Nulmeting Informatiebeveiliging Gemeente Assen
|
|
- Vera Maas
- 7 jaren geleden
- Aantal bezoeken:
Transcriptie
1 Nulmeting Informatiebeveiliging Gemeente Assen Rapport voor Rekenkamercommissie Assen Insite Security Groningen Versie 1.1 GEHEIM 2015 Insite Security BV. Insite Security BV is onderdeel van Insite Groep BV. Alle rechten voorbehouden.
2 Inhoudsopgave Inhoudsopgave Inleiding Opdrachtomschrijving Reikwijdte Beperkingen en voorwaarden Leeswijzer Managementsamenvatting Inleiding Conclusie Belangrijkste aanbevelingen Bevindingen en aanbevelingen Mens: praktijktesten van gedrag Organisatie: Analyse interne beheersing Techniek: Penetratietest en beveiligingsscans Bijlage Plan van aanpak nulmeting Pagina 2 van 15
3 1 Inleiding 1.1 Opdrachtomschrijving Insite Security BV (hierna Insite Security) heeft in opdracht van Rekenkamercommissie Assen, in overeenstemming met het voorstel d.d. 2 september 2015, een nulmeting informatiebeveiliging uitgevoerd. Doelstelling van deze nulmeting is om het niveau van de IT beveiliging binnen de gemeente Assen in kaart te brengen, de belangrijkste risico s te benoemen en een advies te geven over welke beveiligingsmaatregelen mogelijk kunnen worden getroffen of verbeterd. De rekenkamer van de gemeente Assen wil graag weten of het beveiligingsbeleid, het beveiligingsbewustzijn van de medewerkers en de huidige technische beveiligingsmaatregelen voldoen. Deze nulmeting richt zich dan ook op alle aspecten die raken aan informatiebeveiliging: Mens, Organisatie en Techniek, en geeft antwoord op de vraag: Hoe veilig zijn we?, afgezet tegen de bekende kwetsbaarheden die door ons worden geïdentificeerd. 1.2 Reikwijdte Deze nulmeting richt zich op drie aspecten van informatiebeveiliging: mens, organisatie en techniek. Het mensgerichte deel van deze nulmeting bestaat uit een aantal praktijktesten die gericht zijn op het gedrag van medewerkers van de gemeente Assen. De praktijktesten USB- sticks en mystery guest zijn gericht op het gedrag van de medewerkers op het gemeentehuis in Assen. Een phishing mail is verstuurd naar alle medewerkers van de gemeente Assen. Het organisatorische deel van deze nulmeting gaat in op de gehele organisatie en alle processen en middelen van de gemeente Assen. Voor het technische deel van deze nulmeting is een beveiligingsonderzoek uitgevoerd in de vorm van een penetratietest. Hiervoor is de gehele IT infrastructuur van gemeente Assen onderzocht op kwetsbaarheden en de mogelijkheden om deze te misbruiken. 1.3 Beperkingen en voorwaarden Insite Security maakte bij het uitvoeren van de technische security scan uitsluitend gebruik van technische middelen. Van andere middelen, bijvoorbeeld social engineering, is geen gebruik gemaakt. Tevens voerde Insite Security geen zogenaamde Denial- of- Service aanvallen uit, omdat deze vrijwel altijd slagen. Met behulp van het onderzoek kan alleen worden aangetoond of het mogelijk is om de aanwezige beveiligingsmaatregelen te doorbreken. Er kan niet met zekerheid worden gesteld dat geïmplementeerde beveiligingsmaatregelen niet kunnen worden doorbroken. Een aanvaller met ongelimiteerd budget, kennis en tijd zal vrijwel altijd kunnen slagen in het doorbreken van de beveiliging. Het onderzoek is dus niet gericht op het verkrijgen van een oordeel over de beveiliging met een bepaalde mate van zekerheid, maar op het testen van de werking van bepaalde beveiligingsmaatregelen. Bij het uitvoeren van een onderzoek werkt Insite Security met de op dat moment bekende zwakheden en aanvalstechnieken. Het resultaat betreft een momentopname van de zwakheden, aanvalstechnieken en getroffen beveiligingsmaatregelen. Dit rapport is uitsluitend bestemd voor de rekenkamercommissie van de gemeente Assen en mag alleen na schriftelijke toestemming van Insite Security aan derden worden verstrekt. Pagina 3 van 15
4 1.4 Leeswijzer De rapportage is als volgt opgebouwd. Hoofdstuk 2 bevat de managementsamenvatting met daarin de resultaten en conclusies. In hoofdstuk 3 worden per aandachtsgebied de bevindingen en aanbevelingen beschreven. In een separaat document is het resultaat van de nulmeting techniek beschreven. Dit rapport, met daarin een uitgebreide beschrijving van alle technische details van alle bevindingen, is apart aan de rekenkamercommissie Assen ter beschikking gesteld. Pagina 4 van 15
5 2 Managementsamenvatting 2.1 Inleiding De beveiliging, dat wil zeggen de beschikbaarheid, integriteit en vertrouwelijkheid, van informatie is voor gemeente Assen belangrijk. Het is bijvoorbeeld van belang dat de bedrijfsvoering zodanig is ingericht dat is gewaarborgd dat gevoelige informatie zoals persoonsgegevens niet op straat komt te liggen. Ook de (tijdige) beschikbaarheid van bepaalde informatie is cruciaal voor het nemen van beslissingen. Gemeente Assen investeert in het verbeteren van het niveau van informatiebeveiliging. De afgelopen periode is bijvoorbeeld de Baseline Informatiebeveiliging Gemeenten (BIG) doorgenomen en ingevuld. Ook is er informatiebeveiligingsbeleid geformuleerd. De rekenkamercommissie doet onderzoek naar de uitvoering van het gemeentelijk beleid. Hierbij wordt gekeken of de uitvoering efficiënt en volgens de regels heeft plaatsgevonden en of het doel bereikt is. In het kader van haar rol wil de rekenkamercommissie de informatiebeveiliging toetsen op de onderdelen mens, organisatie en techniek, waarbij de nadruk ligt op de onderdelen techniek en mens. De rekenkamercommissie van de gemeente Assen heeft Insite Security gevraagd een nulmeting informatiebeveiliging uit te voeren op de aspecten organisatie, mens en techniek. Het doel van de nulmeting is om het niveau van de IT beveiliging binnen Gemeente Assen in kaart te brengen, de belangrijkste risico s te benoemen en een advies te geven over welke beveiligingsmaatregelen mogelijk kunnen worden getroffen of verbeterd. De nulmeting richt zich zowel op technische aspecten, de factor mens als organisatorische IT beveiligingsmaatregelen binnen Gemeente Assen en geeft antwoord op de vraag: Hoe veilig zijn we? afgezet tegen de bekende kwetsbaarheden die door ons worden geïdentificeerd. Gemeente Assen wil graag weten of de huidige beveiligingsmaatregelen voldoen aan de huidige stand der techniek zodat het risico dat wordt veroorzaakt door de hedendaagse bedreigingen voldoende is afgedekt. Resultaat van het onderzoek is een schriftelijke (Nederlandstalige) rapportage waarin op heldere en praktische wijze de onderzoeksvraag wordt beantwoord. 2.2 Conclusie Op basis van de bevindingen van deze nulmeting wordt het niveau van informatiebeveiliging van de gemeente Assen, voor elk van de aspecten: mens, organisatie, en techniek beoordeeld als: Mens: Medewerkers van de gemeente Assen zijn in hoge mate kwetsbaar voor mensgerichte aanvallen: phishing mails, ongewenste bezoekers en besmette usb- sticks. De uitdaging ligt in het verbeteren van de aspecten kennis, houding en gedrag van informatiebeveiliging bij de medewerkers van de gemeente Assen. Organisatie: Gemeente Assen is zich zeker bewust van het belang van informatiebeveiliging en heeft in de werkwijze hier ook de nodige maatregelen voor genomen. Toch ontbreken er in de PDCA cyclus onderdelen zoals het bepalen van richtlijnen, hier structureel naar te werken, toetsingen op de uitvoering en waar nodig hierin bij te stellen een aantal onderdelen. Voorbeelden hiervan zijn (het ontbreken van) risicoanalyses, periodiek controle op autorisaties, en het evalueren van interne security incidenten. Het niveau van IT- beveiliging zit tussen 'ad hoc' en 'herhaalbaar' in. Pagina 5 van 15
6 Techniek: Het beveiligingsniveau van de interne- en externe- IT infrastructuur van gemeente Assen wordt beoordeeld als Zeer onveilig. Tijdens de penetratietest en de beveiligingsscan zijn meerdere kwetsbaarheden met een kritisch risico aangetroffen (een kwetsbaarheid met een grote impact die vrij eenvoudig te misbruiken is). De belangrijkste gevonden kwetsbaarheden zijn: o Door gebruik te maken van een gevonden kwetsbaarheid is het gelukt om de volledige controle over het kantoornetwerk van de gemeente Assen te bemachtigen. Hierdoor is het mogelijk alle informatie op het kantoornetwerk van de gemeente te lezen, overschrijven en/of te verwijderen. Enkele voorbeelden van de mogelijkheden zijn: versturen namens medewerkers van gemeente Assen; verwijderen of toevoegen van medewerkers; kwaadwillende software installeren op alle computers van gemeente Assen; en toegang tot applicaties van de gemeente Assen aanpassen. o Door gebruik te maken van een gevonden kwetsbaarheid is het gelukt om de controle van de computers van het Werkplein te bemachtigen. Hierdoor is het mogelijk om zo goed als alle informatie op het interne netwerk van de gemeente te lezen, overschrijven en/of te verwijderen. o Ook zijn tijdens het onderzoek meerdere wachtwoorden van systemen bemachtigd. Desondanks is het tijdens de penetratietest niet gelukt om ongeautoriseerd toegang te krijgen tot een aantal belangrijke systemen die buiten het kantoornetwerk zelf zijn geplaatst (waaronder GBA). Echter, door misbruik te maken van de kwetsbaarheden in het kantoornetwerk is het mogelijk om kwaadwillende software te installeren en daarmee alsnog toegang te verkrijgen tot deze systemen. Een dergelijke aanval heeft een langere looptijd van ongeveer een maand. 2.3 Belangrijkste aanbevelingen Om het beveiligingsniveau van de gemeente Assen structureel te verbeteren doet Insite Security de volgende aanbevelingen, onderverdeeld naar mens, organisatie en techniek: Aanbevelingen mens: Verhoog het kennisniveau en het risicobesef van de medewerkers door het verzorgen van een bewustwordingsprogramma de komende jaren. In het programma worden onderdelen opgenomen als e- learningprogramma s workshops en communicatie uitingen. Verhoog het kennisniveau van de medewerkers door het aanbieden van bijvoorbeeld elearning gericht op het onderscheiden van phishing mail van legitieme mail. Wijs medewerkers op het risico van zwakke wachtwoorden en faciliteer ze in het aanmaken en gebruiken van sterke wachtwoorden. Maak een risicoanalyse van de huidige fysieke toegangsbeveiliging. Het pand is nu eenvoudig binnen te dringen. Aanbevelingen organisatie Houdt risico- analyses op de meest kritische projecten, klanten en informatiesystemen. Zorg dat incidenten als security incident kunnen worden aangemerkt en zorg dat er (extra) maatregelen wor- den genomen in voorkomende gevallen. Pagina 6 van 15
7 Classificeer de gegevens die worden gebruikt en richt op basis daarvan de rollen met bijbehorende rechten in gebruikmakend van het Principle of least privilege. Zorg dat de verantwoordelijke eigenaren van gegevens / informatiesystemen / applicaties periodiek de uitstaande autorisaties controleren en waar nodig laten bijstellen. Aanbevelingen techniek: Er zijn verbeteringen noodzakelijk om de vertrouwelijkheid, integriteit en beschikbaarheid van informatie te kunnen garanderen. Hierbij moet er rekening worden gehouden met bijvoorbeeld het patchmanagement, configuratiemanagement en het segmenteren van het netwerk. Een uitgebreide rapportage over het technische onderzoek met daarin alle bevindingen, gevonden kwetsbaarheden, en te nemen maatregelen zijn aan de rekenkamercommissie ter beschikking gesteld in een aparte technische rapportage. De informatie in deze rapportage is dermate gevoelig dat deze niet in deze rapportage is opgenomen. De belangrijkste aanbevelingen voor de gemeente Assen nu, en op de langere termijn zijn: Implementeer de aanbevelingen uit de technische rapportage. Ondanks het grote aantal zijn de meeste aanbevelingen relatief eenvoudig uit te voeren. Doe de migratie van systemen die nu buiten het domein zijn geplaatst nadat de aanbevelingen uit de technische rapportage zijn uitgevoerd. Om de kwaliteit van informatiebeveiliging in het interne netwerk op te lange termijn te verbeteren en te behouden is het van belang om deze periodiek te controleren. Start met het periodiek (wekelijks/maandelijks) controleren van alle systemen binnen de IT infrastructuur van gemeente Assen. Bijvoorbeeld door het uitvoeren van een kwetsbaarhedenscan. Pagina 7 van 15
8 3 Bevindingen en aanbevelingen Dit hoofdstuk beschrijft de bevindingen en aanbevelingen van deze nulmeting en bevat het mensgerichte onderdeel (praktijktesten van gedrag), en die van het organisatorische onderdeel (analyse interne beheersing). De bevindingen en aanbevelingen van het technische onderdeel van deze nulmeting (penetratietest en kwetsbaarhedenscan) zijn opgenomen in een aparte rapportage die aan de rekenkamercommissie ter beschikking is gesteld. 3.1 Mens: praktijktesten van gedrag Algemeen De phishing test, het mystery guest bezoek en de usb- sticks actie zijn in september en oktober uitgevoerd. Onderstaand worden de resultaten beschreven. Phishing e- mail Bevindingen: Er zijn 946 e- mails (maillijst gemeente Assen) verstuurd, 36% van de medewerkers (unieke gebruikers) heeft de e- mail geopend. In totaal is de mail 687x bekeken en 582x is op de link geklikt; Er zijn 641x gebruikersnamen en wachtwoorden ingevuld door 245 unieke gebruikers (26%). Dit betekent dat er door de individuele gebruikers meerdere malen gebruikersnaam en (verschillende) wachtwoorden zijn ingevuld; De Top 3 vult respectievelijk 20x, 14x en 10x zijn of haar gegevens in; Een analyse van de afgegeven wachtwoorden kan worden gesteld dat de wachtwoorden veelal niet vol- doen aan de criteria van een sterk wachtwoord; Er zijn 61 meldingen gerelateerd aan de phishing e- mail geweest bij de servicedesk. De servicedesk was op de hoogte van de test en heeft geen actie ondernomen waardoor de test ongestoord voortgezet kon wor- den. Drie werkdagen na de start van de test is er een bericht geplaats op intranet over de phishing test. Rondslingerende USB- sticks Insite Security heeft op 17 september 20 geprepareerde USB- sticks op de locatie van de Gemeente Assen achtergelaten. Bevindingen: Er zijn 20 sticks verspreid over de afdelingen van de kantoorlocatie (stadhuis); 7 medewerkers hebben de link aangeklikt in het bestand op de usb- stick; Er zijn 13 USB- sticks ingeleverd bij de IT helpdesk. Mystery guest Een medewerker van Insite Security heeft in de periode van september tot oktober twee maal in het stadhuis van Gemeente Assen onder kantooruren gezocht naar vertrouwelijke informatie. Hierbij is geprobeerd zonder afspraak of identificering het pand binnen te dringen. Eenmaal binnen is geprobeerd vertrouwelijke informatie te verzamelen door onder andere te zoeken naar fysieke documenten bij printers, werkplekken en archieven. Pagina 8 van 15
9 Bevindingen: De mystery guest kon eenvoudig het pand binnendringen door mee te lopen met medewerkers via de personeelsingang aan de buitenzijde, dan wel mee te lopen met medewerkers bij de interne ingang. De medewerkers van Gemeente Assen vertrouwen over het algemeen op de goede bedoelingen van be- zoekers. Onze medewerker is eenmaal effectief aangesproken en naar de afspraak gebracht. Echter deze was niet aanwezig en aansluitend kon de mystery guest ongestoord verder gaan; Er zijn diverse documenten met vertrouwelijke informatie op bureaus en in kasten aangetroffen; Er zijn meerdere onbeheerde devices op overlegplekken aangetroffen; Het cleandesk principe wordt na werktijd goed toegepast. Wel zijn er veel werkkasten met vertrouwelijke documenten niet afgesloten; Bij de printers zijn geen vertrouwelijke documenten aangetroffen. Men maakt gebruik van een vorm van secure printen; Er zijn meerdere niet afgesloten en onbeheerde werkstations aangetroffen. Conclusies en aanbevelingen nulmeting mens De menselijke factor in informatiebeveiliging is een risico voor de informatiebeveiliging van Gemeente Assen. Er zijn zowel online als offline pogingen gedaan om waardevolle informatie buit te maken. Phishing e- mails = Gemeente Assen is in hoge mate kwetsbaar voor phishing e- mails Online zijn de medewerkers van Gemeente Assen zich onvoldoende bewust van de risico s van het gebruik van e- mail. Misleidende e- mails van valse afzenders worden door meer dan een kwart van de medewerkers niet als zodanig herkend. Er is wel melding gemaakt door meerdere medewerkers van een poging tot phishing. Gemeente Assen is kwetsbaar voor phishing e- mails en andere e- mail fraude waarbij inlog- gegevens en vertrouwelijke informatie kan worden gestolen. Wanneer hackers op deze wijze toegang krijgen tot de infrastructuur kan dit ernstige gevolgen hebben. Phishing e- mails kunnen worden herkend op basis van een aantal kenmerken in bijvoorbeeld het adres van de afzender en/of de URL van de gelinkte website. Door medewerkers te informeren over deze kenmerken kan het risico van phishing e- mails worden beperkt. Uit de analyse van de afgegeven wachtwoorden is het aan te raden om medewerkers nader te informeren en te faciliteren in het gebruiken van sterke wachtwoorden. USB- sticks = Gemeente Assen is in hoge mate kwetsbaar voor USB- sticks met malware Van de op willekeurige plekken achtergelaten USB- sticks is bij een derde op het op de stick aanwezige bestand geklikt. Deze actie is echter snel als potentieel informatielek herkend en er is adequate actie ondernomen. Er is een groot deel van de sticks ingeleverd bij de helpdesk. Ook dit reële risico dient onder de aandacht van medewerkers te worden gebracht. Om het kennisniveau van de medewerkers te verhogen zou een case- based elearning ingezet kunnen worden. In de elearning krijgen deelnemers vragen over voor hun herkenbare situaties. Middels een grappige cartoon worden ze geïnformeerd over de risico s en krijgen ze tips hoe deze risico s te beperken. Mystery guest/ongenode bezoekers = Gemeente Assen is in hoge mate kwetsbaar voor ongenodigde bezoekers Pagina 9 van 15
10 Medewerkers gaan er van uit dat bezoekers een legitieme reden hebben om in het kantoorpand aanwezig te zijn. De fysieke beveiliging werkt echter niet afdoende en eenmaal binnen kan men relatief ongestoord zoeken naar waardevolle informatie. Een deel van het pand is verhuurd aan een externe partij. Hierdoor is de kans blijkbaar sterk verlaagd om onbekenden te kunnen onderscheiden van collega s. Op diverse plekken zijn diverse interessante documenten gevonden en er zijn meerdere niet afgesloten werkstations aangetroffen. 3.2 Organisatie: Analyse interne beheersing Algemeen Gemeente Assen is zich zeker bewust van het belang van informatiebeveiliging en heeft in de werkwijze hier ook de nodige maatregelen voor genomen. Toch ontbreken er in de PDCA cyclus onderdelen zoals het bepalen van richtlijnen, hier structureel naar te werken, toetsingen op de uitvoering en waar nodig hierin bij te stellen een aantal onderdelen. Voorbeelden hiervan zijn (het ontbreken van) risicoanalyses, periodiek controle op autorisaties, en het evalueren van interne security incidenten. Het niveau van IT- beveiliging zit tussen 'ad hoc' en 'herhaalbaar' in. Beveiligingsbeleid Bevindingen Er is vastgesteld beleid. In het algemeen geldt dat de meeste processen en procedures (op het gebied van IT- beheer en informatiebeveiliging) zijn geformaliseerd. Er worden maatregelen op basis van compliance met de BIG ingevoerd. Er vinden echter geen reguliere risico analyses plaats waarop maatregelen worden gebaseerd. Er is een concrete taakstelling op gebied van IT en/of security. Er zijn specifieke rollen rondom informatiebeveiliging belegd, zoals een Security Officer Gegevens zijn niet structureel geclassificeerd. Wel zijn de applicaties geclassificeerd op basis van beschik- baarheid. Verbeterpunten worden niet planmatig geregistreerd en beheerd. Aanbevelingen Deel de belangrijkste principes, gewenst gedrag, op het gebied van informatiebeveiliging regelmatig met de medewerkers. Verzamel de hoofdpunten op een intern gedeelde plaats (intranetsite, presentatie). Houdt risicoanalyses op de meest kritische projecten, klanten en informatiesystemen. Bij voorkeur in een workshop waar zo mogelijk een vertegenwoordiger van de klant bij uitgenodigd wordt. Zorg voor eenduidige definitie van eigenaars van risico s, systemen en data. Ga na welke gegevens er worden verwerkt, groepeer deze, classificeer deze en ga vervolgens na of hoe met verschillende soorten gegevens en data in databases en daarbuiten dient te worden omgegaan. Stel jaarlijks een verbeterplan op. Registreer de verbeterpunten, bepaal de actiehouder en status en houdt deze up- to- date. Zorg in het kader van de aankomende wet Datalekken voor de het invoeren van de bijbehorende meldpro- cedure en de daarbij horende maatregelen als logging. Logische toegangsbeveiliging Bevindingen Er wordt gebruik gemaakt van algemene accounts. Externe toegang voor o.a. beheerwerkzaamheden is vastgelegd in een procedure. Voor beheerders zijn de administrator rechten gekoppeld aan hun persoonlijke accounts. Pagina 10 van 15
11 Aanbevelingen Classificeer de gegevens die worden gebruikt en richt op basis daarvan de rollen met bijbehorende rechten in gebruikmakend van het Principle of least privilege. Zorg dat de verantwoordelijke eigenaren van gegevens / informatiesystemen / applicaties periodiek de uitstaande autorisaties controleren en waar nodig laten bijstellen. Wijzigingsbeheer Bevindingen Het wijzigingsproces wordt uitgevoerd conform ISM. Het proces is vastgelegd en wordt ondersteund in TopDesk. Wijzigingen worden besproken in CMO met duidelijke onderverdeling in categorieën en bijbehorende be- sluitvorming. SLA s liggen nog niet vast in Topdesk. Security patches zijn als operationele taak vastgelegd in Topdesk. Aanbevelingen Zorg bij impactanalyses dat informatiebeveiliging onderdeel van de analyse is. Incidentbeheer Bevindingen Incidentenbeheer is ingericht waarbij meldingen worden vastgelegd in Topdesk. Inschatting van de prioriteit van incidenten wordt gedaan op basis van vastgelegde regels voor urgentie en impact. Afspraken rondom oplostijden zijn met interne klanten afgesproken. Dit moet nog in lijn gebracht worden met afspraken bij externe partijen. Aanbevelingen Zorg dat incidenten als security incident kunnen worden aangemerkt en zorg dat er (extra) maatregelen worden genomen in voorkomende gevallen. Analyseer elk security incident, alsmede herhalende klant- en interne incidenten. Achterhaal de oorzaak, en neem maatregelen om het optreden van deze incidenten inde toekomst te voorkomen. Contract- en service management Bevindingen De teamleider is contracteigenaar van de applicatie software. Contractmanagement is separaat belegd. Maandelijks wordt een overzicht van lopende contracten gegenereerd waarbij op basis van noodzaak con- tracten bekeken worden. Eisen rondom informatiebeveiliging worden nog niet standaard in contracten meegenomen. Aanbevelingen Review periodiek de inhoud van de SLA s met leveranciers om te beoordelen of de inhoud nog aansluit bij de eisen en wensen van de organisatie en zorg voor borging van Informatiebeveiliging in SLA s. Pagina 11 van 15
12 Continuïteit Bevindingen Er wordt alleen voor de GBA en BAG uitwijktesten gedaan Het back- up proces is beschreven, opgetuigd en ingeregeld, inclusief bewaking. Er worden op afroep restores op bestanden uitgevoerd. Er wordt niet regulier getest op het kunnen terug- zetten van (delen van) de productieomgeving. Aanbevelingen Breng afhankelijkheden in data tussen verschillende systemen in kaart. Voer periodieke restoretests uit op een representatieve set (systeem)backups. Neem bij wijzigingen en aanvragen specifiek de eisen rondom bewaartijden mee in zodat dit aansluit bij de back up procedures 3.3 Techniek: Penetratietest en beveiligingsscans De bevindingen en aanbevelingen van het technische onderdeel van deze nulmeting (penetratietest en kwetsbaarhedenscan) zijn dermate gevoelig dat deze bevindingen zijn opgenomen in een aparte rapportage die aan gemeente Assen ter beschikking is gesteld. Pagina 12 van 15
13 4 Bijlage 4.1 Plan van aanpak nulmeting Insite Security hanteert heeft voor deze nulmeting een aanpak gebruikt die in de praktijk al vele malen met succes is toegepast. Met deze aanpak is Insite Security in staat niet alleen de nulmeting efficiënt uit te voeren maar ook snel resultaten te boeken. In essentie bestaat deze nulmeting uit vijf fasen: Figuur 1 Aanpak De verschillende fasen van de nulmeting worden hieronder beschreven. Per fase geeft Insite Security een toelichting en wordt het resultaat beschreven. Per scenario zijn de methodiek, de werkwijze en benodigdheden uitgewerkt. Fase 1: Voorbereiding In deze fase heeft Insite Security in overleg met gemeente Assen de uit te voeren werkzaamheden voorbereid. Deze voorbereiding is gebruikt voor het maken va werkafspraken en het regelen van alle benodigdheden en randvoorwaarden. Resultaat: definitieve planning en benodigdheden voor de nulmeting. Fase 2: Praktijktesten van gedrag Voor het mensgerichte deel van dit onderzoek heeft Insite Security test in overleg met gemeente Assen drie praktijktesten van gedrag uitgevoerd in de vorm van drie scenario s: een phishing aanval per mail, een vrij rondlopende bezoeker/ mystery guest en het achterlaten van USB- sticks. Hieronder worden de scenario s verder uitgewerkt. Dit deel van het onderzoek is uitgevoerd in de maanden september en oktober Phishing aanval via mail Alle medewerkers ontvangen een phishing mail. Hierin wordt de medewerker gevraagd in het kader van een zogenaamde outlook migratie om privacygevoelige gegevens (zoals gebruikersnaam) achter te laten. De inhoud van de phishing e- mail voor Gemeente Assen betrof een uitnodiging van een zogenaamd project- team gericht op de migratie naar een nieuwe e- mailomgeving. Gebruikers werd gevraagd in te loggen in de nieuwe Outlook webmail met hun gebruikersnaam en wachtwoord. De phishing e- mail verwees naar een website met daarop een kopie van een standaard Outlook inlogscherm. Het afzenderadres van de e- mail en de url van de phishing website 2. Vrij rondlopende bezoeker ( mystery guest ) Een medewerker van Insite Security loopt op een aantal willekeurige momenten als bezoeker (zonder bege- leiding) door gemeentehuis van Assen en probeert zoveel mogelijk vertrouwelijke dan wel privacy gevoelige Pagina 13 van 15
14 informatie te achterhalen (bijv. bij printers en verlaten werkplekken enzovoort) 3. Rondslingerende USB- sticks Op willekeurige plekken verspreid over het gemeentehuis van Assen laat Insite Security een aantal geprepa- reerde usb- sticks (voorstel 20) rondslingeren. Wanneer een medewerker de usb- stick gebruikt en het be- stand ( recent salarisoverzicht ) op de stick aanklikt, wordt dit automatisch aan Insite Security doorgegeven. Resultaat: overzicht van de te treffen of te verbeteren mens gerelateerde beveiligingsmaatregelen. Fase 3: Penetratietest en beveiligingsscans (extern en intern) Voor het technische gedeelte van dit onderzoek heeft Insite Security een penetratietest (pentest) en geautomatiseerde netwerkscans uitgevoerd op de externe en interne IT- infrastructuur van de gemeente Assen. Dit deel van het onderzoek heeft plaatsgevonden op 14 en 15 oktober Tijdens de uitvoering is gebruik gemaakt de volgende scenario s: 1. Externe penetratietest vanaf internet Bij dit scenario wordt een black box onderzoek uitgevoerd naar aanwezige kwetsbaarheden in de vanaf internet bereikbare infrastructuur. Voor dit onderzoek beschikken wij over minimale informatie over web applicaties en IP- adressen. Binnen een gegeven hoeveelheid tijd time- box brengen wij zoveel mogelijk zwakke plekken voor de systemen die onderdeel zijn van het onderzoek. 2. Interne netwerk - inventarisatie- en kwetsbaarhedenscan. Voor het uitvoeren van dit scenario wordt vanaf een centrale locatie in het interne netwerk van de gemeen- te Assen, gescand met apparatuur van Insite Security. In eerste instantie voeren wij, gebruikmakend van een inventarisatietool, actieve inventarisatiescans uit. In overleg zullen wij aangetroffen kwetsbaarheden misbruiken. Insite Security maakt in voor de pentest en netwerkscans gebruik van diverse (technische) hulpmiddelen. Daarnaast wordt van bronnen binnen Insite Security en daar buiten (internet) gebruik gemaakt. Enkele voorbeelden van technische hulpmiddelen zijn: Tenable Nessus Professional Metasploit Pro Nikto BurpSuite Pro Resultaat: overzicht technische beveiligingsrisico s en mogelijkheden tot misbruik. Fase 4: Analyse interne beheersing De organisatorische nulmeting is uitgevoerd aan de hand van gestructureerde vragenlijsten, het bestuderen van bestaande documentatie, eigen waarneming (bijv. het controleren van bepaalde systeeminstellingen) en het houden van een aantal interviews. Dit deel van de nulmeting heeft plaatsgevonden op 27 en 29 oktober De organisatorische nulmeting gaat onder meer in op: Beveiligingsbeleid; Logische toegangsbeveiliging; Pagina 14 van 15
15 Wijzigingsbeheer; Incidentbeheer; Contract- en service management; Beveiliging van (web)applicaties; Continuïteit. Resultaat: overzicht van de te treffen en of te verbeteren organisatorische beveiligingsmaatregelen Fase 5: Rapportage, afstemming en presenteren bevindingen Insite Security heeft een rapportage van bevindingen opgesteld. In de rapportage wordt op een heldere en begrijpelijke wijze de bevindingen van de test gepresenteerd. Per bevinding geeft Insite Security aan wat de gevolgen/risico s hiervan zijn en geven wij concrete aanbevelingen/oplossingsrichtingen om de gesignaleerde risico s te mitigeren. Bevindingen worden zo veel mogelijk onderbouwd met bewijsstukken en overlegd aan opdrachtgever. De rapportage wordt persoonlijk toegelicht aan opdrachtgever. In de presentaties aan de politiek (college van B&W en gemeenteraad) en de ambtelijke organisatie (management en sleutelfiguren binnen de organisatie) zullen de bewijsstukken indien nodig geanonimiseerd worden en gebruikt worden ter illustratie. Gezien de persgevoeligheid van de uitkomsten zal de voor publiek toegankelijke presentatie aan de politiek vooraf worden afgestemd met opdrachtgever. Resultaat: rapportage en presentaties Pagina 15 van 15
Factsheet Penetratietest Informatievoorziening
Factsheet Penetratietest Informatievoorziening Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl
Nadere informatieGemeente Alphen aan den Rijn
Informatiebeveiligingsbeleid (t.b.v. ICT Forum Lokale Overheid) Van een Informatiebeveiligingsbeleid naar de dagelijkse praktijk Maart 2016, afdeling I&A Informatiebeveiligingsbeleid Informatiebeveiligingsbeleid
Nadere informatieSCAN UW NETWERK SECURITY. Krijg een helder beeld van de kwetsbaarheden en voorkom schade
SCAN UW NETWERK SECURITY Krijg een helder beeld van de kwetsbaarheden en voorkom schade Vandaag de dag hebben organisaties een zorgplicht om de digitale veiligheid op orde te hebben. De wetgeving, zoals
Nadere informatieISO 27001:2013 INFORMATIE VOOR KLANTEN
ISO 27001:2013 INFORMATIE VOOR KLANTEN WAT IS ISO 27001:2013 ISO 27001 is een internationale standaard voor informatiebeveiliging. Deze standaard richt zich op het ontwikkelen, uitvoeren, controleren en
Nadere informatieDeelplan IC ICT-omgeving 2015 Gemeente Lingewaard
Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard Pagina 1 van 6 Inhoudsopgave 1. Aanleiding 3 2. Structureel / incidenteel 3 3. Opdrachtgever 3 4. Opdrachtnemer 3 5. Relevante wet- en regelgeving 3 6.
Nadere informatiede hackende rekenkamer De impact van een onderzoek naar Informatiebeveiliging
de hackende rekenkamer De impact van een onderzoek naar Informatiebeveiliging Landelijke impact Succesfactoren onderzoek met impact Actuele en relevante onderwerpen Kwaliteit van het onderzoek Geluk Vasthoudendheid
Nadere informatieProcedure datalekken NoorderBasis
Procedure datalekken NoorderBasis Inleiding Deze procedure maakt integraal onderdeel uit van het privacy beleid van NoorderBasis en is vastgesteld door het bestuur. De procedure bestaat uit verschillende
Nadere informatieStappenplan naar GDPR compliance
Stappenplan naar GDPR compliance Stappenplan voor compliance met de Algemene Verordening Gegevensbescherming Het Europees Parlement heeft op 14 april 2016 de Algemene Verordening Gegevensbescherming (AVG)
Nadere informatieInformatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours
Informatiebeveiligingsbeleid Stichting Pensioenfonds Chemours Versiebeheer Versie Datum Van Verspreid aan 0.1 J.W. Kinders W. Smouter Vroklage Goedkeuring Versie Goedgekeurd door Datum 2 INHOUD Algemeen
Nadere informatiePrivacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers
Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Noordhoff Uitgevers is een educatieve uitgeverij die verschillende
Nadere informatieVerklaring van Toepasselijkheid
Verklaring van Toepasselijkheid Parantion Groep B.V. ISO27001:2013 Verklaring van toepasselijkheid_openbaar Extern vertrouwelijk Versie: 3.0 Parantion Groep B.V. Pagina 1 van 9 Datum: maart 2016 Document
Nadere informatie0.1 Opzet Marijn van Schoote 4 januari 2016
Vragenlijst Cyber ISPS Versie Revisiebeschrijving Auteur Datum 0.1 Opzet Marijn van Schoote 4 januari 2016 0.99 Finale concept versie Marijn van Schoote 11 februari 2016 Doelstelling: De doelstelling van
Nadere informatieInformatiebeveiliging binnen de gemeente Delft COMMISSIE ECONOMIE, FINANCIËN EN BESTUUR
Informatiebeveiliging binnen de gemeente Delft COMMISSIE ECONOMIE, FINANCIËN EN BESTUUR 26 SEPTEMBER 2018 INLEIDING Onderzoeksvraag: Zijn de persoonsgegevens en andere gevoelige informatie bij de gemeente
Nadere informatieBeveiligingsbeleid Stichting Kennisnet
Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek
Nadere informatieStappenplan naar GDPR compliance
Stappenplan naar GDPR compliance In samenwerking met ESET heeft Mazars een whitepaper geschreven met als doel om meer inzicht te geven in het ontstaan en de gevolgen van de General Data Protection Regulation
Nadere informatieBIC Building Blocks Beleid & Strategie
BIC Building Blocks Beleid & Strategie INFORMATIEBEVEILIGING BIC De informatievoorziening van een organisatie is het geheel van mensen, middelen en maatregelen, gericht op de informatiebehoefte van die
Nadere informatieVOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.
Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten
Nadere informatieFactsheet Penetratietest Infrastructuur
Factsheet Penetratietest Infrastructuur Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl
Nadere informatiestaat is om de AVG na te komen.
Vragenlijst nulmeting AVG mét toelichting door Security & Privacy Officer Koos Wijdenes Met onderstaande vragenlijst kunt u een nulmeting uitvoeren voor uw organisatie. De antwoorden geven inzicht in wat
Nadere informatieE. Procedure datalekken
E. Procedure datalekken Inleiding Deze procedure maakt integraal onderdeel uit van het privacybeleid van de ons bestuur en is vastgesteld door het college van bestuur. De procedure bestaat uit verschillende
Nadere informatieAVG GAP Analyse. En verwerkingsregistratie. security management audits advies - ethisch hacken netwerkscans
AVG GAP Analyse En verwerkingsregistratie Classificatie Gegenereerd door Vertrouwelijk De onderwerpen in deze GAP Analyse zijn afgeleid van de Algemene Verordening Gegevensbescherming (AVG), welke op 25
Nadere informatieWelkom bij parallellijn 1 On the Move 14.20 15.10 uur
Welkom bij parallellijn 1 On the Move 14.20 15.10 uur Stap 4 van de BIG Hoe stel ik vast of de informatiebeveiligingsmaatregelen van mijn gemeente effectief zijn en hoe rapporteer ik hierover? 1 IBD-Praktijkdag
Nadere informatieSecurity Health Check
Factsheet Security Health Check De beveiligingsthermometer in uw organisatie DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl De Security
Nadere informatieInformatiebeveiliging En terugblik op informatiebeveiliging 2016
Informatiebeveiliging 2017 En terugblik op informatiebeveiliging 2016 Missie Waken over betrouwbaarheid, integriteit en beschikbaarheid van de gegevens waarvoor de gemeente verantwoordelijk is. Voldoen
Nadere informatieChecklist Beveiliging Persoonsgegevens
Checklist Beveiliging Persoonsgegevens Beveiliging is een één van de belangrijkste vereisten binnen het privacyrecht. Iedere organisatie zal passende technische en organisatorische maatregelen moeten treffen
Nadere informatieWHO NEEDS ENEMIES WAAR DIENT U OP TE LETTEN? De BrainCheck is o.a.
WHO NEEDS ENEMIES Onze IT-omgeving staat bloot aan een groot aantal dreigingen. DDoS aanvallen zijn aan de orde van de dag en hackers proberen hun slag te slaan. Maar de grootste dreiging voor onze digitale
Nadere informatieBIJLAGE 2: BEVEILIGINGSBIJLAGE LEARNBEAT
BIJLAGE 2: BEVEILIGINGSBIJLAGE LEARNBEAT Omschrijving van de maatregelen zoals bedoeld in artikel 7 Verwerkersovereenkomst I. Omschrijving van de maatregelen om te waarborgen dat enkel bevoegd personeel
Nadere informatieBIJLAGE 2: BEVEILIGINGSBIJLAGE
BIJLAGE 2: BEVEILIGINGSBIJLAGE De Verwerker is overeenkomstig de AVG en artikel 7 en 8 Verwerkersovereenkomst verplicht passende technische en organisatorische maatregelen te nemen ter beveiliging van
Nadere informatieInformatiebeveiliging voor gemeenten: een helder stappenplan
Informatiebeveiliging voor gemeenten: een helder stappenplan Bewustwording (Klik hier) Structureren en borgen (Klik hier) Aanscherping en maatwerk (Klik hier) Continu verbeteren (Klik hier) Solviteers
Nadere informatiePatch management. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)
Patch management Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst
Nadere informatieDe impact en implementatie van de outsourcing op de bedrijfsvoering is als één van de 6 deelprojecten ondergebracht binnen het project outsourcing.
Bijlagen 1 en 2: Aanbevelingen en opvolging Gateway Reviews (corsa 2018017934) Bijlage 1: Aanbevelingen en opvolging Gateway Review 2018 Aanbeveling Opvolging Status Opmerking 1. Richt een apart project
Nadere informatieDe hackende rekenkamer
De hackende rekenkamer impact van een onderzoek naar informatiebeveiliging Paul Hofstra Landelijke impact Aanleiding onderzoek rekenkamer Steeds meer gevoelige informatie bij gemeenten Toenemende aandacht
Nadere informatieDe Plaats GL Hendrik-Ido-Ambacht tel Privacy policy
Privacy policy Introductie Dit zijn de privacy voorwaarden die van toepassing zijn op de verwerking van persoonsgegevens door Id Est IT Holding B.V. en andere, binnen de Id Est IT Holding B.V. actieve
Nadere informatieRekenkamer Arnhem. Zaaknr: Betreft: Rekenkamerbrief vervolgonderzoek informatieveiligheid en privacy. 16 mei Geachte raadsleden,
Rekenkamer Arnhem Zaaknr: 224789 Betreft: Rekenkamerbrief vervolgonderzoek informatieveiligheid en privacy 16 mei 2018 Geachte raadsleden, Inleiding Op 30 november 2017 hebben wij uw raad geïnformeerd
Nadere informatieWhitepaper: Online merkbeveiliging. Stationsplein EX Hilversum +31 (0)
Whitepaper: Online merkbeveiliging Stationsplein 12-1 1211 EX Hilversum +31 (0) 35 531 1115 Bescherm je merk- en klantgegevens online Merkbescherming online doe je door jouw merk, productnamen en daarnaast
Nadere informatieVerwerkersovereenkomst
Verwerkersovereenkomst STKKR verwerkt in sommige gevallen persoonsgegevens voor en in opdracht van de klant omdat de klant een software gebruikersovereenkomst (abonnement) met STKKR heeft. STKKR en de
Nadere informatieHoe operationaliseer ik de BIC?
Hoe operationaliseer ik de BIC? Baseline Informatiebeveiliging Corporaties UTRECHT, 14 November 2017. Code voor Informatiebeveiliging NEN/ISO 27001; Informatietechnologie - Beveiligingstechnieken - Managementsystemen
Nadere informatieInformatiebeveiligingsbeleid
Stichting Werken in Gelderland Versiebeheer Eigenaar: Review: Bestuur juni 2019 Versie Status Aangepast Datum Door 0.1 Concept Versiebeheer 31-5-2018 Privacyzaken, Michel Rijnders 1.0 Vastgesteld Vastgesteld
Nadere informatieHOE OMGAAN MET DE MELDPLICHT DATALEKKEN?
HOE OMGAAN MET DE MELDPLICHT DATALEKKEN? EEN HANDIGE CHECKLIST In deze whitepaper bieden we u handvatten die u kunnen helpen bij de implementatie van de meldplicht datalekken binnen uw organisatie. We
Nadere informatieInformatiebeveiligings- en privacy beleid. Haagsche Schoolvereeniging
Informatiebeveiligings- en privacy beleid Haagsche Schoolvereeniging 1 INLEIDING... 3 1.1 INFORMATIEBEVEILIGING EN PRIVACY... 3 2 DOEL EN REIKWIJDTE... 3 3 UITGANGSPUNTEN... 4 3.1 ALGEMENE BELEIDSUITGANGSPUNTEN...
Nadere informatieFactsheet Penetratietest Webapplicaties
Factsheet Penetratietest Webapplicaties Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl
Nadere informatieSecurity Testing. Omdat elk systeem anderis
Security Omdat elk systeem anderis Security U bent gebaat bij een veilig netwerk en beveiligde applicaties. Wij maken met een aantal diensten inzichtelijk hoe we uw security kunnen optimaliseren. Security
Nadere informatieINFORMATIEBEVEILIGING VOOR WEBWINKELS
INFORMATIEBEVEILIGING VOOR WEBWINKELS HANDIGE CHECKLISTS In deze whitepaper bieden we u tips en checklists die kunnen bijdragen aan een optimale beveiliging van zowel uw eigen data als die van uw klanten.
Nadere informatieBijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Voortgezet Onderwijs, Noordhoff Uitgevers
Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Voortgezet Onderwijs, Noordhoff Uitgevers Noordhoff Uitgevers is een educatieve uitgeverij die verschillende
Nadere informatieGedragsregels. Correct omgaan met informatie over patiënten en medewerkers en eigendommen van het Maasstad Ziekenhuis
Correct omgaan met informatie over patiënten en medewerkers en eigendommen van het Maasstad Ziekenhuis. Maasstad Ziekenhuis 1 Hoe gaan we om met informatie over patiënten en medewerkers, en met eigendommen
Nadere informatieInformatiebeveiligingsplan
Voorwoord Het, de en de vallen elk onder een verschillend bevoegd gezag. Op het niveau van bestuur en intern toezicht is er sprake van een zogeheten personele unie: de directeur-bestuurder van het is tevens
Nadere informatieSr. Security Specialist bij SecureLabs
Wie ben ik? Ronald Kingma, CISSP ronald@securelabs.nl Sr. Security Specialist bij SecureLabs Introductie SecureLabs Voorheen ISSX Code of Conduct Real Penetration Testing Vulnerability Management Veiligheidsincidenten
Nadere informatietekst raadsvoorstel Rekenkameronderzoek Digitale Veiligheid
Inleiding Digitale veiligheid staat meer nog dan voorheen in de belangstelling van overheid en bedrijfsleven. Inbreuken op digitale veiligheid leiden tot grote financiële en/ of imagoschade. De gemeente
Nadere informatieIn jouw schoenen. Een praktische invulling van informatiebeveiliging
In jouw schoenen Een praktische invulling van informatiebeveiliging Informatiebeveiliging hot topic Hoeveel weet jij eigenlijk van informatiebeveiliging? veel voldoende te weinig Vooraf.. Wat vind jij
Nadere informatieAanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA. Arjan Dekker
Aanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA Arjan Dekker 25 mei 2005 Inhoudsopgave 1 Inleiding 2 2 Analysemethoden 2 2.1 Kwalitatieve risicoanalyse......................
Nadere informatieinformatiebeveiliging
informatiebeveiliging juli 2017 1 inleiding aanleiding Gemeenten hebben als gevolg van de decentralisaties in het sociaal domein steeds meer (bijzondere) persoonsgegevens 1 in beheer. Ook wordt steeds
Nadere informatieINFORMATIEBEVEILIGING: WAAR STAAT U NU?
INFORMATIEBEVEILIGING: WAAR STAAT U NU? HANDIGE CHECKLISTS VOOR DE OVERHEIDSSECTOR In deze whitepaper bieden we u handvatten en checklists voor hoe u om kunt gaan met de nieuwe meldplicht datalekken. Steeds
Nadere informatieRapportage vervolgonderzoek informatieveiligheid mens, organisatie en techniek
Rapportage vervolgonderzoek informatieveiligheid mens, organisatie en techniek Gemeente Assen Rapport rekenkamercommissie gemeente Assen versie 1.0 Groningen, 2017 Insite Security BV. Insite Security BV
Nadere informatieOlde Bijvank Advies Organisatieontwikkeling & Managementcontrol
SAMENVATTING ITIL ITIL is nog steeds dé standaard voor het inrichten van beheerspocessen binnen een IT-organisatie. En dekt zowel applicatie- als infrastructuur beheer af. Indien gewenst kan ITIL worden
Nadere informatie: Privacy & informatiebeveiliging. Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie
: Privacy & informatiebeveiliging Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie Deel 1 Wet en regelgeving Risicoanalyse Bepalen kwetsbaarheden en bedreigingen
Nadere informatiePrivacy voorwaarden Compressor Service Techniek (onderdeel van Voskamp groep)
Onderdeel van Privacy voorwaarden Compressor Service Techniek (onderdeel van Voskamp groep) Introductie Dit zijn de privacy voorwaarden die van toepassing zijn op de verwerking van persoonsgegevens door
Nadere informatieRapportage Onderzoek informatieveiligheid Sociaal Domein mens, organisatie en techniek
Rapportage Onderzoek informatieveiligheid Sociaal Domein mens, organisatie en techniek Gemeente Westerkwartier Rapport rekenkamercommissie gemeente Westerkwartier Versie definitief Groningen, 2018 Insite
Nadere informatieOp 14 maart 2017 publiceerde het DNB Expertisecentrum Operationele en IT Risico's een memo 'Toelichting Toetsingskader Informatiebeveiliging 2017'.
Inleiding Op 14 maart 2017 publiceerde het DNB Expertisecentrum Operationele en IT Risico's een memo 'Toelichting Toetsingskader Informatiebeveiliging 2017'. Hierin wordt aangegeven dat DNB in 2017 met
Nadere informatieDIT DOCUMENT BEVAT: - ALLE VAN TOEPASSING ZIJNDE SERVICE LEVEL AGREEMENT (SLA) PER DIENST OF PRODUCT
DIT DOCUMENT BEVAT: - ALLE VAN TOEPASSING ZIJNDE SERVICE LEVEL AGREEMENT (SLA) PER DIENST OF PRODUCT Service Level Agreement (SLA) - BC Online Boekhouden Artikel 1. Definities Leverancier: BusinessCompleet.nl
Nadere informatieNVRR workshop/presentatie Jaarcongres De controle van de effectiviteit van informatiebeveiliging
NVRR workshop/presentatie Jaarcongres De controle van de effectiviteit van informatiebeveiliging Kees Hintzbergen 25 mei 2018 Agenda Voorstellen Vragen! Wat is dat eigenlijk: risico? Hoe ziet de ideale
Nadere informatieRaadsmededeling - Openbaar
Raadsmededeling - Openbaar Nummer : 54/2016 Datum : 22 maart 2016 B&W datum : 22 maart 2016 Beh. ambtenaar : Annelies te Booij Portefeuillehouder : G. Berghoef Onderwerp : Meldplicht datalekken Aanleiding
Nadere informatieJacques Herman 21 februari 2013
KING bijeenkomst Audit- en Pentestpartijen Toelichting op de DigiD Rapportage template en de NOREA Handreiking DigiD ICT-beveiligingsassessments Jacques Herman 21 februari 2013 Samenvatting van de regeling
Nadere informatiePrivacy Bijsluiter (digitale) leermiddelen en educatieve diensten voor het primair onderwijs van Blink
Bijlage 1 Privacy Bijsluiter (digitale) leermiddelen en educatieve diensten voor het primair onderwijs van Blink Blink is een educatieve uitgeverij die verschillende (digitale) producten en diensten (
Nadere informatie1. Beveiligingsbijlage
Bijlage 2 1. Beveiligingsbijlage 1.1 Omschrijving van de maatregelen zoals bedoeld in artikel 7 Verwerkersovereenkomst I. Omschrijving van de maatregelen om te waarborgen dat enkel bevoegd personeel toegang
Nadere informatieVerwerkersovereenkomst Openworx
Verwerkersovereenkomst Openworx Partijen Openworx, gevestigd te Weert en ingeschreven bij de Kamer van Koophandel onder nummer 14129365, hierna te noemen: Verwerker ; En De klant met wie de Hoofdovereenkomst
Nadere informatieNorm 1.3 Beveiligingsplan
Beantwoording vragen zelftest Suwinet oktober 2014 Norm 1.3 Beveiligingsplan De Inspectie SZW beschrijft norm 1.3 als volgt: De gemeente heeft een formeel vastgesteld beveiligingsbeleid en -plan. Het Beveiligingsplan
Nadere informatieWHITEPAPER. Security Assessment. Neem uw security serieus en breng het tot een hoger niveau. networking4all.com / whitepaper / security assessments
WHITEPAPER Security Assessment Neem uw security serieus en breng het tot een hoger niveau Bedrijfsbeveiliging is tegenwoording niet meer los te trekken van online security. Veel bedrijven doen bijna uitsluitend
Nadere informatieTechnische en organisatorische beveiligingsmaatregelen
Beveiligingsbijsluiter - Bijlage 2 bij de Verwerkersovereenkomst Noordhoff Uitgevers Technische en organisatorische beveiligingsmaatregelen Omschrijving van de maatregelen zoals bedoeld in artikel 7 Verwerkersovereenkomst
Nadere informatieProtocol informatiebeveiligingsincidenten en datalekken. Vereniging Christelijk Voortgezet Onderwijs te Rotterdam en
Protocol informatiebeveiligingsincidenten en datalekken Vereniging Christelijk Voortgezet Onderwijs te Rotterdam en omgeving (CVO) Bewerkt door: De Vereniging Christelijk Voortgezet Onderwijs te Rotterdam
Nadere informatieHet treffen van adequate organisatorische en technische beveiligingsmaatregelen Nieuwsjaarscongres Adfiz Ing. Luuk Akkermans CISA CISM 11 januari 2018 I. Informatiebeveiliging Waarom is informatiebeveiliging
Nadere informatieDE AVG IN EEN NOTENDOP. Maike van Zutphen Legal, Compliance & Privacy Officer
DE AVG IN EEN NOTENDOP Maike van Zutphen Legal, Compliance & Privacy Officer Algemeen Algemene verordening gegevensbescherming Europese wet die geldt voor iedereen in de EU (GDPR = AVG) De AVG neemt de
Nadere informatieBijlage 2 Beveiligingsplan. Informatiebeveiliging
Bijlage 2 Beveiligingsplan Informatiebeveiliging De verantwoordelijkheid voor informatiebeveiliging ligt bij het dagelijks bestuur. In de DB-vergadering van 31 augustus 2015 is stilgestaan bij een aantal
Nadere informatieInformatieveiligheid in de steiger
29e sambo-ict conferentie Graafschap College Donderdag 16 januari 2014 Informatieveiligheid in de steiger André Wessels en Paul Tempelaar Informatieveiligheid en Risicomanagement Agenda Introductie Borging
Nadere informatieBeveiligingsbijlage Teachers Channel
Bijlage 2 Beveiligingsbijlage Teachers Channel Omschrijving van de maatregelen zoals bedoeld in artikel 7 Verwerkersovereenkomst I. Omschrijving van de maatregelen om te waarborgen dat enkel bevoegd personeel
Nadere informatieRI&E Privacy Om organisaties te helpen heeft Sebyde een RI&E-Privacy ontwikkeld. Het is een modulair programma bestaande uit 5 duidelijke stappen:
RI&E Privacy Introductie Vanaf 25 mei 2018 wordt de nieuwe Europese privacywetgeving (GDPR) gehandhaafd. Dit heeft belangrijke gevolgen voor het bedrijfsleven. Er is onder andere een meldplicht voor datalekken
Nadere informatiePrivacy Bijsluiter Registratie-/ Planningsoftware Uitgeverij Zwijsen B.V.
Bijlage 1 Privacy Bijsluiter Registratie-/ Planningsoftware Uitgeverij Zwijsen B.V. Uitgeverij Zwijsen B.V. is een educatieve uitgeverij die verschillende digitale producten en diensten ( digitale leermiddelen
Nadere informatieProtocol informatiebeveiligingsincidenten en datalekken
Protocol informatiebeveiligingsincidenten en datalekken Inhoud Inleiding... 2 Wet- en regelgeving datalekken... 2 Afspraken met leveranciers... 3 Werkwijze... 3 Uitgangssituatie... 3 De vier rollen...
Nadere informatieHelp, mijn datacenter is gehackt! KPN Security Services / Han Pieterse
Help, mijn datacenter is gehackt! KPN Security Services / Han Pieterse Cyber Security betreft het reduceren van gevaar of schade veroorzaakt door introductie van nieuwe technologie, storing of uitval van
Nadere informatieProtocol informatiebeveiligingsincidenten en datalekken. Minkema College
2018.473 Protocol informatiebeveiligingsincidenten en datalekken Minkema College Vastgesteld door het College van Bestuur op 13 november 2018 Was getekend, H. Heethuis, Voorzitter Inhoud Inleiding... 2
Nadere informatieProactief en voorspellend beheer Beheer kan effi ciënter en met hogere kwaliteit
Proactief en voorspellend beheer Beheer kan effi ciënter en met hogere kwaliteit Beheer kan efficiënter en met hogere kwaliteit Leveranciers van beheertools en organisaties die IT-beheer uitvoeren prijzen
Nadere informatieProtocol Informatiebeveiliging en Datalekken (PID) Aloysius
Protocol Informatiebeveiliging en Datalekken (PID) Aloysius Van: Directeur Financiën en Bedrijfsvoering Aan: AMT Datum : 28 maart 2017 Opgesteld door: Thomas Reterink, Bron: Kennisnet. Onderwerp: Protocol
Nadere informatieGemeente Rotterdam Gemeenteraad d.t.k.v. de Griffie Coolsingel AD ROTTERDAM. Geacht raadslid,
Meent 94 Postbus 70012 info@rekenkamer.rotterdam.nl t 010 267 22 42 3000 KP Rotterdam www.rekenkamer.rotterdam.nl Gemeente Rotterdam Gemeenteraad d.t.k.v. de Griffie Coolsingel 40 3011 AD ROTTERDAM ons
Nadere informatieHANDREIKINGDATA PROTECTION IMPACT ASSESSMENT (DPIA)
HANDREIKINGDATA PROTECTION IMPACT ASSESSMENT (DPIA) Wanneer moet een DPIA worden uitgevoerd? Een Data Protection Impact Assessment (DPIA, ook wel PIA of GEB genoemd) wordt in twee situaties uitgevoerd:
Nadere informatieWHITEPAPER DEEPBLUE HONEYPOT
WHITEPAPER DEEPBLUE HONEYPOT PROTECTING YOUR DATA WHERE IT MATTERS Wij leveren een oplossing die helpt beschermen waar nodig, meetbare resultaten oplevert en bijspringt waar andere systemen tekortschieten.
Nadere informatie1. EXECUTIVE SUMMARY 1.1 SCOPE EN WERKWIJZE
Phishing Test ACME GEHEIMHOUDING Belangrijk: de in dit document opgenomen informatie is vertrouwelijk en dient als dusdanig behandeld te worden. Alle informatie is bijzonder gevoelig te noemen. Het is
Nadere informatiePhysical Security Maturity
fysieke beveiliging onder controle Physical Security Maturity inzicht in de volwassenheid van fysieke beveiliging www.fysiekebeveiliging.nl Thimo Keizer Physical Security Maturity inzicht in de volwassenheid
Nadere informatieProtocol informatiebeveiligingsincidenten en datalekken. Stichting Christelijk Onderwijs Haaglanden
Protocol informatiebeveiligingsincidenten en datalekken Stichting Christelijk Onderwijs Haaglanden Protocol Datalekken SCOH//mei2018//kga Inhoud Inleiding... 2 Wet- en regelgeving datalekken... 2 Afspraken
Nadere informatieNLcom Security Awareness Training. Supported by Webroot
NLcom Security Awareness Training Supported by Webroot De mens = de zwakste schakel in elke beveiliging Hoe goed is uw bedrijf beschermd tegen cyberaanvallen, phishing, spam en malware? Een betere vraag
Nadere informatieBeveiligingsmaatregelen
Beveiligingsmaatregelen INTRAMED (ONLINE) DEFINITIES De in dit document met een beginhoofdletter geschreven termen, kennen de volgende definities: Aanmeldformulier Aanverwante Applicatie Account Formulier
Nadere informatiePlan van Aanpak beschikbaar stellen broncode Basisregistratie Personen (BRP)
Plan van Aanpak beschikbaar stellen broncode Basisregistratie Personen (BRP) Samenvatting De minister van Binnenlandse Zaken en Koninkrijksrelaties (BZK) heeft in de Tweede Kamer toegezegd de broncode
Nadere informatieChecklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument
Checklist NEN7510 Eén van de eerste stappen van het gestructureerd verbeteren van informatiebeveiliging en het implementeren van de NEN7510 omvat het bepalen van de status van de naleving van de NEN7510.
Nadere informatieScenario 1: risico s. competenties; 1. Onveilige configuraties op IT-systemen en IT-infrastructuur; 2. Gebrek aan netwerkscheiding;
Scenario 1: risico s 1. Onveilige configuraties op IT-systemen en IT-infrastructuur; 2. Gebrek aan netwerkscheiding; 3. Verouderde software op IT-systemen; 4. Geen bijgewerkte antivirus; 5. IT-leverancier
Nadere informatieREACTIE BRAINCOMPASS ONDERZOEKSRAPPORT AUTORITEIT PERSOONSGEGEVENS
PRIVACY MEMO VAN: ONDERWERP: DIRECTIE BRAINCOMPASS (BC) REACTIE OP ONDERZOEKSRAPPORT AUTORITEIT PERSOONSGEGEVENS (AP); BEVINDINGEN VERWERKING BIJZONDERE PERSOONSGEGEVENS DATUM: 20 NOVEMBER 2017 Op 9 november
Nadere informatieOpdrachtgeverschap 2.0. Toezien op de afspraken in de verwerkersovereenkomst
Opdrachtgeverschap 2.0 Toezien op de afspraken in de verwerkersovereenkomst Doel van deze presentatie Zelf een mening hebben over welke certificering/ verklaring het beste past bij een af te nemen dienst
Nadere informatieESET NEDERLAND SECURITY SERVICES PREDICTION
ESET NEDERLAND SECURITY SERVICES PREDICTION PREVENTION DETECTION RESPONSE ESET NEDERLAND SECURITY OPERATIONS CENTER Sinds november 2015 heeft ESET Nederland zijn eigen Security Operations Center (SOC)
Nadere informatieProtocol informatiebeveiligingsincidenten en datalekken. Voila Leusden
Protocol informatiebeveiligingsincidenten en datalekken Voila Leusden 1 Inhoud Inleiding 2 Wet- en regelgeving datalekken 2 Afspraken met leveranciers 2 Werkwijze 3 Uitgangssituatie 3 De vier rollen 3
Nadere informatieDe Baseline Informatiebeveiliging & grote gemeenten. 6 oktober 2014 John van Huijgevoort, IBD
De Baseline Informatiebeveiliging & grote gemeenten 6 oktober 2014 John van Huijgevoort, IBD Agenda De Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG): Samenhang Instrumenten Hoe om te gaan
Nadere informatieI T S X. Informatiebeveiliging, IT Audit & Compliance, Security as a Service, Risicomanagement, Educatie
I T S X Understanding the Tools, the Players and the Rules Informatiebeveiliging, IT Audit & Compliance, Security as a Service, Risicomanagement, Educatie Voorwoord Ralph Moonen Arthur Donkers Mijn naam
Nadere informatieALGEMENE INFORMATIE OVER DIT PRIVACY STATEMENT EN COOKIE VERKLARING
ALGEMENE INFORMATIE OVER DIT PRIVACY STATEMENT EN COOKIE VERKLARING In het kader van de uitvoering van onze dienstverlening, kunnen wij direct of indirect persoonsgegevens van jou, als gebruiker van onze
Nadere informatie