Security is sexy (and you know it)
|
|
- Sterre de Wit
- 8 jaren geleden
- Aantal bezoeken:
Transcriptie
1 Security is sexy (and you know it) Informatiebeveiliging is lang een stoffig onderwerp geweest. Security professionals verdedigden zich vaak met de opmerking Informatiebeveiliging is niet sexy, maar wel heel belangrijk. Bestuurders moesten echt overtuigd worden van het belang van informatiebeveiliging. Het belangrijkste argument om iets aan informatiebeveiliging te doen was vaak het cover your ass -principe. Net zoiets als een verzekeringspolis dus. Maar de wereld verandert in snel tempo. Bestuurders bellen diezelfde security professional tegenwoordig zelf op: Kun je me helpen? Zo n ddos-aanval wil ik niet!. Ook de arbeidsmarkt verandert. Het is nu zelfs sexy om in de informatiebeveiliging te werken. Security is booming business geworden. Het Wilde Westen Maar er is ook een keerzijde. De dagelijkse nieuwsberichten zorgen ervoor dat beveiligingsincidenten gewoon worden. Ze horen erbij, als facts of life. Je kunt het huidige internet vergelijken met het Wilde Westen. Een rauwe, avontuurlijke, deels wetteloze samenleving van vrijbuiters. De criminelen van nu zijn de goudzoekers van toen. Na de Amerikaanse burgeroorlog kwam er een einde aan het Wilde Westen. De vraag is waar het huidige tijdperk met het internet, zoals we dat nu kennen, eindigt. Criminaliteit verplaatst zich naar internet Even een stapje terug. Criminaliteit verplaatst zich in rap tempo van de fysieke wereld naar het internet. De schade van internetcriminaliteit wordt op dit moment alleen al in Nederland geschat op 8,8 miljard euro per jaar. Deze schade wordt niet alleen veroorzaakt door financiële fraude, maar ook door diefstal van intellectueel eigendom van organisaties. Door het ontbreken van regels is de pakkans bijzonder klein. Bovendien weten bedrijven vaak niet eens dát ze zijn bestolen. Naar een veiliger internet Terug naar de vraag waar het huidige internettijdperk eindigt. Mijn voorspelling - en die van velen met mij - is dat het internet in zijn huidige vorm zal eindigen in een wereldwijde oorlog en zal ophouden te bestaan. Hierna zal waarschijnlijk een betere en vooral veiligere versie van het internet worden opgebouwd. Wat kunnen we tot die tijd doen om te overleven in die rauwe, deels wetteloze wereld van het internet? Drie tips voor een veiliger internet 1. Verbeter voortdurend het beveiligingsbewustzijn van uw medewerkers 2. Bewaak en test de effectiviteit van de getroffen technische beveiligingsmaatregelen continu 3. Toon aan dat informatiebeveiliging werkt
2 1. Verbeter voortdurend het beveiligingsbewustzijn van uw medewerkers Internetrijbewijs De mens is de maat van alle dingen, zei de Griekse filosoof Protagoras van Abdera. Dit geldt ook voor infor- matiebeveiliging. Beveiliging kan veel kosten en weinig tot niets opleveren als mensen er niet mee om kunnen gaan of niet begrijpen waarom bepaalde beveiligingsmaatregelen noodzakelijk zijn. Het zou helemaal zo gek nog niet zijn als er een soort rijbewijs voor het internet zou komen. Toen de eerste auto s werden gemaakt, mocht iedereen hierin rijden. Van enige veiligheidsmaatregelen was helemaal geen sprake. De eerste auto s hadden niet eens een rem. Theorie, oefenen en de praktijk De parallel met computers en internet is duidelijk. Veel mensen hebben geen idee hoe ze een computer moe- ten besturen en hebben geen idee van de gevaren van het internet. Of denken dat hen niets zal overkomen: Wat heeft iemand nu aan mijn gegevens? Nou, lees het boek Komt een vrouw bij de h@cker maar eens. De noodzaak voor een internetrijbewijs wordt steeds groter. Dit komt niet alleen door de toenemende criminali- teit op internet, maar ook doordat de grens tussen zakelijk en privé verdwijnt. Het begint met theorie, veel oefenen en daarna een praktijkexamen. In de praktijk zijn er continu waarschuwingsborden en stoptekens. Wanneer je de regels overtreedt, kan een boete volgen. Wanneer je vermoedt dat bepaalde mensen niet veilig meer rijden, neem je opnieuw een praktijkexamen af. Dit zou ook de basis moet zijn voor een programma om het beveiligingsbewustzijn op peil te houden. Beveiligingsbewustzijn is geen eenmalige activiteit maar een continu proces. Aandacht voor veilig werken continu proces Met case based learning en gedragstesten kan een praktijkexamen worden afgenomen. Case based learning is een manier van leren, waarbij mensen dilemma s in de context van hun eigen werksituatie krijgen voorgelegd. De medewerkers geven aan wat ze in een bepaalde situatie zouden doen. Daarna test je het gedrag in de prak- tijk, bijvoorbeeld door phishing e- mails te versturen. Met deze aanpak is het mogelijk om de volwassenheid van het beveiligingsbewustzijn continu te meten. De resultaten van het praktijkexamen zijn de input voor een zogenaamd triggerprogramma. Medewerkers krijgen daarbij regelmatig kleine prikkels om veilig gedrag te vertonen. Zo zorg je dat de aandacht voor veilig werken niet verslapt. Dit is een cyclus die continu wordt door- lopen. 2. Bewaak en test de effectiviteit van de getroffen technische beveiligingsmaatregelen continu Aantal kwetsbaarheden neemt toe Meer en meer bedrijfskritische toepassingen worden verplaatst naar of zijn afhankelijk van de cloud. Dit terwijl het aantal kwetsbaarheden, vooral in applicaties, alleen maar toeneemt. Jaren geleden misbruikte een hacker vaak zwakke plekken in de firewall, router of het besturingssysteem om in te breken. De afgelopen jaren zien we dat de infrastructuur steeds beter is beveiligd. Leveranciers hebben hier een belangrijke bijdrage aan gele- verd. Een voorbeeld daarvan is Microsoft. In het verleden stonden alle functies en diensten van een server standaard aan, ook al waren deze overbodig. Tegenwoordig staan vrijwel alle functies en diensten standaard uit. Pagina 2 van 5
3 De meeste kwetsbaarheden worden tegenwoordig aangetroffen in applicaties. Opvallend is dat kwetsbaarhe- den die al veel langer bestaan en bekend zijn steeds meer voorkomen. Er zijn bijvoorbeeld veel applicaties die kwetsbaar zijn voor injection, waardoor toegang kan worden gekregen tot gevoelige gegevens. Ook cross- site scripting is een middel om mensen te misleiden en vertrouwelijke informatie in handen te krijgen. Test de beveiliging van applicaties De standaard manier om de effectiviteit van de beveiliging van een webapplicatie te testen, is het (laten) uit- voeren van een ethical hack, ofwel een pentest. Vaak wordt dit door een onafhankelijke partij gedaan of een intern team van specialisten. Daarnaast zijn de zogenaamde bug bounty platforms in opkomst. Een voorbeeld hiervan is HackerOne. Organisaties zoals Yahoo, Twitter en Dropbox gebruiken HackerOne om hun beveiliging door duizenden aangesloten hackers te laten testen en de gevonden kwetsbaarheden af te handelen. Hackers die een echte kwetsbaarheid vinden, worden beloond in reputatie of geld. Er wordt steeds meer geautomati- seerd getest met kwetsbaarhedenscanners en incidentdetectie en monitoringsystemen bewaken of de beveili- ging wordt doorbroken. Kenmerkend is dat het testen van de effectiviteit van beveiliging op zichzelf lijkt te staan. Er is wel meer aan- dacht voor security by design en veilig programmeren, maar het testen van de beveiliging is geen geïntegreerd onderdeel van de ontwikkelcyclus van een applicatie. Hier bieden, zeker wanneer sprake is van Agile of Devops ontwikkeling, continuous auditing en monitoring uitkomst. Er wordt meer tijd genomen om een theoretisch concept te realiseren door het combineren en aanpassen van een aantal van de bestaande test- en monitoring- systemen. Pagina 3 van 5
4 3. Toon aan dat informatiebeveiliging werkt Informatiebeveiliging steeds volwassener Het toenemend belang van informatiebeveiliging zorgt ervoor dat organisaties informatiebeveiliging steeds serieuzer nemen. Anders gezegd, de volwassenheid van informatiebeveiliging neemt toe. Informatiebeveiliging wordt niet langer gezien als iets dat je binnen een organisatie regelt. De beveiliging in de keten is misschien wel veel belangrijker. Deze ontwikkeling betekent dat organisaties zekerheid willen over het niveau van informa- tiebeveiliging of de effectiviteit van de getroffen beveiligingsmaatregelen. Organisaties vertrouwen elkaar niet langer op hun blauwe ogen. Beveiliging in de keten wordt belangrijker In de financiële sector is het al langer gebruikelijk dat, wanneer er belangrijke processen zijn uitbesteed, er zekerheid over de betrouwbaarheid hiervan moet worden verkregen. Nu het erop lijkt dat wettelijk wordt afgedwongen dat zorginstellingen kunnen aantonen dat er passende beveiligingsmaatregelen zijn getroffen, neemt de behoefte aan zekerheid in deze sector toe. In veel andere sectoren zien we hetzelfde. Vaak is sprake van zelfregulering. Zo conformeert de Rijksoverheid zich aan de Baseline Informatiebeveiliging Rijksdienst en hebben gemeenten zich verplicht te voldoen aan de Baseline Informatiebeveiliging Gemeenten. Een van de gevolgen is dat ook aan leveranciers wordt gevraagd of er zekerheid gegeven kan worden over het niveau van informatiebeveiliging en de effectiviteit van de getroffen maatregelen. Steeds vaker wordt dit als eis opgeno- men in aanbestedingen. Maar hoe toon je veiligheid aan? Er is in de markt veel onduidelijkheid over de zekerheid die wordt gevraagd, dan wel gevraagd moet worden. Vaak wordt alleen gesteld dat een organisatie informatiebeveiliging op orde moeten hebben. Dit kan worden aangetoond met een ISO certificaat, een ISAE3402- verklaring of een ISAE3000- verklaring. Ook wordt regelmatig een ISO of NEN7510- certificaat gevraagd. Wat kan een organisatie eisen en wanneer vraag je wat? Een kort overzicht: ISO certificaat en ISO27002 ISO27001 is een standaard die beschrijft hoe je informatiebeveiliging procesmatig kunt inrichten om risicoge- dreven maatregelen te effectueren. Om toepasselijke maatregelen te selecteren, wordt vaak ISO27002 ge- bruikt. Dit is een standaard die een aantal best practises of voorbeeldbeveiligingsmaatregelen beschrijft. Er kunnen ook andere standaarden, zoals Cobit worden gebruikt. Goed om te weten, is dat ISO27001 een norm is, maar ISO27002 juist niet. Dit betekent dat organisaties zich kunnen laten certificeren op basis van ISO27001, maar niet op basis van ISO Wat zegt zo n certificaat? Een ISO certificaat toont aan dat de organisatie of afdeling: een risicoanalyse heeft uitgevoerd; maatregelen heeft geselecteerd en ingevoerd; de effectiviteit van de maatregelen heeft gecontroleerd; het proces, dan wel de maatregelen, waar nodig heeft bijgestuurd. Het certificaat geeft geen zekerheid over de getroffen maatregelen. Aandachtspunten zijn de reikwijdte van het certificaat en de geselecteerde maatregelen. Pagina 4 van 5
5 NEN7510- certificaat voor de zorg NEN7510 is de Nederlandse vertaling van ISO27001 en ISO27002 voor de zorg. Theoretisch kan NEN7510 als basis voor certificatie worden gebruikt. In de praktijk gebeurt dit niet of nauwelijks en is op dit moment ook niet aan te raden. NEN7510 is gebaseerd op oude versies van ISO27001 en ISO27002 en de best practise maatregelen zijn weinig zorg- specifiek. Een betere strategie is een ISO certificaat met zorg- specifieke maatregelen. ISAE3402- en ISAE300- verklaring Een andere vorm van zekerheid is de zogenaamde derdepartijverklaring. Hierbij geeft een auditor (de derde partij) zekerheid aan organisatie A (klant) over de door organisatie B (leverancier) getroffen beveiligingsmaat- regelen. Er zijn op dit moment twee type verklaringen die worden gebruikt: ISAE3402 (voorheen SAS70) en ISAE3000. In beide gevallen gaat het om een internationale rapportagestandaard. Eigenlijk een afspraak tussen auditors hoe eenduidig wordt gerapporteerd over de opzet, het bestaan en de werking van bepaalde beveili- gingsmaatregelen. Let op, beide standaarden zeggen niets over welke maatregelen worden getoetst. Het ver- schil tussen ISAE3402 en ISAE3000 is vooral dat de eerste is bedoeld voor processen die van belang zijn voor de financiële verantwoording en de laatste voor al het overige. De ISAE- standaarden zijn eigenlijk bedoeld om te voorkomen dat leveranciers van elke klant een auditor op bezoek krijgen. In de praktijk zien we dat de ISAE3402- verklaring nogal eens wordt misbruikt. Vaak wordt een ISAE3402- verklaring gebruikt wanneer een ISAE3000- verklaring zou volstaan. In de nabije toekomst worden de ISAE- standaarden vervangen door de SOC- standaarden. Voordeel hiervan is dat de te toetsen beveiligingsmaatregelen hier wel onderdeel van zijn. Wanneer is welke zekerheid passend? Wanneer is nu welke zekerheid passend? Het korte antwoord is beide : zowel een ISO certificaat als een ISAE- verklaring. Ook hier geldt het credo: informatiebeveiliging is geen eenmalige activiteit. Het is belang- rijk om er zeker van te zijn dat een (potentiële) leverancier informatiebeveiliging serieus neemt en een structu- reel proces heeft ingericht. Het is ook van belang om vast te stellen dat relevante maatregelen daadwerkelijk zijn geïmplementeerd en effectief zijn. In veel situaties volstaat hiervoor een ISAE3000- verklaring. Alleen in die gevallen dat processen bepalend zijn voor een getrouw beeld van de jaarrekening is ISAE3402- noodzakelijk. Investeren in cyber security Dat er nog de nodige stappen genomen moeten worden om het internet veiliger te maken, wordt onderbouwd door de meest recente State of the Union- toespraak van president Obama. Hij noemde expliciet het belang van cyber security. Een onderwerp dat overheden, ondernemingen en burgers volgens Obama hoog op de agenda moeten plaatsen. Obama zei in zijn toespraak dat er nog een hoop werk valt te verrichten op dit terrein, zowel juridisch als met investeringen om internet veiliger te maken. De Amerikaanse overheid trekt daar 14 miljard dollar voor uit. Waarmee weer onderstreept wordt dat informatiebeveiliging de afgelopen jaren een sexy onderwerp is ge- worden. Geschreven door Erik Rutkens ADVISEUR, IT- AUDITOR Heeft u vragen? Stuur mij dan een e- mail, of bel mij op Pagina 5 van 5
Beveilig klanten, transformeer jezelf
Beveilig klanten, transformeer jezelf Managed Services Providers Hacks, ransomware en datalekken zijn dagelijks in het nieuws. Bedrijven moeten in 2018 voldoen aan de Algemene Verordening Gegevensbescherming
Nadere informatieZet de stap naar certificering!
NEN 7510 CERTIFICERING Zet de stap naar certificering! Laat u ondersteunen en vergroot het draagvlak binnen uw organisatie. Draag zorg voor continue verbetering van uw organisatie en zekerheid en vertrouwen
Nadere informatieFactsheet SECURITY SCANNING Managed Services
Factsheet SECURITY SCANNING Managed Services SECURITY SCANNING Managed Services We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren. Met onze Security
Nadere informatieSebyde Web Applicatie Security Scan. 7 Januari 2014
Sebyde Web Applicatie Security Scan 7 Januari 2014 Even voorstellen Sebyde BV is Certified IBM Business Partner voor security systems, gespecialiseerd in applicatie security en security awareness. We leveren
Nadere informatieHET CENTRALE SECURITY PLATFORM
HET CENTRALE SECURITY PLATFORM Wat komt er vandaag de dag op bedrijven af? Meldplicht datalekken Malware Spam Ddos-aanvallen Phishing Zwakke wachtwoorden Auditdruk Meldplicht datalekken Ingegaan op 1 januari
Nadere informatieDatabeveiliging en Hosting Asperion
Databeveiliging en Hosting Asperion www.asperion.nl info@asperion.nl Het Asperion Datacenter Uw gegevens veilig en professioneel bewaard Administraties bevatten vertrouwelijke informatie en daar moet vanzelfsprekend
Nadere informatieAndré Salomons Smart SharePoint Solutions BV. Cloud security en de rol van de accountant ICT Accountancy praktijkdag
André Salomons Smart SharePoint Solutions BV Cloud security en de rol van de accountant ICT Accountancy praktijkdag Cloud security moet uniformer en transparanter, waarom deze stelling? Links naar de artikelen
Nadere informatieCERTIFICERING DATASTORAGE ISO 27001:2013 EN NEN7510:2011
CERTIFICERING DATASTORAGE ISO 27001:2013 EN NEN7510:2011 Henk Swaters Wim Olijslager LISA - DSM AANLEIDING CERTIFICERING De UT vindt het belangrijk om aan te tonen dat wij zorgvuldig omgaan met gegevens
Nadere informatieISO Informatiebeveiliging
ISO 27001 Informatiebeveiliging 1. Welkom bij KAM Consultants 2. Werkwijze 3. ISO 27001 4. Advies diensten 5. Trainingen 6. Quick Scan 7. Coaching 8. Intensieve begeleiding 9. Onderhoud 10. Contactgegevens
Nadere informatieIT Security in de industrie
IT Security in de industrie Praktische ervaringen met cyber security in de Energiesector en Procesindustrie Henk Spelt Henk.Spelt@kema.com Experience you can trust. Onderwerpen Waarom is (cyber) security
Nadere informatieInformatiebeveiliging voor gemeenten: een helder stappenplan
Informatiebeveiliging voor gemeenten: een helder stappenplan Bewustwording (Klik hier) Structureren en borgen (Klik hier) Aanscherping en maatwerk (Klik hier) Continu verbeteren (Klik hier) Solviteers
Nadere informatieWe maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren.
Managed Services Managed Services We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren. Met onze Security Management diensten bewaken we de continuïteit
Nadere informatieBeveiliging en bescherming privacy
Beveiliging en bescherming privacy Beveiliging en bescherming privacy Duobus B.V. Nieuwe Boteringestraat 82a 9712PR Groningen E info@duobus.nl I www.duobus.nl September 2014 2 Voorwoord Als organisatie
Nadere informatieFactsheet SECURITY SCANNING Managed Services
Factsheet SECURITY SCANNING Managed Services SECURITY SCANNING Managed Services We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren. Met onze Security
Nadere informatieOpdrachtgeverschap 2.0. Toezien op de afspraken in de verwerkersovereenkomst
Opdrachtgeverschap 2.0 Toezien op de afspraken in de verwerkersovereenkomst Doel van deze presentatie Zelf een mening hebben over welke certificering/ verklaring het beste past bij een af te nemen dienst
Nadere informatieVoordat sprake kan zijn van een TPM, moet aan een aantal voorwaarden worden voldaan:
Wat is een Third Party Mededeling? Het uitbesteden van processen is binnen hedendaagse organisaties erg gebruikelijk. Maar hoe kunt u als dienstleverlener uw (potentiële) klanten overtuigen van de kwaliteit
Nadere informatieInformatiebeveiliging En terugblik op informatiebeveiliging 2016
Informatiebeveiliging 2017 En terugblik op informatiebeveiliging 2016 Missie Waken over betrouwbaarheid, integriteit en beschikbaarheid van de gegevens waarvoor de gemeente verantwoordelijk is. Voldoen
Nadere informatieCloud dienstverlening en Informatiebeveiliging. ISACA Round Table Assen - Maart 2017
Cloud dienstverlening en Informatiebeveiliging ISACA Round Table Assen - Maart 2017 Even voorstellen 2 Irmin Houwerzijl. Werkzaam bij Ordina. Ordina haar dienstverlening betreft o.a. traditionele hosting
Nadere informatieZet de stap naar certificering!
ISO 27001 CERTIFICERING Zet de stap naar certificering! Laat u ondersteunen en vergroot het draagvlak binnen uw organisatie. Draag zorg voor een continue verbetering van processen, producten en diensten.
Nadere informatieMKB Cloudpartner Informatie TPM & ISAE 3402 2016
Third Party Memorandum (TPM) Een Derde verklaring of Third Party Mededeling (TPM) is een verklaring die afgegeven wordt door een onafhankelijk audit partij over de kwaliteit van een ICT-dienstverlening
Nadere informatieSeminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging
Seminar Trends in Business & IT bij woningcorporaties Informatiebeveiliging Agenda Rondje verwachtingen Even voorstellen.. Informatiebeveiliging waarom? Stand van zaken bij corporaties Informatiebeveiliging
Nadere informatieCloud Solutions. Business Case Skysource Group. Als Cloud Service Provider verkoop je vertrouwen
Cloud Solutions Business Case Skysource Group Als Cloud Service Provider verkoop je vertrouwen Begin 2017 migreerde Skysource haar allereerste klant naar de zelfgebouwde private cloud omgeving. Nog geen
Nadere informatieAudit: Beveiliging Digitale Examens
Audit: Beveiliging Digitale Examens 1 Hoffmann Bedrijfsrecherche bv http://www.youtube.com/watch?v=wq-wn7lykxu 2 Regio met grote ambities Onze regio, Brainport regio Eindhoven, is een van de meest dynamische
Nadere informatieWelkom bij parallellijn 1 On the Move 14.20 15.10 uur
Welkom bij parallellijn 1 On the Move 14.20 15.10 uur Stap 4 van de BIG Hoe stel ik vast of de informatiebeveiligingsmaatregelen van mijn gemeente effectief zijn en hoe rapporteer ik hierover? 1 IBD-Praktijkdag
Nadere informatieUw bedrijf beschermd tegen cybercriminaliteit
Uw bedrijf beschermd tegen cybercriminaliteit MKB is gemakkelijke prooi voor cybercriminelen Welke ondernemer realiseert zich niet af en toe hoe vervelend het zou zijn als er bij zijn bedrijf wordt ingebroken?
Nadere informatieFactsheet Penetratietest Informatievoorziening
Factsheet Penetratietest Informatievoorziening Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl
Nadere informatieBeveiliging is meer dan een slot op je computerruimte. Ben Stoltenborg PinkRoccade Healthcare EDP Auditor
Beveiliging is meer dan een slot op je computerruimte Ben Stoltenborg PinkRoccade Healthcare EDP Auditor Doel en Agenda Aan de hand van de ontwikkelingen in de zorg wordt een globaal en praktisch beeld
Nadere informatieZest Application Professionals Training &Workshops
Het in kaart krijgen van kwetsbaarheden in Websites & Applicaties en hoe deze eenvoudig te voorkomen zijn, wordt in Applicatie Assessments aangetoond en in een praktische Workshop behandelt. U doet hands-on
Nadere informatieDataprotectie op school
Dataprotectie op school ook een taak van het management Jacques Verleijen Wat is informatieveiligheid? Mogelijke actoren Netwerkschijven Cloud Backup- en restoremogelijkheden Encryptie Servers Firewalls
Nadere informatieDE 5 VERBETERPUNTEN VAN UW SECURITY
WHITEPAPER: DE 5 VERBETERPUNTEN VAN UW SECURITY Moderne organisaties zijn een belangrijk doelwit van cybercriminelen. Dat is geen verrassing, want zij hebben veel gevoelige data in huis en daarmee veel
Nadere informatieEthical hacking en Auditing. ISACA Round table. 11 juni 2018 Van der Valk Hotel - Eindhoven
Ethical hacking en Auditing ISACA Round table 11 juni 2018 Van der Valk Hotel - Eindhoven Programma Even voorstellen Demo CloudHRM Een aantal begrippen Ethical hacking als onderdeel van een audit Demo
Nadere informatieCASE STUDY. FRISS pakt verzekeringsfraude aan met. Solvinity. Steeds minder fraudeurs weten verzekeringsmaatschappijen een pootje te lichten.
CASE STUDY FRISS pakt verzekeringsfraude aan met Solvinity Steeds minder fraudeurs weten verzekeringsmaatschappijen een pootje te lichten. FRISS pakt verzekeringsfraude aan met Solvinity Steeds minder
Nadere informatieInformatie is overal: Heeft u er grip op?
Informatie is overal: Heeft u er grip op? Zowel implementatie als certificering Omdat onze auditors geregistreerd zijn bij de Nederlandse Orde van Register EDP-auditors (NOREA), kan Koenen en Co zowel
Nadere informatieVertrouwen in ketens. Jean-Paul Bakkers
Vertrouwen in ketens Jean-Paul Bakkers 9 april 2013 Inhoud Het probleem Onderlinge verbondenheid De toekomstige oplossing TTISC project Discussie Stelling Wat doet Logius al Business Continuity Management
Nadere informatieToezien op privacy naleving bij (IT) leveranciers; ISO of ISAE 3000?
Algemene Verordening Gegevensbescherming (AVG) en de impact bij uitbesteding DATABEVEILIGING Toezien op privacy naleving bij (IT) leveranciers; ISO 27001 of ISAE 3000? Het uitbesteden van bedrijfsprocessen
Nadere informatieINFORMATIEVEILIGHEID. een uitdaging van ons allemaal. ICT Noord, Harro Spanninga
INFORMATIEVEILIGHEID een uitdaging van ons allemaal ICT Noord, Harro Spanninga Agenda Toelichting op de Taskforce BID Introductie thema Informatieveiligheid Technisch perspectief Perspectief van de overheid
Nadere informatie5W Security Improvement
2 Bij veel bedrijven zien we dat IT-gerelateerde beveiligingsmaatregelen verbeterd kunnen worden. Kent u het verhaal van het huis dat door inbrekers voorbij werd gelopen? Het was het enige huis waar men
Nadere informatieCYBER SECURITY MONITORING
THREAT INTELLIGENCE & ANALYTICS CYBER SECURITY MONITORING Het continu monitoren van het netwerkverkeer en logbestanden draagt bij aan het vroegtijdig detecteren van bijvoorbeeld malware, ransomware of
Nadere informatieChecklist Beveiliging Persoonsgegevens
Checklist Beveiliging Persoonsgegevens Beveiliging is een één van de belangrijkste vereisten binnen het privacyrecht. Iedere organisatie zal passende technische en organisatorische maatregelen moeten treffen
Nadere informatieUw tandartspraktijk. Een goudmijn voor internetcriminelen
Uw tandartspraktijk Een goudmijn voor internetcriminelen Wat gaan we doen? De digitale data-explosie Nieuwe privacywetgeving (a giant leap for mankind) Wat wilt u onze hacker vragen? Help! Uw praktijk
Nadere informatieDe beveiligingsscan sta voor je zaak.nl
m in i ster beve ili gings ie v a n E c o n o m isc he ke n ili Za et h n n va ake tief he Z e e n i nitia ngs beve ngs gings De beveiligingsscan sta voor je zaak.nl 2011 De beveiligingsscan Op naar een
Nadere informatieISMS BELEIDSVERKLARING. +31(0) Versie 1.0: 3/7/18
ISMS BELEIDSVERKLARING info@thepeoplegroup.nl +31(0) 73 523 67 78 www.thepeoplegroup.nl Versie 1.0: 3/7/18 INTRODUCTIE De directie van The People Group zal bij het voorbereiden en uitvoeren van het algemeen
Nadere informatieIT Security Een keten is zo sterk als de zwakste schakel.
IT Security Een keten is zo sterk als de zwakste schakel. René Voortwist ICT Adviseur Leg het mij uit en ik vergeet het. Laat het me zien en ik onthoud het misschien, maar betrek mij erbij en ik begrijp
Nadere informatieNederlands Cyber Collectief CYBER ADVIES
Nederlands Cyber Collectief CYBER VOILA, UW CYBEREXPERT Liesbeth Kempen Liesbeth.Kempen@nederlandscybercollectief.nl 06 22 90 33 02 In dit rapport leest u hoe het gesteld is met de cyberveiligheid van
Nadere informatieTraining en workshops
Mirabeau Academy HACKING OWASP TOP 10 Training en workshops MIRABEAU ACADEMY AHEAD IN A DIGITAL WORLD Digitaal denken zit in onze code. We weten exact wat er online speelt. Sinds 2001 ontwikkelen we platformen
Nadere informatieCloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.
Cloud Computing, een inleiding ICT Accountancy & Financials congres 2013: Cloud computing en efactureren 10 december 2013 Jan Pasmooij RA RE RO: jan@pasmooijce.com 10 december 2013 1 Kenmerken van Cloud
Nadere informatieHelp, mijn datacenter is gehackt! KPN Security Services / Han Pieterse
Help, mijn datacenter is gehackt! KPN Security Services / Han Pieterse Cyber Security betreft het reduceren van gevaar of schade veroorzaakt door introductie van nieuwe technologie, storing of uitval van
Nadere informatieHeeft u al applicaties in de cloud (zoals AWS, Azure, Google) draaien?
Asset 1 van 4 Hoe houd je de cloudkosten beheersbaar? Gepubliceerd op 20 april 2015 Hoe krijgt u grip op uw cloud-kosten? Leer de verschillende oorzaken voor onverwachtse kosten te herkennen en lees vijf
Nadere informatieCloud Computing. -- bespiegelingen op de cloud -- MKB Rotterdam, 10 november 2015. Opvallend betrokken, ongewoon goed
Cloud Computing -- bespiegelingen op de cloud -- MKB Rotterdam, 10 november 2015 Opvallend betrokken, ongewoon goed Agenda Inleiding Mijn achtergrond Over Innvolve Cloud Computing Overwegingen Afsluiting
Nadere informatieFactsheet SECURITY DESIGN Managed Services
Factsheet SECURITY DESIGN Managed Services SECURITY DESIGN Managed Services We ontwerpen solide security-maatregelen voor de bouw en het gebruik van digitale platformen. Met onze Security Management diensten
Nadere informatieFactsheet Penetratietest Infrastructuur
Factsheet Penetratietest Infrastructuur Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl
Nadere informatieTeam Werknemers Pensioen
Team Werknemers Pensioen 1 Implementatie pensioenregeling Uitgangspunt Implementatie en communicatie in overleg met ADP en adviseurs Vaste onderdelen van implementatie Opvoeren pensioenregeling ADP in
Nadere informatieWhitepaper. Outsourcing. Uitbesteden ICT: Wat, waarom, aan wie en hoe? 1/6. www.nobeloutsourcing.nl
Uitbesteden ICT: Wat, waarom, aan wie en hoe? 1/6 Inhoud Uitbesteden ICT: Wat, waarom, aan wie en hoe? 3 Relatie tussen ICT en 3 Outsourcen ICT: Wat? 3 Cloud Services 3 Service Level Agreement 3 Software
Nadere informatieExact Online BUSINESS CASE MET EXACT ONLINE MEER FOCUS OP ACCOUNTMANAGEMENT EN ADVISERING. De 5 tips van Marc Vosse. www.exactonline.
BUSINESS CASE Exact Online MET EXACT ONLINE MEER FOCUS OP ACCOUNTMANAGEMENT EN ADVISERING De 5 tips van Marc Vosse www.exactonline.nl 2 EXACT ONLINE CASE STUDY ACCOUNTANCY DE 5 TIPS VAN MARC VOSSE Voor
Nadere informatieJos Witteveen Wat komt er kijken bij Clouddiensten voor de Zorg? 29 oktober 2013
Jos Witteveen Wat komt er kijken bij Clouddiensten voor de Zorg? 29 oktober 2013 Wat en wie is Andarr? Wij zijn dé partner voor waardevaste ICT transities / migraties. Wij helpen organisaties om blijvend
Nadere informatieAan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus 20018 2500 EA Den Haag
> Retouradres Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus 20018 2500 EA Den Haag Directoraat Generaal Bestuur en Koninkrijksrelaties Burgerschap en Informatiebeleid www.rijksoverheid.nl
Nadere informatieGemeente Alphen aan den Rijn
Informatiebeveiligingsbeleid (t.b.v. ICT Forum Lokale Overheid) Van een Informatiebeveiligingsbeleid naar de dagelijkse praktijk Maart 2016, afdeling I&A Informatiebeveiligingsbeleid Informatiebeveiligingsbeleid
Nadere informatieBeleid Informatiebeveiliging InfinitCare
Beleid Informatiebeveiliging InfinitCare Wijzigingshistorie Versie Wie Wanneer Wat 2019-V001 Han Laarhuis 2019-03-04 Aanpassen aan nieuwe ISMS 2019 V096 Han Laarhuis 2016-03-21 Toevoegen Wijzigingshistorie
Nadere informatieIaaS als basis voor maatwerkoplossingen
1 IaaS als basis voor maatwerkoplossingen De specialisten van Fundaments: uw logische partner INHOUD Vooraf Terugblik Cloud De rol van de IaaS Provider IaaS maatwerkoplossingen in het onderwijs Conclusie
Nadere informatieIBM; dataopslag; storage; infrastructuur; analytics; architectuur; big data
Asset 1 van 10 Big Data Analytics voor Dummies Gepubliceerd op 30 june 2014 Gelimiteerde editie van de populaire Dummies-reeks, speciaal voor managers. Het boek legt uit waarom Big Data Analytics van cruciaal
Nadere informatieData en Applicatie Migratie naar de Cloud
Data en Applicatie Migratie naar de Cloud Iris Pinkster Professional Testing 1 Agenda - Introductie - De Cloud een introductie - Keuze van geschikte applicaties - Migratie strategieën - Test strategieën
Nadere informatieSecurity Starts With Awareness
Security Starts With Awareness Think Secure Think Secure is in 2003 opgericht met het doel organisaties te ondersteunen met kennis en diensten die: 1.Het bewustzijn m.b.t. informatie- en ICT beveiliging
Nadere informatieBrochure ISO 27002 Foundation
Brochure ISO 27002 Foundation Over Pink Elephant Bedrijfshistorie Pink Elephant is een Nederlandse IT onderneming die rond 1980 is ontstaan als bijverdienste van een drietal studenten aan de Technische
Nadere informatieBijlage 1: DigiD aansluiting no.1 - Bijlage B + C Gemeente Loppersum
Collegeverklaring ENSIA 2017 - Bijlage 1 Bijlage 1: DigiD aansluiting no.1 - Bijlage B + C Gemeente Loppersum Vragen vooraf Vraag Vraag 1: Bent u aansluithouder van DigiD aansluitingen? Vraag 2: Hoeveel
Nadere informatieVerborgen gebreken in de defence in depth theorie
Verborgen gebreken in de defence in depth theorie Iedere beveiligingsprofessional kent waarschijnlijk het schillenconcept. Dit staat bekend onder verschillende benamingen zoals defence in depth of layers
Nadere informatieICT-uitbestedingsdiensten en Software as a Service:
ICT-uitbestedingsdiensten en Software as a Service: Betrouwbaardere ICT, minder zorgen! Maak kennis met Multrix Wilt u op maat gesneden ICT-diensten die volledig aan de wensen en behoeften van uw organisatie
Nadere informatieJacques Herman 21 februari 2013
KING bijeenkomst Audit- en Pentestpartijen Toelichting op de DigiD Rapportage template en de NOREA Handreiking DigiD ICT-beveiligingsassessments Jacques Herman 21 februari 2013 Samenvatting van de regeling
Nadere informatieIII Stream IT Auditing. UWV / CIP / VU- IT auditing
III Stream IT Auditing UWV / CIP / VU- IT auditing Wiekram Tewarie 22-04-2009 Agenda Inleiding/IT auditing Relatie : Accountant IT auditor Context IT audit omgeving Carrièremogelijkheden WT/14 april 2015
Nadere informatieBewustwording en awareness TIPS EN HANDVATTEN OM HET RISICO OP EEN DATALEK TE VERKLEINEN
Bewustwording en awareness TIPS EN HANDVATTEN OM HET RISICO OP EEN DATALEK TE VERKLEINEN Helaas, 100% beveiliging bestaat niet. Kwetsbaarheden veranderen dagelijks en hackers zitten niet stil. Een datalek
Nadere informatieIaaS als basis voor maatwerkoplossingen
1 IaaS als basis voor maatwerkoplossingen De specialisten van Fundaments: uw logische partner INHOUD Vooraf Terugblik Cloud De rol van de IaaS Provider IaaS maatwerkoplossingen in het onderwijs Conclusie
Nadere informatieInformatiebeveiliging in de praktijk gebracht! Een pragmatische aanpak van IT-beveiliging.
Informatiebeveiliging in de praktijk gebracht! Een pragmatische aanpak van IT-beveiliging. Nick Pieters IT Security audits IT Security consulting & oplossingen IT Security trainer Human... nick@secure-it.be
Nadere informatieTHE CLOUD IN JURIDISCH PERSPECTIEF SPREKERSPROFIEL. Mr. Jan van Noord Directeur International Tender Services (ITS) BV
THE CLOUD IN JURIDISCH PERSPECTIEF SPREKERSPROFIEL Mr. Jan van Noord Directeur International Tender Services (ITS) BV Wat is Cloud Op het moment dat content uit het eigen beheer c.q. toezicht verdwijnt
Nadere informatieONLINE SAMENWERKEN IN HET DNA VAN ACCOUNTANTSKANTOOR JOINSON & SPICE
Exact Online CASE STUDY ONLINE SAMENWERKEN IN HET DNA VAN ACCOUNTANTSKANTOOR JOINSON & SPICE www.exactonline.nl 2 EXACT ONLINE CASE STUDY ACCOUNTANCY INZICHT DELEN OM TE GROEIEN JOINSON & SPICE is druk.
Nadere informatieFiscount ICT-Strategie en -Beveiliging
Fiscount ICT-Strategie en -Beveiliging samenwerkende partner Is jouw bedrijf veilig? Wij weten uit ervaring zeker van niet Informatiebeveiliging is belangrijker dan ooit. Helaas behandelen veel ondernemers
Nadere informatieCertificeren Waardevol?? KVGM B.V.
Certificeren Waardevol?? KVGM Improvement Solutions: + Specialisten in verbetermanagement + 20 jaar ervaring + 6 deskundige, gedreven en pragmatische professionals + Praktische aanpak waarbij de klantorganisatie
Nadere informatieINFORMATIEBEVEILIGING VOOR VERZEKERAARS. Better safe than sorry. vraag vandaag nog een Assessment aan. Think.Pink.
INFORMATIEBEVEILIGING VOOR VERZEKERAARS Better safe than sorry vraag vandaag nog een Assessment aan Think.Pink INFORMATIEBEVEILIGING GOED VERZEKERD De digitale revolutie heeft ieder onderdeel binnen de
Nadere informatieInformatiebeveiliging, noodzakelijk kwaad of nuttig? www.dnvba.nl/informatiebeveiliging. DNV Business Assurance. All rights reserved.
1 Informatiebeveiliging, noodzakelijk kwaad of nuttig? Mike W. Wetters, Lead Auditor DNV Albertho Bolenius, Security Officer GGzE Informatiebeveiliging. Noodzakelijk kwaad of nuttig? 3 Wat is informatiebeveiliging?
Nadere informatieBrochure ISO 27002 Advanced
Brochure ISO 27002 Advanced Over Pink Elephant Bedrijfshistorie Pink Elephant is een Nederlandse IT onderneming die rond 1980 is ontstaan als bijverdienste van een drietal studenten aan de Technische Universiteit
Nadere informatiePartneren met een Cloud broker
Partneren met een Cloud broker Vijf redenen om als reseller te partneren met een Cloud broker Introductie Cloud broker, een term die je tegenwoordig vaak voorbij hoort komen. Maar wat is dat nu precies?
Nadere informatieBewaar patiëntgegevens veilig in de Nederlandse Cloud. Infopaper voor de zorgsector. The Sourcing Company
Bewaar patiëntgegevens veilig in de Nederlandse Cloud Infopaper voor de zorgsector The Sourcing Company Bewaar patiëntgegevens veilig in de Nederlandse Cloud. Steeds vaker horen we verhalen waarin mensen
Nadere informatieDigitale Veiligheid 3.0
Digitale Veiligheid 3.0 KPN s visie op security in het MKB Theater De Blauwe Kei, Veghel Donderdag 29 september 2016 Joris Geertman director portfolio & innovation KPN Consulting Joris Geertman Joris Geertman
Nadere informatieGOEDE ZORG VOOR ONDERZOEKSDATA.
GOEDE ZORG VOOR ONDERZOEKSDATA. Ziekenhuislaboratorium LabWest vertrouwt IT-infrastructuur toe aan Sentia Sinds 2011 werken verschillende ziekenhuizen in en rondom Den Haag met een gezamenlijke laboratoriumorganisatie.
Nadere informatieCase: Oxyma en Solvinity delen hetzelfde DNA
Case: Oxyma en Solvinity delen hetzelfde DNA Oxyma helpt organisaties bij het optimaliseren van marketing- en salesprocessen en verzorgt de uitvoering daarvan. Om een brede groep klanten complete dienstverlening
Nadere informatieHet Sebyde aanbod. Secure By Design
Het Sebyde aanbod Secure By Design Ons aanbod Security Scan Secure Development Security Awareness Security Assessment 1. Security Scan > Scan van uw web applicatie(s) op kwetsbaarheden. Hiervoor gebruiken
Nadere informatieSr. Security Specialist bij SecureLabs
Wie ben ik? Ronald Kingma, CISSP ronald@securelabs.nl Sr. Security Specialist bij SecureLabs Introductie SecureLabs Voorheen ISSX Code of Conduct Real Penetration Testing Vulnerability Management Veiligheidsincidenten
Nadere informatieZwaarbewolkt met kans op neerslag
8 ControllersMagazine januari - februari 2015 automatisering Zwaarbewolkt met kans op neerslag Cloud was het woord van 2014. Het gaat hierbij om hard- en software die niet meer hoeft te worden aangeschaft
Nadere informatieNEXT LEVEL DATA SECURITY DRIE VOORDELEN VAN WERKEN IN DE CLOUD
NEXT LEVEL DATA SECURITY DRIE VOORDELEN VAN WERKEN IN DE CLOUD 60% 32% 67% Van de ondernemers heeft te maken gehad met cybercrime (in 2014) Van de kleine bedrijven is door een cyberaanval met malware als
Nadere informatieBranche organisaties: Hun mening over certificering van de Cloud Iniatieven voor normen
Public briefing Certificering van de Cloud Branche organisaties: Hun mening over certificering van de Cloud Iniatieven voor normen Nan Zevenhek Bestuurslid EuroCloud Nederland EDP-Auditor 25-11-11 Opzet
Nadere informatieSecurity Management Trendonderzoek. Chloë Hezemans
Security Management Trendonderzoek Chloë Hezemans Security Management Survey (5 e editie) Agenda Voorstellen Methode Trends Opvallende resultaten deze editie Security Management 2020? Voorstellen Chloë
Nadere informatieHeeft u al applicaties in de cloud (zoals AWS, Azure, Google) draaien?
Asset 1 van 5 Hoe houd je de cloudkosten beheersbaar? Gepubliceerd op 20 april 2015 Hoe krijgt u grip op uw cloud-kosten? Leer de verschillende oorzaken voor onverwachtse kosten te herkennen en lees vijf
Nadere informatieAgenda 26-4-2009. Wat zijn de gevolgen van Cloud en Gridcomputing voor de gebruikersorganisatie en de beheersfunctie.
Wat zijn de gevolgen van Cloud en Gridcomputing voor de gebruikersorganisatie en de beheersfunctie. John Lieberwerth Agenda Even voorstellen Cloud Computing De tien Plagen Gebruikersorganisatie en ICT
Nadere informatieMeetbare veiligheid SOC-2 en flexibiliteit voor Faster Forward
Meetbare veiligheid SOC-2 en flexibiliteit voor Faster Forward Bij het aangaan van een hypotheek, verzekering of het regelen van een pensioen komen vele processen kijken. Meetbare veiligheid SOC-2 en flexibiliteit
Nadere informatieSeminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Informatiebeveiliging the next level!
Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Informatiebeveiliging the next level! 1! 1. Introductie Agenda! 2. Stand van zaken in de Cyber Security wereld 3. Verschillende soorten
Nadere informatieVoor onder meer volgende preventieve diensten hebben wij sterke partners : Doopput 14 2550 Kontich
P R E V E N T I E Cybercontract biedt bedrijven toegang tot een unieke set gespecialiseerde diensten bij lokale professionals! Diensten van bewezen kwaliteit snel en centraal toegankelijk. Zo helpen we
Nadere informatieNext Generation Risk Based Certification
BUSINESS ASSURANCE Next Generation Risk Based Certification DNV GL Relatiedag - 11 november 2014 Albert Zwiesereijn 2014-06-05 1 SAFER, SMARTER, GREENER Albert Zwiesereijn 37 jaar Voor DNV GL Officier
Nadere informatieOp 14 maart 2017 publiceerde het DNB Expertisecentrum Operationele en IT Risico's een memo 'Toelichting Toetsingskader Informatiebeveiliging 2017'.
Inleiding Op 14 maart 2017 publiceerde het DNB Expertisecentrum Operationele en IT Risico's een memo 'Toelichting Toetsingskader Informatiebeveiliging 2017'. Hierin wordt aangegeven dat DNB in 2017 met
Nadere informatieNEXT LEVEL DATA TRUST VOOR HET MKB DE 3 REDENEN WAAROM WERKEN IN DE CLOUD UW BEDRIJF VOORUITHELPT
NEXT LEVEL DATA TRUST VOOR HET MKB DE 3 REDENEN WAAROM WERKEN IN DE CLOUD UW BEDRIJF VOORUITHELPT Plus: wat zijn de mogelijkheden van een modern datacenter? 60% 32% 67% Van de ondernemers heeft te maken
Nadere informatie