloud centraliseren, synchroniseren & delen van bestanden owncloud centraliseren, synchroniseren & delen van bestanden official Solution Partner of owncloud Jouw bestanden in de cloud Thuiswerken, mobiel werken en flexwerken neemt binnen organisaties steeds grotere

Nadere informatie

Welkom. De fysieke beveiliging van uw industriële netwerk. Sjoerd Hakstege van Eekhout Network & Security Specialist Phoenix Contact B.V.

Welkom. De fysieke beveiliging van uw industriële netwerk. Sjoerd Hakstege van Eekhout Network & Security Specialist Phoenix Contact B.V. Welkom De fysieke beveiliging van uw industriële netwerk Sjoerd Hakstege van Eekhout Network & Security Specialist Phoenix Contact B.V. In-Depth Security = meerdere lagen Security Aanpak 1. Fysieke beveiliging

Nadere informatie

Agenda 26-4-2009. Wat zijn de gevolgen van Cloud en Gridcomputing voor de gebruikersorganisatie en de beheersfunctie.

Agenda 26-4-2009. Wat zijn de gevolgen van Cloud en Gridcomputing voor de gebruikersorganisatie en de beheersfunctie. Wat zijn de gevolgen van Cloud en Gridcomputing voor de gebruikersorganisatie en de beheersfunctie. John Lieberwerth Agenda Even voorstellen Cloud Computing De tien Plagen Gebruikersorganisatie en ICT

Nadere informatie

Digitaal Loket: kansen of kosten

Digitaal Loket: kansen of kosten Digitaal Loket: kansen of kosten 27 oktober 2011 www.gentleware.nl janjaap.vanweringh@gentleware.nl 06-12.1234.15 1 Onderwerpen Wat is een digitaal loket? Waarom een digitaal loket? Stappenplan Do s en

Nadere informatie

CMS Ronde Tafel. Cloud Continuity. Ir. Jurian Hermeler Principal Consultant

CMS Ronde Tafel. Cloud Continuity. Ir. Jurian Hermeler Principal Consultant CMS Ronde Tafel Cloud Continuity Ir. Jurian Hermeler Principal Consultant Introductie Quint Wellington Redwood Onafhankelijk Management Adviesbureau Opgericht in 1992 in Nederland Ruim 20 jaar ervaring

Nadere informatie

Jos Witteveen Wat komt er kijken bij Clouddiensten voor de Zorg? 29 oktober 2013

Jos Witteveen Wat komt er kijken bij Clouddiensten voor de Zorg? 29 oktober 2013 Jos Witteveen Wat komt er kijken bij Clouddiensten voor de Zorg? 29 oktober 2013 Wat en wie is Andarr? Wij zijn dé partner voor waardevaste ICT transities / migraties. Wij helpen organisaties om blijvend

Nadere informatie

Business. IT in charge. Met resultaten CIO Survey en 9 CIO s aan het woord. Analytics

Business. IT in charge. Met resultaten CIO Survey en 9 CIO s aan het woord. Analytics Business Analytics IT in charge Met resultaten CIO Survey en 9 CIO s aan het woord Informatie is van en voor mensen CIO speelt belangrijke rol in nieuw spanningsveld Door Guus Pijpers Een van de eerste

Nadere informatie

Resultaten Onderzoek September 2014

Resultaten Onderzoek September 2014 Resultaten Onderzoek Initiatiefnemer: Kennispartners: September 2014 Resultaten van onderzoek naar veranderkunde in de logistiek Samenvatting Logistiek.nl heeft samen met BLMC en VAViA onderzoek gedaan

Nadere informatie

GOEDE ZORG VOOR ONDERZOEKSDATA.

GOEDE ZORG VOOR ONDERZOEKSDATA. GOEDE ZORG VOOR ONDERZOEKSDATA. Ziekenhuislaboratorium LabWest vertrouwt IT-infrastructuur toe aan Sentia Sinds 2011 werken verschillende ziekenhuizen in en rondom Den Haag met een gezamenlijke laboratoriumorganisatie.

Nadere informatie

Beknopte dienstbeschrijving beveiligen van Webapplicaties m.b.v. digitale certificaten en PKI

Beknopte dienstbeschrijving beveiligen van Webapplicaties m.b.v. digitale certificaten en PKI Beknopte dienstbeschrijving beveiligen van Webapplicaties m.b.v. digitale certificaten en PKI Document: Beknopte dienstbeschrijving beveiligen van Webapplicaties Versie: maart 2002 mei 2002 Beknopte dienstbeschrijving

Nadere informatie

Marlin Family. Marlin

Marlin Family. Marlin PCA Mobile PCA Mobile Organisatie PCA Mobile BV maakt deel uit van de Mobile Solution Group en biedt met ruim 40 enthousiaste collega s een veelomvattend pakket van innovatieve en gebruiksvriendelijke

Nadere informatie

IT Security in de industrie

IT Security in de industrie IT Security in de industrie Praktische ervaringen met cyber security in de Energiesector en Procesindustrie Henk Spelt Henk.Spelt@kema.com Experience you can trust. Onderwerpen Waarom is (cyber) security

Nadere informatie

Plan van Aanpak beschikbaar stellen broncode Basisregistratie Personen (BRP)

Plan van Aanpak beschikbaar stellen broncode Basisregistratie Personen (BRP) Plan van Aanpak beschikbaar stellen broncode Basisregistratie Personen (BRP) Samenvatting De minister van Binnenlandse Zaken en Koninkrijksrelaties (BZK) heeft in de Tweede Kamer toegezegd de broncode

Nadere informatie