Zekerheid over financiële webapplicaties

Maat: px
Weergave met pagina beginnen:

Download "Zekerheid over financiële webapplicaties"

Transcriptie

1 1 Zekerheid over financiële webapplicaties Juni 2009 Scriptie als onderdeel van het afstuderen voor de Postgraduate opleiding IT Audit aan de Faculteit der Economische Wetenschappen en Bedrijfskunde aan de Vrije Universiteit Amsterdam Danny Krempel Caspar Heydendael Scriptie

2 Pagina 2 van 46 1 SAMENVATTING Dit onderzoek concentreert zich op de kwaliteitsaspecten integriteit en vertrouwelijkheid (tezamen gedefinieerd als betrouwbaarheid) binnen webapplicaties. Het onderzoek is daarbij beperkt tot business2consumer applicaties in de financiële sector. De centrale vraag in dit onderzoek is welke beheersmaatregelen vormen een minimum niveau voor webapplicaties die gebruikt worden voor online transacties binnen financiële instellingen?. Deze vraag is opgesplitst in enkele relevante deelvragen. Om antwoord te geven op deze onderzoeksvraag hebben wij vanuit theorie en praktijk een overzicht samengesteld van de belangrijkste risico s voor business2consumer applicaties in de financiële sector. Dit overzicht is onderstaand weergegeven. Server side Onjuiste identiteit server (pharming) Ongeautoriseerde toegang tot de webservers Ongeautoriseerde toegang tot de applicatie (OWASP) Ongeautoriseerde toegang tot netwerkcomponenten Ongeautoriseerde toegang tot de applicatie servers Ongeautoriseerde toegang tot de database servers Ongeautoriseerde toegang tot het interne netwerk Onduidelijkheden door het ontbreken van (een 6 componenten tellend) e-security beleid leiden tot kwetsbaarheden in de omgeving Kwaliteitsstandaarden ten aanzien van hosting en ontwikkeling of aanschaf worden niet nageleefd waardoor de integriteit en/of vertrouwelijkheid van informatie niet zijn geborgd Online transacties zijn niet integer en/of vertrouwelijk Door de inrichting van de infrastructuur kunnen de integriteit en/of vertrouwelijkheid van informatie binnen de e-businessomgeving niet worden geborgd Er zijn onvoldoende beheerbeheersmaatregelen getroffen waardoor de (veilige) werking van de e-businesstoepassing over een langere periode niet kan worden geborgd Client side Transacties zijn niet controleerbaar (ontkenning en/of aanpassing) Authenticatie informatie wordt onbedoeld naar kwaadwillende derden gestuurd (phishing, identiteit diefstal) Berichten vanuit de gebruiker naar het internet worden aangepast (Man in the browser) Anti-virus software is niet (in voldoende mate) aanwezig waardoor informatie door middel van spyware en/of virussen inzichtelijk is voor derden In Between Transacties worden tussen de zender en ontvanger gewijzigd (Man in the middle) Transacties worden tussen de zender en ontvanger afgeluisterd Op basis van deze risico s hebben wij tevens vanuit theorie en praktijk een security baseline opgesteld waarin maatregelen zijn opgenomen die deze risico s mitigeren. Op deze manier zijn wij tot een minimum niveau aan maatregelen gekomen voor webapplicaties die gebruikt worden voor online transacties binnen financiële instellingen. Dit overzicht is onderstaand opgenomen: Server side Gebruik van systeemontwikkelingsstandaarden Periodieke uitvoering van risicoanalyse Hanteren van een beveiligingsbeleid Toepassen van formeel change management Fysieke toegangsbeveiliging Logische toegangsbeveiliging Hardening Monitoring Periodieke Attack & Penetration testen Client side Sterk wachtwoord Controleren certificaat webserver Controleren rekeningnummers en URL Installeren van anti-virus en anti-spyware software Het up-to-date houden van client-side software Beveiligen (draadloos) netwerk

3 Pagina 3 van 46 Deze security baseline hebben wij vervolgens getoetst aan twee casestudies in de praktijk. Uit de casestudies concluderen wij dat de door ons gedefinieerde maatregelen in de security baseline grotendeels zijn toegepast. Wij hebben echter enige afwijkingen gevonden wat betreft risicoanalyses, beveiligingsbeleid en daarnaast het niet periodiek uitvoeren van Attack & Penetration testen. Opmerkelijk vonden wij de in onze ogen, onvoldoende aandacht voor de beveiliging aan de gebruikerskant. Tot slot melden wij enkele noemenswaardigheden die wij in ons onderzoek zijn tegengekomen. Allereerst het ontbreken van overheersende standaarden voor risico s en maatregelen bij webapplicaties in de financiële sector. Het ontbreken van commerciële initiatieven en de diversiteit van technologieën zouden hier mogelijke oorzaken van kunnen zijn. Daarnaast hebben wij op basis van huidige risico s gesteld dat de beveiliging van software bij de gebruiker van essentieel belang is geworden. Bij beide casestudies hebben wij gezien dat deze risico s gemitigeerd worden door te wijzen op de drie kloppen campagne. Wij zien hierin duidelijke kansen voor verbetering.

4 Pagina 4 van 46 2 INHOUDSOPGAVE 1 Samenvatting 2 2 Inhoudsopgave 4 3 Inleiding 5 4 Onderzoeksverantwoording 6 5 Risico s bij het aanbieden van online diensten 10 6 Zekerheid over internettoepassingen 17 7 Casestudies 26 8 Conclusies 39 9 Reflectie Bronnen 43 Bijlage 1 OWASP top Bijlage 2 Overzicht risico s en beheersmaatregelen 45

5 Pagina 5 van 46 3 INLEIDING Internet is inmiddels voor veel organisaties een onmisbaar onderdeel binnen de dagelijkse bedrijfsvoering. Soms als communicatiemiddel aanvullend op reeds bestaande informatiestromen, maar steeds vaker vormt internet als business enabler een integraal onderdeel van de dienstverlening. Door de ontsluiting van financiële of transactieverwerkende systemen aan het internet en het uitvoeren van kritieke transacties over dit medium bestaat het risico dat kwaadwillende individuen systemen en gegevens manipuleren waardoor financiële schade wordt geleden en / of de juistheid en volledigheid van de financiële transacties niet kan worden geborgd. In dit onderzoek zal worden ingegaan op beheersmaatregelen in het kader van betrouwbaarheid die moeten worden genomen om risico s van aan internet verbonden applicaties te mitigeren.

6 Pagina 6 van 46 4 ONDERZOEKSVERANTWOORDING 4.1 AANLEIDING EN DOELSTELLING Door de opkomst van het internet wordt het gebruik van webapplicaties steeds populairder. In tegenstelling tot klassieke applicaties worden webapplicaties binnen een webbrowser uitgevoerd en is geen additionele software benodigd. Vanzelfsprekend zal ook in dergelijke applicaties sprake zijn van toepasselijke beheersmaatregelen. Echter door de compleiteit van internetomgevingen en webtechnologie bestaan additionele risico s. Dit onderzoek heeft tot doel inzicht te geven in het niveau van beheersmaatregelen die benodigd zijn bij het aanbieden van transacties over het internet. Ons onderzoek heeft zich beperkt tot financiële business2consumer webapplicaties van financiële instellingen. 4.2 PROBLEEMSTELLING Om aan bovengenoemde doelstelling te kunnen voldoen zijn de volgende onderzoeksvragen geformuleerd CENTRALE VRAAG Welke beheersmaatregelen vormen een minimum niveau voor webapplicaties die gebruikt worden voor online transacties binnen financiële instellingen? DEELVRAGEN 1 Wat zijn risico s bij het aanbieden van financiële webapplicaties? 2 Welke beheersmaatregelen (van front- tot backend) zijn noodzakelijk om zekerheid te krijgen over uitgewisselde en opgeslagen transactiegegevens wanneer internettoepassingen zijn betrokken? 3 Welke risico s worden met deze beheersmaatregelen afgedekt? 4.3 ONDERZOEKSAANPAK Om antwoord te kunnen geven op de onderzoeksvragen hebben wij per vraag de volgende aanpak gehanteerd. Wat zijn risico's bij het aanbieden van financiële webapplicaties? Deze vraag is beantwoord door literatuurstudie. Reeds afgeronde onderzoeken verkregen uit databanken van de universiteit hebben ons inzicht verschaft in algemene risicotheorieën. De nadruk hierbij heeft gelegen op internetrisico s, waarbij wij deze onderzoeken hebben aangevuld met meer recent werk dat ingaat op risico s bij online commerciële diensten. Welke beheersmaatregelen (van front- tot backend) zijn noodzakelijk om zekerheid te krijgen over uitgewisselde en opgeslagen transactiegegevens wanneer internettoepassingen zijn betrokken? Deze vraag is beantwoord door het bestuderen van casestudies bij twee financiële instellingen, deze instellingen zijn niet bij naam genoemd. Bij deze instellingen is uitgebreid onderzoek verricht in het kader van de jaarrekeningcontrole én naar specifieke (nieuw te lanceren) internettoepassingen (internet bankieren voor

7 Pagina 7 van 46 consumenten). Daarnaast is gekeken naar bestaande standaarden en best practices ten aanzien van (IT) beheersmaatregelen en of deze toe te passen zijn op het beheersen van financiële webapplicaties. Welke risico s worden met deze beheersmaatregelen afgedekt? Om te bepalen welke risico s met welke beheersmaatregelen zijn afgedekt zijn de verkregen onderzoeksresultaten met elkaar vergeleken. 4.4 INHOUDSOPGAVE Onderstaand is een beknopte inhoudsopgave opgenomen. Het doel hiervan was het bureau- en literatuur onderzoek meer structuur te geven en op deze manier inzichtelijk maken waar eventuele tekorten in bruikaar materiaal bestonden. In de conclusie wordt hier op terug gekeken. Onderdeel Materiaal Algemene risicotheorieën Brillinger, 2006, Statistical Science 2003, Vol. 18, No. 4, , Institute of Mathematical Statistics, Three Environmental Probabilistic Risk Problems. Risicotheorieën in IT omgevingen Risico s in webomgevingen IT Audit methodologie Case studies jaarrekening controles bij financiële instellingen Praat, J. van, Christiaanse, R., 2007, Hoorcollege VU Amsterdam, 8 juni Straub, D.W., Welke, R.J., 1998, Coping with systems risk: Security planning models for management decision making, MIS Quarterly, December HB 231:2004, 2004, Information security risk management guidelines, Standards Australia. Jacoby, J., Kaplan, L.,The components of perceived risk, Advances in Consumer Research 3 (1972) Bhatnagar, A., Misra, S., Rao, H.R., On risk, convenience, and internet shopping behavior, Communications of the ACM 43 (11)(2000) Norea ZekeRE Business Open Web Application Security Project (OWASP) top 10 Van Rooijen, M. Beheersing van IT-risico s bij internetbankieren, de EDP-Auditor, nummer 4, Praktische kennis Control Objectives for Information and related Technology (COBIT) Open Web Application Security Project (OWASP) development guide Certified Secure Software Lifecycle Professional (CSSLP) Praktische kennis 2 Case studies van geanonimiseerde financiële instellingen

8 Pagina 8 van AUTEURS, BEDRIJFS- EN VU COACH Het onderzoek is uitgevoerd door Caspar Heydendael en Danny Krempel. Zij zijn hierbij ondersteund vanuit Ernst & Young door Richard Verschuren (bedrijfscoach) en Marcel Baveco (VU coach vanuit De Nederlandsche Bank). Danny Krempel MSc. Ernst & Young Advisory Euclideslaan 1, 3584 BL, Utrecht Mobile: +31 (0) Mail: Drs. Caspar Heydendael Heydendael Professional Services Keizerstraat BL Den Haag Mobile: +31(0) Mail: Richard Verschuren Ernst & Young Advisory Euclideslaan 1, 3584 BL, Utrecht Mobile: +31 (0) Mail: Marcel Baveco De Nederlandsche Bank Epertisecentrum toezicht ICT Westeinde 1 - Amsterdam Tel: / Fa: Teamnummer: LEESWIJZER Het onderzoek is onderverdeeld in drie delen die worden afgesloten met een conclusie. Om antwoord te geven op bovengenoemde centrale onderzoeksvraag hebben wij in het eerste deel van het onderzoek (hoofdstuk 5) vanuit het algemene begrip risico (kans schade) toegespitst naar bedrijfsomgevingen en risico s in IT omgevingen. Vervolgens hebben wij een uitleg gegeven over webomgevingen en benoemen we risico s in deze omgevingen. Dit deel van het onderzoek is afgesloten met een overzicht van risico s op een niveau dat relevant is voor dit onderzoek, zie hiervoor 5.5. In het tweede deel (hoofdstuk 6) zijn vanuit de risico s op basis van bijvoorbeeld CobiT, ontwikkelmethoden, de methodiek bij jaarrekening controles (ITGC s) en praktische ervaring in dit veld, maatregelen gedefinieerd die deze risico s mitigeren. Dit deel van het hoofdstuk wordt besloten met een security baseline waarin alle maatregelen relevant voor dit onderzoek worden opgesomd, zie hiervoor sectie 6.3.

9 Pagina 9 van 46 In het derde deel (hoofdstuk 7) van dit onderzoek zijn de maatregelen uit de security baseline getoetst op twee casestudies uit de praktijk. Uit deze toets blijkt dat de maatregelen zoals eerder gedefinieerd in meer of mindere mate terug te vinden zijn in beide gevallen. Het antwoord op de onderzoeksvragen is beknopt opgenomen in de conclusie en uitgebreid in bijlage twee. In deze bijlage is een matri opgenomen met hierin alle risico s en bijbehorende maatregelen. Hierbij hebben we aangegeven of risico s betrekking hebben op de vertrouwelijkheid van informatie danwel de integriteit van informatie.

10 Pagina 10 van 46 5 RISICO S BIJ HET AANBIEDEN VAN ONLINE DIENSTEN Dit onderzoek richt zich op de betrouwbaarheid binnen webomgevingen die online financiële diensten aanbieden en de daarmee samenhangende begrippen risico s en beheersmaatregelen. In dit hoofdstuk worden allereerst algemene risico s besproken. Hierna wordt een toespitsing gemaakt naar bedrijfsrisico s en risico s in IT omgevingen. Vervolgens wordt het begrip beveiligingsrisico uitgediept en wordt een korte uitleg gegeven over wat wordt verstaan onder webomgevingen. Ten slotte worden risico s in webomgevingen benoemd en wordt een samenvatting gegeven van risico s bij het aanbieden van online diensten. 5.1 ALGEMENE RISICO S Er zijn verschillende definities voor het begrip risico bekend. Ter introductie en in de contet van deze sectie is risico gedefinieerd als de kans op een gevaarlijke gebeurtenis of catastrofe (Brillinger, 2003). In deze definitie zijn twee factoren van belang; de kans dat een bepaalde gebeurtenis zich voordoet en de nadelige impact van deze gebeurtenis. Risico neemt toe indien (één van) beide factoren (toeneemt) toenemen; de kans of de impact. Indien gesproken wordt over risico dan is het belangrijk om te weten in welke contet dit is geplaatst. Het kan bijvoorbeeld gaan om omgevingsrisico s, zoals aardbevingen en overstromingen. Maar ook om bijvoorbeeld bedrijfsrisico, zoals bedrijfsongevallen en uitvallen van het IT netwerk. Risico in het kader van dit onderzoek wordt geplaatst in de contet van bedrijfsrisico s. 5.2 RISICO S IN IT OMGEVINGEN In deze sectie wordt een specifieke categorisering bedrijfsrisico s toegelicht; IT risico s. Als voorgaande definitie van risico vrijelijk vertaald wordt naar een omgeving waarin informatie technologie wordt gebruikt, dan resulteert dit in de kans op een gevaarlijke (of nadelige) gebeurtenis met betrekking tot informatie technologie. De basisbegrippen betrouwbaarheid en beschikbaarheid zijn in dit kader van belang. Genoemde basisbegrippen zijn kwaliteitsaspecten van informatie(verzorging). Andere kwaliteitsaspecten zijn bijvoorbeeld effectiviteit en efficiency. Betrouwbaarheid is op te splitsen in de begrippen vertrouwelijkheid en integriteit, indien gesproken wordt over kwaliteitsaspecten van informatie(voorziening) (van Praat en Christiaanse, 2007). Deze twee begrippen staan centraal in dit onderzoek. Voor de volledigheid zijn onderstaand de gehanteerde definities van deze begrippen opgenomen. Integriteit De mate waarin een informatiesysteem foutloos is (juist, tijdig en volledig). Vertrouwelijkheid De mate waarin de toegang tot en de kennisname van een informatiesysteem en de informatie daarin is beperkt tot een gedefinieerde groep van gerechtigden. Ook wel eclusiviteit genoemd.

11 Pagina 11 van 46 Wij merken op dat het aspect beschikbaarheid buiten de reikwijdte van dit onderzoek valt. Wij erkennen dat vanuit commercieel oogpunt de beschikbaarheid van een webapplicatie van groot belang is; gebruikers gaan steeds meer uit van een 24/7 beschikbaarheid en hebben een lage tolerantie ten aanzien van verstoringen. Een verstoring in de beschikbaarheid wordt meteen bemerkt door de klant (en daarmee de eigenaar van de applicatie). Derhalve gaan wij uit van de hypothese dat webapplicaties van nature meer gericht zijn op beschikbaarheid. Daarnaast kan de beschikbaarheid van een webapplicatie of onderliggende infrastructuur door kwaadwillenden vrijwel altijd op enige wijze in gevaar worden gebracht. Een voorbeeld hiervan is het geautomatiseerd versturen van verzoeken (vanuit meerdere locaties of een botnet) waardoor deze in een wachtrij komen te staan en de server niet meer op tijd alle verzoeken kan beantwoorden. De eindgebruiker ervaart dan (tijdelijke) onbeschikbaarheid. Ook kunnen grote hoeveelheden interne fouten worden gegenereerd door bijvoorbeeld kwetsbaarheden hiervoor of oneindige loops, met onbeschikbaarheid voor de eindgebruiker tot gevolg. Vanwege bovengenoemde natuurlijke focus op beschikbaarheid en mede vanuit onze epertise (werkzaam voor een accountantskantoor) kiezen we hier voor een beperking van de scope en richten we ons op vertrouwelijkheid en integriteit. Risico s ten aanzien van beschikbaarheid, efficiëntie en effectiviteit zijn in dit onderzoek buiten beschouwing gelaten. Straub and Welke (1998) hanteren eenzelfde definitie van risico als in sectie 1 van dit hoofdstuk. Zij noemen risico met betrekking tot informatie systemen systems risk. Er is sprake van deze vorm van risico indien hardware, software, data en/of services worden veranderd (ongeautoriseerd), vernield, gestolen of op een andere manier onbruikbaar worden gemaakt. Hieronder vallen onder meer misbruik van computersystemen, rampscenario s, maar ook het schenden van intellectueel eigendom. Onderdelen van genoemd risico zijn projectrisico en beveiligingsrisico. Projectrisico is daarbij het risico dat een ontwikkelproject (deels) faalt. Beveiligingsrisico is het risico dat informatie of informatie systemen binnen een organisatie niet voldoende zijn beschermd tegen bepaalde vormen van schade of verlies. In onderstaande figuur wordt het begrip beveiligingsrisico dat relevant is voor dit onderzoek, verder uitgediept. Figuur 1: Information security risk management framework

12 Pagina 12 van 46 Deze afbeelding komt uit HB 231:2004, Information Security Risk Management Guidelines, een Australische/New Zeelandse standaard voor informatiebeveiliging. Deze standaard kan een aanvulling zijn op het gebied van risico management voor bijvoorbeeld de code voor informatiebeveiliging ISO/IEC Uit figuur 1 wordt duidelijk dat een bedreiging een kwetsbaarheid (vulnerability) kan benutten om informatie (assets) te bemachtigen. Deze informatie vertegenwoordigt een bepaalde (monetaire) waarde; indien die waarde of impact toeneemt dan wordt het beveiligingsrisico verhoogd. Om informatie te beveiligen zijn bepaalde zaken op het gebied van beveiliging nodig (security requirements). Daarnaast kan het zijn dat er bepaalde benodigdheden bestaan volgend uit juridische veranderingen. Beveiligingsbeheersmaatregelen (security controls) zijn in deze contet controles en procedures die informatie beveiligen tegen bedreigingen en kwetsbaarheden. Beveiligingsrisico s zoals hier gedefinieerd bestaan uit bedreigingen, kwetsbaarheden en impact/waarde. Bedreigingen zijn eterne factoren, die in elke (IT) omgeving in meer of mindere mate aanwezig zijn, zoals diefstal en verkeerde intenties van medewerkers. Een kwetsbaarheid is de mogelijkheid om via een zwakte op enige wijze schade toe te brengen. Als we dit vertalen naar IT omgevingen dan zijn kwetsbaarheden systemen, configuraties en beheerprocedures, waarin mogelijkheden voor misbruik liggen. 5.3 WEBOMGEVINGEN INLEIDING WEBOMGEVINGEN Teneinde risico s in webomgevingen te begrijpen is hiernaast een versimpelde schematische weergave van een webomgeving opgenomen. De omgeving is gekoppeld aan het internet en bestaat uit drie delen die gescheiden zijn door een firewall: het interne netwerk (LAN), het eterne netwerk (het internet) en de DMZ. De DMZ (DeMilitarized Zone) is een netwerksegment tussen het interne en het eterne netwerk en het huist de servers die vanaf het internet benaderbaar moeten zijn, zoals webservers. Figuur 2: Schematische weergave webomgeving VERSCHIL MET REGULIERE APPLICATIES Het verschil tussen een applicatie die wordt aangeboden in een webomgeving en reguliere applicaties (bijvoorbeeld een applicatie die wordt aangeboden in een bedrijfsomgeving) is dat de client kant volkomen onbetrouwbaar is in geval van een webomgeving. In een bedrijfsomgeving kunnen de gebruikers bepaalde beperkingen worden opgelegd; bijvoorbeeld het beperkt installeren van software op de client pc door de gebruiker. Deze beperkingen kunnen ervoor zorgen dat de gebruiker bijvoorbeeld geen risicovolle applicaties kan installeren, waarmee bepaalde beheersmaatregelen ten aanzien van de webapplicatie teniet worden gedaan. Voor een webapplicatie geldt dat iedere gebruiker die de applicatie vanaf het Internet benadert, programmatuur op zijn eigen pc kan installeren waarmee getracht kan worden bepaalde beheersmaatregelen te omzeilen. Daarnaast kunnen door de ontsluiting aan het internet ook kwaadwillenden de applicatie benaderen.

13 Pagina 13 van RISICO S IN WEBOMGEVINGEN Nu duidelijk is wat bedoeld wordt met webomgevingen, wordt voor risico s in dergelijke omgevingen allereerst gekeken naar bestaande theorie op dit gebied. Verschillende onderverdelingen in categorieën (algemene) risico s zijn mogelijk. Een onderverdeling van bijvoorbeeld door kopers van consumentenproducten waargenomen risico s is gemaakt door (Jacoby en Kaplan, 1972). Zij identificeerden zeven typen risico s: financieel, prestatie, fysiek, psychologisch, sociaal, tijd en kosten van alternatieven. In geval van aankopen op het internet zijn drie typen risico s overheersend (Bhatnagar ea. 2000): 1. Financieel risico. Financieel risico wordt gelopen indien door bijvoorbeeld een technische of menselijke fout het product twee keer wordt gekocht in plaats van 1 keer. 2. Product risico. Product risico heeft betrekking op het product zelf, het product kan bijvoorbeeld kapot zijn. 3. Informatie risico. Informatie risico is geassocieerd met transactie beveiliging en privacy. Indien een gebruiker bijvoorbeeld zijn creditcard gegevens moet invoeren kan dit leiden tot angst voor creditcard fraude. In de contet van ons onderzoek zijn de eerste en de laatste van belang; het financiële en het informatie risico. Indien specifieker naar risico s wordt gezocht binnen webomgevingen blijkt een grote afhankelijkheid naar type systeem, configuratie en beheersmaatregel. De bestaande wetenschappelijke theorie is op dit vlak minder behulpzaam. Om toch een antwoord te kunnen geven op de gestelde onderzoeksvraag keren wij ons daarom tot meer recent werk vanuit de Nederlandse Orde van Register EDP-Auditors (NOREA), de OWASP community, een artikel uit de EDP auditor over de beheersing van risico s bij internetbankieren en andere op dit vlak belangrijke risico s resulterend uit opgedane praktijkervaring RISICO S VANUIT DE NOREA De NOREA is een beroepsorganisatie van IT auditors. De NOREA beheert het register van gekwalificeerde ITauditors (RE = 'register EDP-auditor') en geeft aan opdrachtgevers en derden de mogelijkheid om vast te stellen of iemand op grond van zijn opleiding en ervaring heeft voldaan aan de eisen die door de beroepsorganisatie worden gesteld. Op initiatief van de NOREA is in samenwerking met toonaangevende bedrijven en organisaties op het gebied van IT-auditing ZekeRE-business ontwikkeld. Het product ZekeRE-business heeft tot doel de gekwalificeerde IT-auditor en diens opdrachtgever een handvat te geven om in een aantal stappen na te gaan of en in welke mate het zaken doen via Internet als veilig kan worden beschouwd respectievelijk kan worden gemaakt. Eén van de onderdelen van ZekeRE business is het vaststellen van een normenset op basis van de doelstellingenmatri. Deze doelstellingenmatri kan worden gezien als een verzameling beheersmaatregelen teneinde de beveiliging van online business2business transacties te beoordelen. Voor dit onderzoek zijn uit deze set van beheersmaatregelen de volgende risico s met betrekking tot integriteit en vertrouwelijkheid voor business2consumer webapplicaties afgeleid: 1. Onduidelijkheden door het ontbreken van (een 6 componenten tellend) e-security beleid leiden tot kwetsbaarheden in de omgeving 2. Kwaliteitsstandaarden ten aanzien van hosting en ontwikkeling of aanschaf worden niet nageleefd waardoor de integriteit en/of vertrouwelijkheid van informatie niet zijn geborgd 3. Online transacties zijn niet integer en/of vertrouwelijk 4. Door de inrichting van de infrastructuur kunnen de integriteit en/of vertrouwelijkheid van informatie binnen de e-businessomgeving niet worden geborgd

14 Pagina 14 van Er zijn onvoldoende beheerbeheersmaatregelen getroffen waardoor de (veilige) werking van de e- businesstoepassing over een langere periode niet kan worden geborgd RISICO S VANUIT OWASP OWASP staat voor de Open Web Application Security Project en is een (open source) community die zich tot doel heeft gesteld webapplicaties, zoals gebruikt voor het aanbieden van online transacties, veiliger te maken. Vanuit OWASP zijn hiervoor verschillende producten geleverd, zoals een gids voor het veilig ontwikkelen van webapplicaties en verschillende tools om de beveiliging van webapplicaties te testen en online trainingsomgevingen. Daarnaast wordt periodiek een overzicht van meest voorkomende kwetsbaarheden samengesteld; de OWASP top 10. De laatste versie is die van De OWASP top tien is een algemeen geaccepteerd overzicht van de huidige meest voorkomende kwetsbaarheden ten aanzien van webapplicaties, het wordt gehanteerd in alle economische sectoren, waaronder financiële instellingen. Het gebruik van de OWASP top 10 wordt aanbevolen voor alle bedrijven en hun partners door de U.S. Federal Trade Commission. Onderstaand is een verkort overzicht opgenomen van de OWASP top 10 uit Voor een uitleg en Nederlandse vertaling verwijzen wij naar bijlage Cross Site Scripting (XSS) 2. Injectie kwetsbaarheden 3. Het uitvoeren van kwaadaardige bestanden 4. Onveilige Direct Object Reference 5. Cross Site Request Forgery (CSRF) 6. Informatie lekkage en onjuiste foutbehandeling 7. Doorbreken authenticatie en sessie management 8. Onveilige cryptografische opslag 9. Onveilige communicatie 10. Geen of onvolledige URL beperkingen ARTIKEL UIT DE EDP-AUDITOR In een voor ons onderzoek relevant artikel (Van Rooijen, 2003) wordt een opsomming gegeven van risico s, waarbij een onderscheid wordt gemaakt naar informatiebeveiligingsrisico en transactierisico. Het informatiebeveiligingsrisico met betrekking tot integriteit en vertrouwelijkheid wordt gedefinieerd als het risico dat onbevoegden ongeautoriseerd: toegang krijgen tot het interne bedrijfsnetwerk toegang krijgen tot componenten van de IT-infrastructuur, zoals besturingssystemen van servers, applicaties en databases de componenten van de IT-infrastructuur, zoals besturingssystemen van servers, applicaties en databases, aanpassen kennis nemen van de gegevens in databases toegang krijgen tot de PC van de gebruiker de PC van de gebruiker aanpassen Het transactierisico Het transactierisico voor de bank en de gebruiker wordt in dit artikel gedefinieerd als het risico dat transacties: niet afkomstig zijn van de echte gebruiker, maar van een vervalser tijdens verzending worden aangepast

15 Pagina 15 van 46 door onbevoegden kunnen worden gelezen door de zender van de transacties worden ontkend OVERIGE RISICO S Naast voorgenoemde risico s zijn er risico s voortvloeiend uit technologische vernieuwingen. Technologische vernieuwingen kunnen onder meer leiden tot aanpassingen op functioneel gebied in de aangeboden software. Deze aanpassingen kunnen ertoe leiden dat de beveiliging in zijn totaal wordt verminderd. Zo is het mogelijk dat de nieuwe functionaliteit nieuwe kwetsbaarheden met zich meebrengt of dat de combinatie van bestaande software met de nieuw geïmplementeerde functionaliteit tot onvoorziene kwetsbaarheden leidt. Kwetsbaarheden in software kunnen leiden tot ongeautoriseerde toegang waardoor de integriteit en vertrouwelijkheid van informatie kan worden beïnvloed. Hieraan gelieerd wordt gewezen op het zeer frequent ontdekken van nieuwe kwetsbaarheden. Talloze beveiligings- en hackersforums maken dagelijks melding van nieuw ontdekte kwetsbaarheden. Bekende voorbeelden hiervan zijn security.nl, milw0rm.com, securityfocus.com, nvd.nist.gov en secunia.com. Een ander risico wordt gevormd door de identiteit van de server. Deze identiteit wordt vastgesteld door het webadres en het uitgegeven certificaat. Een noemenswaardig artikel in deze contet is een al wat ouder artikel van Arnum, Hierin wordt de balans tussen toegang en beveiliging beschreven. Van specifieke aandacht is de volgens dit artikel onontkoombare groei van aankopen via het internet. Er wordt beargumenteerd dat het gebruik van internet voor private commercie (tussen bekende partijen) veilig kan plaatsvinden. Voorwaarde hiervoor is het gebruik van Public Key Infrastructure (PKI). Het gebruik van internet voor publieke commercie (tussen onbekende partijen), is volgens de schrijver echter veel moeilijker veilig te maken. Punten van aandacht liggen in het verifiëren van de gebruiker identiteit en daarnaast het garanderen van beide partijen tegen fraude. Inmiddels weten we dat naast het identificeren van klanten bij aankopen over het internet ook het identificeren van servers van belang is. En zelfs als de gebruiker heeft vastgesteld dat het webadres en het certificaat juist zijn, is het niet onmogelijk dat toch met een onbedoelde partij wordt gecommuniceerd. Bij pharming worden bij kwetsbare DNS servers de tabellen aangepast zodat webadressen van bijvoorbeeld banken naar identieke maar kwaadaardige IPadressen routeren. Tenslotte is niet alleen de server -kant verantwoordelijk voor een goede beveiliging. Ook aan de kant van de client bevinden zich risico s. Als voorbeeld kunnen zogenoemde man in de browser aanvallen worden genoemd. Bij dit type aanval wordt in de browser van de client kwaadaardige software geïnstalleerd die ingevoerde authenticatie informatie zonder de gebruiker het door heeft naar kwaadwillenden verstuurd. Voor de gebruiker is het ook van belang dat hij of zij bewust is van zogenoemde phishing aanvallen. Bij dergelijke aanvallen wordt op allerlei manieren geprobeerd om originele authenticatie bij de gebruiker te verkrijgen. Veelal wordt hierbij gebruik gemaakt van communicatie waarbij om ogenschijnlijk plausibele redenen de authenticatie informatie van de gebruiker wordt opgevraagd. Deze wordt dan zonder dat de gebruiker hier notie van heeft verstuurd naar kwaadwillenden. Ook kan het zijn dat websites dusdanig worden nagemaakt dat voor de gebruiker lijkt alsof hij of zij op de originele website zijn authenticatie invoert. 5.5 RISICO OVERZICHT In het laatste deel van dit hoofdstuk wordt een overzicht gegeven van belangrijke risico s met betrekkking tot de integriteit en vertrouwelijkheid van informatie bij het aanbieden van online commerciële diensten. Op basis van

16 Pagina 16 van 46 met name de risico s afgeleid uit ZekeRE-business (NOREA) en het artikel van Van Rooijen (2003) is een overzicht gegenereerd van belangrijke risico s op een abstractieniveau dat zinvol is voor het doel van dit onderzoek. Andere risico s die in dit hoofdstuk naar voren zijn gekomen hebben het overzicht verder aangevuld. De risico s zijn ingedeeld op basis van waar het feitelijke probleem ligt (server side, client side of daartussenin) en daarnaast zijn de risico s geclassificeerd op basis van hun (primaire) impact op de integriteit en/of de vertrouwelijkheid van informatie(voorziening). Aangenomen is dat indien aanpassingen gemaakt kunnen worden aan informatie, deze informatie eveneens inzichtelijk is voor anderen. Met andere woorden, indien risico s impact hebben op de integriteit van informatie(voorziening) dan hebben zij impliciet een impact op de vertrouwelijkheid. Server side Client side In Between Risico Onjuiste identiteit server (pharming) Ongeautoriseerde toegang tot de webservers Ongeautoriseerde toegang tot de applicatie (OWASP) Ongeautoriseerde toegang tot netwerkcomponenten Ongeautoriseerde toegang tot de applicatie servers Ongeautoriseerde toegang tot de database servers Ongeautoriseerde toegang tot het interne netwerk Onduidelijkheden door het ontbreken van (een 6 componenten tellend) e-security beleid leiden tot kwetsbaarheden in de omgeving Kwaliteitsstandaarden ten aanzien van hosting en ontwikkeling of aanschaf worden niet nageleefd waardoor de integriteit en/of vertrouwelijkheid van informatie niet zijn geborgd Online transacties zijn niet integer en/of vertrouwelijk Door de inrichting van de infrastructuur kunnen de integriteit en/of vertrouwelijkheid van informatie binnen de e-businessomgeving niet worden geborgd Er zijn onvoldoende beheerbeheersmaatregelen getroffen waardoor de (veilige) werking van de e-businesstoepassing over een langere periode niet kan worden geborgd Transacties zijn niet controleerbaar (ontkenning en/of aanpassing) Authenticatie informatie wordt onbedoeld naar kwaadwillende derden gestuurd (phishing, identiteit diefstal) Berichten vanuit de gebruiker naar het internet worden aangepast (Man in the browser) Anti-virus software is niet (in voldoende mate) aanwezig waardoor informatie door middel van spyware en/of virussen inzichtelijk is voor derden Transacties worden tussen de zender en ontvanger gewijzigd (Man in the middle) Transacties worden tussen de zender en ontvanger afgeluisterd Integriteit Vertrouwelijkheid

17 Pagina 17 van 46 6 ZEKERHEID OVER INTERNETTOEPASSINGEN Dit hoofdstuk geeft in een logische onderverdeling een selectie beheersmaatregelen weer die geïmplementeerd moeten worden om specifieke beheersdoelstellingen te behalen. Er is gekozen voor een selectie van generieke beheersmaatregelen omdat een volledig overzicht van beheersmaatregelen niet het doel van dit hoofdstuk is. In dit hoofdstuk worden alleen individuele beheersmaatregelen genoemd; normaliter is de implementatie van een individuele maatregel niet voldoende om een beheersdoelstelling te behalen, het is de combinatie van beheersmaatregelen die dit doen. Het hoofdstuk wordt besloten met een security baseline waarin de beheersmaatregelen die genomen dienen te worden in online commerciële omgevingen zijn opgesomd. Als eerste wordt een onderverdeling gemaakt tussen beheersmaatregelen die kunnen worden genomen aan de kant van de aanbieder van de webapplicatie en beheersmaatregelen die kunnen worden genomen aan de kant van de gebruiker. Maatregelen die aan de kant van de aanbieder genomen worden zijn voornamelijk server side maatregelen. Maatregelen die aan de kant van de gebruiker genomen worden zijn voornamelijk client side maatregelen. De set maatregelen bestaat echter uit meer dan technische maatregelen aan server of client side. Voor de verschillende categorieën wordt aangegeven welk risico de maatregel mitigeert. Dit wordt gedaan met behulp van eerder gedefinieerde tabel. 6.1 BEHEERSMAATREGELEN AANBIEDER De beheersmaatregelen die in dit hoofdstuk genoemd worden, dragen bij aan de mitigatie van onderstaande risico s. Server side Risico Onjuiste identiteit server (pharming) Ongeautoriseerde toegang tot de webservers Ongeautoriseerde toegang tot de applicatie (OWASP) Ongeautoriseerde toegang tot netwerkcomponenten Ongeautoriseerde toegang tot de applicatie servers Ongeautoriseerde toegang tot de database servers Ongeautoriseerde toegang tot het interne netwerk Onduidelijkheden door het ontbreken van (een 6 componenten tellend) e-security beleid leiden tot kwetsbaarheden in de omgeving Kwaliteitsstandaarden ten aanzien van hosting en ontwikkeling of aanschaf worden niet nageleefd waardoor de integriteit en/of vertrouwelijkheid van informatie niet zijn geborgd Online transacties zijn niet integer en/of vertrouwelijk Door de inrichting van de infrastructuur kunnen de integriteit en/of vertrouwelijkheid van informatie binnen de e-businessomgeving niet worden geborgd Integriteit Vertrouwelijkheid

18 Pagina 18 van 46 Risico Er zijn onvoldoende beheerbeheersmaatregelen getroffen waardoor de (veilige) werking van de e-businesstoepassing over een langere periode niet kan worden geborgd Integriteit Vertrouwelijkheid X In Between Transacties worden tussen de zender en ontvanger gewijzigd (Man in the middle) Transacties worden tussen de zender en ontvanger afgeluisterd ORGANISATORISCHE BEHEERSMAATREGELEN Als maatregel dient er een duidelijk (en gecommuniceerd) beleid te zijn ten aanzien van beveiliging. Hierin zijn zaken zijn opgenomen zoals een risico analyse, systeemontwikkelingstandaarden (zie ook volgende hoofdstuk), procedures rond platformgebruik, netwerkinrichting en het afdwingen van SSL verkeer SOFTWARE ONTWIKKELING EN ONDERHOUD De aanbieder van de webapplicatie dient een duidelijke procedure te hebben voor het doorvoeren van veranderingen aan de applicatie teneinde software aan te bieden die voldoet aan alle eisen en functionaliteit van de aanbieder. Deze beheersmaatregel is er om verschillende risico s te mitigeren; het reduceren van de kans op fouten in de software resulteert namelijk in minder fouten ten aanzien van de data die door de applicatie wordt verwerkt (juistheid en volledigheid). Ook de handleiding ZekeRE Business van de NOREA schrijft in het normenkader voor dat voor de ontwikkeling van de applicatie gebruik gemaakt wordt van een gestandaardiseerde methodiek. Onder goed change management worden minimaal de volgende beheersmaatregelen verstaan: Alle veranderingen worden geclassificeerd voordat deze in behandeling worden genomen. Alle veranderingen worden na het testen goedgekeurd alvorens deze naar de productieomgeving worden doorgevoerd. Alle veranderingen worden geautoriseerd voordat deze worden doorgevoerd naar de productieomgeving. Veranderingen worden gemonitord tijdens het gehele change management traject en periodiek wordt er gekeken of alle veranderingen die in productie genomen zijn ook werkelijk het change management traject hebben doorlopen. Er bestaat een duidelijke scheiding van verantwoordelijkheden in het change management traject; dat wil zeggen dat de software ontwikkelaars de veranderingen niet kunnen doorvoeren naar de productieomgeving. Ook de testers hebben geen rechten om de verandering in productie te nemen. Er wordt een select aantal personen aangesteld om de change goed te keuren en in productie te nemen. De bovenstaande punten gelden in het algemeen voor een beheerste ontwikkeling van software. Echter kan voor de ontwikkeling van specifieke software voor commerciële diensten ook gebruik gemaakt worden van bepaalde standaarden (normen) of best practices. Er kan bijvoorbeeld gebruik gemaakt worden van CobiT of van methoden

19 Pagina 19 van 46 die OWASP voorschrijft. Ook kan er gekozen worden voor de ontwikkeling met behulp van CSSLP. Zie onderstaand een korte uitleg per methode of hulpmiddel. CobiT CobiT schrijft een aantal beheersdoelstellingen voor, hieronder valt ook de doelstelling om je veranderingen aan software te beheersen (change management). CobiT gaat niet heel specifiek in op de te volgen procedures, wel stelt het zaken vast waaraan gedacht moet worden bij het opzetten van je change management procedure. Dit zijn de volgende zaken: Beleggen van formele change procedure Impact assessment, prioriteitstelling en autorisatie Emergency change procedure Change status tracking en reporting Change closure en documentatie Een goede invulling van bovenstaande beheersdoelstellingen geeft meer zekerheid over het beheerst doorvoeren van veranderingen in software. Het gebruik van CobiT op zich geeft nog garantie op de integriteit van de doorgevoerde changes en de betrouwbaarheid van de software. Voor het invullen van de beheersdoelstelling kan gebruik gemaakt worden van best practices. Voor wat betreft change management kan bijvoorbeeld ITIL hulp bieden bij het gestructureerd in gebruik nemen van wijzigingen. ITIL kent onder andere best practices (procedures) voor change management onder het hoofdstuk Service Support. OWASP OWASP staat voor Open Web Application Security Project en is een open community die zich concentreert op het verbeteren van de beveiliging van applicatie software. OWASP probeert beveiligingsproblemen beter zichtbaar te maken, zodat men betere en beter geïnformeerde keuzes kan maken ten aanzien van beveiligingsrisico s. OWASP heeft een development guide uitgebracht die als hulpmiddel kan dienen bij de ontwikkeling van applicatie software. Hierin is aandacht voor zowel de diverse aspecten ten aanzien van ontwikkeling (mens, proces en techniek). Er is bijzondere aandacht besteed aan beveiligingsrisico s in webapplicaties. Door de OWASP development guide in ogenschouw te nemen bij het ontwikkelen van webapplicaties wordt aandacht geschonken aan de beveiliging van de applicatie tijdens het ontwikkelen, en niet erna. CSSLP CSSLP staat voor Certified Secure Software Lifecycle Professional. CSSLP is een certificaat dat borgt dat beveiliging in beschouwing is genomen tijdens de gehele software lifecycle. Het certificaat is bedoeld voor alle stakeholders van de software development lifecycle en kent een aantal domeinen. Indien een iemand met het CSSLP certificaat in een ontwikkelteam wordt opgenomen, dan is men zeker van enige mate van kennis met betrekking tot beveiligingsrisico s in de gehele software lifecycle. Hierdoor wordt beveiliging niet alleen aan het einde van de lifecycle bekeken als response op een bedreiging, maar wordt in alle stadia rekening gehouden met diverse beveiligingsaspecten. CSSLP erkent best practices voor software ontwikkeling en is code-language onafhankelijk.

20 Pagina 20 van FYSIEKE TOEGANGSBEVEILIGING Een goede fysieke toegangsbeveiliging verkleint het risico op oneigenlijk gebruik van de systemen aan de kant van de aanbieder. Vanuit de aanbieder van de service zijn namelijk maar een beperkt aantal personen geautoriseerd om uiteindelijk bij de transactionele data te komen. Fysieke toegang betekent in de regel toegang tot de data. Onder goede fysieke toegangsbeveiliging vallen minimaal de volgende beheersmaatregelen: De IT systemen die gebruikt worden voor de service staan in een afgeschermde ruimte die alleen toegankelijk is door een zelfsluitende deur met behulp van een pas. De uitgifte van toegangspassen volgens een duidelijke procedure, waarbij de uitgifte goedgekeurd wordt door een daartoe bevoegde persoon, zodat alleen de juiste personen toegang krijgen tot ruimtes waar de systemen draaien. Periodiek vindt een controle plaats op de uitgegeven passen. Hierbij wordt gelet of de betrokken medewerker nog in dienst is en of hij uit hoofde van zijn functie nog dient te beschikken over een toegangspas LOGISCHE TOEGANGSBEVEILIGING Een goede logische toegangsbeveiliging aan de kant van de aanbieder verlaagt het risico op oneigenlijk gebruik van de systemen en eventuele risico s ten aanzien van de beschikbaarheid van de systemen. Goede logische toegangsbeveiliging bestaat uit beheersmaatregelen die zowel gericht zijn tegen oneigenlijk gebruik van interne medewerkers als oneigenlijk gebruik van eventuele eternen. Beheersmaatregelen betreffende logische toegangsbeveiliging dienen genomen te worden voor zowel de applicatie, de databases, de netwerkarchitectuur als het operating system. Beheersmaatregelen aangaande de minimale bescherming van (web)applicatie zijn de volgende: De applicatie is alleen toegankelijk voor daartoe geautoriseerd personeel. De rechten die bij het gebruikersaccount horen zijn in overeenstemming met de organisatorische functiescheiding. Gebruikers hebben geen rechten op onverenigbare transacties. De uitgifte van de accounts wordt gedaan met behulp van een gestandaardiseerde procedure waarbij de aanvrager zijn eigen aanvraag niet kan autoriseren. De autorisatie wordt verleend door een meerdere van de aanvrager die een goed overzicht heeft of de aanvrager vanuit zijn functie dient te beschikken over het account. Periodiek wordt er een controle uitgevoerd op de uitgegeven gebruikersaccounts (van de interne medewerkers) om te kijken of zij uit hoofde van hun functie nog steeds bevoegd zijn tot het gebruik van het account (met bijbehorende rechten). Inloggen op de applicatie vindt plaats met behulp van een identificatie, authenticatie, en autorisatie mechanismen. Hierbij is het authenticatiemechanisme gebaseerd op kennis, bezit of op een persoonlijke

Zest Application Professionals Training &Workshops

Zest Application Professionals Training &Workshops Het in kaart krijgen van kwetsbaarheden in Websites & Applicaties en hoe deze eenvoudig te voorkomen zijn, wordt in Applicatie Assessments aangetoond en in een praktische Workshop behandelt. U doet hands-on

Nadere informatie

Factsheet Penetratietest Infrastructuur

Factsheet Penetratietest Infrastructuur Factsheet Penetratietest Infrastructuur Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

Factsheet Penetratietest Informatievoorziening

Factsheet Penetratietest Informatievoorziening Factsheet Penetratietest Informatievoorziening Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

DMZ Policy. Eindverantwoordelijkheid Goedgekeurd. 16 Februari 2005. Geaccepteerd Manager SPITS. Security Manager SPITS E.A. van Buuren.

DMZ Policy. Eindverantwoordelijkheid Goedgekeurd. 16 Februari 2005. Geaccepteerd Manager SPITS. Security Manager SPITS E.A. van Buuren. Ministerie van Verkeer en Waterstaat opq Rijkswaterstaat DMZ Policy 16 Februari 2005 Eindverantwoordelijkheid Goedgekeurd Naam Datum Paraaf Security Manager SPITS E.A. van Buuren Geaccepteerd Manager SPITS

Nadere informatie

Factsheet Penetratietest Webapplicaties

Factsheet Penetratietest Webapplicaties Factsheet Penetratietest Webapplicaties Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

Forecast XL Technology

Forecast XL Technology Forecast XL Technology Introductie Forecast XL is een vertrouwde, eenvoudig te gebruiken cloud applicatie, gekenmerkt door redundante IT-omgevingen en dynamische toewijzing van middelen. Gebruikers kunnen

Nadere informatie

Hardening. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Hardening. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Hardening Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst

Nadere informatie

Onderzoeksverslag Beveiliging

Onderzoeksverslag Beveiliging Onderzoeksverslag Beveiliging Project 3 TI1B - Mohamed, Ruben en Adam. Versie 1.0 / 29 maart 2016 Pagina 1 Inhoud 1. INLEIDING... 3 2. VEILIGHEID EISEN... 3 3. SOFTWARE... FOUT! BLADWIJZER NIET GEDEFINIEERD.

Nadere informatie

Inhoud. Dus u denkt dat internetbankieren veilig is? Informatiebeveiliging Cryptografie Internetbankieren. 26 september 2009 Harald Vranken

Inhoud. Dus u denkt dat internetbankieren veilig is? Informatiebeveiliging Cryptografie Internetbankieren. 26 september 2009 Harald Vranken Dus u denkt dat internetbankieren veilig is? 26 september 2009 Harald Vranken Inhoud Informatiebeveiliging 2 Informatiebeveiliging Introductie Informatie betekenisvolle gegevens waardevol (privacy, bedrijfsinformatie)

Nadere informatie

Beveiligingsbeleid Stichting Kennisnet

Beveiligingsbeleid Stichting Kennisnet Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek

Nadere informatie

ISSX, Experts in IT Security. Wat is een penetratietest?

ISSX, Experts in IT Security. Wat is een penetratietest? De Stuwdam 14/B, 3815 KM Amersfoort Tel: +31 33 4779529, Email: info@issx.nl Aanval- en penetratietest U heeft beveiligingstechnieken geïnstalleerd zoals Firewalls, Intrusion detection/protection, en encryptie

Nadere informatie

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014 Zekerheid in de Cloud ICT Accountancy praktijk dag: Cloud computing 27 mei 2014 Agenda - Wat speelt zich af in de Cloud - Cases - Keurmerk Zeker-OnLine - Wat is het belang van de accountant en het administratiekantoor

Nadere informatie

Security web services

Security web services Security web services Inleiding Tegenwoordig zijn er allerlei applicaties te benaderen via het internet. Voor bedrijven zorgt dit dat zei de klanten snel kunnen benaderen en aanpassingen voor iedereen

Nadere informatie

info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013

info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013 info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013 2 Boekhouden in de cloud!! 3 Aanbod te over: 4 5 Hoe betrouwbaar en veilig is online administratieve

Nadere informatie

m.b.v. digitale certificaten en PKI Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van e-mail

m.b.v. digitale certificaten en PKI Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van e-mail Beknopte dienstbeschrijving Beveiligen van e-mail m.b.v. digitale certificaten en PKI Document: Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van e-mail Inhoudsopgave 1. Inleiding 2 2. Snel te

Nadere informatie

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Noordhoff Uitgevers is een educatieve uitgeverij die verschillende

Nadere informatie

Beveiliging en bescherming privacy

Beveiliging en bescherming privacy Beveiliging en bescherming privacy Beveiliging en bescherming privacy Duobus B.V. Nieuwe Boteringestraat 82a 9712PR Groningen E info@duobus.nl I www.duobus.nl September 2014 2 Voorwoord Als organisatie

Nadere informatie

Beveiligingsaspecten van webapplicatie ontwikkeling met PHP

Beveiligingsaspecten van webapplicatie ontwikkeling met PHP RADBOUD UNIVERSITEIT NIJMEGEN Beveiligingsaspecten van webapplicatie ontwikkeling met PHP Versie 1.0 Wouter van Kuipers 7 7 2008 1 Inhoud 1 Inhoud... 2 2 Inleiding... 2 3 Probleemgebied... 3 3.1 Doelstelling...

Nadere informatie

WEBAPPLICATIE-SCAN. Kiezen op Afstand

WEBAPPLICATIE-SCAN. Kiezen op Afstand WEBAPPLICATIE-SCAN Kiezen op Afstand Datum : 1 september 2006 INHOUDSOPGAVE 1 t Y1anagementsamen"'v atting 2 2 Inleiding 3 2.1 Doelstelling en scope ".".. " " " ".".3 2.2 Beschrijving scanproces.. """

Nadere informatie

Beveiligingsbeleid Perflectie. Architectuur & Procedures

Beveiligingsbeleid Perflectie. Architectuur & Procedures Beveiligingsbeleid Perflectie Architectuur & Procedures 30 november 2015 Versiebeheer Naam Functie Datum Versie Dimitri Tholen Software Architect 12 december 2014 0.1 Dimitri Tholen Software Architect

Nadere informatie

DigiD SSL. Versie 2.1.1. Datum 16 augustus 2010 Status Definitief

DigiD SSL. Versie 2.1.1. Datum 16 augustus 2010 Status Definitief DigiD SSL Versie 2.1.1 Datum 16 augustus 2010 Status Definitief Colofon Projectnaam DigiD Versienummer 2.1.1 Organisatie Logius Postbus 96810 2509 JE Den Haag servicecentrum@logius.nl Pagina 2 van 9 Inhoud

Nadere informatie

4Problemen met zakendoen op Internet

4Problemen met zakendoen op Internet Intranet Telematica Toepassingen Hoofdstuk 18 4gebruik Internet toepassingen voor netwerk binnen een organisatie 4In plaats van gespecialiseerde netwerkprogramma's 4Vooral WWW en e-mail 4WWW browser toegang

Nadere informatie

Plan van Aanpak beschikbaar stellen broncode Basisregistratie Personen (BRP)

Plan van Aanpak beschikbaar stellen broncode Basisregistratie Personen (BRP) Plan van Aanpak beschikbaar stellen broncode Basisregistratie Personen (BRP) Samenvatting De minister van Binnenlandse Zaken en Koninkrijksrelaties (BZK) heeft in de Tweede Kamer toegezegd de broncode

Nadere informatie

Handleiding uitvoering ICT-beveiligingsassessment

Handleiding uitvoering ICT-beveiligingsassessment Handleiding uitvoering ICT-beveiligingsassessment Versie 2.1 Datum : 1 januari 2013 Status : Definitief Colofon Projectnaam : DigiD Versienummer : 2.0 Contactpersoon : Servicecentrum Logius Postbus 96810

Nadere informatie

Werken zonder zorgen met uw ICT bij u op locatie

Werken zonder zorgen met uw ICT bij u op locatie Werken zonder zorgen met uw ICT bij u op locatie Naast de mogelijkheden om uw programmatuur en gegevens bij Drie-O via Evy 2.0 in de cloud te hosten hebt u ook de mogelijkheid om uw ICT omgeving bij u

Nadere informatie

In jouw schoenen. Een praktische invulling van informatiebeveiliging

In jouw schoenen. Een praktische invulling van informatiebeveiliging In jouw schoenen Een praktische invulling van informatiebeveiliging Informatiebeveiliging hot topic Hoeveel weet jij eigenlijk van informatiebeveiliging? veel voldoende te weinig Vooraf.. Wat vind jij

Nadere informatie

Jacques Herman 21 februari 2013

Jacques Herman 21 februari 2013 KING bijeenkomst Audit- en Pentestpartijen Toelichting op de DigiD Rapportage template en de NOREA Handreiking DigiD ICT-beveiligingsassessments Jacques Herman 21 februari 2013 Samenvatting van de regeling

Nadere informatie

Remote Toegang Policy VICnet/SPITS

Remote Toegang Policy VICnet/SPITS Ministerie van Verkeer en Waterstaat opq Rijkswaterstaat Remote Toegang Policy VICnet/SPITS 16 Februari 2005 Eindverantwoordelijkheid Goedgekeurd Naam Datum Paraaf Security Manager SPITS E.A. van Buuren

Nadere informatie

Sebyde Security in een organisatie A3 Management Workshop. 7 Januari 2014

Sebyde Security in een organisatie A3 Management Workshop. 7 Januari 2014 Sebyde Security in een organisatie A3 Management Workshop 7 Januari 2014 Even voorstellen Sebyde BV is Certified IBM Business Partner voor security systems, gespecialiseerd in applicatie security en security

Nadere informatie

Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard

Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard Pagina 1 van 6 Inhoudsopgave 1. Aanleiding 3 2. Structureel / incidenteel 3 3. Opdrachtgever 3 4. Opdrachtnemer 3 5. Relevante wet- en regelgeving 3 6.

Nadere informatie

De status van USB-schijfbeveiliging in Nederland

De status van USB-schijfbeveiliging in Nederland De status van USB-schijfbeveiliging in Nederland Gesponsord door Kingston Technology Onafhankelijk uitgevoerd door Ponemon Institute LLC Publicatiedatum: November 2011 Ponemon Institute Onderzoeksrapport

Nadere informatie

m.b.v. digitale certificaten en PKI Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van VPN s

m.b.v. digitale certificaten en PKI Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van VPN s Beknopte dienstbeschrijving Beveiligen van VPN's m.b.v. digitale certificaten en PKI Document: Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van VPN s Inhoudsopgave 1. Inleiding 2 2. Snel te

Nadere informatie

Service Level Agreement (SLA)

Service Level Agreement (SLA) Service Level Agreement (SLA) Telefoon: 088 773 0 773 Email: Support@adoptiq.com Website: www.adoptiq.com Adres: Johan Huizingalaan 763a 1066 VH Amsterdam KvK nr: 61820725 BTW nr: NL.854503183.B01 IBAN

Nadere informatie

Systeemconfiguratie Policy VICnet/SPITS

Systeemconfiguratie Policy VICnet/SPITS Ministerie van Verkeer en Waterstaat opq Rijkswaterstaat Systeemconfiguratie Policy VICnet/SPITS 15 Februari 2005 Eindverantwoordelijkheid Opgesteld Naam Datum Paraaf Security Manager SPITS E.A. van Buuren

Nadere informatie

MFWs-addendum SmartDefense IntrusionPrevention-Light van Check Point

MFWs-addendum SmartDefense IntrusionPrevention-Light van Check Point MFWs-addendum SmartDefense IntrusionPrevention-Light van Check Point I nhoudsopgave 1 Inleiding...2 2 Algemeen...2 2.1 Achtergond...2 2.2 Extra dienst, extra veiligheid...2 2.3 Allen in combinatie met

Nadere informatie

ICT Accountancy. Praktijkdag Webwinkels en Boekhouden

ICT Accountancy. Praktijkdag Webwinkels en Boekhouden ICT Accountancy Praktijkdag Webwinkels en Boekhouden Thema Betrouwbaar Administreren Misbruik Afrekensystemen Misbruik Afrekensystemen Internationaal probleem Veel oplossingsrichtingen Overleg Belastingdienst

Nadere informatie

Berry Kok. Navara Risk Advisory

Berry Kok. Navara Risk Advisory Berry Kok Navara Risk Advisory Topics Informatiebeveiliging in het nieuws Annual Benchmark on Patient Privacy & Data Security Informatiebeveiliging in de zorg Extra uitdaging: mobiel Informatiebeveiliging

Nadere informatie

Welkom bij parallellijn 1 On the Move 14.20 15.10 uur

Welkom bij parallellijn 1 On the Move 14.20 15.10 uur Welkom bij parallellijn 1 On the Move 14.20 15.10 uur Stap 4 van de BIG Hoe stel ik vast of de informatiebeveiligingsmaatregelen van mijn gemeente effectief zijn en hoe rapporteer ik hierover? 1 IBD-Praktijkdag

Nadere informatie

Installatie Remote Backup

Installatie Remote Backup Juni 2015 Versie 1.2 Auteur : E.C.A. Mouws Pagina 1 Inhoudsopgave BusinessConnect Remote Backup... 3 Kenmerken... 3 Beperkingen... 3 Gebruik op meerdere systemen... 3 Systeemeisen... 4 Support... 4 Installatie...

Nadere informatie

Privacy beleid. Algemeen

Privacy beleid. Algemeen Privacy beleid Algemeen In dit Privacy beleid wordt beschreven hoe wij omgaan met uw persoonsgegevens. Wij verzamelen, gebruiken en delen persoonsgegevens om de websites van JaMa Media, zoals Mijnkoopwaar

Nadere informatie

DIGID-AUDIT BIJ ZORGPORTAAL RIJNMOND

DIGID-AUDIT BIJ ZORGPORTAAL RIJNMOND DIGID-AUDIT BIJ ZORGPORTAAL RIJNMOND SAFEHARBOUR Audit en Security ISO 27001/ NEN7510 implementatie Projectadvies Risicoanalyses Zorg en overheden @djakoot @safeharbour_nl WAAROM DIGID-AUDIT? DAAROM DIGID-AUDIT

Nadere informatie

Open source en open standaarden, hfdst. 1 & 2 p. 3-34. Puntenverdeling: Juiste omschrijving Open Source Juiste omschrijving Open Standaarden

Open source en open standaarden, hfdst. 1 & 2 p. 3-34. Puntenverdeling: Juiste omschrijving Open Source Juiste omschrijving Open Standaarden Antwoordmodel Aan dit antwoordmodel kunnen geen rechten worden ontleend. Het antwoordmodel dient als indicatie voor de corrector. Studiemateriaal Hameeteman, R., Kuiken, B. en Vink, G. (2009). Klein receptenboek

Nadere informatie

Help! Mijn website is kwetsbaar voor SQL-injectie

Help! Mijn website is kwetsbaar voor SQL-injectie Help! Mijn website is kwetsbaar voor SQL-injectie Controleer uw website en tref maatregelen Factsheet FS-2014-05 versie 1.0 9 oktober 2014 SQL-injectie is een populaire en veel toegepaste aanval op websites

Nadere informatie

Onderzoek naar de veiligheid c.q. beveiliging van de SURFnet IDS dienst. Lourens Bordewijk & Jimmy Macé

Onderzoek naar de veiligheid c.q. beveiliging van de SURFnet IDS dienst. Lourens Bordewijk & Jimmy Macé Onderzoek naar de veiligheid c.q. beveiliging van de SURFnet IDS dienst. Lourens Bordewijk & Jimmy Macé Amsterdam 8-2-2006 Achtergrond IDS dienst SURFnet netwerk Aangesloten instellingen te maken met security

Nadere informatie

Wat is Cyber Security Management? 3 oktober 2014. ISA / Hudson Cybertec Arjan Meijer Security Consultant

Wat is Cyber Security Management? 3 oktober 2014. ISA / Hudson Cybertec Arjan Meijer Security Consultant Wat is Cyber Security Management? 3 oktober 2014 ISA / Hudson Cybertec Arjan Meijer Security Consultant 1 Agenda Introductie spreker / ISA 3 pijlers van security IT versus OT Cyber Security Management

Nadere informatie

NORA Sessie 5. 29 mei 2013 in Amersfoort Agenda en een samenvatting. Jaap van der Veen

NORA Sessie 5. 29 mei 2013 in Amersfoort Agenda en een samenvatting. Jaap van der Veen NORA Sessie 5 29 mei 2013 in Amersfoort Agenda en een samenvatting Jaap van der Veen Agenda 29-5-2013 1. Welkom 2. Presentatie Eric Brouwer en Joris Dirks over Kennismodel NORA-Wiki en hoe we onze informatie

Nadere informatie

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1. www.traxion.com

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1. www.traxion.com Veilig de cloud in Whitepaper over het gebruik van Cloud-diensten deel 1 www.traxion.com Introductie Deze whitepaper beschrijft de integratie aspecten van clouddiensten. Wat wij merken is dat veel organisaties

Nadere informatie

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Informatiebeveiliging the next level!

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Informatiebeveiliging the next level! Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Informatiebeveiliging the next level! 1! 1. Introductie Agenda! 2. Stand van zaken in de Cyber Security wereld 3. Verschillende soorten

Nadere informatie

INFORMATIEBEVEILIGING: WAAR STAAT U NU?

INFORMATIEBEVEILIGING: WAAR STAAT U NU? INFORMATIEBEVEILIGING: WAAR STAAT U NU? HANDIGE CHECKLISTS VOOR DE OVERHEIDSSECTOR In deze whitepaper bieden we u handvatten en checklists voor hoe u om kunt gaan met de nieuwe meldplicht datalekken. Steeds

Nadere informatie

Patch management. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Patch management. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Patch management Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst

Nadere informatie

Technische beschrijving pseudonimisatie gegevensverzameling NIVEL Zorgregistraties eerste lijn

Technische beschrijving pseudonimisatie gegevensverzameling NIVEL Zorgregistraties eerste lijn Bijlage 2 bij Privacyreglement NIVEL Zorgregistraties eerste lijn Technische beschrijving pseudonimisatie gegevensverzameling NIVEL Zorgregistraties eerste lijn Pseudonimisatie Onder 'pseudonimisatie'

Nadere informatie

Beknopte dienstbeschrijving beveiligen van Webapplicaties m.b.v. digitale certificaten en PKI

Beknopte dienstbeschrijving beveiligen van Webapplicaties m.b.v. digitale certificaten en PKI Beknopte dienstbeschrijving beveiligen van Webapplicaties m.b.v. digitale certificaten en PKI Document: Beknopte dienstbeschrijving beveiligen van Webapplicaties Versie: maart 2002 mei 2002 Beknopte dienstbeschrijving

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...

Nadere informatie

Het Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV

Het Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV Het Sebyde aanbod Secure By Design AUG 2012 Sebyde BV Wat bieden wij aan? 1. Web Applicatie Security Audit 2. Secure Development 3. Security Awareness Training 4. Security Quick Scan 1. Web Applicatie

Nadere informatie

Uw bedrijf beschermd tegen cybercriminaliteit

Uw bedrijf beschermd tegen cybercriminaliteit Uw bedrijf beschermd tegen cybercriminaliteit MKB is gemakkelijke prooi voor cybercriminelen Welke ondernemer realiseert zich niet af en toe hoe vervelend het zou zijn als er bij zijn bedrijf wordt ingebroken?

Nadere informatie

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol SAMENVATTING ITIL ITIL is nog steeds dé standaard voor het inrichten van beheerspocessen binnen een IT-organisatie. En dekt zowel applicatie- als infrastructuur beheer af. Indien gewenst kan ITIL worden

Nadere informatie

UWV Security SSD Instructies

UWV Security SSD Instructies UWV Security SSD Instructies BESTEMD VOOR : Patrick van Grevenbroek AUTEUR(S) : Gabriele Biondo / T. Uding (vertaling) VERSIE : 1.0 DATUM : 20-03-2014 HISTORIE Datum Auteur(s) Omschrijving 20/03/2014 Gabriele

Nadere informatie

Het gebruik van OSB ebms contracten in complexe infrastructuren

Het gebruik van OSB ebms contracten in complexe infrastructuren Inleiding Het gebruik van OSB ebms contracten in complexe infrastructuren Whitepaper Ernst Jan van Nigtevecht Maart 2009 Contracten die gepubliceerd worden voor een OSB ebms service hebben tot doel om

Nadere informatie

SSL VPN. In deze handleiding zullen wij onderstaande SSL mogelijkheden aan u uitleggen. - SSL VPN account/groep creëren.

SSL VPN. In deze handleiding zullen wij onderstaande SSL mogelijkheden aan u uitleggen. - SSL VPN account/groep creëren. SSL VPN SSL VPN SSL VPN is een web based versie van VPN waarbij er geen VPN client software nodig is. Het wordt niet beperkt door netwerkomgevingen en is zeer eenvoudig te configureren. SSL staat voor

Nadere informatie

Unified Enterprise Security wordt geleverd door onze strategische partner Masergy, de wereldspeler in global communications en security.

Unified Enterprise Security wordt geleverd door onze strategische partner Masergy, de wereldspeler in global communications en security. Het verlengstuk van uw IT security operations: altijd (24x7) de beste expertise en meest actuele kennis, geïntegreerd zicht op wat er gebeurt in uw datacenter en eerder en Security as a Service Het verlengstuk

Nadere informatie

Hosting & support contract

Hosting & support contract Hosting & support contract FOCUSTOOL TRACK YOUR GOALS & BEHAVIORS 1. Inleiding FocusTool biedt online software voor het bijhouden van voortgang op doelen en gedrag voor teams.om meer grip te krijgen op

Nadere informatie

BUSINESS RISK MANAGEMENT

BUSINESS RISK MANAGEMENT BUSINESS RISK MANAGEMENT Algemene benadering FEDICT Quick-Win-methode Datum Auteur Versie 24/8/26 A. Huet - A. Staquet V1. Inhoud 1 DOELSTELLING VAN HET DOCUMENT... 2 2 DEFINITIES... 2 3 PRINCIPE... 3

Nadere informatie

Readiness Assessment ISMS

Readiness Assessment ISMS Readiness Assessment van ISMS ISO/IEC27001:2005 1 Senior Internal/IT auditor Luyke Tjebbes EMIA RO CISA Lead Auditor ISO/IEC27001:2005 Projectleider ISO assessment 2 Wat is ISO 27001 eigenlijk? ISO/IEC

Nadere informatie

NORA werkdocument. Katern Beveiliging. In 3 klikken naar bouwstenen voor invulling van de eisen. Sessie 6. Bijgewerkt op 23 aug.

NORA werkdocument. Katern Beveiliging. In 3 klikken naar bouwstenen voor invulling van de eisen. Sessie 6. Bijgewerkt op 23 aug. NORA werkdocument Sessie 6 In 3 klikken naar bouwstenen voor invulling van de eisen Katern Beveiliging Bijgewerkt op 23 aug. 2013 katern Beveiliging Jaap van der Veen Essentie Sessie 6 1. Opzet digitaal

Nadere informatie

De elektronische handtekening en de Dienstenrichtlijn De elektronische handtekening Wat zegt een elektronische handtekening?

De elektronische handtekening en de Dienstenrichtlijn De elektronische handtekening Wat zegt een elektronische handtekening? De en de Dienstenrichtlijn Deze factsheet behandelt de Dit is een middel om te kunnen vertrouwen op berichten en transacties. Op 28 december 2009 moet in alle EU-lidstaten de Dienstenrichtlijn zijn ingevoerd.

Nadere informatie

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM 09 21 mei 2015

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM 09 21 mei 2015 Bedrijfsvoering De gemeenteraad van Bloemendaal Datum : 19 augustus 2015 Uw kenmerk : Ons kenmerk : 2015056815 Behandeld door : J. van der Hulst Doorkiesnummer : 023-522 5592 Onderwerp : Rapportage informatiebeveiliging

Nadere informatie

PRIVACY POLICY MENUEZ INTERNATIONAL B.V.

PRIVACY POLICY MENUEZ INTERNATIONAL B.V. PRIVACY POLICY MENUEZ INTERNATIONAL B.V. Privacy policy Artikel 1 Inleiding 1. MENUEZ exploiteert een systeem (het systeem) ten behoeve van orderopvolging voor de creatie van marketing communicatiemiddelen.

Nadere informatie

1 Inleiding. 3 Handmatig... invoeren zaken basis 4 Verwerken... zaken 5 Afhandelen... van zaken. 7 Uitgebreidere... zaak opties

1 Inleiding. 3 Handmatig... invoeren zaken basis 4 Verwerken... zaken 5 Afhandelen... van zaken. 7 Uitgebreidere... zaak opties 2 Supportdesk Pro Introductie Inhoudsopgave I Supportdesk Pro 3 1 Inleiding... 3 2 Werkwijze... 3 II Zaken 4 1 Introductie... 4 2 Zaken beheren... 4 3 Handmatig... invoeren zaken basis 4 4 Verwerken...

Nadere informatie

Identify and mitigate your IT risk

Identify and mitigate your IT risk Identify and mitigate your IT risk ICT risico = bedrijfsrisico In de ontwikkeling die organisaties doormaken, speelt ICT een belangrijke rol. ICT heeft bedrijfsprocessen efficiënter en effectiever gemaakt.

Nadere informatie

De beheerrisico s van architectuur

De beheerrisico s van architectuur De beheerrisico s van architectuur Een overzicht van de ArChimate Risico Extensie versie 0.2 Bert Dingemans Inleiding Het implementeren van een (enterprise) architectuur brengt altijd risico s met zich

Nadere informatie

INFORMATIEBEVEILIGING VOOR WEBWINKELS

INFORMATIEBEVEILIGING VOOR WEBWINKELS INFORMATIEBEVEILIGING VOOR WEBWINKELS HANDIGE CHECKLISTS In deze whitepaper bieden we u tips en checklists die kunnen bijdragen aan een optimale beveiliging van zowel uw eigen data als die van uw klanten.

Nadere informatie

Three Ships CDS opschalingsdocument Overzicht server configuratie voor Three Ships CDS

Three Ships CDS opschalingsdocument Overzicht server configuratie voor Three Ships CDS CDS opschalingsdocument Overzicht server configuratie voor CDS 1. Algemeen Dit document geeft een overzicht van een aantal mogelijke hardware configuraties voor het inrichten van een serveromgeving voor

Nadere informatie

NS in beweging, Security als business enabler september 2008

NS in beweging, Security als business enabler september 2008 NS in beweging, Security als business enabler september 2008 Rien Dijkstra Enterprise IT Architect Informatiemangement & Technologie .. de noodzaak en uitdagingen van een topvervoerder, onder eigen regie,

Nadere informatie

Stappen ze bij u ook gewoon door de achterdeur binnen? Bart de Wijs. IT Security in de Industrie. FHI 11 Mei 2006

Stappen ze bij u ook gewoon door de achterdeur binnen? Bart de Wijs. IT Security in de Industrie. FHI 11 Mei 2006 Bart de Wijs Stappen ze bij u ook gewoon door de achterdeur binnen? All rights reserved. 5/17/2006 IT Security in de Industrie FHI 11 Mei 2006 Achterdeuren? Heeft u ook: Slide 2 Van die handige USB memory

Nadere informatie

NETQ Healthcare: Voor inzicht in het effect van therapie

NETQ Healthcare: Voor inzicht in het effect van therapie NETQ Healthcare: Voor inzicht in het effect van therapie INHOUD Inleiding 3 Eisen vanuit NEN 7510 en de Wet Bescherming Persoonsgegevens 4 Beheerst wijzigingsproces 4 Toegankelijkheid geautoriseerde gebruikers

Nadere informatie

Q3 Concept BV Tel: +31 (0)413 331 331

Q3 Concept BV Tel: +31 (0)413 331 331 Algemeen Deze Service Level Agreement (SLA) beschrijft de dienstverlening van Q3 Concept BV op het gebied van het beheer van de Q3 applicatie zoals Q3 Concept BV deze aanbiedt aan opdrachtgever en de service

Nadere informatie

Resultaten van de scan. Open poorten. High vulnerabilities. Medium vulnerabilites. Low vulnerabilities

Resultaten van de scan. Open poorten. High vulnerabilities. Medium vulnerabilites. Low vulnerabilities De Nessus scan We hebben ervoor gekozen om de webserver met behulp van Nessus uitvoerig te testen. We hebben Nessus op de testserver laten draaien, maar deze server komt grotendeels overeen met de productieserver.

Nadere informatie

H t ICT -Beveili iligings- assessment DigiD & Informatiebeveiliging

H t ICT -Beveili iligings- assessment DigiD & Informatiebeveiliging Het ICT-Beveiligings- i assessment DigiD & Informatiebeveiliging De aanleiding 2011: Diginotar 2011: Lektober En ook: 2012: Dorifel 2012: Citadel 2013: DongIT Botnet De reactie vanuit VNG/KING Starting

Nadere informatie

24/7. Support. smart fms

24/7. Support. smart fms 24/7 Support Smart FMS vindt het van het grootste belang dat haar klanten helder inzicht hebben in de voorwaarden, zekerheid over gemaakte afspraken en het vertrouwen in haar als softwareaanbieder. Het

Nadere informatie

Checklist beveiliging webapplicaties

Checklist beveiliging webapplicaties Versie 1.02-5 oktober 2011 Factsheet FS 2011-08 Checklist beveiliging webapplicaties De beveiliging van webapplicaties staat de laatste maanden sterk in de belangstelling. Diverse incidenten op dit gebied

Nadere informatie

3-daagse praktijktraining. IT Audit Essentials

3-daagse praktijktraining. IT Audit Essentials 3-daagse praktijktraining IT Audit Essentials Programma IT-Audit Essentials Door de steeds verdergaande automatisering van de bedrijfsprocessen wordt de beveiliging en betrouwbaarheid van de IT systemen

Nadere informatie

HET BELANG VAN GOEDE SECURITY: CYBERSECURITY VOOR ONDERNEMERS.

HET BELANG VAN GOEDE SECURITY: CYBERSECURITY VOOR ONDERNEMERS. HET BELANG VAN GOEDE SECURITY: CYBERSECURITY VOOR ONDERNEMERS. Omdat mensen tellen. Het belang van goede security: cybersecurity voor ondernemers. 1 INLEIDING Als ondernemer komt er veel op u af. U werkt

Nadere informatie

Privacy Bijsluiter Registratie-/ Planningsoftware Uitgeverij Zwijsen B.V.

Privacy Bijsluiter Registratie-/ Planningsoftware Uitgeverij Zwijsen B.V. Bijlage 1 Privacy Bijsluiter Registratie-/ Planningsoftware Uitgeverij Zwijsen B.V. Uitgeverij Zwijsen B.V. is een educatieve uitgeverij die verschillende digitale producten en diensten ( digitale leermiddelen

Nadere informatie

HANDLEIDING SMTP DIENST BEDRIJVENWEB NEDERLAND B.V.

HANDLEIDING SMTP DIENST BEDRIJVENWEB NEDERLAND B.V. HANDLEIDING SMTP DIENST BEDRIJVENWEB NEDERLAND B.V. Uitgave : 1.0 KORTE OMSCHRIJVING In dit document wordt beschreven hoe u gebruik kunt maken van de SMTP dienst van Bedrijvenweb Nederland B.V. om e-mail

Nadere informatie

Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Voortgezet Onderwijs, Noordhoff Uitgevers

Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Voortgezet Onderwijs, Noordhoff Uitgevers Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Voortgezet Onderwijs, Noordhoff Uitgevers Noordhoff Uitgevers is een educatieve uitgeverij die verschillende

Nadere informatie

e-token Authenticatie

e-token Authenticatie e-token Authenticatie Bescherm uw netwerk met de Aladdin e-token authenticatie oplossingen Aladdin is een marktleider op het gebied van sterke authenticatie en identiteit management. De behoefte aan het

Nadere informatie

Sebyde AppScan Reseller. 7 Januari 2014

Sebyde AppScan Reseller. 7 Januari 2014 Sebyde AppScan Reseller 7 Januari 2014 Even voorstellen Sebyde BV is Certified IBM Business Partner voor security systems, gespecialiseerd in applicatie security en security awareness. We leveren diensten

Nadere informatie

PRIVACYBELEID VAN igro

PRIVACYBELEID VAN igro PRIVACYBELEID VAN igro Individual Growth Response Optimization (igro) is een online hulpmiddel dat is ontwikkeld door en namens Pfizer Inc. voor gebruik door endocrinologische afdelingen van ziekenhuizen

Nadere informatie

Service Level Agreement

Service Level Agreement Service Level Agreement 1 Algemene bepalingen 1.1 Partijen Deze Service Level Agreement (verder te noemen: SLA) is een overeenkomst die is gesloten tussen: WAME BV, gevestigd te Enschede aan de Deurningerstraat

Nadere informatie

Dienstbeschrijving Versie 1.2 Oktober 2014

Dienstbeschrijving Versie 1.2 Oktober 2014 Dienstbeschrijving Versie 1.2 Oktober 2014 Inhoudsopgave 1 Inleiding... 3 2 Belangrijkste voordelen... 4 3 RiskID, dé risicoanalyse software... 4 3.1 Sessie beheer... 4 3.1.1 Sessie ontwerp... 5 3.1.2

Nadere informatie

DigiNotar certificaten

DigiNotar certificaten DigiNotar certificaten Onlangs is duidelijk geworden dat er digitaal is ingebroken bij het bedrijf Diginotar. Daarmee worden alle DigiNotar certificaten niet meer als veilig geaccepteerd. Certificaten

Nadere informatie

Firewallpolicy VICnet/SPITS

Firewallpolicy VICnet/SPITS Ministerie van Verkeer en Waterstaat opq Rijkswaterstaat Firewallpolicy VICnet/SPITS 16 Februari 2005 Eindverantwoordelijkheid Goedgekeurd Naam Datum Paraaf Security Manager SPITS E.A. van Buuren Geaccepteerd

Nadere informatie

Kwaliteitsbewaking en testen in ICT beheerorganisaties

Kwaliteitsbewaking en testen in ICT beheerorganisaties DKTP Informatie Technologie Veembroederhof 1 1019 HD Amsterdam Telefoon 020 427 52 21 Kwaliteitsbewaking en testen in ICT beheerorganisaties Voor de meeste projectgroepen die software ontwikkelen vormt

Nadere informatie

15 July 2014. Betaalopdrachten web applicatie beheerders handleiding

15 July 2014. Betaalopdrachten web applicatie beheerders handleiding Betaalopdrachten web applicatie beheerders handleiding 1 Overzicht Steeds vaker komen we de term web applicatie tegen bij software ontwikkeling. Een web applicatie is een programma dat online op een webserver

Nadere informatie

INVENTARISATIEFORMULIER CYBER VERZEKERING

INVENTARISATIEFORMULIER CYBER VERZEKERING INVENTARISATIEFORMULIER CYBER VERZEKERING A - Algemeen 1. Naam bedrijf :. 2. Datum oprichting :. 3. Contactpersoon :. 4. Hoofdadres :. 5. Postcode/plaats :. 6. Telefoon :. 7. Webadres :. 8. Bedrijfsactiviteiten

Nadere informatie

Groep voor de bescherming van personen in verband met de verwerking van persoonsgegevens. Aanbeveling 1/99

Groep voor de bescherming van personen in verband met de verwerking van persoonsgegevens. Aanbeveling 1/99 5093/98/NL/def. WP 17 Groep voor de bescherming van personen in verband met de verwerking van persoonsgegevens Aanbeveling 1/99 inzake de onzichtbare en automatische verwerking van persoonsgegevens op

Nadere informatie

Sr. Security Specialist bij SecureLabs

Sr. Security Specialist bij SecureLabs Wie ben ik? Ronald Kingma, CISSP ronald@securelabs.nl Sr. Security Specialist bij SecureLabs Introductie SecureLabs Voorheen ISSX Code of Conduct Real Penetration Testing Vulnerability Management Veiligheidsincidenten

Nadere informatie

Privacyreglement Artikel 1 Toepasselijkheid Artikel 2 Verstrekken persoonsgegevens Artikel 3 Doeleinden gebruik

Privacyreglement Artikel 1 Toepasselijkheid Artikel 2 Verstrekken persoonsgegevens Artikel 3 Doeleinden gebruik Privacyreglement Artikel 1 Toepasselijkheid 1. Dit Privacyreglement is van toepassing op de verwerking van alle persoonsgegevens die op enigerlei wijze aan Pappenheim Re-integratie & Outplacement zijn

Nadere informatie