ACHTERGROND. Definitie Security. Historie. Social Engineering. functioneel rijkere (web)app(licatie)s veranderd.

Maat: px
Weergave met pagina beginnen:

Download "ACHTERGROND. Definitie Security. Historie. Social Engineering. functioneel rijkere (web)app(licatie)s veranderd."

Transcriptie

1

2 ACHTERGROND Definitie Security Hoe veilig iemand de wereld ervaart, is nooit gelijk aan de realiteit. Iemand kan zich best veilig voelen maar het totaal niet zijn, of juist veilig zijn maar zich niet zo voelen. Om de juiste keuzes te kunnen maken, moeten we ervoor zorgen dat gevoel en realiteit zo gelijk mogelijk aan elkaar zijn. Het proces om dat voor elkaar te krijgen noemen we security. functioneel rijkere (web)app(licatie)s veranderd. De samenwerkingsverbanden zijn nu niet meer op een (logisch) netwerk terug te herleiden, waardoor de beveiliging in de applicatie verweven moet zitten. Het liefst in de te beveiligen informatie zelf. Dit doen we door security een onderdeel te maken van iedere fase in de lifecycle van een systeem, van concept tot en met beheer en uiteindelijk uitfasering. Bijvoorbeeld door het uitvoeren van abuse cases, architectural threat analysis, static code analysis, security assessments en security monitoring. Wanneer voor een aanvaller de investering die nodig is om door de fysieke, infrastructurele of applicatieve beveiliging te breken te groot is, kijkt hij naar de eerstvolgende zwakkere schakel, namelijk de gebruiker. Figuur 1: veiligheid is daar waar gevoel en realiteit met elkaar overeenkomen Historie De afgelopen eeuwen lag dit proces voornamelijk in het verbeteren van de fysieke beveiliging. Waar het vroeger om fortificatie van de weg naar de vesting ging, gaat het tegenwoordig om de toegangscontrole, videobewaking en clean desk policies et cetera. Door de digitalisering is het niet langer noodzakelijk om fysiek bij een bron aanwezig te zijn om er mee te kunnen interacteren. Hierdoor heeft een verschuiving van maatregelen plaatsgevonden, naar netwerkbeveiligingen zoals network access control, firewalls en secure tunnels. De trend naar meer samenwerken, tijd- en plaatsonafhankelijk, zette zich na de netwerkrevolutie door naar de vraag voor tools en hulpmiddelen die de gebruiker hierin ondersteunen. Ook de beveiligingsvraag werd door de inzet van meer en Figuur 2: Trends in informatiebeveiliging Social Engineering Social Engineering is het manipuleren van een slachtoffer met als doel zijn of haar gevoel en de werkelijkheid dusdanig uit elkaar te trekken, dat het slachtoffer vrijwillig een actie uitvoert of informatie vrijgeeft. Dit doet een social engineer door een rol aan te nemen en deze binnen een scenario te gebruiken waar de kans het grootst is dat het slachtoffer vertrouwt dat zijn actie gegrond is. Sogeti Nederland B.V. 2

3 Social Engineering kan via direct contact, zoals bellen, een fysiek gesprek of andere vorm van direct menselijk contact plaatsvinden. Maar ook indirect, met technieken zoals phishing, scamming of social media 1. Net zoals andere kwetsbaarheden in informatiesystemen kan Social Engineering ook worden toegepast in combinatie met andere aanvalstechnieken, zoals malware. Bij een Social Engineering poging heeft de aanvaller altijd een bepaald doel voor ogen, bijvoorbeeld de beschikking krijgen over een klantendatabase. Aan de hand van dit doel bereidt hij zich voor door informatie te vergaren over slachtoffer en doel, bijvoorbeeld waar de klantendatabase wordt opgeslagen en welke medewerkers directe toegang hiertoe hebben. Met deze informatie bereidt hij één of meer scenario s voor, waarvan de kans van slagen het grootst is. Dit zijn de scenario s waarin een slachtoffer informatie prijsgeeft of een actie vrijwillig uitvoert. Het opstellen van deze scenario s wordt het maken van een pretext genoemd. Een goede pretext speelt in op menselijke eigenschappen en tracht bijvoorbeeld om een slachtoffer nieuwsgierig te maken, medelijden op te wekken of een slachtoffer bang te maken. Dit blijken effectieve methodes te zijn om het slachtoffer mee te laten werken aan de pretext. Dit valt te verklaren door de evolutionaire totstandkoming van de moraal van de mens. Hierbij bleek het handiger om meer vertrouwen te hebben in mensen en pas te gaan wantrouwen wanneer hier aanleiding toe is. Met de samenwerking die hierdoor mogelijk werd, kon de mens als soort floreren. Social Engineering wordt dus gebruikt bij aanvallen op informatiesystemen omdat de mens in een proces een zwakke, zo niet de zwakste schakel is. Tegelijkertijd wordt het daarom ook steeds vaker proactief toegepast door organisaties om inzicht te krijgen in zwakheden in processen, en om eigen medewerkers meer bewust te maken van eigen hun verantwoordelijkheden in hun werkprocessen. DOELSTELLING Het doel van de Sogeti Social Engineering Challenge is het onderzoeken wat mogelijk is met behulp van Social Engineering bij grote Nederlandse organisaties. Met deze informatie worden organisaties bewust gemaakt over de mogelijkheden van social engineering, zodat gewerkt kan worden aan verbetering. Om het onderzoek niet te beïnvloeden zijn geen van de bedrijven ingelicht over de challenge, anders dan dat de organisaties zelf hadden kunnen opmaken uit berichtgeving voorafgaand aan de challenge. Dit bleek bij een aantal bedrijven het geval waar het merendeel uitermate positief op reageerde, in de trant van kom maar op en goed initiatief. De challenge was zo opgezet dat deze binnen de kaders van wet- en regelgeving valt. De deelnemers moesten zich daarom aan strikte regels houden. Het doel is dan ook niet om bedrijven lastig te vallen, te irriteren of in een kwaad daglicht te zetten noch om vertrouwelijke informatie te bemachtigen, maar juist om een beeld te krijgen van de effectiviteit van Social Engineering en deze inzichten te delen met alle geïnteresseerden. Sogeti draagt zorg voor anonimiteit van de onderzochte bedrijven. Er wordt daarom geen informatie vrijgegeven die tijdens de challenge is bemachtigd. De geregistreerde deelnemers die akkoord gingen met de voorwaarden, kregen van Sogeti een willekeurig Nederlands top 100 bedrijf toegewezen. Wel is er voor gezorgd dat Sogeti zelf ook aan een deelnemer is toegewezen. 1 Zie bijvoorbeeld /webcare-via-twitter-fail Sogeti Nederland B.V. 3

4 Daarna werd de deelnemer gevraagd een rapport op te stellen van de informatie die hij of zij van dit bedrijf uit publieke bronnen wist te halen, zoals zoekmachines en website(s) van het bedrijf zelf. Het was niet toegestaan om actief contact te zoeken, zoals het bedrijf en of bellen. Met deze informatie moest de deelnemer een pretext opbouwen. Ook kon deze informatie punten voor de challenge opleveren. De minimale eis voor de rapportage was het aanleveren van telefoonnummers die de deelnemer tijdens de challenge wilde gebruiken en waar deze konden worden gevonden. Op deze wijze kon Sogeti verifiëren dat inderdaad het bedrijf in kwestie gebeld werd. Tijdens Hack-in-the-Box kreeg de deelnemer 30 minuten de tijd om de lijst van gekozen telefoonnummers te gebruiken om een telefoongesprek te starten, onder begeleiding van een Sogeti Security Professional. Dit was het enige onderdeel waar direct contact was met het doelwit. Het doel van de challenge was het verzamelen van zoveel mogelijk punten. De deelnemer met de meeste punten wint. Punten konden worden gehaald door vooraf vastgestelde typen informatie te vergaren van het bedrijf. (Zie de inzet te verkrijgen informatie.) Punten werden toegekend voor het verkrijgen van informatie uit publieke bronnen, het laten uitvoeren van een actie en informatie die tijdens het telefoongesprek werd opgedaan. (Zie de inzet uit te voeren acties.) Er is gekozen om punten toe te kennen voor informatie die via publieke bronnen is verzameld, om de deelnemer te motiveren zoveel mogelijk te weten te komen het doelwit. Het merendeel van de punten kon de deelnemer tijdens het telefoongesprek verdienen. Overigens was de Social Engineering challenge niet de enige security challenge die Sogeti organiseerde op de Hack-inthe-Box conferentie; er waren ook infrastructuur en applicatie challenges. Deze rapportage beschrijft alleen de resultaten van de Social Engineering challenge. UITKOMSTEN Dit is de eerste keer in Europa dat er op een security conferentie een Social Engineering challenge werd gehouden. Dit hield in dat het concept van Social Engineering in een competitieverband niet bekend was bij de deelnemers. Sogeti zag dat ongeveer de helft van de deelnemers weinig tot niet bekend waren met Social Engineering, maar wel meedeed met de challenge om te kijken wat Social Engineering behelst. Deze groep had zich over het algemeen niet goed voorbereid met het raadplegen van publieke bronnen, en kon daardoor ook weinig punten verdienen met de rapportage. Vaak werden zij geconfronteerd met onverwachte situaties en een gebrek aan continuïteit, waardoor de geloofwaardigheid van hun verhaal af nam. Voor de deelnemers die zich vooraf wel hadden voorbereid, werd het effect daarvan direct duidelijk tijdens de gevoerde telefoongesprekken. Wat bleek, is dat een Social Engineer zelf overtuigd moet zijn van zijn verhaal. Ook via de telefoon straalt dit af op het doelwit door kleine vocale wijzigingen in stem en timing van reacties en vragen. De deelnemers die wel een redelijke tot goede voorbereiding hadden getroffen, scoorden aanzienlijk meer punten. Een aantal deelnemers scoorden minder punten, ondanks hun voorbereiding vanwege het moment op de dag dat werd gebeld; het bleek dat sommige bedrijven na vrijdag 15:00 uur telefonisch slecht bereikbaar waren. Sogeti Nederland B.V. 4

5 Te verkrijgen informatie Achterhaal het operating systeem, internet browser, client en pdf-reader Als een aanvaller op de hoogte is van het type en de versies van de genoemde onderdelen kan deze op zoek naar specifieke zwakheden voor de onderdelen om uit te buiten. Intranet Door te achterhalen hoe het intranet wordt ontsloten kan worden geprobeerd hier op te komen om direct informatie af te halen of om verder in het netwerk te komen. Vaak wordt het intranet als voldoende beveiligd gezien en worden er minder beveiligingsmaatregelen getroffen voor applicaties die alleen op het intranet zijn aangesloten. Tevens zijn benamingen van interne systemen hier vaak te vinden, waardoor de aanvaller het vakjargon kan gebruiken in gesprekken en hierdoor meer vertrouwen wekken. Draadloos netwerk Ook kan een aanvaller een alternatief draadloos netwerk opzetten die technisch hetzelfde lijkt op het netwerk van de organisatie zelf. Wanneer een laptop of mobile device automatisch verbindt met een bekend netwerk, zal deze ook met dit alternatief draadloos netwerk verbinden; een zogenoemd Rogue Accesspoint. Op deze manier kan de aanvaller een Man-in-the-Middle aanval uitvoeren. Gerelateerde bedrijven (cateraar, fysieke beveiliger, archiefvernietiging) Als een aanvaller bekend is met de partners van het bedrijf kan de aanvaller fysiek langs gaan namens deze partners, of een verzoek of berichtgeving doen namens de gebruiker. Ook kan hij op deze wijze informatie van de interne processen verkrijgen, die weer kan worden gebruikt bij een vervolgaanval. Uit te voeren acties Registreer je als bezoeker Veel informatie kan worden verkregen door fysiek aanwezig te zijn. Informatie die niet in IT-systemen is opgeslagen of gemakkelijker is te benaderen via een fysieke netwerk aansluiting in het bedrijfsnetwerk zelf, kan zo worden ingewonnen. Een Social Engineer zal dus soms proberen fysiek in het pand te komen. Vaak komt de aanvaller vlak na een legitiem bezoek nogmaals terug door bijvoorbeeld iets achter te laten. Hierdoor heeft de aanvaller een plausibele reden om op een minder druk tijdstip of wanneer zijn contact persoon niet meer aanwezig is, het bedrijf te bezoeken. Laat het slachtoffer een website openen met daarop een flash of pdf bestand Met de hierboven gevonden informatie kan een aanval klaar worden gezet. De enige vereiste is dat een geautoriseerde gebruiker de actie binnen het domein activeert. Zo vond er in 2011 een Social Engineering aanval plaats op Google waarbij de aanvaller een link stuurde via een Instant Messaging applicatie. Achter de link zat een pagina die gebruikmaakte van een zwakheid in één van de geïnstalleerde plugin s om zo kwaadaardige software te installeren. De aanvaller had eerst informatie opgedaan over de plugins en browser van het slachtoffer en kon zo dus heel gericht de malware verspreiden. Sogeti Nederland B.V. 5

6 Voorbereiding Een goede voorbereiding voor een Social Engineering aanval is cruciaal voor het succes daarvan. Over het algemeen hebben de deelnemers minder voorbereidingstijd genomen dan Sogeti verwachtte; gemiddeld bedroeg deze ongeveer 30 minuten (variërend van geen tot 8 uur). Redenen die werden aangegeven voor deze korte voorbereiding waren: - Net pas besloten om mee te doen - Geen tijd - Twijfel of tijdsinvestering wel de moeite waarde is Gebruikte zoekmethoden De deelnemers moesten voorafgaand aan het telefoongesprek hun rapportages naar Sogeti sturen, met daarin een overzicht van de verkregen informatie uit openbare bronnen en de zoekmethode waarmee deze informatie was gevonden. De volgende methoden werden door de deelnemers gebruikt: 10% 6% 10% 11% 11% 16% 16% 6% 40% 17% 40% Zoekmachines (Google,Google,Google) 17% Sociale Media (Linkedin,Facebook,etc) Vacaturesites (monsterboard,ect) Eigen site Fysiek langsgaan (Kantoor,filiaal,etc) Zoekmachines (Google,Google,Google) Netwerk (Wigle,whois,etc) Sociale Media (Linkedin,Facebook,etc) Vacaturesites (monsterboard,ect) Eigen site Fysiek langsgaan (Kantoor,filiaal,etc) Netwerk (Wigle,whois,etc) Zoals verwacht bleek Google de meest gebruikte zoekmethode. Enkele deelnemers gebruikten hier de metadata zoek operatoren zoals site: en filetype:. Daarentegen werden social media bronnen minder gebruikt dan verwacht. Wellicht kwam dit omdat het doelwit een organisatie was en dus een collectief betrof, omdat de aard van de gewenste informatie zich hier niet voor leent of omdat een andere bron deze informatie sneller gaf. Ook werden technische sites of functionaliteit, zoals Whois waarmee in veel gevallen de beheerder of aanspreekpunt kon worden achterhaald, geraadpleegd. Een andere gebruikte website was Wigle. Deze werd gebruikt om de naam van een draadloos netwerk op afstand te achterhalen. Vaak bevatte de gevonden netwerknamen de naam van het doelwit, in een specifiek geval bevatte deze een productnaam van een product dat dit bedrijf voerde. Een andere deelnemer is simpelweg langs een pand van het bedrijf gelopen om de netwerknaam te achterhalen. Bron gevonden informatie In de rapportage moest naast de gevonden informatie en de zoekmethode ook de bron vermeld worden waar deze informatie was gevonden. Op deze wijze kon Sogeti verifiëren dat deze informatie inderdaad publiek was. De deelnemers vonden de informatie op de volgende plekken: Figuur 3: overzicht van de gebruikte zoekmethoden tijdens de voorbereidingsfase Sogeti Nederland B.V. 6

7 15% 14% 20% 6% 45% Actieve informatievergaring was niet toegestaan tijdens de voorbereidingsfase van de challenge. Wij stellen ons echter voor dat met een gerichte of het mengen in een discussie op een forum de gevraagde informatie ook achterhaalbaar was. Gebruikte Pretexts Eigen sites (documenten,vacatures,etc) Medewerkers (forum,cv's,stagieres,etc) Overige Media (slideshare,youtube,etc) Partners (portfolio,samenwerking,etc) Nieuwsbronnen (computable,webwereld,etc) Figuur 4: Overzicht van de gebruikte bronnen tijdens de voorbereidingsfase Een opvallend resultaat is dat er veel informatie kon worden achterhaald uit media die door het bedrijf zelf wordt gepubliceerd. Een favoriet hierbij was informatie uit vacatures of daaraan gerelateerd. Zo kan informatie worden gehaald uit vacatureteksten die op de website van het doelwit zelf zijn geplaatst, bijvoorbeeld wij zijn op zoek naar een Oracle 10G Release 2 specialist voor een intern migratie traject. Ook het CV van (ex-)medewerkers kan hierbij helpen waarin de werkzaamheden en vaardigheden worden beschreven, inclusief het bedrijf waar deze zijn opgedaan. Twee deelnemers vonden informatie over het gebruikte OS en client in de video opnames van de werken bij site van het doelwit, een andere deelnemer vond deze informatie juist in een gepubliceerde foto. Een andere wijze voor het verkrijgen van deze informatie was door de metadata van geplaatste documenten, foto s of presentaties te kijken. Hierin kan soms de versie van de gebruikte software uit worden gehaald en/of de auteur van het document. Een pretext is de aanleiding waarom een persoon een actie onderneemt of informatie vrijgeeft, waarbij deze reden vaak halve waarheden of onwaarheden bevat om zo zijn of haar ware bedoeling te verbergen. De deelnemers aan de wedstrijd moesten een scenario bedenken met een pretext waarmee via de aangenomen rol informatie te verkrijgen is, die op een andere manier niet of met aanzienlijk meer inspanning of hogere kosten te verkrijgen is. Hierbij mochten zij zich niet voordoen als iemand van justitie, politie, het bedrijf zelf of een ander bedrijf waar zij zelf niet werkzaam waren. De meest effectieve pretexts waren die waar de deelnemer een plausibele reden opgaf waarom hij de informatie nodig had. Er was tussen de deelnemers weinig variatie in pretexts. Dit was waarschijnlijk te wijten aan de strikte regels die de deelnemer kreeg opgelegd. De volgende pretexts werden gebruikt: - Onderzoeker / student die deze informatie nodig heeft voor onderzoek /scriptie over onderwerp - Potentieel toekomstig medewerker die meer informatie wil over het bedrijf waar hij komt te werken Eigenlijk was er geen duidelijk verschil in effectiviteit tussen bovenstaande pretexts. Eén deelnemer combineerde de pretexts en deed zich voor als een student die bezig was met een onderzoek en gaf aan dat hij na het afstuderen bij zijn doelwit wilde gaan werken. Sogeti Nederland B.V. 7

8 Telefoongesprekken Niemand bood weerstand tegen de gestelde vragen tijdens de telefoongesprekken. Wel werd in sommige gesprekken duidelijk gemaakt dat hij of zij geen zin had in een dergelijke onderzoek of hier geen tijd voor vrij kon maken. Wel werd dan altijd door verwezen naar een andere collega, inclusief contactgegevens (!), of werd gevraagd later nogmaals te bellen. Door de beperkte tijd die de deelnemers kregen voor de challenge was terugbellen vaak geen optie. Veel deelnemers kwamen vanuit de technische hoek en hadden dit soort activiteiten nooit eerder gedaan. Hierdoor reageerden sommige deelnemers zeker in het begin zenuwachtig maar toen bleek dat gedurende het gesprek alles gemakkelijker verliep dan dat zij voor ogen hadden, werd hun gedrevenheid en ook hun authenticiteit groter. De doelgerichtheid en overtuiging ontbrak daarbij bij deelnemers die zich minder goed hadden voorbereid. De deelnemers die meer succes hadden, hielden zich aan het doel vast en konden flexibeler onverwachte situaties pareren. Ook gebruikten zij eerder gevonden detailinformatie over het bedrijf. Het bleek dat hierdoor vertrouwen sneller wordt gewekt bij het slachtoffer. De medewerkers van de gebelde bedrijven reageerden haast zonder uitzondering bijzonder hulpvaardig. Een uitdaging voor de Social Engineers daarbij was dat de te verkrijgen informatie soms technisch van aard was zoals welke versie programma gebruikt u?. In sommige gevallen werden het doelwit hier juist door afgeschrikt. Sommige deelnemers speelden hier goed op in door aan te sluiten bij de belevingswereld van het doelwit ja vervelend hè die IT systemen, heb ik ook altijd problemen mee. In sommige gevallen was dit niet eens noodzakelijk omdat de medewerker zelf initiatief nam om de gevraagde informatie te achterhalen. Eén medewerker vroeg daarbij bijvoorbeeld kunt u me ook Sogeti Nederland B.V. 8 uitleggen hoe ik mijn Outlookversie vind? waarbij de deelnemer het volledige stappenplan om dit te achterhalen kon doorlopen. Kunt u me ook uitleggen hoe ik mijn Outlookversie vind? Ondanks dat de bedrijven zeer behulpzaam reageerden kreeg een aantal deelnemers het tijdens het gesprek toch moeilijk. Verbaasd over de behulpzaamheid, gespannen en met weinig ervaring over de context waarin zij zich bevonden moesten een paar deelnemers het gesprek beëindigden en even op ademkomen. De telefoongesprekken waren vooraf gepland, de deelnemers kregen daarbij een tijdslot van een 30 minuten toegewezen. Voor een aantal deelnemers viel hun mogelijkheid om te bellen op donderdag- of vrijdagmiddag. De effectiviteit van deze gesprekken bleek een stuk minder te zijn door de beschikbaarheid en bereidwilligheid van het doelwit. Een aanval midden in de week na lunchtijd is het meest effectief. Bij de organisatie van een volgende challenge dient hier rekening mee te worden gehouden om alle deelnemers gelijke kansen te geven. Deze deelnemers zijn hier niet voor gecompenseerd. Ruim de helft van de deelnemers kwam Een aanval midden in de week na lunchtijd is het meest effectief niet uit Nederland, waardoor het telefoongesprek in het Engels werd gevoerd. De engelstalige deelnemers verwachtten dat dit een belemmering zou vormen voor hun Social Engineering aanval echter bleek dit juist een positieve invloed te hebben op het gesprek. Dit zou voort kunnen komen uit het feit dat de gesprekpartner afgeleid is van zijn normaal telefoongedrag en meer moest nadenken over de bewoording van de vragen dan de inhoud.

9 De informatie die de deelnemers vonden is hieronder gecategoriseerd weergegeven. Het bleek dat iedere deelnemer in ieder geval in staat was het besturingssysteem te achterhalen die het bedrijf gebruikte, bijvoorbeeld Windows 7. Figuur 5: Gevonden informatie en behaalde doelen tijdens de challenge CONCLUSIE Het is opvallend dat het iedere deelnemer is gelukt om meerdere onderdelen van de gevraagde informatie te achterhalen. Geen van de bedrijven hing op of vertelde de deelnemer dat deze informatie niet toegankelijk was. Ook deelnemers met relatief weinig voorbereiding en weinig Social Engineering ervaring vonden bedrijfsinformatie die in eerste instantie onschuldig lijkt maar inzetbaar is voor een gerichte aanval. Blijkbaar zijn medewerkers zich er niet van bewust dat zij bedrijfsinformatie prijsgeven waar ze wel verantwoordelijk voor zijn. Ook de vooraankondiging van de challenge in diverse media van de challenge deed hier niets aan af. Dit schetst meteen de complexiteit en breedte van de maatregelen die nodig zijn om Social Engineering effectief tegen te gaan. Onbekendheid van het doelwit met informatievoorzieningen werkt juist in het voordeel van de aanvaller. Hieruit valt af te leiden dat niet altijd bekend is wat de waarde van de prijsgegeven informatie is. Een Social Engineer vergroot zijn kansen aanzienlijk door een goede response klaar te hebben en de juiste vraagstelling te kiezen. Inleving van de Social Engineer in de belevingswereld van het doelwit is belangrijk. Ook overtuiging van de Social Engineer dat hij zijn doel gaat bereiken is noodzakelijk. Schroom en moreel bezwaar van sommige deelnemers, voornamelijk techneuten, was juist hun valkuil. Google is your friend. Bedrijven publiceren vaak veel informatie over zichzelf. Dit kan logisch zijn vanuit een bepaald bedrijfsdoel. Echter, vanuit het perspectief van de Social Engineer is dit waardevolle informatie om zijn aanval effectiever te maken. Wat opvalt is dat deze afweging niet altijd bewust wordt gemaakt. Van de software versies die achterhaald werden door de deelnemers was het merendeel reeds verouderd. Voor verouderde software zijn over het algemeen kwetsbaarheden publiek beschikbaar. Als de software minder up-todate is, stijgt dus de waarde van deze informatie. Patch management blijft een heikel punt. Met weinig voorbereiding viel informatie relatief gemakkelijk te achterhalen. Dit houdt in dat de gevonden informatie zogenaamd low hanging fruit is; de inspanning van de aanvaller om deze te achterhalen is gering. De medewerkers van de onderzochte bedrijven werkten zonder uitzondering mee aan de pretext van de Social Engineer. Er werden nagenoeg geen vragen gesteld over de aard van de vragen en of deze wel beantwoordt konden worden door de medewerker in kwestie. Dit terwijl een bedrijf vaak wel heeft bepaald wie wat doet met deze informatie, wie er beschikking toe heeft en hoe en of deze informatie mag worden ontsloten. En mensen mogen best nee zeggen!!! Sogeti Nederland B.V. 9

10 OVER SOGETI Sogeti is gespecialiseerd in het ontwerpen, bouwen, implementeren en beheren van ICT oplossingen. Op het gebied van testen en architectuur heeft het bedrijf een dominante positie op de Nederlandse markt. Sogeti levert met gepassioneerd ICT-vakmanschap een bijdrage aan het resultaat van zijn opdrachtgevers. Het bedrijf streeft daarbij naar hechte en langdurige relaties met de opdrachtgevers. Hierdoor dragen de ICT oplossingen van Sogeti structureel bij aan de strategische doelstellingen van klanten. SOGETI SECURITY Informatiebeveiliging is een samenspel tussen processen, mensen, hard- en software binnen een organisatie. Sogeti heeft een aanpak ontwikkeld om informatiebeveiliging binnen uw organisatie te meten, verbeteren en beheersbaar te maken. In plaats van te reageren op incidenten staat het pro-actief nemen van passende beveiligingsmaatregelen centraal. Deze aanpak is de Proactive Security Strategy (PaSS) Met PaSS worden zowel deze organisatorische als technische aspecten vanuit één aanpak beheert. Informatiebeveiliging is daarin niet langer exclusief voor de specialist, maar wordt een onderdeel van ieders werkzaamheden. Dit betekent echter niet dat er nieuwe activiteiten worden toegevoegd. Het streven is juist om bestaande werkzaamheden uit te voeren met een hoger bewustzijn van beveiliging. Zo n bewustzijn heeft als gevolg dat een persoon of groep op elk moment, in het begin bewust maar later ook onbewust, kritisch naar zijn of haar handelen kijkt om zeker te stellen dat veiligheid in de gewenste vorm gehandhaafd blijft. Het gevolg hiervan is dat in één keer goed werkelijkheid kan worden en dat investeringen plaatsvinden daar waar deze het meeste van toegevoegde waarde zijn. Hierdoor wordt naast het verbeteren van informatiebeveiliging ook de kwaliteit van uw informatiesystemen verhoogd en de doorlooptijd van de realisatie verlaagd. De PaSS dienstverlening wordt gedragen door een stevige fundering van gepassioneerde Sogetisten bij wie security door de aderen vloeit. Naast een ruime praktijkervaring zorgt betrokkenheid bij en deelname aan de internationale security community er voor, dat zij zich op het snijvlak tussen de geldende standaarden en de innovatie begeven. Hun vakmanschap is ook tastbaar gemaakt in de vorm van behaalde toonaangevende certificeringen zoals CISSP, CISM en OSCP en deelname onder andere in de NEN normcommissie en OWASP community. Meer informatie over Sogeti is te vinden op sogeti.nl of neem contact met ons op via 2 2 Of google ons, bel gewoon de receptie of klik hier Sogeti Nederland B.V. 10

Sebyde Security in een organisatie A3 Management Workshop. 7 Januari 2014

Sebyde Security in een organisatie A3 Management Workshop. 7 Januari 2014 Sebyde Security in een organisatie A3 Management Workshop 7 Januari 2014 Even voorstellen Sebyde BV is Certified IBM Business Partner voor security systems, gespecialiseerd in applicatie security en security

Nadere informatie

BEVEILIGINGSARCHITECTUUR

BEVEILIGINGSARCHITECTUUR BEVEILIGINGSARCHITECTUUR Risico s onder controle Versie 1.0 Door: drs. Ir. Maikel J. Mardjan MBM - Architect 2011 cc Organisatieontwerp.nl AGENDA Is een beveiligingsarchitectuur wel nodig? Oorzaken beveiligingsincidenten

Nadere informatie

Factsheet Penetratietest Informatievoorziening

Factsheet Penetratietest Informatievoorziening Factsheet Penetratietest Informatievoorziening Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1. www.traxion.com

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1. www.traxion.com Veilig de cloud in Whitepaper over het gebruik van Cloud-diensten deel 1 www.traxion.com Introductie Deze whitepaper beschrijft de integratie aspecten van clouddiensten. Wat wij merken is dat veel organisaties

Nadere informatie

Factsheet Penetratietest Infrastructuur

Factsheet Penetratietest Infrastructuur Factsheet Penetratietest Infrastructuur Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

Microsoft Office 365 voor bedrijven. Remcoh legt uit

Microsoft Office 365 voor bedrijven. Remcoh legt uit Microsoft Office 365 voor bedrijven Remcoh legt uit Beter samenwerken, ook onderweg Starten met Office 365 is starten met het nieuwe werken. Met Office 365 heeft u namelijk de mogelijkheid om altijd en

Nadere informatie

People. Van veilig voelen naar veilig zijn. Hacked.

People. Van veilig voelen naar veilig zijn. Hacked. People. Van veilig voelen naar veilig zijn. Hacked. Social Engineering. Bent u veilig? Sogeti Nederland B.V. 2013 Is uw organisatie veilig? Security staat meer dan ooit in de belangstelling. Elke dag is

Nadere informatie

Factsheet Penetratietest Webapplicaties

Factsheet Penetratietest Webapplicaties Factsheet Penetratietest Webapplicaties Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

Beveiliging en bescherming privacy

Beveiliging en bescherming privacy Beveiliging en bescherming privacy Beveiliging en bescherming privacy Duobus B.V. Nieuwe Boteringestraat 82a 9712PR Groningen E info@duobus.nl I www.duobus.nl September 2014 2 Voorwoord Als organisatie

Nadere informatie

Kennissessie Information Security

Kennissessie Information Security Kennissessie Information Security 3 oktober 2013 Bonnefantenmuseum De sleutel ligt onder de mat Wachtwoord: welkom1234 Focus op vertaling strategie in de organisatie Advies, programma, project en interim

Nadere informatie

Seclore FileSecure: beveiliging zonder grenzen!

Seclore FileSecure: beveiliging zonder grenzen! Seclore FileSecure: beveiliging zonder grenzen! Naam auteur : S. Liethoff Type document : Whitepaper Datum versie : 14-02-2013 1. Seclore FileSecure: Beveiliging zonder grenzen! Seclore FileSecure is een

Nadere informatie

Beveiligingsmaatregelen voor een doeltreffende Cyber verdediging

Beveiligingsmaatregelen voor een doeltreffende Cyber verdediging Beveiligingsmaatregelen voor een doeltreffende Cyber verdediging ivo.depoorter@v-ict-or.be V-ICT-OR Vlaamse ICT organisatie Ons overkomt dit niet.of toch? Inschatting Risico Kans X Schade Zijn wij een

Nadere informatie

SURFdiensten Themabijeenkomst Beveiliging en Beschikbaarheid Utrecht, 15 februari 2007. drs.ir. Frank van den Hurk

SURFdiensten Themabijeenkomst Beveiliging en Beschikbaarheid Utrecht, 15 februari 2007. drs.ir. Frank van den Hurk SURFdiensten Themabijeenkomst Beveiliging en Beschikbaarheid Utrecht, 15 februari 2007 drs.ir. Frank van den Hurk Quarantainenet Drie producten: Qnet, Qmanage en Qdetect Samenwerking met de Universiteit

Nadere informatie

ISSX, Experts in IT Security. Wat is een penetratietest?

ISSX, Experts in IT Security. Wat is een penetratietest? De Stuwdam 14/B, 3815 KM Amersfoort Tel: +31 33 4779529, Email: info@issx.nl Aanval- en penetratietest U heeft beveiligingstechnieken geïnstalleerd zoals Firewalls, Intrusion detection/protection, en encryptie

Nadere informatie

Black Hat Sessions X Past Present Future. Inhoud. 2004 BHS III Live Hacking - Looking at both sides of the fence

Black Hat Sessions X Past Present Future. Inhoud. 2004 BHS III Live Hacking - Looking at both sides of the fence Black Hat Sessions X Past Present Future Madison Gurkha BV 4 april 2012 Stefan Castille, MSc., GCIH, SCSA Frans Kollée, CISSP, GCIA, GSNA Inhoud Een terugblik naar 2004 BHS III De situatie vandaag de dag

Nadere informatie

Sebyde Web Applicatie Security Scan. 7 Januari 2014

Sebyde Web Applicatie Security Scan. 7 Januari 2014 Sebyde Web Applicatie Security Scan 7 Januari 2014 Even voorstellen Sebyde BV is Certified IBM Business Partner voor security systems, gespecialiseerd in applicatie security en security awareness. We leveren

Nadere informatie

DigiNotar certificaten

DigiNotar certificaten DigiNotar certificaten Onlangs is duidelijk geworden dat er digitaal is ingebroken bij het bedrijf Diginotar. Daarmee worden alle DigiNotar certificaten niet meer als veilig geaccepteerd. Certificaten

Nadere informatie

> 2 INTRODUCTIES > HENK DUBBELMAN > ICT DIRECTEUR > GRAFISCH LYCEUM ROTTERDAM > JOHN ONION > PRINCIPAL ASSOCIATE > ARLANDE

> 2 INTRODUCTIES > HENK DUBBELMAN > ICT DIRECTEUR > GRAFISCH LYCEUM ROTTERDAM > JOHN ONION > PRINCIPAL ASSOCIATE > ARLANDE > 2 INTRODUCTIES 29 STE SAMBO-ICT CONFERENTIE - 16 JANUARI 2014 - DOETINCHEM > HENK DUBBELMAN > ICT DIRECTEUR > GRAFISCH LYCEUM ROTTERDAM > DUBBELMAN@GLR.NL > JOHN ONION > PRINCIPAL ASSOCIATE > ARLANDE

Nadere informatie

IBM; dataopslag; storage; infrastructuur; analytics; architectuur; big data

IBM; dataopslag; storage; infrastructuur; analytics; architectuur; big data Asset 1 van 10 Big Data Analytics voor Dummies Gepubliceerd op 30 june 2014 Gelimiteerde editie van de populaire Dummies-reeks, speciaal voor managers. Het boek legt uit waarom Big Data Analytics van cruciaal

Nadere informatie

In een modern archief past ook sociale media

In een modern archief past ook sociale media In een modern archief past ook sociale media John Jansen Het kenmerk van sociale media is de actualiteit, gekoppeld aan het feit dat de drempel om te communiceren sterk is verlaagd. Veel organisaties kiezen

Nadere informatie

Sr. Security Specialist bij SecureLabs

Sr. Security Specialist bij SecureLabs Wie ben ik? Ronald Kingma, CISSP ronald@securelabs.nl Sr. Security Specialist bij SecureLabs Introductie SecureLabs Voorheen ISSX Code of Conduct Real Penetration Testing Vulnerability Management Veiligheidsincidenten

Nadere informatie

Digitale zelfbeschikking biedt uw burgers controle, overzicht en inzicht

Digitale zelfbeschikking biedt uw burgers controle, overzicht en inzicht Digitale zelfbeschikking biedt uw burgers controle, overzicht en inzicht Alstublieft, een cadeautje van uw gemeente! Maak gebruik van het Nieuwe Internet en geef uw burgers een eigen veilige plek in de

Nadere informatie

Voor onder meer volgende preventieve diensten hebben wij sterke partners : Doopput 14 2550 Kontich

Voor onder meer volgende preventieve diensten hebben wij sterke partners : Doopput 14 2550 Kontich P R E V E N T I E Cybercontract biedt bedrijven toegang tot een unieke set gespecialiseerde diensten bij lokale professionals! Diensten van bewezen kwaliteit snel en centraal toegankelijk. Zo helpen we

Nadere informatie

Informatiebeveiliging voor gemeenten: een helder stappenplan

Informatiebeveiliging voor gemeenten: een helder stappenplan Informatiebeveiliging voor gemeenten: een helder stappenplan Bewustwording (Klik hier) Structureren en borgen (Klik hier) Aanscherping en maatwerk (Klik hier) Continu verbeteren (Klik hier) Solviteers

Nadere informatie

Onderzoeksresultaten infosecurity.nl

Onderzoeksresultaten infosecurity.nl Onderzoeksresultaten infosecurity.nl Pagina 1 Introductie Tijdens de beurs infosecurity.nl, die gehouden werd op 11 en 12 oktober 2006, heeft Northwave een onderzoek uitgevoerd onder bezoekers en exposanten.

Nadere informatie

Business Risk Management? Dan eerst data op orde!

Business Risk Management? Dan eerst data op orde! Business risk management? Dan eerst data op orde! Kwaliteit, leveringsbetrouwbaarheid, klantgerichtheid, kostenbewustzijn en imago zijn kernwaarden in de bedrijfsvoering die door nutsbedrijven hartelijk

Nadere informatie

ad Matres Upgrade Functioneel Beheer Word in drie maanden functioneel beheerder Benut je werkervaring Leren in de praktijk Persoonlijke begeleiding

ad Matres Upgrade Functioneel Beheer Word in drie maanden functioneel beheerder Benut je werkervaring Leren in de praktijk Persoonlijke begeleiding Upgrade Functioneel Beheer Leren in de praktijk Benut je werkervaring Opleiding op maat Persoonlijke begeleiding Word in drie maanden functioneel beheerder Upgrade Functioneel Beheer Als je - optimaal

Nadere informatie

nemen van een e-depot

nemen van een e-depot Stappenplan bij het in gebruik nemen van een e-depot CONCEPT VOOR FEEDBACK Bijlage bij Handreiking voor het in gebruik nemen van een e-depot door decentrale overheden 23 juli 2015 Inleiding Dit stappenplan

Nadere informatie

Datadiefstal: Gone in 60 Seconds!

Datadiefstal: Gone in 60 Seconds! Datadiefstal: Gone in 60 Seconds! Didacticum Solutions Datadiefstal en ontwikkelingen Het komt regelmatig voor: klantgegevens of intellectuele eigendommen van bedrijven worden door hackers gestolen. Denk

Nadere informatie

1 Leidraad voor beveiliging en goed gastheerschap

1 Leidraad voor beveiliging en goed gastheerschap 1 Leidraad voor beveiliging en goed gastheerschap Enkele Nederlandse instellingen voor hoger onderwijs overwegen draadloos internet (wifi) aan te bieden aan bezoekers. Dit moet een aanvulling worden op

Nadere informatie

Onderzoeksopdracht Crossmedialab. Titel Blended Learning & Crossmedia

Onderzoeksopdracht Crossmedialab. Titel Blended Learning & Crossmedia Onderzoeksopdracht Crossmedialab Titel Blended Learning & Crossmedia Probleemomgeving De Faculteit Communicatie & Journalistiek (FCJ) van de Hogeschool Utrecht (HU) profileert zich als een instituut waar

Nadere informatie

Laat Beveiliging niet over aan Beveiligers! Presentatie voor EAM 2014

Laat Beveiliging niet over aan Beveiligers! Presentatie voor EAM 2014 Laat Beveiliging niet over aan Beveiligers! Presentatie voor EAM 2014 22 mei 2014 Raymond Slot raymond.slot@hu.nl nl.linkedin.com/in/raymondslot VRAAG: Top bedreigingen Continuïteit? Continuïteitsbedreiging

Nadere informatie

Het Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV

Het Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV Het Sebyde aanbod Secure By Design AUG 2012 Sebyde BV Wat bieden wij aan? 1. Web Applicatie Security Audit 2. Secure Development 3. Security Awareness Training 4. Security Quick Scan 1. Web Applicatie

Nadere informatie

A. Wat vertelt u over uzelf in relatie tot uw functie en over het onderzoeksbureau waar u werkzaam bent?

A. Wat vertelt u over uzelf in relatie tot uw functie en over het onderzoeksbureau waar u werkzaam bent? Opdracht 1 A. Wat vertelt u over uzelf in relatie tot uw functie en over het onderzoeksbureau waar u werkzaam bent? Beschrijf vijf aspecten over uzelf 1. Ik heb het diploma particulier onderzoeker behaald;

Nadere informatie

Worry Free Business Security 7

Worry Free Business Security 7 TREND MICRO Worry Free Business Security 7 Veelgestelde vragen (extern) Dal Gemmell augustus 2010 Inhoud Kennismaking met Worry Free Business Security... 3 Wat is Worry Free Business Security?... 3 Wanneer

Nadere informatie

Handleiding Migratie. Bronboek Professional

Handleiding Migratie. Bronboek Professional Handleiding Migratie Bronboek Professional Laatste wijziging: 25/02/2015 Inhoudsopgave Controles en acties vooraf pag. 1 Installatie en configuratie Microsoft SQL met de Bronboek Helpdesk Tool pag. 3 Migratie

Nadere informatie

Remote Toegang Policy VICnet/SPITS

Remote Toegang Policy VICnet/SPITS Ministerie van Verkeer en Waterstaat opq Rijkswaterstaat Remote Toegang Policy VICnet/SPITS 16 Februari 2005 Eindverantwoordelijkheid Goedgekeurd Naam Datum Paraaf Security Manager SPITS E.A. van Buuren

Nadere informatie

Handleiding Inloggen met SSL VPN

Handleiding Inloggen met SSL VPN Handleiding Inloggen met SSL VPN Beveiligd verbinding maken met het bedrijfsnetwerk via de Desktop Portal Versie: 24 april 2012 Handleiding SSL-VPN Pagina 1 van 10 Inleiding SSL VPN is een technologie

Nadere informatie

THE CLOUD IN JURIDISCH PERSPECTIEF SPREKERSPROFIEL. Mr. Jan van Noord Directeur International Tender Services (ITS) BV

THE CLOUD IN JURIDISCH PERSPECTIEF SPREKERSPROFIEL. Mr. Jan van Noord Directeur International Tender Services (ITS) BV THE CLOUD IN JURIDISCH PERSPECTIEF SPREKERSPROFIEL Mr. Jan van Noord Directeur International Tender Services (ITS) BV Wat is Cloud Op het moment dat content uit het eigen beheer c.q. toezicht verdwijnt

Nadere informatie

Is er een standaard oplossing voor Cyber Security?

Is er een standaard oplossing voor Cyber Security? Is er een standaard oplossing voor Cyber Security? Jaarcongres ECP 15 november 2012 Douwe Leguit Nationaal Cyber Security Centrum Wat staat u te wachten? Deagenda Trends Casuïstiek Uitdagingen Nationaal

Nadere informatie

Bijlage 2 Beveiligingsplan. Informatiebeveiliging

Bijlage 2 Beveiligingsplan. Informatiebeveiliging Bijlage 2 Beveiligingsplan Informatiebeveiliging De verantwoordelijkheid voor informatiebeveiliging ligt bij het dagelijks bestuur. In de DB-vergadering van 31 augustus 2015 is stilgestaan bij een aantal

Nadere informatie

owncloud centraliseren, synchroniseren & delen van bestanden

owncloud centraliseren, synchroniseren & delen van bestanden owncloud centraliseren, synchroniseren & delen van bestanden official Solution Partner of owncloud Jouw bestanden in de cloud Thuiswerken, mobiel werken en flexwerken neemt binnen organisaties steeds grotere

Nadere informatie

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging Seminar Trends in Business & IT bij woningcorporaties Informatiebeveiliging Agenda Rondje verwachtingen Even voorstellen.. Informatiebeveiliging waarom? Stand van zaken bij corporaties Informatiebeveiliging

Nadere informatie

Staat u wel eens stil bij de datarisico s die u loopt? verzekering bedrijfsrisico hypotheek pensioen

Staat u wel eens stil bij de datarisico s die u loopt? verzekering bedrijfsrisico hypotheek pensioen Staat u wel eens stil bij de datarisico s die u loopt? verzekering bedrijfsrisico hypotheek pensioen Kinderen van een jaar weten tegenwoordig al de weg op een tablet. De computer en het internet zijn niet

Nadere informatie

READ: de informatiestrategieaanpak van Steenwinkel Kruithof Associates (SKA)

READ: de informatiestrategieaanpak van Steenwinkel Kruithof Associates (SKA) READ: de informatiestrategieaanpak van (SKA) INLEIDING HET SPANNINGSVELD TUSSEN KORTETERMIJNVERWACHTINGEN EN LANGETERMIJNBEHOEFTEN In veel bedrijven volgen businessgerelateerde veranderingen elkaar snel

Nadere informatie

Informatiebeveiliging

Informatiebeveiliging Informatiebeveiliging 2QGHUZLMVLQZDDUGHQHQQRUPHQ Lectoraat Informatiebeveiliging Haagse Hogeschool Cobie van der Hoek Leo van Koppen 12-11-2004 Lectoraat Informatiebeveiliging HHS&THR 1 Introductie Lectoraat

Nadere informatie

e-token Authenticatie

e-token Authenticatie e-token Authenticatie Bescherm uw netwerk met de Aladdin e-token authenticatie oplossingen Aladdin is een marktleider op het gebied van sterke authenticatie en identiteit management. De behoefte aan het

Nadere informatie

Netwerkbeheerder. Mbo-kwalificaties in de sector ICT. Netwerkbeheerder

Netwerkbeheerder. Mbo-kwalificaties in de sector ICT. Netwerkbeheerder Netwerkbeheerder Leeswijzer voor bedrijven Kenniscentrum beroepsonderwijs bedrijfsleven ECABO houdt ontwikkelingen in de economisch-administratieve, ICT- en veiligheidsberoepen bij. Deze ontwikkelingen

Nadere informatie

Q3 Concept BV Tel: +31 (0)413 331 331

Q3 Concept BV Tel: +31 (0)413 331 331 Algemeen Deze Service Level Agreement (SLA) beschrijft de dienstverlening van Q3 Concept BV op het gebied van het beheer van de Q3 applicatie zoals Q3 Concept BV deze aanbiedt aan opdrachtgever en de service

Nadere informatie

Op naar een excellente controle

Op naar een excellente controle Op naar een excellente controle Welke controlewerkzaamheden kunnen verder geoptimaliseerd worden om kosten te besparen of om meer toegevoegde waarde te kunnen bieden aan cliënten? Hoe kunnen deze werkzaamheden

Nadere informatie

Introductie Veiligheidseisen Exploiten Conclusie. Browser security. Wouter van Dongen. RP1 Project OS3 System and Network Engineering

Introductie Veiligheidseisen Exploiten Conclusie. Browser security. Wouter van Dongen. RP1 Project OS3 System and Network Engineering Browser security Wouter van Dongen RP1 Project OS3 System and Network Engineering Februari 4, 2009 1 Introductie Onderzoeksvraag Situatie van de meest populaire browsers Client-side browser assets vs.

Nadere informatie

Privacy cliënt en supporter

Privacy cliënt en supporter Privacy cliënt en supporter Uw toestemming Door u aan te melden in het systeem en het vinkje voor akkoord te zetten, gaat u akkoord met de manier waarop het Jeugd- en gezinsteam uw gegevens verwerkt zoals

Nadere informatie

Security Starts With Awareness

Security Starts With Awareness Security Starts With Awareness Think Secure Think Secure is in 2003 opgericht met het doel organisaties te ondersteunen met kennis en diensten die: 1.Het bewustzijn m.b.t. informatie- en ICT beveiliging

Nadere informatie

Visie op cybercrime. Rob Heijjer MSc, CISSP Crisismanagement & Fraudebestrijding Security Lab. Rabobank Nederland. Februari 2011

Visie op cybercrime. Rob Heijjer MSc, CISSP Crisismanagement & Fraudebestrijding Security Lab. Rabobank Nederland. Februari 2011 Visie op cybercrime Rob Heijjer MSc, CISSP Crisismanagement & Fraudebestrijding Security Lab Februari 2011 Rabobank Nederland Virtuele kanalen... Er zijn vele wegen Telefoon Voice & IVR (DTMF) TV WWW e-mail

Nadere informatie

Mobiel Internet Dienstbeschrijving

Mobiel Internet Dienstbeschrijving Mobiel Internet Dienstbeschrijving o ktober 2013 INHOUD MOBIEL INTERNET 3 ABONNEMENTEN 3 BASISAANBOD 3 OPTIONELE MODULES VOOR MOBIEL INTERNET 5 TARIEVEN 5 INFORMATIEBEVEILIGING 5 MOBIEL INTERNET De tijd

Nadere informatie

Partners in Information Security. Partners in Information Security. Peter Rietveld. DDoS in perspectief

Partners in Information Security. Partners in Information Security. Peter Rietveld. DDoS in perspectief Partners in Information Security Partners in Information Security Peter Rietveld DDoS in perspectief Peter Rietveld Security Adviseur Traxion Even voorstellen Domein Manager Situational Awareness Competence

Nadere informatie

Master in. Leadership MAAK HET VERSCHIL IN 2015 VERBIND HART EN HARD START: FEB 2015 KLANTWAARDERING:

Master in. Leadership MAAK HET VERSCHIL IN 2015 VERBIND HART EN HARD START: FEB 2015 KLANTWAARDERING: Master in Leadership MAAK HET VERSCHIL IN 2015 VERBIND HART EN HARD START: FEB 2015 KLANTWAARDERING: Master in Leadership Weet jij wat jouw hart sneller doet kloppen? Collega s die precies doen wat jij

Nadere informatie

Remcoh Mobile Device beheer. Remcoh legt uit

Remcoh Mobile Device beheer. Remcoh legt uit Remcoh Mobile Device beheer Remcoh legt uit White Paper Middels deze white paper informeert en adviseert Remcoh u over slim beheer van mobiele apparaten en toegang daarmee tot uw bedrijfsgegevens. Waarom

Nadere informatie

Concrete kennismaking met de mogelijkheden van ICT in de hulpverlening

Concrete kennismaking met de mogelijkheden van ICT in de hulpverlening Concrete kennismaking met de mogelijkheden van ICT in de hulpverlening Naast informatie ook praktijkopdrachten voor alle studiefasen die gericht zijn op ICT-gerelateerde competenties. In de vorige eeuw

Nadere informatie

Beveiligingsbeleid Stichting Kennisnet

Beveiligingsbeleid Stichting Kennisnet Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek

Nadere informatie

SYSTEEMEISEN EN VX COMPONENTEN INSTALLATIE. Versie Status Datum Auteur Opmerking 1.0 Definitief 14-3-2012 Servicedesk

SYSTEEMEISEN EN VX COMPONENTEN INSTALLATIE. Versie Status Datum Auteur Opmerking 1.0 Definitief 14-3-2012 Servicedesk SYSTEEMEISEN EN VX COMPONENTEN INSTALLATIE Versie Status Datum Auteur Opmerking 1.0 Definitief 14-3-2012 Servicedesk INHOUDSOPGAVE 1 SYSTEEMEISEN VOOR HET INSTALLEREN EN WERKEN MET VERZUIMXPERT... 3 2

Nadere informatie

Onderzoek naar de veiligheid c.q. beveiliging van de SURFnet IDS dienst. Lourens Bordewijk & Jimmy Macé

Onderzoek naar de veiligheid c.q. beveiliging van de SURFnet IDS dienst. Lourens Bordewijk & Jimmy Macé Onderzoek naar de veiligheid c.q. beveiliging van de SURFnet IDS dienst. Lourens Bordewijk & Jimmy Macé Amsterdam 8-2-2006 Achtergrond IDS dienst SURFnet netwerk Aangesloten instellingen te maken met security

Nadere informatie

Social Employee Platform

Social Employee Platform SUCCESVOL GEREALISEERD VOOR Social Employee Platform Een nieuw platform voor interne communicatie en kennisdeling 1 Social media in een corporate context Het internet is niet langer een plek waar we alleen

Nadere informatie

1. Uw tablet beveiligen

1. Uw tablet beveiligen 11 1. Uw tablet beveiligen Het risico op virussen of andere schadelijke software (malware genoemd) is bekend van pc s. Minder bekend is dat u ook op een tablet met malware geconfronteerd kan worden als

Nadere informatie

Beveiligingsaspecten van webapplicatie ontwikkeling met PHP

Beveiligingsaspecten van webapplicatie ontwikkeling met PHP RADBOUD UNIVERSITEIT NIJMEGEN Beveiligingsaspecten van webapplicatie ontwikkeling met PHP Versie 1.0 Wouter van Kuipers 7 7 2008 1 Inhoud 1 Inhoud... 2 2 Inleiding... 2 3 Probleemgebied... 3 3.1 Doelstelling...

Nadere informatie

Het Sebyde aanbod. Secure By Design

Het Sebyde aanbod. Secure By Design Het Sebyde aanbod Secure By Design Ons aanbod Security Scan Secure Development Security Awareness Security Assessment 1. Security Scan > Scan van uw web applicatie(s) op kwetsbaarheden. Hiervoor gebruiken

Nadere informatie

Application Services. Alles onder één dak: functioneel applicatiebeheer, applicatieontwikkeling en testdiensten

Application Services. Alles onder één dak: functioneel applicatiebeheer, applicatieontwikkeling en testdiensten Application Services Alles onder één dak: functioneel applicatiebeheer, applicatieontwikkeling en testdiensten Application Services van KPN Afdelingen smelten samen, markten verschuiven, klanten willen

Nadere informatie

Service Level Agreement

Service Level Agreement Service Level Agreement 1 Algemene bepalingen 1.1 Partijen Deze Service Level Agreement (verder te noemen: SLA) is een overeenkomst die is gesloten tussen: WAME BV, gevestigd te Enschede aan de Deurningerstraat

Nadere informatie

Webdesign voor ondernemers

Webdesign voor ondernemers e-boek Webdesign voor ondernemers Veelgestelde vragen over het laten maken van een website Bart van den Bosch Inhoud 1. Zelf doen of uitbesteden? 4 2. Webdesigners 7 3. Wat is Wordpress 10 4. Maken van

Nadere informatie

Onderzoeksopzet. Marktonderzoek Klantbeleving

Onderzoeksopzet. Marktonderzoek Klantbeleving Onderzoeksopzet Marktonderzoek Klantbeleving Utrecht, september 2009 1. Inleiding De beleving van de klant ten opzichte van dienstverlening wordt een steeds belangrijker onderwerp in het ontwikkelen van

Nadere informatie

Onderzoeksverslag Beveiliging

Onderzoeksverslag Beveiliging Onderzoeksverslag Beveiliging Project 3 TI1B - Mohamed, Ruben en Adam. Versie 1.0 / 29 maart 2016 Pagina 1 Inhoud 1. INLEIDING... 3 2. VEILIGHEID EISEN... 3 3. SOFTWARE... FOUT! BLADWIJZER NIET GEDEFINIEERD.

Nadere informatie

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM 09 21 mei 2015

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM 09 21 mei 2015 Bedrijfsvoering De gemeenteraad van Bloemendaal Datum : 19 augustus 2015 Uw kenmerk : Ons kenmerk : 2015056815 Behandeld door : J. van der Hulst Doorkiesnummer : 023-522 5592 Onderwerp : Rapportage informatiebeveiliging

Nadere informatie

Overzicht HvA > V1 > IA 2008 /2009

Overzicht HvA > V1 > IA 2008 /2009 HvA, Blok 2 / Informatie Architectuur Docent / Auke Touwslager 10 november 2008 Overzicht HvA > V1 > IA 2008/2009 Overzicht - Even voorstellen - Introductie vak - opdrachten & lesprogramma - Doel van het

Nadere informatie

Werkplekbeveiliging in de praktijk

Werkplekbeveiliging in de praktijk Werkplekbeveiliging in de praktijk M.E.M. Spruit Geautomatiseerde werkplekken vormen een belangrijke schakel in de informatievoorziening van organisaties. Toch wordt aan de beveiliging van werkplekken

Nadere informatie

Hoe gaat u dit gemeentelijke varkentje wassen? Aansluiten bij de IBD Anita van Nieuwenborg

Hoe gaat u dit gemeentelijke varkentje wassen? Aansluiten bij de IBD Anita van Nieuwenborg Hoe gaat u dit gemeentelijke varkentje wassen? Aansluiten bij de IBD Anita van Nieuwenborg Programma 1. De IBD 2. stappenplan Aansluiten bij de IBD 3. VCIB-gesprek (plenair) 2 1.1 De IBD Gezamenlijk initiatief

Nadere informatie

Het Nieuwe Werken. NGI presentatie 16 februari 2010. Richard Groothuis (NIEUWS) PUBLICEREN WERK PROCESSEN KENNIS/ INFORMATIE TEAMSITES

Het Nieuwe Werken. NGI presentatie 16 februari 2010. Richard Groothuis (NIEUWS) PUBLICEREN WERK PROCESSEN KENNIS/ INFORMATIE TEAMSITES Het Nieuwe Werken (NIEUWS) PUBLICEREN KENNIS/ INFORMATIE WERK PROCESSEN TEAMSITES DOCUMENTEN & DOSSIERS INSTANT MESSAGING AUDIO & VIDEO CONFERENCING MOBILITEIT TELEFOON NGI presentatie 16 februari 2010

Nadere informatie

De CIO is de BPMprofessional van de toekomst

De CIO is de BPMprofessional van de toekomst De CIO is de BPMprofessional van de toekomst De CIO is de BPM-professional van de toekomst CIO s hebben een enorme klus te klaren. Vrijwel iedere organisatie schreeuwt om een flexibeler IT-landschap dat

Nadere informatie

PRIVACYVERKLARING PARKINSON VERENIGING

PRIVACYVERKLARING PARKINSON VERENIGING PRIVACYVERKLARING PARKINSON VERENIGING Via de website (www.parkinson-vereniging.nl) en het platform, waar u een Persoonlijk Parkinson Dossier kunt aanmaken, van De Parkinson Vereniging worden privacygevoelige

Nadere informatie

Welkom bij parallellijn 1 On the Move 14.20 15.10 uur

Welkom bij parallellijn 1 On the Move 14.20 15.10 uur Welkom bij parallellijn 1 On the Move 14.20 15.10 uur Stap 4 van de BIG Hoe stel ik vast of de informatiebeveiligingsmaatregelen van mijn gemeente effectief zijn en hoe rapporteer ik hierover? 1 IBD-Praktijkdag

Nadere informatie

Einde ondersteuning Windows XP 9 april 2014: wat te doen?

Einde ondersteuning Windows XP 9 april 2014: wat te doen? Einde ondersteuning Windows XP 9 april 2014: wat te doen? Door Brecht SCHAMP Product Specialist Industrial Networks & Security Context Volgens IMS Research zijn de afgelopen jaren meer dan een miljoen

Nadere informatie

Handleiding Portaal Altrecht. Voor medewerkers met een SMS token

Handleiding Portaal Altrecht. Voor medewerkers met een SMS token Handleiding Portaal Altrecht Voor medewerkers met een SMS token 1 Wat is het Altrecht het nieuwe portaal? 3 Eerst een Citrix client installeren 3 Vernieuwde inlogpagina voor het nieuwe portaal 4 FAQ, Tips

Nadere informatie

Windows Server 2003 End of support

Windows Server 2003 End of support Windows Server 2003 End of support Wat betekent dit voor mijn organisatie? Remcoh legt uit Met dit nieuwsitem brengt Remcoh de naderende End of Support datum voor Windows Server 2003 onder uw aandacht.

Nadere informatie

Factsheet SECURITY SCANNING Managed Services

Factsheet SECURITY SCANNING Managed Services Factsheet SECURITY SCANNING Managed Services SECURITY SCANNING Managed Services We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren. Met onze Security

Nadere informatie

Kritische succesfactoren notebook projecten

Kritische succesfactoren notebook projecten Kritische succesfactoren notebook projecten The Rent Company B.V. Ronald van den Boogaard Email adres: rvandenboogaard@rentcompany.nl Internet adres: www.rentcompany.nl Mob. nr: +31 (0)6 53 715 703 Algemene

Nadere informatie

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid»

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» SCSZ/08/195 ADVIES NR 08/18 VAN 2 DECEMBER 2008 BETREFFENDE DE AANVRAAG VAN DE LANDSBOND DER CHRISTELIJKE MUTUALITEITEN

Nadere informatie

Deskundige ICT - systeembeheerder

Deskundige ICT - systeembeheerder 1. FUNCTIEDOEL De deskundige ICT levert samen met zijn/haar collega s expertise informatie, diensten en producten af aan de interne klanten, met de nodige kwaliteitsvereisten, volgens de juiste procedures

Nadere informatie

Installatiedocument EduRoam Draadloos MAC Versie 10.5 (Leopard)

Installatiedocument EduRoam Draadloos MAC Versie 10.5 (Leopard) Installatiedocument EduRoam Draadloos MAC Versie 10.5 (Leopard) Hogeschool van Amsterdam IT en Voorzieningen Bestandsnaam : ITS080219-Installatiedocument-wireless-Leopard-10-5.doc Versie : 01.1 Document

Nadere informatie

DRAAIBOEK AANSLUITEN DOOR GEMEENTEN OP DE LV WOZ. VERSIE d.d. 08-07-2015

DRAAIBOEK AANSLUITEN DOOR GEMEENTEN OP DE LV WOZ. VERSIE d.d. 08-07-2015 DRAAIBOEK AANSLUITEN DOOR GEMEENTEN OP DE LV WOZ VERSIE d.d. 08-07-2015 INLEIDING De Basisregistratie Waarde Onroerende Zaken (Basisregistratie WOZ) is onderdeel van het overheidsstelsel van basisregistraties.

Nadere informatie

PRIVACYVERKLARING PARKINSON VERENIGING

PRIVACYVERKLARING PARKINSON VERENIGING PRIVACYVERKLARING PARKINSON VERENIGING Via de website (www.parkinson-vereniging.nl) en het platform, waar u een Persoonlijk Parkinson Dossier kunt aanmaken, van De Parkinson Vereniging worden privacygevoelige

Nadere informatie

Deltion College Zwolle

Deltion College Zwolle Wie Wat Waar (ook wel ) Regionaal Opleidingencentrum in Zwolle (ROC). Het college verzorgt voor ruim 16.000 jongeren en volwassenen beroeps onderwijs op middelbaar niveau. Bij Deltion werken ruim 1.200

Nadere informatie

DEALS VOOR JOU Privacybeleid

DEALS VOOR JOU Privacybeleid DEALS VOOR JOU Privacybeleid In dit privacybeleid wordt beschreven hoe wij omgaan met uw persoonsgegevens. Wij verzamelen, gebruiken en delen persoonsgegevens om de DEALS VOOR JOU Website te laten werken

Nadere informatie

Registratie Data Verslaglegging

Registratie Data Verslaglegging Registratie Data Verslaglegging Registratie Controleren en corrigeren Carerix helpt organisaties in het proces van recruitment en detachering. De applicatie voorziet op een eenvoudige wijze in de registratie

Nadere informatie

Privacy- en cookieverklaring

Privacy- en cookieverklaring Privacy- en cookieverklaring Dit is de privacy- en cookieverklaring van de websites www.werkenbijdebrauw.nl en www.businesscoursethedeal.nl (Websites). Deze privacy- en cookieverklaring verschaft informatie

Nadere informatie

ons kenmerk BB/U201201379

ons kenmerk BB/U201201379 Brief aan de leden T.a.v. het college en de raad informatiecentrum tel. (070) 373 8393 betreft Ledenbrief Informatiebeveiligingsdienst (IBD) uw kenmerk ons kenmerk BB/U201201379 bijlage(n) datum 12 oktober

Nadere informatie

Je bent zichtbaarder dan je denkt Een programma over cyber security awareness. Informatie voor managers

Je bent zichtbaarder dan je denkt Een programma over cyber security awareness. Informatie voor managers Je bent zichtbaarder dan je denkt Een programma over cyber security awareness Informatie voor managers Je bent zichtbaarder dan je denkt Informatie voor managers 2 Voorwoord Het cybersecuritybeeld van

Nadere informatie

ICT Opleidingen, beroepen, bedrijven en verhalen. YoungWorks

ICT Opleidingen, beroepen, bedrijven en verhalen. YoungWorks ICT Opleidingen, beroepen, bedrijven en verhalen YoungWorks 1 2 1. Opleidingen Informatica Studie Websites en software ontwerpen en bouwen Omgaan met innovaties Beroep Interviewen gebruikers Software ontwikkelen

Nadere informatie

BlackBerry Cloud Services

BlackBerry Cloud Services BlackBerry Cloud Services Flexibele draadloze oplossing Uitgebreide beveiligingsopties Eenvoudig (centraal) te beheren Kosten besparen BlackBerry Enterprise Server & BlackBerry Express Server BlackBerry

Nadere informatie

Wat is Cyber Security Management? 3 oktober 2014. ISA / Hudson Cybertec Arjan Meijer Security Consultant

Wat is Cyber Security Management? 3 oktober 2014. ISA / Hudson Cybertec Arjan Meijer Security Consultant Wat is Cyber Security Management? 3 oktober 2014 ISA / Hudson Cybertec Arjan Meijer Security Consultant 1 Agenda Introductie spreker / ISA 3 pijlers van security IT versus OT Cyber Security Management

Nadere informatie

Microsoft; applicaties; ontwikkelaar; developer; apps; cloud; app; azure; cloud computing; DevOps; microsoft azure

Microsoft; applicaties; ontwikkelaar; developer; apps; cloud; app; azure; cloud computing; DevOps; microsoft azure Asset 1 van 7 Over het bouwen van cloudoplossingen Gepubliceerd op 24 february 2015 Praktische handleiding voor ontwikkelaars die aan de slag willen met het maken van applicaties voor de cloud. Zij vinden

Nadere informatie