De noodzaak van voorwaartse risicobeheersing

Maat: px
Weergave met pagina beginnen:

Download "De noodzaak van voorwaartse risicobeheersing"

Transcriptie

1 BUSINESS SURVIVAL BINNEN DE CYBERKETEN De noodzaak van voorwaartse risicobeheersing Risicobeheersing blijkt soms op een catastrofale wijze te falen. Bekende risico s worden niet of foutief ingeschat, en dreigingen met een zeer kleine kans van optreden en een grote impact worden volledig genegeerd. Hierdoor zijn systemen en organisaties vaak niet robuust genoeg om klappen op te vangen en wordt de impact van een incident veel groter dan nodig was. Capgemini werkt aan een integrale aanpak voor het beter in beeld brengen van de risico s van vroeger, nu en in de nabije toekomst. Hiervoor wordt gebruik gemaakt van continuous risk monitoring en een intelligencegerichte analyse-aanpak. MARCO VAN DER VET, WILLEM BARNHOORN EN RONALD PAANS In Nederland zijn inmiddels ruim 1 miljoen tabletgebruikers. Leveranciers hebben in 2011 wereldwijd 488 miljoen smartphones verscheept tegenover 415 miljoen PC s, zo meldt het marktonderzoeksbureau Canalys. Bedrijven ontkomen er niet meer aan dat mensen die handige smartphones en tablets ook op hun werk, thuis of in de kroeg willen gebruiken. De consumentenapparatuur wordt daarmee onderdeel van de informatieketen van het bedrijf. Het concept van Bring Your Own Device (BYOD) moet ook kunnen, vinden veel organisaties. Want informatiesystemen moeten business mogelijk maken en niet in de weg staan [ JENN11]. Waar men zich wel op moet voorbereiden, zijn cyberaanvallen die de continuïteit en de reputatie van de eigen organisatie op het spel zetten. Auditors en informatiebeveiligers moeten hierbij niet vasthouden aan oude securitydogma s, maar moeten meer vanuit een soort voorwaartse assurance redeneren. Het risico van cyberaanvallen is ook iets waar Europa en de Nederlandse overheid zich over buigen. De Europese Commissie verdiept zich in beveiligingsvraagstukken rondom cloud computing, terwijl de miljoenennota spreekt over meer e-dienstverlening. Onderwijl krijgt de overheid een forse tik door de Diginotar-affaire, ondanks dat over die dienstverlening assurance was verstrekt [SEHG12]. Hoe is dit mogelijk? Er is een spanningsveld tussen de verklaringen van auditors over een voorgaande periode, die op zich voldoen aan de behoefte van accountants voor een gestructureerde historische verantwoording, versus datgene waar veel gebruikers echt naar uitkijken, namelijk een uitspraak over de beschikbaarheid van de informatiesystemen in de toekomst. Die beschikbaarheid is afhankelijk van de risico s van vandaag en nog meer van de risico s in de nabije toekomst. Een belangrijke vraag is: draait mijn informatiesysteem morgen nog steeds en kan ik er morgen ook op vertrouwen dat de vertrouwelijkheid en integriteit van mijn gegevens nog steeds zijn gewaarborgd? Natuurlijk moeten auditors doorgaan met de klassieke onderzoeken naar opzet, bestaan en werking, zoals SAS 70 en ISAE 3402, en certificeringen gebaseerd op periodieke waarnemingen zoals ISO/IEC Een deel van het vertrouwen van de maatschappij is gebaseerd op een zorgvuldig beheer van de informatiesystemen en gegevens, hetgeen via deze rapporten en certificaten wordt bevestigd. Alleen mag men deze historische bevestigingen niet verwarren met de IT-Auditor nummer

2 zekerheid voor de toekomst. Het feit dat in de beschouwde periode geen incident heeft plaatsgevonden garandeert niet dat men morgen niet het slachtoffer kan zijn van een ernstig incident. POSITIONERING VAN DIT ARTIKEL Richard Power, distinguished fellow van Carnegie Mellon Cylab, stelt: Cybersecurity is vital to economic prosperity, personal privacy and national security, and academic research is vital to the advancement of cybersecurity. Men kan cybersecurity niet alleen oppakken vanuit het oogpunt van techniek, maar men moet het beschouwen in samenhang met het optreden en gedrag van management, de mens als gebruiker en als aanvaller, en de processen. Voor cybersecurity is een integrale aanpak noodzakelijk. Capgemini is in samenwerking met Noordbeek en de Vrije Universiteit bezig een methode voor risicomanagement voor cybersecurity te ontwikkelen. Dit onderzoek is vooral gericht op het identificeren van de risico s van vandaag en in de nabije toekomst, en het op een kosteneffectieve wijze treffen van mitigerende maatregelen. De klassieke methode voor risicomanagement wordt uitgebreid met meer aandacht voor het heden, namelijk weten wat er binnen de organisatie speelt, met behulp van continuous risk monitoring. Doorredeneren naar de toekomst bestaat uit een aantal aspecten, zoals het gebruik van methoden voor intelligence voor een inschatting van wat zou kunnen komen, en het borgen van de robuustheid van de organisatie en haar omgeving. Men weet vrijwel zeker dat men op een bepaald moment met een onvoorziene tegenslag wordt geconfronteerd, maar nog niet welke en wanneer. Een organisatie kan deze vooral opvangen als er voldoende redundantie, spreiding, flexibiliteit, competenties en middelen beschikbaar zijn binnen de gebruikersorganisatie, informatievoorziening en ITinfrastructuur. Dit artikel is vooral gericht op dreigingen en kwetsbaarheden die tot nu toe te weinig zijn meegenomen bij de klassieke risicoanalyses, eenvoudigweg door het ontbreken van statistische gegevens. Vanuit deze beschouwing is het analyseproces uitgewerkt en is robuustheid ingericht. Het resultaat is de Risk Carrousel, die is weergegeven in figuur 1. Centraal staan de bedrijfsprocessen en de drie verschillende groepen van betrokken personen met specifieke kenmerken en risicoprofielen, namelijk: die via hun BYOD of kantoorautomatisering en bedrijfsapplicaties participeren in de informatievoorziening binnen de organisatie; toegang hebben via webinterfaces. Voor de overheid zijn dit de burgers die e-dienstverlening benutten, bij een bedrijf kunnen dit klanten zijn die webshops gebruiken of informatie opvragen, et cetera; verantwoordelijk zijn voor de bouw Figuur 1: De Risk Carrousel voor de risico s van het verleden, heden en de toekomst 24 de IT-Auditor nummer

3 en het beheer van IT-toepassingen en -infrastructuren. De verschillende onderdelen van de hieromheen gebouwde Risk Carrousel bespreken wij in dit artikel. BESTAANDE METHODEN VOOR RISICOANALYSE EN HUN PROBLEMEN Voor het uitvoeren van risicoanalyses bestaat een aantal beproefde methodes, waarvan wij er twee kort bespreken. De in de IT-auditpraktijk meest toegepaste methode volgt uit ISO Information Security Management System en haar voorgangers, zoals de Code of Practice, BS et cetera. Deze methode is gebaseerd op het management die de bekende bedreigingen in kaart brengt, numeriek de impact en kans van optreden vaststelt, evenals het effect van de getroffen maatregelen en het restrisico. De risicofactoren worden uitgewerkt in de risicotabel, die periodiek door het management wordt besproken en geactualiseerd, onder andere door hierin negatieve bevindingen van audits op te nemen. Een andere gebruikelijke methode is NIST Risk management [NIST11-1]. Deze besteedt meer aandacht dan ISO aan de vulnerabilities, namelijk de binnen de eigen organisatie al bekende kwetsbaarheden. NIST stelt: for operational plans development, the combination of threats, vulnerabilities and impacts must be evaluated in order to identify important trends and decide where effort should be applied to eliminate or reduce threat capabilities, to eliminate or reduce vulnerabilities, and to assess, coordinate and deconflict all cyberspace operations. NIST vraagt explicieter dan ISO aandacht voor kwetsbaarheden. Daarnaast zijn er nog allerlei andere methoden voor risicoanalyse, die vrijwel altijd uitgaan van het doorrekenen van datgene wat al bekend is en van feiten die door management en de auditor al worden herkend. Hierbij geldt echter dat risico s worden herkend, maar niet dat risico s vooraf worden herkend. Neem als voorbeeld een klein kind en een hete kachel. De kleine herkent het risico van de hete kachel niet, raakt die per ongeluk aan en wij racen naar het huisartsenpost om een derdegraadsverbranding te laten behandelen. Daarna houdt de kleine zorgvuldig afstand van iets wat er uitziet als een kachel. Het herkennen van risico s is gebaseerd op ervaring. De twee genoemde methoden zijn gericht op het identificeren en selecteren van de meest dominante risico s en het doorrekenen van de geselecteerde risico s, aan de hand van bekende historische informatie binnen een zelf te kiezen tijdsperiode. Hierbij heeft degene die de risicoanalyse uitvoert een aantal vrijheidsgraden bij het bepalen van wat dominant is en welke informatie wel of niet wordt gebruikt. Laten wij in dit kader eens naar twee voorbeelden kijken. Hoe is men bij kerncentrale in Fukushima omgegaan met de risico-inschatting voor supertsunami s en hoe doet men het hier in Nederland? Fukushima is een typerend voorbeeld van het negeren van al beschikbare kennis. De aardbeving van 11 maart 2011 is al in 2007 voorspeld door wetenschappers met een kans van 99 procent in een tijdsperiode van dertig jaar, gebaseerd op een analyse van voorgaande bevingen en supertsunami s die daar ongeveer om de 900 jaar optreden. De reeks is ongeveer: 900 voor Christus, het jaar 1, 9 juli 869 en 11 maart Eerdere signalen vanuit de wetenschap over de mogelijkheid van het vierde incident in deze reeks stammen uit 2001 [MINO01]. De beving in 2011 was statistisch gezien veel te laat, waardoor de kracht tussen de tectonische platen verder was opgelopen en de door wetenschappers initieel ingeschatte schok van 8,5 op de schaal van Richter werd overtroffen. In de evaluaties is nu te lezen: In 2007 TEPCO did set up a department to supervise all its nuclear facilities. Until June 2011 its chairman was the chief of the Fukushima Daiichi power plant. An in-house study in 2008 pointed out that there was an immediate need to improve the protection of the power station from flooding by seawater. This study mentioned the possibility of tsunami-waves up to 10.2 meters. Officials of the department at the company s headquarters insisted however that such a risk was unrealistic and did not take the prediction seriously. Feit is dat de levensduur van de kerncentrales was verlengd op basis van een politiek besluit op grond van bedrijfseconomische overwegingen, waardoor Japan met de grootste nucleaire ramp sinds Tsjernobyl werd geconfronteerd. Persberichten rond 9 maart 2011 geven aan dat de Japanse regering al vier uur na de ramp op de hoogte was van de mogelijke melt down, maar dat haar er alles aan gelegen was de ramp te bagatelliseren om aan de veiligheidsmythe rondom kernenergie vast te houden. Wij kunnen niet langer met het excuus komen dat wat gebeurd is onvoorspelbaar was en ons voorstellingsvermogen te boven ging, zei de huidige premier Yoshihiko Noda tegen journalisten. Crisismanagement eist van ons dat wij ons voorstellen wat misschien onvoorstelbaar is. Hiermee stelt de premier dat organisaties moeten zorgen voor robuustheid: ze moeten namelijk voorbereid zijn op een dreiging met een heel kleine kans van optreden maar met een heel grote impact. In de landen rondom de Indische en Stille Oceaan wordt serieus omgegaan met het risico van supertsunami s. Maar hoe doet men dit hier in Nederland? Namens EMC spreekt VansonBourne in haar rapportage van 23 november 2011 over Nederland als een zeer risicovolle locatie voor datacentra, zoals door de AutomatiseringsGids is toegelicht op 7 december 2011 [EMC11]. Als men in de literatuur duikt, blijkt dat in oktober 6125 voor Christus een supertsunami in de Noordzee een aantal van onze eigen voorouders op een catastrofale wijze heeft getroffen [BOND97]. Dit was de Storegga-tsunami. Een blik op de landkaart is voldoende om te zien dat als er iets misgaat in de de IT-Auditor nummer

4 noordelijke Noordzee of de noordelijke Atlantische Oceaan, bijvoorbeeld een ontploffende vulkaan op IJsland of een meteoriet, wij hier golven van 25 meter hoogte of meer kunnen verwachten, net zoals op de Japanse Vlakte van Sendai op 11 maart Dit is typisch een risico waar wij zelf liever niet over nadenken als wij met de kinderen over het strand van Zandvoort wandelen. Net zo min als over de Zuidwalvulkaan, die sinds het Jura tijdperk onder het eiland Grient in de Waddenzee sluimert [ZUID12]. Wij weten dat de magmakamer en kraterpijp nog intact zijn, maar wij veronderstellen (terecht?) dat die vulkaan nog heel lang niet tot een uitbarsting zal komen. Niettemin, het is een stratovulkaan met als kenmerk dat de hevigheid van een volgende eruptie toeneemt naarmate de vorige langer geleden is, net zoals Pompeï en Herculaneum hebben ervaren met de Vesuvius. Een tsunami, een meteorietinslag en een vulkaanuitbarsting zijn rampen die men niet kan voorkomen, maar die als een bundel ongewisse factoren terug moeten komen in risicoanalyses en zo invloed hebben op de keuzes van mitigerende maatregelen. RISICO S WORDEN STELSELMA- TIG OVER HET HOOFD GEZIEN De klassieke aanpak voor risicoanalyse blijft waardevol. Men moet blijven kijken naar het verleden om te kunnen voorspellen wat er in de toekomst kan gebeuren, aangezien de geschiedenis zich herhaalt. Naar de mening van de auteurs wordt risicoanalyse echter veel te beperkt en met te weinig echte gedrevenheid opgepakt. Enkele praktische belemmeringen, zoals beschreven door Beusenberg en Fasten in hun scriptie Ongrijpbare ketenrisico s voor financiële instellingen [BEUS10], zijn: Een accountant of IT-auditor krijgt een budget passend bij een object. Daarbij is nauwelijks of geen ruimte om te kijken naar de end-to-end risico s vanuit de ketens en de bovenliggende processen. Hij of zij wordt geacht binnen de scope van de opdracht te blijven, waarbij de door de beroepsregels voorgeschreven scoping eigenlijk belemmerend werkt. Binnen een organisatie is veel bekend over de eigen kwetsbaarheden. Maar het is een goed menselijk gebruik daar zo weinig mogelijk over te praten, of liever nog zo weinig mogelijk over na te denken. Veel mensen zijn van nature optimistisch, zo van ons overkomt dat vast niet of het zal mijn tijd wel duren. NIST haakt hierop in door in de standaard extra aandacht te vragen voor de bekende kwetsbaarheden [NIST11-1]. Veel mensen hebben weinig fantasie. Zij houden zich strikt aan de standaardlijsten met bedreigingen en aan datgene wat zij van oudsher doen. Zij staan daarbij niet open voor signalen vanuit de samenleving of wetenschap over nieuwe bedreigingen en nieuwe risico s. Ofwel zien zij deze signalen helemaal niet, of zij hebben geen behoefte aan een verandering in hun eigen aanpak. Soms wordt informatie over bedreigingen geheim gehouden of niet gedeeld, omdat niemand zijn vuile was buiten wil hangen. Zo zijn banken heel gesloten over cybercrime en over hun aanpak om deze tegen te gaan [WOUD11]. Ook inlichtingendiensten zijn gesloten over de trends die zij waarnemen. Hierdoor worden auditors en risicomanagers niet altijd gevoed met de juiste signalen die zij nodig hebben bij hun eigen audits en risicoanalyses. Cybercrime blijft iets wat high tech klinkt. Er is echter een fors gebrek aan technical IT-auditors. Veel organisaties worden geconfronteerd met de realiteit van te veel behoefte aan technical audits en veel te weinig technical auditors beschikbaar. De reguliere accountant en de brede auditor missen hierdoor de benodigde assistentie om cyberrisico s goed in te kunnen schatten. Samengevat: er wordt soms met oogkleppen op gekeken naar risico s die al bekend zijn uit het verleden. Bovendien is het nu onderbelicht of wordt genegeerd, terwijl de risico s van de toekomst veelal buiten beeld blijven. Signalen zijn er in feite genoeg, maar in hoeverre reageren risicoanalisten daar op adequate wijze op? Krijgen zij wel voldoende tijd en middelen om de echte risico s in kaart te brengen en zo bij te dragen aan een veiliger maatschappij? Het stellen van de vraag is in feite het beantwoorden van de vraag: neen. RISICO S ZIJN ONBEKEND Het herkennen van risico s vereist inzicht in en analyse van wat er mis kan gaan, zonder dat dit al is gebeurd. Laten wij enkele recente incidenten beschouwen, waarvan het risico in feite bekend was op basis van beschikbare signalen, maar waarmee de direct betrokkenen niet tijdig iets gedaan hebben. Stuxnet is een bijna perfect cyberwapen, dat volgens de pers haar doel heeft bereikt en forse schade heeft veroorzaakt als onderdeel van de moderne elektronische oorlogsvoering [SYMA11]. Stuxnet maakte gebruik van kwetsbaarheden bij procesautomatisering, die onder andere al waren beschreven door Nieuwenhuis en Peerlkamp [NIEU10]. Zorgwekkend is echter dat het concept is ontsnapt en nu kan worden gebruikt voor andere aanvallen. Inmiddels is bekend dat het concept van Stuxnet door diverse partijen (inclusief criminelen?) wordt gemodificeerd, zodat deze op andere infrastructuren zou kunnen worden gericht. Het wordt nu voor organisaties belangrijk actie te ondernemen om een toekomstige Stuxnet-achtige aanval op de eigen infrastructuur te kunnen afslaan. Duqu is een vrij weinig bekende variant op Stuxnet, gericht op cyberspionage en het verzamelen van informatie om te kunnen aanvallen. Een deel van Duqu is dusdanig geavanceerd dat Kaspersky Labs in maart 2012 de 26 de IT-Auditor nummer

5 hackergemeenschap om hulp heeft gevraagd om de programmeertechniek te doorgronden [KASP12]. De indruk ontstaat dat Stuxnet en Duqu zijn ontwikkeld door partijen die over veel kennis en omvangrijke middelen beschikken, want deze geavanceerde cyberwapens lijken totaal niet op datgene wat normaliter uit de hackergemeenschap komt. Bij de ontwikkeling van de OV-chipkaart waren de zwakheden en kwetsbaarheden van de Myfare Classic chip bekend, zoals is beschreven door Niemantsverdriet [NIEM11]. De geraadpleegde deskundigen waren er initieel echter van overtuigd dat, gezien de beperkte waarde van de transacties, de risico s beheersbaar waren. Verschillende groepen wetenschappelijke krakers hebben aangetoond dat dit een verkeerde inschatting was, doordat zij volhardender waren dan door de deskundigen was voorzien [NIEM11]. Er komt nu een beter beveiligde chip, maar hoe lang zal die bestand blijven tegen gerichte aanvallen? Het is bekend dat security by obscurity op termijn altijd zal falen. Ondanks zorgvuldig uitgevoerde risicoanalyses is men toch overvallen door deze incidenten, waarvoor de getroffen organisaties in onvoldoende mate maatregelen hadden getroffen. Taleb [TALE10] betoogt in zijn boek De zwarte zwaan dat men rekening moet houden met het uiterst onwaarschijnlijke. De recente geschiedenis leert dat er steeds iets gebeurt dat uiterst onwaarschijnlijk werd geacht, maar toch een forse impact heeft op onze moderne samenleving. En daarmee op onze moderne IT-infrastructuur. NIST stelt veel materiaal beschikbaar voor cybersecurity. Er zijn ook andere bronnen zoals Open Web Application Security Project (OWASP). Hun aanpak is vooral gericht op de beveiliging van webapplicaties [OWAS12]. OWASP verschaft nuttige hulpmiddelen om kwetsbaarheden te kunnen voorkomen die cyberaanvallen uitlokken, of de impact van dergelijke aanvallen te verlagen. Vraagt u echter de gemiddelde programmeur hoe hij OWASP gebruikt bij het programmeren en testen, dan ziet u dat die programmeur zich bij de ontwikkeling van webapplicaties heel wat vrijheidsgraden veroorlooft die niet alle in lijn liggen met de door OWASP uitgedragen beginselen. De auteurs zijn van mening dat er goede methoden en technieken beschikbaar zijn om de informatievoorziening veiliger te maken, maar dat die nog niet breed worden benut. HOE KUNNEN WIJ DE RISICO- ANALYSE BETER DOEN? Wij moeten het probleem van de niet herkende of niet voorziene risico s aanpakken. Dit kan alleen met de macht en status van het hoogste orgaan binnen de organisatie, zoals de Board, een College van Bestuur, een Secretaris Generaal et cetera. Hun taak is governance, namelijk de organisatie zo inrichten dat deze haar doelstellingen realiseert met een zorgvuldige afweging van de risico s. Alleen heeft dat laatste deel van hun taak veelal geen dominante prioriteit in de huidige tijd. Allerlei zaken blijven daardoor liggen, zoals broodnodige besluiten binnen de strategische / tactische agenda over het streven van sommige organisatieonderdelen naar BYOD, WIFI, Het Nieuwe Werken, Sociale Media, Apps op ios / Android, de upgrade naar een ander platform in 201X, het inrichten van business continuity en andere ontwikkelingen die van invloed kunnen zijn op de relatie tussen de bedrijfsprocessen en de IT-dienstverlening. Er is een aparte functie nodig, in de directe omgeving van de hoogste leiding, om de informatie over risico s te wegen, te bundelen en te presenteren. Van oudsher is dat een Chief Risk Officer. Gezien het toenemende belang van informatie verschuift dit binnen informatie-intensieve organisaties naar de functie van een Chief Information Security Officer, de CISO. Veel multinationals en grote organisaties hebben deze functie al geïntroduceerd en ingericht, veelal op een hoog niveau om zo voldoende gewicht te kunnen geven aan een zorgvuldige risicobenadering. Een CISO heeft een stevig mandaat nodig plus voldoende middelen, bestaande uit competenties en instrumenten. Naast het bovengenoemde klassieke instrumentarium voor ISO 27001, NIST et cetera. is er duidelijk behoefte aan middelen die de niet herkende en de niet voorziene risico s kunnen identificeren en meenemen om deze op verantwoorde wijze onder de aandacht van de leiding te kunnen brengen. In het kader van het betoog in dit artikel zijn deze middelen: het e- Competence Center, continuous risk monitoring, het Risk Register en intelligence. Deze onderwerpen bespreken wij hierna. e-competence Center Een nadere analyse van de eerder genoemde incidenten leert dat de meeste van hen niet geheel onverwachts kwamen. De dreiging was in feite bekend, maar men werd verrast door de impact. Nieuwenhuis en Peerlkamp [NIEU10], winnaars van de Joop Bautz Information Security Award 2010, hebben in 2010 een scriptie gepubliceerd over de kwetsbaarheid van procesautomatisering. Zij bundelden bestaande kennis om aan te tonen dat procesautomatisering onvoldoende is beschermd en steeds kwetsbaarder wordt voor externe bedreigingen. Duqu en Stuxnet buiten deze al bekende zwakheden op een ongekend effectieve manier uit. De kwetsbaarheid is niet nieuw, de gerichte aanval wel. Wat de timing betreft, de scriptie is ingeleverd in maart 2010, terwijl Stuxnet is ontdekt op 13 juli 2010 [SYMA11]. Taleb [TALE10, deel 3] werkt het verrassingseffect uit aan de hand van de analogie van de zwarte zwaan die niet slechts een zeldzame of bizarre gebeurtenis is, maar tevens buiten de IT-Auditor nummer

6 Figuur 2: De positionering van het e-competence Center ons enge blikveld van mogelijke gebeurtenissen ligt en ons volledig verrast. Hij stelt dat voor veel zeldzame gebeurtenissen de oorzaak en mogelijke consequenties zijn te doorgronden. Het is weliswaar niet mogelijk de exacte kans te berekenen, maar men kan zich wel in hoofdlijnen een beeld vormen van zo een dreiging met een heel kleine kans van optreden en een enorme impact. Door vooraf na te denken over zwarte zwanen en die gedachtegang ook mee te nemen bij het maken van afwegingen voor het inrichten van stelsels van maatregelen, kan men van zwarte zwanen grijze zwanen maken en hun verrassingseffect inperken. Zo wist men bij Fukushima dat het schakelpaneel voor de noodaggregaten op een kwetsbare plaats stond, namelijk in het turbinegebouw dat bij een supertsunami onder water zou komen te staan. Bij de bouw van noodaggregaten die hogerop lagen op een heuvel had men indertijd ook direct het schakelpaneel kunnen verplaatsen, als men de dreiging op haar juiste waarde had ingeschat en had meegenomen in de gedachtegang. In het kader van dit artikel over de cyberrisico s pleiten de auteurs voor het inzetten van een denktank, in feite een groep deskundigen gericht op intelligence. Zij verzamelen wereldwijd informatie over incidenten, kwetsbaarheden en bedreigingen. Zie figuur 2. Veel van deze informatie is tegenwoordig eenvoudig te vergaren via het internet. In figuur 1 op pagina 24 is een cyclus aangegeven in het intelligencedeel, bestaande uit Collect, dat is het verzamelen van relevante gegevens, gevolgd door Combine, namelijk het combineren van gegevens uit verschillende bronnen om verbanden te leggen. Er is veel kennis vrij toegankelijk of opgeslagen in online libraries. De kunst is via Analyse tot de juiste conclusies te komen, namelijk Conclude. Het voorspellen van incidenten in de toekomst vindt plaats in de CCACcyclus, oftewel Collect - Combine - Analyse - Conclude. Medewerkers in de denktank dienen over fantasie te beschikken en de wat als vraag te stellen. Hierbij kan bijvoorbeeld een riskcoördinator binnen onze Nederlandse Deltawerken denken aan de vraag wat kan onze procescomputers verstoren?, of misschien nog specifieker, wat gebeurt er als een virus wordt gericht op onze procescomputers? Daaruit volgt de vraag hoe de procescomputer die de sluisdeuren van een waterkering aanstuurt is beschermd. Het antwoord is misschien dat er geen enkele vorm van een firewall is opgenomen in het betreffende LAN, geen intrusion detection of andere signaleringsmogelijkheden zijn voorzien, en dat de software op de procescomputer niet wordt gecontroleerd op ongeautoriseerde modificatie. Dit leidt tot de conclusie dat een Stuxnet-achtige aanval op de sluizen en stuwen van de Deltawerken tot een ernstig incident zou kunnen leiden en tot de vraag of mitigerende maatregelen nodig zijn. Een goedkope oplossing is het loskoppelen van het LAN met de procescomputers van de andere netwerken om zo terug te kunnen vallen op 28 de IT-Auditor nummer

7 de aloude fysieke isolatie van netwerken met verschillende beveiligingseisen [DOD85]. Een nadeel hierbij is dat de centrale aansturing van de procescomputers gecompliceerder wordt. Het wordt minder gebruikersvriendelijk, maar wel veiliger. Een alternatief is meer controlemaatregelen rondom de computer te plaatsen en er omheen te controleren, zoals de accountant dat doet als deze niet op de geautomatiseerde boekhouding kan vertrouwen. De denktank is een e-competence Center, waarin experts uit verschillende disciplines zitten. In ieder geval participeren de technische deskundigen voor de platformen, middleware en applicaties, plus de webspecialisten die betrokken zijn bij de OWASP-maatregelen. Zij richten zich op de technische bedreigingen en kwetsbaarheden, binnen hun specifieke competenties. Daarnaast participeren riskdeskundigen vanuit de bedrijfsonderdelen, die breder kijken naar dreigingen vanuit de buitenwereld, criminele en politieke ontwikkelingen volgen et cetera. Gezamenlijk hebben zij de kennis en kunde om dreigingen op hun waarde te schatten. Zij doen dit deels door rechtlijnig doorredeneren, en deels door thinking out of the box. Belangrijk is de creativiteit in het proces en een thematische aansturing. Een organisatie kan dit volledig zelf inrichten, maar doelmatiger is dit deels als een project op te pakken dat meerdere organisaties overstijgt. Zo kan men denken aan een e-competence Center overkoepelend aan een aantal overheids- en uitvoeringsinstanties, met bemensing vanuit die organisaties en vanuit de IT-dienstverleners die outsourcingdiensten leveren aan deze partijen. Iedere partij heeft eigen competenties nodig in het kader van de eigen specifieke bedrijfsprocessen en het geleverde type dienstverlening. Daarnaast zijn er generieke aspecten, zoals nieuwe bedreigingen, die men beter gezamenlijk kan oppakken. Dit pleit voor een getrapte structuur, met een effectieve en open communicatie tussen de participanten. Dan kan iedere participant gebruik maken van de brede kennis van alle participanten, met de mogelijkheid de specifieke details die van belang zijn voor de eigen bedrijfsvoering zelf verder uit te werken. Het samenspel tussen peers en een getrapte structuur heeft als voordeel dat men redelijk open kan communiceren met de peers, zonder dat de vuile was buiten wordt gehangen. Voor de buitenwereld is dit een enigszins gesloten bolwerk, waaruit alleen signalen komen waarvan de participanten het nuttig vinden die naar buiten te brengen. Denk hierbij aan de bancaire instellingen, die al intensief overleggen over de bedreigingen voor internetbankieren [WOUD11]. De e-competence Centers rapporteren aan de CISO s van hun respectievelijke organisaties. Hiermee wordt de relatie gelegd naar de hoogste leiding, zodat het resultaat van hun werk met voldoende prioriteit op de agenda van de leiding wordt gezet. Figuur 3: De relatie met de IT-auditor de IT-Auditor nummer

8 Continuous risk monitoring Voor een juiste inschatting van risico s in relatie tot de eigen kwetsbaarheden, is het belangrijk te weten wat er speelt op de eigen werkvloer. Er zijn ontwikkelingen op het gebied van continuous monitoring en continuous assurance, die hier verbeteringen in aanbrengen. Een van de grondleggers is Vasarhelyi [THIP11]. Ook NIST gaat in op deze ontwikkelingen met haar Special Publication Information security continuous monitoring for federal information systems and organizations [NIST11-2]. Hierin wordt onder andere ingegaan op Security Information and Event management (SIEM). Maar deze technieken worden vooralsnog slechts op zeer beperkte schaal toegepast. In het kader van dit artikel is continuous risk monitoring het centraal verzamelen van lokaal of decentraal bekende informatie over bedreigingen, risico s en kwetsbaarheden. Deze aanpak levert ook nieuwe kansen op voor het vakgebied auditing. Het e-competence Center denkt na over scenario s en over het vereiste of gewenste stelsel van risicomitigerende maatregelen. Om de SOLL versus de IST te kunnen beoordelen, zijn in feite audits nodig. Zoals weergegeven in figuur 3 kan de CISO gericht opdrachten geven aan auditors om scenario s door te werken en te bepalen of de organisatie beschikt over de minimaal vereiste maatregelen, en in welke ordegrootte de mogelijke restrisico s liggen. Dit is de voor auditors gebruikelijke cyclus van SOLL, IST, GAP, Improve, maar nu gericht op de scenario s, onder meer in het kader van cyberdreigingen. Risk Register Organisaties maken vaak onvoldoende gebruik van historische risico-informatie. Gebruikersorganisaties en IT-afdelingen analyseren steeds dreigingen, schatten hun impact en kans van optreden in, (her)beoordelen het stelsel van risicomitigerende maatregelen en passen dit aan, waar nodig. Dit gebeurt veelal binnen projecten, vaak in het kader van verandermanagement. Deze informatie wordt dan bijgehouden in zogenaamde Risk Registers en wordt gedurende het project actief beheerd door het projectteam. Daarna gaat echter veel kennis verloren bij reorganisaties, door vertrek van medewerkers en met het binnenhalen van nieuwe krachten. Verlies van deze kennis is een handicap voor een zorgvuldig risicobeheer, dat juist gebaat is bij een zo compleet mogelijk overzicht over een langere tijd. Individuele Risk Registers worden vrijwel nooit gebundeld en beheerd om in continuïteit een overzicht te verschaffen. Juist een gebundeld, historisch volledig en steeds geactualiseerd Risk Register is een prima hulpmiddel voor een e-competence Center. Hierin is alle informatie terug te vinden over hetgeen diverse partijen hebben verzameld over risico s en kwetsbaarheden, en kan men zien welke maatregelen al zijn getroffen. Dan kan de focus worden gelegd op het beoordelen van de effectiviteit van die maatregelen en het detecteren van mogelijke manco s in het stelsel. In het kader van dit artikel pleiten wij voor het centraal verzamelen van de lokaal en decentraal beschikbare informatie over bedreigingen en kwetsbaarheden. Dit vereist het inrichten van een netwerk van riskcoördinatoren op een laag niveau binnen organisaties, die een bewakende rol vervullen en informatie verstrekken aan een centraal orgaan. Deze informatie wordt opgenomen in het centrale Risk Register, en komt zo ter beschikking van het e-competence Center. Het Risk Register kan onder andere input leveren voor de testsets voor nieuwe programmatuur en nieuwe systemen. Als men hierin de OTAPaanpak en OWASP-testen meeneemt, kan men met deze gecombineerde aanpak de robuustheid van de informatiesystemen en webapplicaties substantieel verbeteren. Intelligence vergaren en benutten Hoe maakt Taleb een zwarte zwaan grijs? Zijn waarschuwing is dat wat men ook doet, er altijd onvermoede zwarte zwanen blijven bestaan waarvoor niets blijkt te zijn geregeld. Zodra men rekening gaat houden met de mogelijkheid van een zwarte zwaan, is deze niet zwart meer in de zin van Taleb. De uitdaging ligt in het voorzien dat er ooit een zwarte zwaan kan komen, waarvoor men in feite een een intelligence-achtige aanpak nodig heeft. Afhankelijk van het marktsegment worden dreigingen ingedeeld in categorieën en wordt informatie geselecteerd en gesorteerd. Dit gebeurt binnen het e-competence Center individueel en groepsgewijs, om zo de competenties optimaal te benutten en daarnaast via het groepsproces tot nieuwe creatieve inzichten te kunnen komen. Voor dreigingen met een zeer grote impact en een heel kleine kans van optreden hanteert men het principe van het grijsmaken van de zwarte zwaan. Dat houdt in, de hoofdlijnen van mogelijke oorzaken en consequenties in beeld brengen, de mogelijke scenario s doorredeneren, vaststellen waar redundantie bestaat binnen de bedrijfsprocessen, ITvoorzieningen et cetera, en bepaling of deze redundantie afdoende zal zijn. Hierbij moet sprake zijn van een thematische benadering. Enerzijds wordt deze analyse gericht op de platformen en technieken, zoals voor de databases, hardening van de servers en het beveiligen van de webapplicaties en businesslogica. Anderzijds is de analyse gericht op de categorieën van bedreigingen. Een van de mogelijke intelligenceachtige methoden is het uitvoeren van linkage-analyses, bijvoorbeeld zoals beschreven door Labuschagne [LABU06]. Hierbij worden de omstandigheden meegenomen, evenals de modus operandi en de populatie van mogelijke kwaadwillenden. Met modus operandi worden 30 de IT-Auditor nummer

9 de handelingen bedoeld die door een dader worden gebruikt voor het uitvoeren van een inbraak of het veroorzaken van een beschadiging. De dader heeft een bedoeling met iedere handeling, namelijk om er voor te zorgen dat de inbraak of beschadiging lukt, voor het tegengaan van zijn of haar identificatie, en om mogelijkheden te verkrijgen om fondsen of informatie te ontvreemden. De modus operandi kan bij opeenvolgende acties veranderen omdat de kwaadwillende betere technieken leert. Hierbij bestaat de kans voor de informatiebeveiligers, en het gevaar voor de dader, dat de laatste onvoorzichtig wordt als bepaalde technieken goed blijken te werken. De handtekening van een dader zijn de handelingen die onnodig zijn voor het plegen van de misdaad, maar die dienen ter bevrediging van de psychologische behoeften van de dader. Deze handelingen kunnen onderdeel gaan vormen van de modus operandi. Met dit soort analyses wordt aangesloten bij de aanpak van opsporing door Politie en het werk van inlichtingen- en veiligheidsdiensten. Ook daarbij ontstaat een steeds sterkere relatie met de cyberwereld. Zoals beschreven door Berg worstelt men in die wereld ook met het vinden van een maatschappelijk verantwoorde balans tussen het belang van de doelmatigheid van de opsporingstaak, het tactisch belang van de onderzoeken en de privacybelangen van de betrokkenen [BERG07]. Bij een analyse is het van belang een open oog te houden voor de kosten en te streven naar pragmatische oplossingen. Zo kan men de vanuit het dreigingrisico voor overstromingen in het westen van Nederland overwegen een primair datacenter te gebruiken voor de IT-diensten in het westen en een secundair datacenter hoog en droog in het oosten, met de mogelijkheid daarop terug te vallen. Vanuit ieder dreigingrisico wordt steeds gekeken naar alternatieven. Als daarbij dreigingen overblijven waarvoor geen kosteffectieve maatregelen kunnen worden getroffen, is het toch goed daarvoor een generiek scenario door te redeneren en uit te werken. Hiermee heeft men bij het onverwacht optreden van het incident toch al enige informatie op de plank liggen om snel te kunnen reageren. De Japanse regering had zich veel kritiek kunnen besparen als zij op 11 maart 2011 tenminste een communicatieplan op de plank gehad had liggen voor een mogelijke melt down van een kerncentrale. Zij had zich nog veel meer kritiek kunnen besparen als zij de verlenging van de vergunning van Fukushima had gekoppeld aan de eis voor een veiliger opstelling van het schakelpaneel voor de noodaggregaten. Als de minister van BZK over de bovenstaande aanpak had kunnen beschikken, had de Diginotar affaire vermoedelijk niet plaatsgevonden of was deze minder ernstig geweest [SEHG12]. Dan was er vooraf over nagedacht of het handig is de SSLcertificaten voor de websites van de overheid van één partij te betrekken, of dat spreiding beter is. Bovendien was er dan een afweging geweest of men het proces voor certificaten die worden gebruikt voor social media moet combineren met dat voor websites van de overheid. Daarnaast was er over nagedacht wat de impact is voor de overheid als haar SSL-certificaten op de blacklist van de internet browsers terecht komen. Dit zijn allemaal zaken waarover een e-competence Center nadenkt. ROBUUSTHEID Organisaties moeten accepteren dat zij af en toe met een ernstig incident worden geconfronteerd, zonder dat zij vooraf weten uit welke hoek de dreiging komt en hoe omvangrijk de impact zal zijn. Het incasseren van een klap is pijnlijk. Soms overleeft een organisatie dit niet, zoals recentelijk Diginotar, of deels, zoals Tepco. Ondernemen is weliswaar risico s lopen, maar management dient vooraf op basis van een goede afweging van risico s de juiste besluiten te nemen. Zo een besluit kan zijn preventieve maatregelen te treffen, of die juist vanwege kosten achterwege te laten. Dat kan men compenseren met een stelsel van detectieve maatregelen, om snel signalen te krijgen, en correctieve maatregelen om de impact van een incident te verkleinen. Robuustheid is de mate waarin men de impact van een incident kan beperken of verkleinen. In hoeverre de gevolgschade werkelijk wordt verminderd hangt af van de binnen de organisatie aanwezige redundantie en flexibiliteit, en of een voldoende aantal competente medewerkers tijdens of direct na het incident snel genoeg kan worden gemobiliseerd. Deze medewerkers dienen te beschikken over inhoudelijke kennis over de business, het functioneren van de organisatie, de bedreigingen en kwetsbaarheden, en scenario s. In feite is dit een soort Emergency Response Team, waarvan in het geval van cyberaanvallen het e- Competence Center onderdeel uit kan maken. De medewerkers van het Emergency Response Team hoeven niet allemaal op de loonlijst te staan. Dit team kan ook worden gevormd als een samenwerkingsverband binnen een groep van organisaties met overeenkomstige kenmerken. Van belang zijn synergie binnen de groep, regelmatig met elkaar optrekken, gezamenlijk doorlopen van de scenario s en onderhouden van de inhoudelijke kennis. CONCLUSIE De cyberwereld brengt ons veel voordelen en is niet meer weg te denken uit onze moderne maatschappij. Zowel de overheid als het bedrijfsleven benutten deze wereld steeds intensiever om zaken te doen, onderling en met de burger, die ook tegelijk consument is. Als iets intensief wordt gebruikt en er komen bepaalde belangen in beeld, zoals vertrouwelijke informatie en financiële waarden, de IT-Auditor nummer

10 worden ook criminelen en kwaadwillenden actief. Dat is een fact of life. Ook neemt de impact van calamiteiten toe, naarmate het gebruik intensiever wordt. Onze klassieke aanpak van riskmanagement voldoet vandaag de dag niet meer. Die is nog teveel gericht op dreigingen van gisteren en houdt te weinig rekening met de kwetsbaarheden van vandaag en morgen. Vandaar dat in het kader van cybersecurity een nieuwe aanpak wordt ontwikkeld, om zoals Taleb het uitdrukt zwarte zwanen grijs te kunnen krijgen. Daarbij probeert men zo goed mogelijk dreigingen te kunnen voorzien, maatregelen daartegen te treffen, en ondertussen voorbereid te zijn op de klap die komt maar nog niet kan worden voorzien. Zowel de cyberwereld als het vakgebied auditing beschikken daartoe in beginsel weliswaar over de juiste competenties en methoden, alleen moeten die nog wel worden gebundeld om effectief te kunnen worden ingezet voor het minimaliseren van de impact van de daadwerkelijke dreigingen. Literatuur [BERG07] Berg, B., Criminal Investigation, Edition 4, McGraw-Hill, ISBN , [BEUS10] Beusenberg, C.N.A. en Fasten, J.E., Ongrijpbare ketenrisico s voor financiële instellingen, scriptie VU PGO IT Audit, op april [BOND97] Bondevik, S., Svendsen, J. en Mangerud, J., Tsunami sedimentary facies deposited by the Storegga tsunami in shallow marine bassins and coastal lakes, western Norway in Sedimetology, Nr. 44, pp , [DOD85] US Department of Defense, Trusted computer system evaluation criteria, CSC-STD , 15 augustus 1983, vervangen door DoD STD STD, december [EMC11] EMC VansonBourne report, European Disaster Recovery Survey 2011, Data today gone tomorrow: How well companies are poised for IT recovery 23 november 2011, gerefereerd in Datacentra bedreigd door rampen, AutomatiseringGids 7 december [JENN11] Jenniskens, M., Rorive, K. en Jessurun, A., ipad als beveiligd verlengstuk van uw werkplek, Strict white paper, versie 1.2, juni [KASP12] Computable, Kaspersky vraagt hulp bij Marco van der Vet is sinds 2000 in dienst van Capgemini Nederland B.V. in diverse management en directiefuncties. Momenteel is hij werkzaam in de functie van directeur IS Risk Management, Compliancy en Contracting, tevens Chief Information Security Officer. Willem Barnhoorn is sinds 2011 de Information Security Officer van Capgemini Apps Two Nederland. Hij heeft vergelijkbare rollen vervuld bij KPN, Getronics en PinkRoccade. Momenteel is hij vooral bezig met het inrichten van risicobeheersing en het verbeteren van de controleerbaarheid van de delivery organisatie. Ronald Paans is hoogleraar van de opleiding Postgraduate IT Audit aan de Vrije Univeristeit van Amsterdam en directeur van Noordbeek B.V. Ronald is onder andere voorzitter van het Wetenschapsforum voor de OV-chipkaart, voorzitter van de Raad van Toezicht van de Stichting OpenTicketing en zit in de NOREA Raad voor Beroepsethiek. bestrijding Duqu, 8 maart [LABU06] Labuschagne, G.N., The use of a linkage analysis as evidence in the conviction of the Newcastle serial murderer, South Africa in Journal of Investigative Psychology and Offender Profiling, Vol. 3, Nr. 3, pp , oktober [MINO01] Minoura, K., Imamura, F. et al, The 869 Jogan tsunami deposit and recurrence interval of largescale tsunami on the Pacific coast of northeast Japan, in Journal of Natural Disaster, Vol. 23, Nr. 2, pp , [NIEM11] Niemantsverdriet, P., Het besluitvormingsproces rond de ontwikkeling en implementatie van de OV-chipkaart, een succes of falen, scriptie VU PGO IT Audit, op mei [NIEU10] Nieuwenhuis, M., en Peerlkamp, S., Process Control Network Security, Comparing frameworks to mitigate the specific threats to Process Control Networks, scriptie VU PGO IT Audit, op maart [NIST11-1] National Institute of Standards and Technology (NIST), Guide for conducting risk assessments, Special Publication , Revision 1, september [NIST11-2] NIST, Information security continuous monitoring (ISCM) for federal information systems and organizations, NIST Special Publication , september [OWAS12] Open Web Application Security Project, [SYMA11] Symantec Security Response, W32.Duqu: the precursor to the next Stuxnet, versie 1.4, 23 november [TALE10] Taleb, N.N., De zwarte zwaan, de impact van het hoogst onwaarschijnlijke, Uitgeverij Nieuwezijds, ISBN , 7de druk, [SEHG12] Sehgal, J. en Craig, A. The previously unseen risks associated with internet transactions and certificate authorities, Just below the surface, in de IT-Auditor, 2012, nummer 1, pp [THIP11] Thiprungsri, S. en Vasarhelyi, M.A., Cluster analysis for anomaly detection in accounting data, an audit approach, in The International Journal of Digital Accounting Research, Vol. 11, pp , [WOUD11] Wouda, A., De beheersing van cybercrime bij Nederlandse klein banken, in de IT-Auditor, 2011, nummer 4, pp , gebaseerd op een scriptie VU PGO IT Audit, mei [ZUID12] De Zuidwalvulkaan wordt in diverse bronnen op internet genoemd, zoals Wikipedia, en 32 de IT-Auditor nummer

Unified Enterprise Security wordt geleverd door onze strategische partner Masergy, de wereldspeler in global communications en security.

Unified Enterprise Security wordt geleverd door onze strategische partner Masergy, de wereldspeler in global communications en security. Het verlengstuk van uw IT security operations: altijd (24x7) de beste expertise en meest actuele kennis, geïntegreerd zicht op wat er gebeurt in uw datacenter en eerder en Security as a Service Het verlengstuk

Nadere informatie

Beveiliging en bescherming privacy

Beveiliging en bescherming privacy Beveiliging en bescherming privacy Beveiliging en bescherming privacy Duobus B.V. Nieuwe Boteringestraat 82a 9712PR Groningen E info@duobus.nl I www.duobus.nl September 2014 2 Voorwoord Als organisatie

Nadere informatie

HOE OMGAAN MET DE MELDPLICHT DATALEKKEN?

HOE OMGAAN MET DE MELDPLICHT DATALEKKEN? HOE OMGAAN MET DE MELDPLICHT DATALEKKEN? EEN HANDIGE CHECKLIST In deze whitepaper bieden we u handvatten die u kunnen helpen bij de implementatie van de meldplicht datalekken binnen uw organisatie. We

Nadere informatie

Datadiefstal: Gone in 60 Seconds!

Datadiefstal: Gone in 60 Seconds! Datadiefstal: Gone in 60 Seconds! Didacticum Solutions Datadiefstal en ontwikkelingen Het komt regelmatig voor: klantgegevens of intellectuele eigendommen van bedrijven worden door hackers gestolen. Denk

Nadere informatie

MKB Cloudpartner Informatie TPM & ISAE 3402 2016

MKB Cloudpartner Informatie TPM & ISAE 3402 2016 Third Party Memorandum (TPM) Een Derde verklaring of Third Party Mededeling (TPM) is een verklaring die afgegeven wordt door een onafhankelijk audit partij over de kwaliteit van een ICT-dienstverlening

Nadere informatie

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce. Cloud Computing, een inleiding ICT Accountancy & Financials congres 2013: Cloud computing en efactureren 10 december 2013 Jan Pasmooij RA RE RO: jan@pasmooijce.com 10 december 2013 1 Kenmerken van Cloud

Nadere informatie

BARRIER DENKEN, BARRIER DOEN! PRAGMATISCH EN PROAC TIEVE RISICOANALYSE DOOR MARTIN HOOGERWERF, SENIOR BUSINESS CONSULTANT

BARRIER DENKEN, BARRIER DOEN! PRAGMATISCH EN PROAC TIEVE RISICOANALYSE DOOR MARTIN HOOGERWERF, SENIOR BUSINESS CONSULTANT WHITEPAPER BARRIER DENKEN, BARRIER DOEN! PRAGMATISCH EN PROAC TIEVE RISICOANALYSE DOOR MARTIN HOOGERWERF, SENIOR BUSINESS CONSULTANT RISICOMANAGEMENT IN BALANS Ondernemen betekent risico s nemen om de

Nadere informatie

Bescherming tegen de gevolgen van cyber risico s. Bedrijfsverzekeringen. CyberEdge van AIG

Bescherming tegen de gevolgen van cyber risico s. Bedrijfsverzekeringen. CyberEdge van AIG Bescherming tegen de gevolgen van cyber risico s Bedrijfsverzekeringen CyberEdge van AIG Wat zijn cyber risico s? Cyber risico s zijn een vaststaand gegeven in een wereld van informatie, informatiesystemen

Nadere informatie

IBM; dataopslag; storage; infrastructuur; analytics; architectuur; big data

IBM; dataopslag; storage; infrastructuur; analytics; architectuur; big data Asset 1 van 10 Big Data Analytics voor Dummies Gepubliceerd op 30 june 2014 Gelimiteerde editie van de populaire Dummies-reeks, speciaal voor managers. Het boek legt uit waarom Big Data Analytics van cruciaal

Nadere informatie

Strategisch Risicomanagement

Strategisch Risicomanagement Commitment without understanding is a liability Strategisch Risicomanagement Auteur Drs. Carla van der Weerdt RA Accent Organisatie Advies Effectief en efficiënt risicomanagement op bestuursniveau Risicomanagement

Nadere informatie

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002. Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten

Nadere informatie

Vertrouwen in ketens. Jean-Paul Bakkers

Vertrouwen in ketens. Jean-Paul Bakkers Vertrouwen in ketens Jean-Paul Bakkers 9 april 2013 Inhoud Het probleem Onderlinge verbondenheid De toekomstige oplossing TTISC project Discussie Stelling Wat doet Logius al Business Continuity Management

Nadere informatie

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Informatiebeveiliging the next level!

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Informatiebeveiliging the next level! Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Informatiebeveiliging the next level! 1! 1. Introductie Agenda! 2. Stand van zaken in de Cyber Security wereld 3. Verschillende soorten

Nadere informatie

Bedrijfscontinuïteit met behulp van een BCMS

Bedrijfscontinuïteit met behulp van een BCMS Bedrijfscontinuïteit met behulp van een BCMS 26 november 2014 Aart Bitter@ISGcom.nl www.information-security-governance.com Disaster Recovery Plan 2 The Bitter Brew Case To Brew or not to Brew, That s

Nadere informatie

Business Continuity Management

Business Continuity Management Business Continuity Management Aart Bitter - 14 januari 2014 SAFER, SMARTER, GREENER Praktijk case Wij zijn als bierbrouwerij voorgedragen om onze producten te leveren aan het Holland House tijdens het

Nadere informatie

André Salomons Smart SharePoint Solutions BV. Cloud security en de rol van de accountant ICT Accountancy praktijkdag

André Salomons Smart SharePoint Solutions BV. Cloud security en de rol van de accountant ICT Accountancy praktijkdag André Salomons Smart SharePoint Solutions BV Cloud security en de rol van de accountant ICT Accountancy praktijkdag Cloud security moet uniformer en transparanter, waarom deze stelling? Links naar de artikelen

Nadere informatie

Berry Kok. Navara Risk Advisory

Berry Kok. Navara Risk Advisory Berry Kok Navara Risk Advisory Topics Informatiebeveiliging in het nieuws Annual Benchmark on Patient Privacy & Data Security Informatiebeveiliging in de zorg Extra uitdaging: mobiel Informatiebeveiliging

Nadere informatie

Hoe fysiek is informatiebeveiliging?

Hoe fysiek is informatiebeveiliging? Hoe fysiek is informatiebeveiliging? Johan de Wit Siemens Nederland NV Hoe fysiek is informatiebeveiliging? Informatie is voor organisaties van onschatbare waarde, het beschermen ervan heeft binnen organisaties

Nadere informatie

INFORMATIEBEVEILIGING: WAAR STAAT U NU?

INFORMATIEBEVEILIGING: WAAR STAAT U NU? INFORMATIEBEVEILIGING: WAAR STAAT U NU? HANDIGE CHECKLISTS VOOR DE OVERHEIDSSECTOR In deze whitepaper bieden we u handvatten en checklists voor hoe u om kunt gaan met de nieuwe meldplicht datalekken. Steeds

Nadere informatie

WHITE PAPER. Informatiebeveiliging

WHITE PAPER. Informatiebeveiliging WHITE PAPER Informatiebeveiliging Door een goede, geïntegreerde inrichting van de informatiebeveiliging wordt een onderneming geholpen op een flexibele, kostenbewuste manier klanten beter te bedienen.

Nadere informatie

Zwaarbewolkt met kans op neerslag

Zwaarbewolkt met kans op neerslag 8 ControllersMagazine januari - februari 2015 automatisering Zwaarbewolkt met kans op neerslag Cloud was het woord van 2014. Het gaat hierbij om hard- en software die niet meer hoeft te worden aangeschaft

Nadere informatie

De Exact MKB Cloud Barometer: Kansen in de Cloud voor het MKB. Peter Vermeulen Pb7 Research i.o.v. Exact

De Exact MKB Cloud Barometer: Kansen in de Cloud voor het MKB. Peter Vermeulen Pb7 Research i.o.v. Exact De Exact MKB Cloud Barometer: Kansen in de Cloud voor het MKB Peter Vermeulen Pb7 Research i.o.v. Exact Veldwerk Doel van de Exact MKB Cloud Barometer Hoeveel waarde haalt het MKB uit de cloud? Hoe kunnen

Nadere informatie

DNB BCM Seminar 2013 Speech Frank Elderson Woensdag 27 november 2013

DNB BCM Seminar 2013 Speech Frank Elderson Woensdag 27 november 2013 DNB BCM Seminar 2013 Speech Frank Elderson Woensdag 27 november 2013 Vrijdag middag 5 april. Net lekker geluncht en dan: bericht van het sector crisismanagement secretariaat. Trouble in paradise!!! Er

Nadere informatie

Asset 1 van 17. Mobile Application Management en security. Gepubliceerd op 18 april 2015

Asset 1 van 17. Mobile Application Management en security. Gepubliceerd op 18 april 2015 Asset 1 van 17 Mobile Application Management en security Gepubliceerd op 18 april 2015 Veel organisaties hebben de afgelopen jaren hun eigen mobiele enterprise apps ontwikkeld. De data hierin is potentieel

Nadere informatie

Nationale IT Security Monitor 2015. Peter Vermeulen Pb7 Research

Nationale IT Security Monitor 2015. Peter Vermeulen Pb7 Research Nationale IT Security Monitor 2015 Peter Vermeulen Over het Onderzoek Jaarlijks terugkerende vragen Organisatie en beleid Investeringen en groei 2015 Thema s Databeveiliging (incl. Algemene Data Protectie

Nadere informatie

Werkplekbeveiliging in de praktijk

Werkplekbeveiliging in de praktijk Werkplekbeveiliging in de praktijk M.E.M. Spruit Geautomatiseerde werkplekken vormen een belangrijke schakel in de informatievoorziening van organisaties. Toch wordt aan de beveiliging van werkplekken

Nadere informatie

Het Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV

Het Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV Het Sebyde aanbod Secure By Design AUG 2012 Sebyde BV Wat bieden wij aan? 1. Web Applicatie Security Audit 2. Secure Development 3. Security Awareness Training 4. Security Quick Scan 1. Web Applicatie

Nadere informatie

Factsheet DATALEKKEN COMPLIANT Managed Services

Factsheet DATALEKKEN COMPLIANT Managed Services Factsheet DATALEKKEN COMPLIANT Managed Services DATALEKKEN COMPLIANT Managed Services We ontwerpen en implementeren security maatregelen om datalekken te detecteren en het risico daarop te minimaliseren.

Nadere informatie

Digital Independence. Plan Today to be ready for Tomorrow. Grip op uw continuïteit! Information Security and Continuity Services

Digital Independence. Plan Today to be ready for Tomorrow. Grip op uw continuïteit! Information Security and Continuity Services Digital Independence Grip op uw continuïteit! Plan Today to be ready for Tomorrow Information Security and Continuity Services Digital Independence Grip op uw continuïteit! Weet u welke risico s uw bedrijf

Nadere informatie

Visie op cybercrime. Rob Heijjer MSc, CISSP Crisismanagement & Fraudebestrijding Security Lab. Rabobank Nederland. Februari 2011

Visie op cybercrime. Rob Heijjer MSc, CISSP Crisismanagement & Fraudebestrijding Security Lab. Rabobank Nederland. Februari 2011 Visie op cybercrime Rob Heijjer MSc, CISSP Crisismanagement & Fraudebestrijding Security Lab Februari 2011 Rabobank Nederland Virtuele kanalen... Er zijn vele wegen Telefoon Voice & IVR (DTMF) TV WWW e-mail

Nadere informatie

Identify and mitigate your IT risk

Identify and mitigate your IT risk Identify and mitigate your IT risk ICT risico = bedrijfsrisico In de ontwikkeling die organisaties doormaken, speelt ICT een belangrijke rol. ICT heeft bedrijfsprocessen efficiënter en effectiever gemaakt.

Nadere informatie

Cyber Security: hoe verder?

Cyber Security: hoe verder? Cyber Security: hoe verder? Pensioenbestuurders Rotterdam, 11 maart 2014 Generaal (bd.) Dick Berlijn 2 Wat is Cyber, wat is Cyber Security? Cyber is: Overal Raakt alles Energie, transport, infrastructuur,

Nadere informatie

Voorkom digitale inbraak met een Security Operations Center

Voorkom digitale inbraak met een Security Operations Center Voorkom digitale inbraak met een Security Operations Center Hoe richt je een effectief Security Operations Center in? Het Security Operations Center (SOC) maakt veilige digitale dienstverlening mogelijk

Nadere informatie

Sr. Security Specialist bij SecureLabs

Sr. Security Specialist bij SecureLabs Wie ben ik? Ronald Kingma, CISSP ronald@securelabs.nl Sr. Security Specialist bij SecureLabs Introductie SecureLabs Voorheen ISSX Code of Conduct Real Penetration Testing Vulnerability Management Veiligheidsincidenten

Nadere informatie

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1. www.traxion.com

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1. www.traxion.com Veilig de cloud in Whitepaper over het gebruik van Cloud-diensten deel 1 www.traxion.com Introductie Deze whitepaper beschrijft de integratie aspecten van clouddiensten. Wat wij merken is dat veel organisaties

Nadere informatie

Factsheet Enterprise Mobility

Factsheet Enterprise Mobility Factsheet Enterprise Mobility www.vxcompany.com Informatie willen we overal, altijd en op elk device beschikbaar hebben. Privé, maar zeker ook zakelijk. Met het gebruik van mobile devices zoals smartphones

Nadere informatie

Readiness Assessment ISMS

Readiness Assessment ISMS Readiness Assessment van ISMS ISO/IEC27001:2005 1 Senior Internal/IT auditor Luyke Tjebbes EMIA RO CISA Lead Auditor ISO/IEC27001:2005 Projectleider ISO assessment 2 Wat is ISO 27001 eigenlijk? ISO/IEC

Nadere informatie

Factsheet SECURITY SCANNING Managed Services

Factsheet SECURITY SCANNING Managed Services Factsheet SECURITY SCANNING Managed Services SECURITY SCANNING Managed Services We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren. Met onze Security

Nadere informatie

We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren.

We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren. Managed Services Managed Services We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren. Met onze Security Management diensten bewaken we de continuïteit

Nadere informatie

Incidenten in de Cloud. De visie van een Cloud-Provider

Incidenten in de Cloud. De visie van een Cloud-Provider Incidenten in de Cloud De visie van een Cloud-Provider Overzicht Cloud Controls Controls in de praktijk Over CloudVPS Cloudhosting avant la lettre Continu in ontwikkeling CloudVPS en de Cloud Wat is Cloud?

Nadere informatie

Kwetsbaarheden in BIOS/UEFI

Kwetsbaarheden in BIOS/UEFI Kwetsbaarheden in BIOS/UEFI ONDERZOEKSRAPPORT DOOR TERRY VAN DER JAGT, 0902878 8 maart 2015 Inhoudsopgave Inleiding... 2 Wat is een aanval op een kwetsbaarheid in het BIOS?... 2 Hoe wordt een BIOS geïnfecteerd?...

Nadere informatie

Factsheet SECURITY SCANNING Managed Services

Factsheet SECURITY SCANNING Managed Services Factsheet SECURITY SCANNING Managed Services SECURITY SCANNING Managed Services We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren. Met onze Security

Nadere informatie

Veilig mobiel werken. Workshop VIAG 7 oktober 2013

Veilig mobiel werken. Workshop VIAG 7 oktober 2013 1 Veilig mobiel werken Workshop VIAG 7 oktober 2013 Stelling 1: 2 Heeft u inzicht in de opbrengsten van mobiel werken Ja, dit biedt veel toegevoegde waarde voor de organisatie Ja, dit biedt geen toegevoegde

Nadere informatie

2014 KPMG Advisory N.V

2014 KPMG Advisory N.V 02 Uitbesteding & assurance 23 Overwegingen bij uitbesteding back- en mid-office processen van vermogensbeheer Auteurs: Alex Brouwer en Mark van Duren Is het zinvol voor pensioenfondsen en fiduciair managers

Nadere informatie

2 e webinar herziening ISO 14001

2 e webinar herziening ISO 14001 2 e webinar herziening ISO 14001 Webinar SCCM 25 september 2014 Frans Stuyt Doel 2 e webinar herziening ISO 14001 Planning vervolg herziening Overgangsperiode certificaten Korte samenvatting 1 e webinar

Nadere informatie

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging Seminar Trends in Business & IT bij woningcorporaties Informatiebeveiliging Agenda Rondje verwachtingen Even voorstellen.. Informatiebeveiliging waarom? Stand van zaken bij corporaties Informatiebeveiliging

Nadere informatie

BUSINESS RISK MANAGEMENT

BUSINESS RISK MANAGEMENT BUSINESS RISK MANAGEMENT Algemene benadering FEDICT Quick-Win-methode Datum Auteur Versie 24/8/26 A. Huet - A. Staquet V1. Inhoud 1 DOELSTELLING VAN HET DOCUMENT... 2 2 DEFINITIES... 2 3 PRINCIPE... 3

Nadere informatie

BluefieldFinance Samenvatting Quickscan Administratieve Processen Light Version

BluefieldFinance Samenvatting Quickscan Administratieve Processen Light Version BluefieldFinance Samenvatting Quickscan Administratieve Processen Light Version Introductie Quickscan De financiële organisatie moet, net zo als alle andere ondersteunende diensten, volledig gericht zijn

Nadere informatie

NORA werkdocument. Katern Beveiliging. In 3 klikken naar bouwstenen voor invulling van de eisen. Sessie 6. Bijgewerkt op 23 aug.

NORA werkdocument. Katern Beveiliging. In 3 klikken naar bouwstenen voor invulling van de eisen. Sessie 6. Bijgewerkt op 23 aug. NORA werkdocument Sessie 6 In 3 klikken naar bouwstenen voor invulling van de eisen Katern Beveiliging Bijgewerkt op 23 aug. 2013 katern Beveiliging Jaap van der Veen Essentie Sessie 6 1. Opzet digitaal

Nadere informatie

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol SAMENVATTING ITIL ITIL is nog steeds dé standaard voor het inrichten van beheerspocessen binnen een IT-organisatie. En dekt zowel applicatie- als infrastructuur beheer af. Indien gewenst kan ITIL worden

Nadere informatie

Factsheet Penetratietest Informatievoorziening

Factsheet Penetratietest Informatievoorziening Factsheet Penetratietest Informatievoorziening Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

Risk & Requirements Based Testing

Risk & Requirements Based Testing Risk & Requirements Based Testing Tycho Schmidt PreSales Consultant, HP 2006 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice Agenda Introductie

Nadere informatie

Het ISACA RISK IT Framework voor Testers. Omgaan met risico s Risk Appetite Onderzoeken Maatregelen

Het ISACA RISK IT Framework voor Testers. Omgaan met risico s Risk Appetite Onderzoeken Maatregelen 1 Het ISACA RISK IT Framework voor Testers Omgaan met risico s Risk Appetite Onderzoeken Maatregelen 2 Wie is Jaap Ir. J. van der Leer CRISC CGEIT CISA 43 jaar in de IT werkzaam. 22 jaar ervaring in IT

Nadere informatie

Meer Business mogelijk maken met Identity Management

Meer Business mogelijk maken met Identity Management Meer Business mogelijk maken met Identity Management De weg naar een succesvolle Identity & Access Management (IAM) implementatie David Kalff OGh 14 september 2010 't Oude Tolhuys, Utrecht Agenda Herkent

Nadere informatie

Verborgen gebreken in de defence in depth theorie

Verborgen gebreken in de defence in depth theorie Verborgen gebreken in de defence in depth theorie Iedere beveiligingsprofessional kent waarschijnlijk het schillenconcept. Dit staat bekend onder verschillende benamingen zoals defence in depth of layers

Nadere informatie

IT Security Een keten is zo sterk als de zwakste schakel.

IT Security Een keten is zo sterk als de zwakste schakel. IT Security Een keten is zo sterk als de zwakste schakel. René Voortwist ICT Adviseur Leg het mij uit en ik vergeet het. Laat het me zien en ik onthoud het misschien, maar betrek mij erbij en ik begrijp

Nadere informatie

De Nederlandsche Bank N.V. mei 2011. Toetsingskader Business Continuity Management Financiële Kerninfrastructuur

De Nederlandsche Bank N.V. mei 2011. Toetsingskader Business Continuity Management Financiële Kerninfrastructuur De Nederlandsche Bank N.V. mei 2011 Toetsingskader Business Continuity Management Financiële Kerninfrastructuur Inhoud INLEIDING... 3 NORMEN BUSINESS CONTINUITY MANAGEMENT FKI... 5 1. STRATEGIE / BELEID...

Nadere informatie

Informatiebeveiliging voor gemeenten: een helder stappenplan

Informatiebeveiliging voor gemeenten: een helder stappenplan Informatiebeveiliging voor gemeenten: een helder stappenplan Bewustwording (Klik hier) Structureren en borgen (Klik hier) Aanscherping en maatwerk (Klik hier) Continu verbeteren (Klik hier) Solviteers

Nadere informatie

Is er een standaard oplossing voor Cyber Security?

Is er een standaard oplossing voor Cyber Security? Is er een standaard oplossing voor Cyber Security? Jaarcongres ECP 15 november 2012 Douwe Leguit Nationaal Cyber Security Centrum Wat staat u te wachten? Deagenda Trends Casuïstiek Uitdagingen Nationaal

Nadere informatie

Slide 1. Slide 2 Introduktie. Slide 3 Deze les: 2 onderwerpen. Les 1 Definities en belang Informatie Technologie. Intro docent Opzet/tentamenstof

Slide 1. Slide 2 Introduktie. Slide 3 Deze les: 2 onderwerpen. Les 1 Definities en belang Informatie Technologie. Intro docent Opzet/tentamenstof Slide 1 Les 1 Definities en belang Informatie Technologie IT A Basics en toepassing Informatie Technologie Versie 4.1 Sept 2014 Slide 2 Introduktie Intro docent Opzet/tentamenstof Stof/vraagstukken behandeld

Nadere informatie

Testen en BASEL II. Dennis Janssen. Agenda. Wat is BASEL II? Testen van BASEL II op hoofdlijnen

Testen en BASEL II. Dennis Janssen. Agenda. Wat is BASEL II? Testen van BASEL II op hoofdlijnen Testen en BASEL II Dennis Janssen Test Research Centre LogicaCMG 1 Agenda Wat is BASEL II? Testen van BASEL II op hoofdlijnen BASEL II als hulpmiddel om positie testen te versterken Samenvatting 2 1 Basel

Nadere informatie

VOOR EN NADELEN VAN DE CLOUD

VOOR EN NADELEN VAN DE CLOUD VOOR EN NADELEN VAN DE CLOUD VOOR EN NADELEN VAN DE CLOUD Cloud storage. Back-up in de cloud. Er zijn verschillende benamingen voor diensten die computergebruikers in staat stellen om hun documenten en

Nadere informatie

Risico Reductie Overzicht

Risico Reductie Overzicht Risico Reductie Overzicht Handleiding Auteurs Hellen Havinga en Olivier Sessink Datum 7 juli 2014 Versie 1.0 Inhoudsopgave 1.Risico Reductie Overzicht in vogelvlucht...4 2.Wie kan Wat met een Risico Reductie

Nadere informatie

BCM en de Cloud. CSA-nl 10 april 2012 André Koot

BCM en de Cloud. CSA-nl 10 april 2012 André Koot BCM en de Cloud CSA-nl 10 april 2012 André Koot info@i3advies.nl Twitter: @meneer Agenda Cloud Risico's Maatregelen 1. Cloud Cloud omnipresent Wereldwijd alle grote aanbieders Volop management aandacht

Nadere informatie

De essentie van de nieuwe ISO s. Dick Hortensius, NEN Milieu & Maatschappij

De essentie van de nieuwe ISO s. Dick Hortensius, NEN Milieu & Maatschappij De essentie van de nieuwe ISO s Dick Hortensius, NEN Milieu & Maatschappij 1 Waar ik het over ga hebben De uitdaging en de oplossing De HLS voor iedereen De HLS voor wie het wil Waar we staan en wat er

Nadere informatie

Onderzoek naar de veiligheid c.q. beveiliging van de SURFnet IDS dienst. Lourens Bordewijk & Jimmy Macé

Onderzoek naar de veiligheid c.q. beveiliging van de SURFnet IDS dienst. Lourens Bordewijk & Jimmy Macé Onderzoek naar de veiligheid c.q. beveiliging van de SURFnet IDS dienst. Lourens Bordewijk & Jimmy Macé Amsterdam 8-2-2006 Achtergrond IDS dienst SURFnet netwerk Aangesloten instellingen te maken met security

Nadere informatie

3-daagse praktijktraining. IT Audit Essentials

3-daagse praktijktraining. IT Audit Essentials 3-daagse praktijktraining IT Audit Essentials Programma IT-Audit Essentials Door de steeds verdergaande automatisering van de bedrijfsprocessen wordt de beveiliging en betrouwbaarheid van de IT systemen

Nadere informatie

Bring it Secure. Whitepaper

Bring it Secure. Whitepaper Whitepaper Imtech ICT Communication Solutions, Rivium Boulevard 41 2909 LK Capelle a/d IJssel T +31 88 988 96 00, info.cs@imtech.nl, www.imtech.nl/cs Imtech Vandaag de dag moet security een standaard

Nadere informatie

Informatiebeveiliging & ISO/IEC 27001:2013

Informatiebeveiliging & ISO/IEC 27001:2013 Informatiebeveiliging & ISO/IEC 27001:2013 Aart Bitter Haarlem, 18 maart 2014 Kwaliteitskring Noord-Holland www.information-security-governance.com Agenda 13:45-14:15 - Informatiebeveiliging Introductie

Nadere informatie

Certified Ethical Hacker v9 (CEH v9)

Certified Ethical Hacker v9 (CEH v9) Certified Ethical Hacker v9 (CEH v9) Opleiding van 8 sessies Start: 18-02-2016, Tramstraat 63, 9052 Zwijnaarde Lesdata van deze opleiding: 18/02/2016 ( 09:00-12:00 ) 18/02/2016 ( 13:00-16:00 ) 19/02/2016

Nadere informatie

Plan 5 6-11 7 - 41-43 76-78

Plan 5 6-11 7 - 41-43 76-78 Plan Gegevens mag het? Rechtmatig verkregen gegevens grondslagen voor rechtmatige verwerking: Ondubbelzinnige toestemming, noodzakelijk voor uitvoeren overeenkomst, wettelijke plicht, bescherming vitale

Nadere informatie

INFORMATIEBEVEILIGING VOOR WEBWINKELS

INFORMATIEBEVEILIGING VOOR WEBWINKELS INFORMATIEBEVEILIGING VOOR WEBWINKELS HANDIGE CHECKLISTS In deze whitepaper bieden we u tips en checklists die kunnen bijdragen aan een optimale beveiliging van zowel uw eigen data als die van uw klanten.

Nadere informatie

Wat is Cyber Security Management? 3 oktober 2014. ISA / Hudson Cybertec Arjan Meijer Security Consultant

Wat is Cyber Security Management? 3 oktober 2014. ISA / Hudson Cybertec Arjan Meijer Security Consultant Wat is Cyber Security Management? 3 oktober 2014 ISA / Hudson Cybertec Arjan Meijer Security Consultant 1 Agenda Introductie spreker / ISA 3 pijlers van security IT versus OT Cyber Security Management

Nadere informatie

Seclore FileSecure: beveiliging zonder grenzen!

Seclore FileSecure: beveiliging zonder grenzen! Seclore FileSecure: beveiliging zonder grenzen! Naam auteur : S. Liethoff Type document : Whitepaper Datum versie : 14-02-2013 1. Seclore FileSecure: Beveiliging zonder grenzen! Seclore FileSecure is een

Nadere informatie

Service Level Agreement (SLA)

Service Level Agreement (SLA) Service Level Agreement (SLA) Telefoon: 088 773 0 773 Email: Support@adoptiq.com Website: www.adoptiq.com Adres: Johan Huizingalaan 763a 1066 VH Amsterdam KvK nr: 61820725 BTW nr: NL.854503183.B01 IBAN

Nadere informatie

Een Project Management model. Wat is IASDEO?

Een Project Management model. Wat is IASDEO? Een Project Management model Project Management betekent risico s beheersen, voldoen aan allerlei vereisten, klanten tevreden stellen, beslissingen nemen, producten leveren, activiteiten coördineren, inputs

Nadere informatie

Implementeren van complianceen risicomanagement met Panoptys

Implementeren van complianceen risicomanagement met Panoptys Implementeren van complianceen risicomanagement met Panoptys Michiel Bareman 11 september 2014 1 Panoptys is alziend Argus Panoptys was een reus uit de Griekse mythologie die over zijn gehele lichaam honderd

Nadere informatie

Risicomanagement en NARIS gemeente Amsterdam

Risicomanagement en NARIS gemeente Amsterdam Risicomanagement en NARIS gemeente Amsterdam Robert t Hart / Geert Haisma 26 september 2013 r.hart@risicomanagement.nl / haisma@risicomanagement.nl 1www.risicomanagement.nl Visie risicomanagement Gemeenten

Nadere informatie

5 CLOUD MYTHES ONTKRACHT

5 CLOUD MYTHES ONTKRACHT 5 CLOUD MYTHES ONTKRACHT Na enkele jaren ervaring met de cloud, realiseren zowel gebruikers als leveranciers zich dat enkele van de vaakst gehoorde mythes over cloud computing eenvoudigweg... niet waar

Nadere informatie

GOEDE ZORG VOOR ONDERZOEKSDATA.

GOEDE ZORG VOOR ONDERZOEKSDATA. GOEDE ZORG VOOR ONDERZOEKSDATA. Ziekenhuislaboratorium LabWest vertrouwt IT-infrastructuur toe aan Sentia Sinds 2011 werken verschillende ziekenhuizen in en rondom Den Haag met een gezamenlijke laboratoriumorganisatie.

Nadere informatie

NBV themanummer Nieuwsbrief December 2010

NBV themanummer Nieuwsbrief December 2010 December 2010 NBV themanummer Nieuwsbrief December 2010 Het Nationaal Bureau Verbindingsbeveiliging (NBV), onderdeel van de AIVD, geeft voor zijn relaties tweemaandelijks een nieuwsbrief uit. Dit is een

Nadere informatie

EXIN WORKFORCE READINESS opleider

EXIN WORKFORCE READINESS opleider EXIN WORKFORCE READINESS opleider DE ERVARING LEERT ICT is overal. Het is in het leven verweven geraakt. In een wereld waarin alles steeds sneller verandert, is het lastig te bepalen wat er nodig is om

Nadere informatie

Business. IT in charge. Met resultaten CIO Survey en 9 CIO s aan het woord. Analytics

Business. IT in charge. Met resultaten CIO Survey en 9 CIO s aan het woord. Analytics Business Analytics IT in charge Met resultaten CIO Survey en 9 CIO s aan het woord Informatie is van en voor mensen CIO speelt belangrijke rol in nieuw spanningsveld Door Guus Pijpers Een van de eerste

Nadere informatie

CMS Ronde Tafel. Cloud Continuity. Ir. Jurian Hermeler Principal Consultant

CMS Ronde Tafel. Cloud Continuity. Ir. Jurian Hermeler Principal Consultant CMS Ronde Tafel Cloud Continuity Ir. Jurian Hermeler Principal Consultant Introductie Quint Wellington Redwood Onafhankelijk Management Adviesbureau Opgericht in 1992 in Nederland Ruim 20 jaar ervaring

Nadere informatie

Concept. Inleiding. Advies. Agendapunt: 04 Bijlagen: - College Standaardisatie

Concept. Inleiding. Advies. Agendapunt: 04 Bijlagen: - College Standaardisatie Forum Standaardisatie Wilhelmina v Pruisenweg 104 2595 AN Den Haag Postbus 84011 2508 AA Den Haag www.forumstandaardisatie.nl COLLEGE STANDAARDISATIE Concept CS07-05-04I Agendapunt: 04 Bijlagen: - Aan:

Nadere informatie

NORTHWAVE Intelligent Security Operations

NORTHWAVE Intelligent Security Operations Intelligent Security Operations UW BUSINESS BETER BESCHERMD DOOR GEDREVEN EXPERTS Northwave (2006) helpt u bij het realiseren van een slim en integraal proces van informatiebeveiliging. Dat biedt u betere

Nadere informatie

Agenda. 1. Introductie CIBER. 2. Visie Cloud Services. 4. Hoe kan CIBER hepen. 2 Titel van de presentatie

Agenda. 1. Introductie CIBER. 2. Visie Cloud Services. 4. Hoe kan CIBER hepen. 2 Titel van de presentatie CIBER Nederland BV Agenda SURF 1. Introductie CIBER 2. Visie Cloud Services 3. Visiei Position Paper Beliefs 4. Hoe kan CIBER hepen 2 Titel van de presentatie 1. Introductie CIBER Nederland? Feiten en

Nadere informatie

The chain gang: Public Briefing / februari 2014. Hoe Cloud ketens tot succesvollere implementaties leiden. Maurice van der Woude 1

The chain gang: Public Briefing / februari 2014. Hoe Cloud ketens tot succesvollere implementaties leiden. Maurice van der Woude 1 Public Briefing / februari 2014 The chain gang: Hoe Cloud ketens tot succesvollere implementaties leiden Maurice van der Woude 1 Ketensturing is niets nieuws, echter waar met meer Cloud oplossingen tegelijk

Nadere informatie

MEER AMBACHT DAN FABRIEK Data-Analyse en Process Mining Support www.coney.nl

MEER AMBACHT DAN FABRIEK Data-Analyse en Process Mining Support www.coney.nl MEER AMBACHT DAN FABRIEK Data-Analyse en Process Mining Support www.coney.nl DE TOOLS DIE WIJ GEBRUIKEN DATA- ANALYSE TOOLS DATA- ANALYSE SUPPORT PROCESS MINING TOOLS PROCESS MINING SUPPORT DATA- ANALYSE

Nadere informatie

6. Project management

6. Project management 6. Project management Studentenversie Inleiding 1. Het proces van project management 2. Risico management "Project management gaat over het stellen van duidelijke doelen en het managen van tijd, materiaal,

Nadere informatie

white paper 2 Selectie ehrm oplossing: Hoe kom ik tot de juiste keuze?

white paper 2 Selectie ehrm oplossing: Hoe kom ik tot de juiste keuze? white paper 2 Selectie ehrm oplossing: Hoe kom ik tot de juiste keuze? 1 Voorwoord 1. ehrm oplossing: impact van de keuze 2. Overzicht oplossingen 3. Project organisatie voor ehrm 4. Van ambitie tot keuze

Nadere informatie

Uw bedrijf beschermd tegen cybercriminaliteit

Uw bedrijf beschermd tegen cybercriminaliteit Uw bedrijf beschermd tegen cybercriminaliteit MKB is gemakkelijke prooi voor cybercriminelen Welke ondernemer realiseert zich niet af en toe hoe vervelend het zou zijn als er bij zijn bedrijf wordt ingebroken?

Nadere informatie

Beveiliging is meer dan een slot op je computerruimte. Ben Stoltenborg PinkRoccade Healthcare EDP Auditor

Beveiliging is meer dan een slot op je computerruimte. Ben Stoltenborg PinkRoccade Healthcare EDP Auditor Beveiliging is meer dan een slot op je computerruimte Ben Stoltenborg PinkRoccade Healthcare EDP Auditor Doel en Agenda Aan de hand van de ontwikkelingen in de zorg wordt een globaal en praktisch beeld

Nadere informatie

EXTREME WEATHER EVENTS

EXTREME WEATHER EVENTS EXTREME WEATHER EVENTS Benaderd vanuit MKB-accountancy Het wereldwijde klimaat en ook het klimaat in Nederland gaat veranderen en veroorzaakt waarschijnlijk meer weerextremen in de vorm van stormen, hevige

Nadere informatie

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014 Zekerheid in de Cloud ICT Accountancy praktijk dag: Cloud computing 27 mei 2014 Agenda - Wat speelt zich af in de Cloud - Cases - Keurmerk Zeker-OnLine - Wat is het belang van de accountant en het administratiekantoor

Nadere informatie

Handleiding uitvoering ICT-beveiligingsassessment

Handleiding uitvoering ICT-beveiligingsassessment Handleiding uitvoering ICT-beveiligingsassessment Versie 2.1 Datum : 1 januari 2013 Status : Definitief Colofon Projectnaam : DigiD Versienummer : 2.0 Contactpersoon : Servicecentrum Logius Postbus 96810

Nadere informatie

Informatiebeveiliging

Informatiebeveiliging Informatiebeveiliging Jeroen van Luin 30-11-2011 jeroen.van.luin@nationaalarchief.nl Wat is informatiebeveiliging? Informatiebeveiliging is het geheel van preventieve, detectieve, repressieve en correctieve

Nadere informatie

Security, Continuïty & Privacy by design. Jaap van der Veen CIO-office DG Belastingdienst

Security, Continuïty & Privacy by design. Jaap van der Veen CIO-office DG Belastingdienst Security, Continuïty & Privacy by design Jaap van der Veen CIO-office DG Belastingdienst Even voorstellen: Jaap van der Veen Strategisch architect Ministerie van Financiën CIO-office 06-5151 0702 je.van.der.veen@belastingdienst.nl

Nadere informatie

THE CLOUD IN JURIDISCH PERSPECTIEF SPREKERSPROFIEL. Mr. Jan van Noord Directeur International Tender Services (ITS) BV

THE CLOUD IN JURIDISCH PERSPECTIEF SPREKERSPROFIEL. Mr. Jan van Noord Directeur International Tender Services (ITS) BV THE CLOUD IN JURIDISCH PERSPECTIEF SPREKERSPROFIEL Mr. Jan van Noord Directeur International Tender Services (ITS) BV Wat is Cloud Op het moment dat content uit het eigen beheer c.q. toezicht verdwijnt

Nadere informatie