Bewust van informatiebeveiliging De zet aan de IT-manager

Maat: px
Weergave met pagina beginnen:

Download "Bewust van informatiebeveiliging De zet aan de IT-manager"

Transcriptie

1 Bewust van informatiebeveiliging De zet aan de IT-manager Afstudeerder: V.L.Hofland Bedrijfsbegeleider: drs. J. de Haas 1 ste begeleider: dr.ir. M. F. W. H. A. Janssen 2 de begeleider: drs. W. G. van den Berg Professor ICT Sectie: prof. dr. R.W. Wagenaar Media Plaza / TuDelft

2 Omschrijving afstudeerproject Studentnummer: Afstudeerrichting: TB/ICT Achternaam: Hofland Voorletters: V. L. Roepnaam: Vincent Adres: Paardebloemstraat 17 Postcode: 3286 VG Woonplaats: Klaaswaal Telefoon: Mobiel: Naam bedrijf: Media Plaza Afdeling bedrijf: Redactie Bezoekadres bedrijf: Jaarbeurs Utrecht Bezoekadres: Croeselaan 6, Hal 6 Postcode: 3521 CA Plaats: Utrecht Telefoon bedrijf: Fax bedrijf: Achternaam bedrijfsmentor: de Haas Voorletters bedrijfsmentor: J. L. M. Titulatuur bedrijfsmentor: drs. Telefoon bedrijfsmentor: (030) Doorkiesnummer afstudeerder: (030) Titel afstudeeropdracht: "Bewust van informatiebeveiliging" i

3 Voorwoord In de laatste fase van de opleiding Technische Bestuurskunde aan de Technische Universiteit Delft, dient door middel van een afstudeerproject bewezen te worden dat de student de leerstof van de voorgaande jaren kan toepassen in de praktijk. Door mijn 3 de jaars project, heb ik gezien wat de effecten zijn van een duidelijke positionering, in het geval van het 3 de jaars project, had dit te maken met CRM. Op deze wijze is ook het idee opgekomen om gebruik te maken van een matrix met verschillende stappen om security awareness te positioneren. Tijdens deze fase heb ik zowel te maken gehad met een grote diversiteit aan personen die invloed hebben gehad op de kwaliteit van dit onderzoek. Geïnterviewde IT-managers, experts, collega s van Media Plaza en medewerkers van de Technische Universiteit Delft. Hierbij wil ik mijn bedrijfsmentor, Jim de Haas, bedanken voor zijn adviezen en begeleiding. Daarnaast wil ik de begeleiders van school, Marijn Janssen en Wander van den Berg, bedanken voor hun kritische begeleiding. Naar mijn inzicht is dit het afstudeerverslag ten goede gekomen. Als laatste wil ik prof. dr. R. W. Wagenaar bedanken, voor de begeleiding en de beoordeling van mijn afstudeerscriptie. In het bijzonder wil ik tenslotte bedanken mijn verloofde, Philine Klaassen, voor de ondersteuning en de positieve invloed tijdens de lange dagen van mijn afstuderen. Vincent Hofland Utrecht, januari 2005 ii

4 Abstract: Dit onderzoek is erop gericht om een bijdrage te leveren om beveiliging van informatiesystemen binnen organisaties te vergroten. Specifiek is gekeken naar het beveiligingsbewustzijn, ook wel awareness genoemd. Op het moment van aanvang van dit onderzoek lijkt de beveiligingsbewustheid in Nederland laag te zijn. Dit kan leiden tot grote beveiligingsproblemen zoals gezien is bij Amsterdamse officier van justitie J. Tonino. Hoe de huidige status van beveiligingsbewustheid bij bedrijven kan worden weergeven en de manier waarop een betere bewustheid verkregen kan worden, zijn vragen die dit onderzoek beantwoord. iii

5 Samenvatting Inleiding Voor dit afstudeerproject, is onderzoek gedaan naar security awareness. Security awareness is de mate waarin elke medewerker de volgende punten begrijpt: het belang van informatiebeveiliging en het niveau van informatiebeveiliging dat voor de organisatie noodzakelijk is en waarnaar de medewerker ook handelt. Wat blijkt is dat verschillende bronnen de noodzaak van awareness binnen een organisatie benadrukken, omdat awareness een onderdeel is van de beveiligingsketen. Uit verschillende surveys blijkt dat security awareness een zwakke schakel is, waaraan aandacht moet worden besteed. Uit de laatste nieuwsberichten blijkt dat er regelmatig incidenten zijn die te maken hebben met security awareness, denk hierbij aan gegevens die op straat komen van ziekenhuizen, regeringen en justitie (Tonino). Het doel van het onderzoek is het ontwerpen van een methode om de awareness van bedrijven te positioneren, zodat adviezen kunnen worden gegeven over te nemen stappen. Op lange termijn zou dit moeten bijdragen tot de verbetering van beveiligingsbewustheid bij ondernemingen in Nederland. Om dit doel te verwezenlijken zijn er onderzoeksvragen opgesteld. Wat zijn de typische problemen bij het vergroten van awareness? Welke oplossingen zijn er om de awareness te vergroten, en wat zijn de voor en nadelen van deze oplossingen? Hoe kan de awareness van bedrijven worden gepositioneerd? Om deze vraag te beantwoorden, is gekeken naar een manier waarop de awareness van een onderneming positioneerbaar is. Aan de hand van deze posities kunnen verwachte problemen en oplossingen worden geïnventariseerd. Op deze manier ontstaat een overzichtelijke matrix, waarin duidelijk de verwachte problemen bij de invoering van awareness binnen een organisatie te zien is. Methode Dit onderzoek is op de volgende manier uitgevoerd. Als eerste is met behulp van literatuur en expert opinies gekeken hoe de awareness-matrix moet worden opgebouwd. Daarnaast is met behulp van interviews de matrix ingevuld. Hierna is het model en de conclusies geverifieerd door interviews met experts. In totaal zijn er 21 interviews gehouden, waarbij er 16 interviews zijn afgenomen bij ondernemingen waar meer dan 1000 medewerkers werkzaam zijn en 5 interviews afgenomen zijn met experts. Gekozen is voor deze afbakening in het belang van de opdrachtgever, Media Plaza. Awareness-matrix Tijdens dit onderzoek is een matrix ontwikkeld waar verschillende posities van awareness waarin een bedrijf zich kan bevinden uiteen is gezet. Aan de hand van deze awareness-matrix is het mogelijk om bedrijven op basis van verschillende eigenschappen in te delen op een bepaald awareness niveau. De awareness-matrix bestaat uit verschillende niveau s, die overeenkomen met posities waarin een onderneming zich kan bevinden. 1. Onbewust, onbekwaam In deze fase is een onderneming niet bewust van de risico s die het informatiesysteem bedreigen. Een organisatie in deze fase denkt betrekkelijk veilig te zijn de getroffen maatregelen. In deze fase, is er een afdeling of manager in de organisatie die het belang van awareness ziet en dit over wil brengen binnen de organisatie. Dit is in veel gevallen de ITmanager, maar ook andere managers die er direct bij beveiliging betrokken zijn of afhankelijk zijn van beveiliging kunnen de noodzaak zien. 2. Bewust, onbekwaam In deze fase is het topmanagement bewust gemaakt van de risico s. Door middel van bijvoorbeeld continuity management, is awareness een punt geworden op de agenda van de iv

6 topmanager. Er is betrokkenheid van het topmanagement, er is budget voor beveiliging en awareness, want het topmanagement ziet de noodzaak van beveiliging. Er is een beveiligingsbeleid opgesteld, of opnieuw bekeken en verbeterd. Daarnaast zijn globaal de verantwoordelijkheden verdeeld. 3. Bewust, bekwaam In deze fase worden managers bewust gemaakt van de risico s. Managers zijn betrokken, verantwoordelijkheden worden bekend gemaakt. Goede protocollen worden opgesteld om beveiliging van informatie te verbeteren. In deze fase, wordt een begin gemaakt met een awareness-campagne om de medewerkers bewust te maken van de protocollen en de reden waarom deze protocollen dienen te worden gehandhaafd. 4. Onbewust, bekwaam De laatste fase, waarin een onderneming zich kan bevinden in deze matrix, is de fase onbewust bekwaam. Een fase waarin awareness een automatisme is. Medewerkers zijn bewust gemaakt door middel van een awareness-campagne. Protocollen en regels worden nageleefd, omdat het nut per individuele medewerker duidelijk is voor de medewerkers. Nieuwe risico s worden op efficiënte wijze doorgegeven binnen de gehele organisatie. Daarnaast wordt de awareness gemeten. Op de assen van de awareness-matrix staan risico tegen kosten. Bij de overgang van onbewust naar bewust, zullen de kosten worden vergroot, omdat er in awareness moet worden geïnvesteerd. Het risico neemt af op het moment dat een organisatie van onbekwaam naar bekwaam gaat, omdat duidelijk is hoe er moet worden gehandeld in welke situatie. Problemen Bij het vergroten van awareness en dus het veranderen van fase in de awareness-matrix, zijn er verschillende problemen. Vaak wordt er gebruik gemaakt van ad-hoc maatregelen om awareness te vergroten. Het nadeel van ad-hoc maatregelen is dat er snel een verwatering optreed. De adhoc maatregelen worden weer snel vergeten met het risico dat hetzelfde probleem zich herhaald. Een ander probleem is het feit dat vaak alleen gekeken wordt naar technische maatregelen. Technische maatregelen zijn vaak robuuster en duidelijker. Ook is het makkelijker om resultaten aan te tonen bij technische maatregelen dan bij organisatorische maatregelen. Vaak wordt er daarom pas naar awareness gekeken op het moment dat veel technische maatregels al zijn geïmplementeerd. Een derde probleem is een te lage awareness bij de topmanagers en de managers van een organisatie. Deze te lage awareness zorgt onder andere voor een overschatting van de eigen positie. Een ander gevolg van een te lage awareness is dat topmanagers en managers zich niet betrokken voelen bij informatiebeveiliging. Oplossingen De problemen hierboven hebben te maken met bewustwording, betrokkenheid, belang en beloning ofwel te maken hebben met het veranderen van gedrag. Om deze problemen op te lossen moeten de verschillende lagen in een organisatie eerst zelf aware moeten worden gemaakt, door middel van communicatie. Daarna zal de awareness van een onderneming kunnen worden vergroot. Niet het gedrag van iedere medewerker kan door middel van communicatie worden veranderd. Daarom moet er worden gemeten, gecontroleerd, met daarbij een beloning of straf. Op deze manier zullen ook kwaadwillende medewerkers bewust worden. Daarnaast zal gebruik moeten worden gemaakt van de procesbenadering om de awareness te vergroten. Procesbenadering wordt gebruikt bij problemen die ongestructureerd zijn, in een netwerk moeten worden opgelost en waarbij problemen en oplossingen dynamisch zijn. Dit is van toepassing op awareness. Bij procesbenadering staat het proces tot het oplossen van een probleem meer centraal dan de mogelijke oplossing. Betrokkenheid en het gewicht van het proces zorgen voor een goede uitkomst. v

7 Conclusie De belangrijkste conclusie die op basis van dit onderzoek kan worden getrokken is driedelig. Ten eerste is duidelijk geworden dat het verkrijgen van een betere awareness bij bedrijven gebruik kan worden gemaakt van een procesbenadering. Dit houdt in dat het verkrijgen van betrokkenheid bij de besluitvorming over awareness van essentieel belang is voor het overkomen van het probleem. Bij deze procesbenadering, die intern in een onderneming plaatsvindt, zijn verschillende lagen in de organisatie betrokken, namelijk topmanagers, managers, medewerkers. De betrokkenheid van al deze lagen is belangrijk voor succes. Ten tweede is beveiliging in het algemeen en awareness in het bijzonder een zaak waarbij men preventief handelt. Het rendement en de noodzaak zijn vaak moeilijk aan te tonen. Op het moment dat er veranderingen moeten plaatsvinden waarbij de organisatie van binnenuit zichzelf niet kan of wil sturen. Aan de hand van dit gegeven, blijkt dat het noodzakelijk is om de betrokkenheid die nodig is om een onderneming beter bewust te krijgen, als eerste vanuit de bovenste lagen van een organisatie moeten komen, zodat draagvlak gecreëerd wordt bij de onderliggende lagen. Ten derde moet er binnen een organisatie gecommuniceerd worden om de awareness te vergroten en om de problemen op te lossen. Aan de hand van de interview en de awareness-matrix is gekeken naar de status van security awareness binnen de 16 verschillende ondernemingen. Hieruit blijkt dat vaak te weinig aandacht wordt besteed aan awareness en dat veel organisaties niet zitten in de door hen gewenste fase. Gewenste en huidige positie van de geïnterviewden uitgezet in de awareness-matrix Bewust, onbekwaam Bewust, bekwaam X X X X X X X X X X X X X X X X X X X X X X L X X X X Onbewust, onbekwaam X = Huidige positie X = Gewenste positie Onbewust, bekwaam X X Met behulp van de awareness-matrix en de informatie uit dit onderzoek, is een quickscan gemaakt. Aan de hand van een aantal vragen, geeft de quickscan een beeld van de huidige en gewenste positie van de organisatie met betrekking tot awareness. Daarnaast geeft de quickscan in het kort adviezen over de problemen die moeten worden overwonnen. De quickscan kan gevonden worden op vi

8 Inhoudsopgave: 1.0 ONDERZOEKSINLEIDING DEFINITIES ONDERZOEKSAANLEIDING DOELSTELLING ONDERZOEK Onderzoeksvragen Verwachte resultaten Onderzoeksopzet Interviews Beschikbare literatuur Te hanteren methodieken AFBAKENING PERSOONLIJKE ONTWIKKELING INLEIDING IN INFORMATIEBEVEILIGING WAT IS INFORMATIEBEVEILIGING WELKE MOGELIJKE AANVALLEN ZIJN ER WELKE MOGELIJKE OPLOSSINGEN ZIJN ER IS DIT EEN COMPLETE BEVEILIGING? Social engineering Human firewall AWARENESS LITERATUUR WAT IS AWARENESS Meer dan beveiliging van ICT - systemen Plaatsbepaling awareness Belang van awareness (Case Peter R. de Vries 7 oktober 2004) Bepalen doelgroepen BEWUST MAKEN VAN BEVEILIGINGSRISICO S Uitleg manieren om aware te maken Middelen om aware te maken HOE POSITIONEREN EN MEETBAAR MAKEN? Matrix MATE VAN VOLWASSENHEID VAN INFORMATIEBEVEILIGING WAT NIET BEKEND IS BIJ AWARENESS AWARENESS ONTWERP UITWERKING AWARENESS-MATRIX FASEN Onbewust, onbekwaam Bewust, onbekwaam Bewust, bekwaam Onbewust bekwaam DE DIMENSIE VAN DE AWARENESS-MATRIX Kosten Risico BETROKKEN PERSONEN PER FASE Overgangsfasen GEWENSTE POSITIE VAN BEDRIJVEN Voorbeeld van bedrijven per positionering TOTALE MODEL PLAATSBEPALING AWARENESSMATRIX VERIFICATIE - EXPERT OPINIE BEVINDINGEN IN DE PRAKTIJK WELKE PROBLEMEN WORDEN BIJ BEDRIJVEN ONDERVONDEN vii

9 5.2 METEN VAN AWARENESS POSITIE IN DE TABEL OPLOSSING DOOR PROCESBENADERING Problemen en valkuilen bij procesbenadering Oplossingen bij procesbenadering Zware bemensing Communicatie OPLOSSINGEN EN TECHNIEK Gebruiken van biometrie, tokens en smardcards voor toegang Gebruiken van PKI en encryptie Overige technieken en voordelen van techniek Nadelen van techniek Awareness en technische maatregelen COMMUNICATIE ADVIES CONCLUSIES EN AANBEVELINGEN CONCLUSIE AANBEVELINGEN VERVOLGONDERZOEK REFLECTIE BIJLAGEN I. GEÏNTERVIEWDE BEDRIJVEN II. INTERVIEWPROTOCOL MEDEWERKERS III. INTERVIEW EXPERTS IV. TIJDSPLANNING AFSTUDEERPROJECT V. ORGANOGRAM, MEDIA PLAZA VI: AWARENESS UITGEZET TEGEN TIJD VII: QUICKSCAN VIII: POSITIE IN DE MATRIX IX: CASES TECHNIEK Onderzoeksinleiding Dit onderzoek is gedaan naar aanleiding van mijn afstudeerverslag aan faculteit Technische Bestuurskunde en Management (TBM) van de Technische Universiteit te Delft (TuD). Onderwerp van mijn afstuderen is bewustzijn van informatiebeveiliging. Als gekeken wordt naar beveiliging, blijkt dat er verschillende zaken zijn waarover nog maar weinig bekend is. Eén van deze zaken zal worden behandeld in mijn afstudeerverslag, namelijk bewustzijn van beveiliging of security awareness. Na het bestuderen van literatuur [1],[2],[S1],[S2],[S3] concludeer ik dat er aan dit onderwerp aandacht moet worden besteed. Maar of er op een goede manier aandacht aan wordt besteed is nog onbekend. Daarom zal in dit onderzoek gekeken worden naar hoe het bewustzijn groter kan worden gemaakt. Tijdens deze afstudeeropdracht, is het de bedoeling om zowel technische als bestuurskundige elementen te combineren. De opdracht heeft deze beide elementen in zich. Het technische element is te zien in onder andere het thema en verschillende technische methoden voor beveiliging van informatiesystemen. Het bestuurskundige element blijkt uit het feit dat het probleem een groot aantal actoren bezit, binnen en buiten verschillende organisaties, waarvan de belangen soms tegenstrijdig zijn of lijken. Hierbij kan worden gedacht aan het spanningsveld tussen veiligheid en gebruikersgemak. Ook is het bestuurskundige gedeelte aanwezig bij de beleidskant van beveiligen van informatiesystemen. Gekeken wordt dus naar een probleem dat zowel technisch als bestuurskundig vragen oproept binnen verschillende lagen van een organisatie. De conclusie hiervan is dat het een technisch bestuurskundig probleem is. viii

10 Om dit technisch, bestuurskundig probleem duidelijk te positioneren, zal een awareness-matrix worden ontworpen. Met behulp van deze matrix, kan worden bepaald welke maatregelen een organisatie kan nemen om tot een goede security awareness te komen. Ook wordt duidelijk wat de problemen zijn die een onderneming kan verwachten op het moment dat de beveiliging zal worden verbeterd door de security awareness te verbeteren. 1.1 Definities In het verslag zullen verschillende termen worden gebruikt. Om duidelijkheid te verschaffen over het gebruik van deze termen is hier een verduidelijking weergegeven van de belangrijkste termen. De term security of beveiliging staat meerdere malen in dit verslag. Daarnaast zal ook de term awareness gebruikt worden. Deze term betekent letterlijk vertaald, bewustheid of (vaag) besef [3]. Als we dit samenvoegen in het woord security awareness, komen we wat vertaling betreft uit op het Nederlandse beveiligingsbewustheid. In dit verslag zal de volgende definitie voor security awareness gebruikt worden [4]: Security awareness is de mate waarin elke medewerker de volgende punten begrijpt: - het belang van informatiebeveiliging - het niveau van informatiebeveiliging dat voor de organisatie noodzakelijk is, en er ook naar handelt. Dit betekent dat op het moment dat de awareness wordt vergroot, het voor een medewerker duidelijker is dan voorheen, wat de risico s zijn en hoe om te gaan met informatie, zodat de risico s verminderd zullen worden. Hoe groter de awareness, hoe kleiner het risico op een beveiligingsinbreuk. Een vergroting van de awareness leidt dus voor een medewerker tot een beter inzicht in het belang van informatiebeveiliging, het niveau van informatiebeveiliging dat voor de organisatie noodzakelijk is. Door deze kennis, zal de medewerker ook bewuster hiernaar handelen. 1.2 Onderzoeksaanleiding Beveiliging van informatiesystemen hangt niet alleen af van fysieke en logische maatregelen. Organisatorische maatregelen zijn minstens even belangrijk. Het aspect awareness is een deel van de organisatorische maatregelen. Veel van de kwetsbaarheden van de informatievoorziening, worden veroorzaakt door onwetende medewerkers [S1] en liggen dus op organisatorisch vlak, zoals uit het onderstaande artikel blijkt. Resultaten global survey 2004 Het jaarlijkse security onderzoek van Ernst&Young is afgerond en de resultaten liegen er niet om. Gebrek aan security awareness blijkt de belangrijkste hindernis te zijn voor succesvolle beveiliging. E&Y, 24 september 2004 Bron: ( ) Daarnaast kan uit verschillende onderzoeken van Ernst&Young, CSI/FBI, PriceWaterhouseCoopers geconcludeerd worden dat security awareness al verschillende jaren een groot obstakel is. De beveiliging van informatie is dus niet volledig zonder aandacht voor organisatorische aspecten. Beveiliging wordt vaak ontdoken. Meestal gebeurt dit onbewust. Maar ook bewust worden beveiligingsmaatregelen omzeild, om bijvoorbeeld een groter gebruikersgemak te verkrijgen. Het Pagina 9

11 feit dat awareness al verschillende jaren een belangrijk knelpunt is voor een effectieve informatiebeveiliging, wil zeggen dat er maar in beperkte mate aandacht aan wordt besteed. Op dit moment is er bij veel bedrijven geen goed beeld van het niveau van beveiligingsbewustheid van medewerkers, wat er op duidt dat awareness waarschijnlijk geen prioriteit heeft. Ook is weinig bekend over de middelen om beveiligingsbewustheid te verkrijgen en om beveiligingsbewustheid te vergroten. Daarnaast zijn de effecten van de middelen onbekend, waardoor er geen effectief gebruik gemaakt kan worden van de beschikbare middelen [5]. Over het algemeen genomen is er zo weinig bekend over awareness, dat veel bedrijven weinig aandacht besteden aan het onderwerp. De aanleiding voor het onderzoek wordt als volgt geformuleerd, Er is te weinig bekend over de huidige status van security awareness in Nederland. Daarnaast is weinig bekend over de wijze waarop awareness binnen een onderneming gestimuleerd kan worden, wat grote gevolgen kan hebben voor de beveiliging van informatie. Dit onderzoek is vanuit Media Plaza uitgevoerd. Media Plaza, is een stichting, ter bevordering van innoveren met Informatie en Communicatie Technologie (ICT). Eén van de innovaties die bevorderd wordt door Media Plaza is informatiebeveiliging. Media Plaza heeft haar security evenementen ondergebracht in een concept dat Security Plaza heet. Binnen Security Plaza, zijn verschillende sub-onderwerpen. Een van die onderwerpen is security awareness. Vanuit Security Plaza, wordt dus gekeken naar awareness. Om security awareness te bevorderen, doet Security Plaza onderzoek naar dit aspect van beveiliging. Dit was de drijfveer voor de keuze van het onderwerp. In Bijlage V staan gegevens van Media Plaza. Pagina 10

12 1.3 Doelstelling Het doel van dit onderzoek is om beter inzicht te krijgen in awareness van bedrijven, om ervoor te zorgen dat zij minder kwetsbaar worden. Het doel is het ontwerpen van een methode om de awareness van bedrijven te positioneren, zodat adviezen kunnen worden gegeven over te nemen stappen. Op lange termijn zou dit moeten bijdragen tot de verbetering van beveiligingsbewustheid bij ondernemingen in Nederland. 1.4 Onderzoek Om de probleemstelling op te kunnen lossen en zodoende de doelstellingen te bereiken, zal in deze paragraaf gekeken worden wat de onderzoeksvragen zijn, wat de verwachte uitkomst van het onderzoek is en hoe het onderzoek aangepakt gaat worden Onderzoeksvragen Om de probleemstelling op te kunnen lossen en de doelstelling te bereiken zullen er verschillende onderzoeksvragen moeten worden beantwoord. Deze onderzoeksvragen luiden: 1. Wat zijn de typische problemen bij het vergroten van awareness? Om te weten wat de meeste voorkomende valkuilen bij invoering van awareness zijn, wordt de eerste onderzoeksvraag gesteld. Deze vraag zal door middel van literatuurstudie en interviews worden behandeld. 2. Welke oplossingen zijn er om de awareness te vergroten, en wat zijn de voor en nadelen van deze oplossingen? Wanneer we weten wat de typische problemen en valkuilen zijn, is de volgende stap om te gaan kijken welke oplossingen er zijn om deze problemen op te lossen. Aan de hand van interviews zal worden gekeken naar wat de oplossingen zijn voor de awareness problemen. 3. Hoe kan de awareness van bedrijven worden gepositioneerd? Gekeken word naar een manier om bedrijven te positioneren, zodat adviezen kunnen worden gegeven om voor een betere informatiebeveiliging te zorgen Verwachte resultaten De resultaten die verwacht worden als uitkomst van de verschillende onderzoeksvragen zijn de volgende: Onderzoeksvraag 1: Uit een onderzoek bij de Rabobank onder IT ers [3], is gebleken dat er verschillende oorzaken waren waarom beveiligingsinbreuken plaats vonden. Uit dit onderzoek bleek dat de meest belangrijke redenen waardoor fouten voor kwamen de volgende waren: - Gewoonte gedrag in de groep - Te weinig kennis over de concrete status of werking van het informatiesysteem - Verkeerde management beslissingen - Lage beschikbaarheid van handboeken / Weinig informatie voor medewerkers Pagina 11

13 Deze onderdelen zullen waarschijnlijk terug komen bij de interviews over de problemen en valkuilen. Aan de hand van de problemen en valkuilen kan duidelijk worden geanalyseerd waar de fouten zitten. Onderzoeksvraag 2: De oplossingen zullen gericht zijn op het management en de medewerker. Beleidsoplossingen en gedragregels zullen waarschijnlijk de oplossing zijn om problemen te voorkomen. Misschien ook een structuur om goed gedrag te belonen. Daarnaast zal herhaling en actualiteit van de boodschap belangrijk zijn. Tevens zullen oplossingen worden gevonden om managers te stimuleren om awareness in te voeren binnen het beleid Onderzoeksvraag 3: Naast de problemen die er bij het vergroten van awareness zijn en hoe bedrijven deze problemen kunnen oplossen, zal aan de hand van een innovatie diagram gekeken worden waar bedrijven gepositioneerd zijn. Verwacht wordt dat bedrijven nog weinig bewust zijn van de risico s van niet bewust personeel Onderzoeksopzet Om de probleemstelling te kunnen beantwoorden, en aan de doelstelling te voldoen, zal er een bepaalde opzet worden gehandhaafd. Deze opzet is te vinden in figuur 1. Hoofdstuk 1 & 2 Hoofdstuk 3 Hoofdstuk 5 Hoofdstuk 4 Hoofdstuk 6 Inleiding Achtergrond awareness Problemen Oplossingen Awareness matrix Verificatie Conclusie Figuur 1: Onderzoeksopzet Het onderzoek is in verschillende onderdelen uiteengezet. In hoofdstuk 1 zal een algemene inleiding gegeven worden, met daarin de probleem, doel en vraagstellingen uitgewerkt. Daarna zal in hoofdstuk 2 een algemene inleiding over informatiebeveiliging staan, om de context te creëren. Deze context is door middel van literatuur verkregen. In hoofdstuk 3 zal gekeken worden naar awareness en de wijze waarop dit te positioneren is. In hoofdstuk 4 zal deze positionering worden ingevuld en geconcretiseerd aan de hand van de praktijkbevindingen van de interviews. Zoals blijkt uit de onderzoeksopzet zal in deze studie gekeken worden naar wat de valkuilen en problemen zijn. Daarnaast zal gekeken worden naar welke oplossingen er zijn, dit gebeurt in hoofdstuk 5. In hoofdstuk 6 zal de conclusie van dit onderzoek staan, waarin adviezen worden geven over hoe een onderneming de beveiliging kan verbeteren met behulp van awareness. Onderzoeksmethode Voor het onderzoek is de volgende methode gebruikt. In het begin is gebruik gemaakt van literatuur om algemene informatie over het onderwerp security awareness te vinden. Aan de hand van deze literatuur is begonnen met het maken van een awareness-matrix en algemene problemen en oplossingen zijn gevonden. Met behulp van deze algemene informatie is een interviewprotocol opgezet. Daarna zijn de interviews gehouden met IT-managers of IT-gerelateerde managers bij ondernemingen waar werknemers in dienst zijn. Met behulp van deze interviews is het interviewprotocol verder uitgewerkt. Aan de hand van de interviews met IT-managers zullen de in literatuur gevonden problemen en oplossingen uitgebreid en verder genuanceerd worden. Tevens is de awareness-matrix verder ontwikkeld en ingevuld met behulp van de problemen en oplossingen uit deze interviews. Daarna zullen interviews worden gehouden met experts om de uitkomsten van de interviews met IT-managers te verifiëren met de uitkomsten van de expert. Pagina 12

14 Ook zal de awareness-matrix gevalideerd en geverifieerd worden met behulp van experts, zodat een quickscan kan worden gemaakt. De verdeling die hierboven is beschreven, is hieronder weergegeven in Figuur 2. Literatuur Achtergrond security awareness Oplossingen Maken van de awareness-matrix Problemen Interview medewerkers Invullen van de awareness-matrix Interview experts Verificatie van de awareness-matrix Ontwerp quickscan Figuur 2: Onderzoeksproces Interviews Omdat dit onderzoek exploratief is en er weinig literatuur beschikbaar is over awareness, is gekozen om informatie te verkrijgen door middel van interviews. Er is gebruik gemaakt van 2 verschillende interviewprotocollen. Het eerste interviewprotocol is bestemd voor de beveiligingsmanagers en CIO s van bedrijven waarvan het aantal medewerkers boven de 1000 medewerkers ligt (+1000 interviews). Het doel van deze interviews was om algemene informatie te verkrijgen om de awareness-matrix mee in te vullen, de positie van bedrijven in de awareness-matrix vast te stellen en de problemen die worden ondervonden te vinden. Het tweede interviewprotocol is ontworpen voor experts op het gebied van informatiebeveiliging, om uitkomsten van de interviews met IT-Managers te verifiëren. De experts die zijn geraadpleegd hebben ervaring in het geven van advies met betrekking op informatiebeveiliging of werken bij organisaties die een goede informatiebeveiliging hebben. Daarnaast zijn deze experts al geruime tijd werkzaam binnen het vakgebied. De vragenlijst voor de IT-managers is als volgt opgebouwd: - Huidige situatie (met betrekking op beveiliging en awareness) Pagina 13

15 - Fase waarin een onderneming zou moeten zitten - Problemen bij deze situatie of bij het verkrijgen/ behouden van de situatie - Activiteiten die een bedrijf heeft gedaan - Problemen die een onderneming heeft ondervonden in voorgaande fasen - Fase waarin een bedrijf denkt te zitten De vragen die aan de hand van deze volgende aspecten zijn opgesteld zijn in bijlage II te vinden. De vragenlijst voor de experts is als volgt opgebouwd: De aspecten tijdens de interviews waren de volgende: - Het ontwikkelde model te toetsen - De invulling van het model te toetsen - Verschillende oplossingen te vinden voor de problemen in de verschillende fasen. De vragen die aan de hand van deze aspecten zijn opgesteld zijn te vinden in bijlage III Beschikbare literatuur In deze paragraaf zal gekeken worden welke bronnen er beschikbaar zijn met betrekking tot awareness. De verschillende literatuur zal worden ingedeeld in verschillende groepen. Media Ten tijde van dit onderzoek is de noodzaak voor voldoende awareness veelvuldig in de aandacht gekomen in kranten, tijdschriften en op websites. Alleen al gelet op de hoeveelheid meldingen van awareness problemen kan het belang en de interesse worden aangetoond. Zaken die in het nieuws kwamen waren bijvoorbeeld: De pc van openbaar aanklager Tonino die bij het grofvuil stond Laptop officier Haarlem gestolen Ziekenhuis zet patiëntgegevens bij grofvuil Laptop met klantgevens uit auto gestolen Gestolen broncode te koop PCs met klantgegevens kredietverstrekker gestolen Ilse media verspreidde Trojaans paard Brits veiligheidsplan voor bezoek Musharraf op straat Zafi-worm laat zien dat gebruiker zwakste schakel is Bankpasjes en pincode nog altijd makkelijk afgegeven Medische stukken in Leeuwarden op de straat Global Surveys Daarnaast zijn er ook publicaties van PriceWaterhouseCoopers, Ernst&Young, KPMG en FBI/CSI. Deze surveys geven een beeld van hoe het bij bedrijven gesteld is met de informatiebeveiliging in het algemeen. Als conclusie van deze surveys, blijkt dat awareness een aandachtspunt zal moeten worden wil de beveiliging verbeteren. Whitepapaers Maar alleen aan kennis dat er wat moet gebeuren aan de bewustheid is niet voldoende. Verschillende instanties hebben hiervoor oplossingen bedacht. Deze oplossingen worden vooral in de vorm van een whitepaper gepubliceerd. Aan de hand van deze whitepapers is het mogelijk om een eigen awarenessprogramma of campagne op te zetten en worden er tips gegeven over de onderwerpen die aangehaald kunnen worden tijdens deze campagnes. Partijen die deze whitepapers ter beschikking stellen zijn het Internationaal Management Forum, Information Security Forum, Kwint en Noticebored. Pagina 14

16 Aan de hand van de bovenstaande informatie is te zien dat awareness een belangrijk aandachtspunt is geworden ten tijden van dit onderzoek. Daarnaast blijkt uit de hoeveelheid oplossingen dat er al redelijk wat manieren aangedragen worden om de awareness te vergroten. Boeken Het feit dat er op het moment veel literatuur bij komt, betekent dat het een onderwerp is dat redelijk nieuw is, of dat op dit moment voor het eerst aandacht krijgt. Gezien de literatuur en de wetenschappelijke documenten over dit onderwerp (die heel summier zijn), blijkt dat deze documenten vooral terugslaan op de psychologie en niet op andere documenten die betrekking hebben op awareness. Heel het onderwerp awareness is dus relatief nieuw. Ten tijde van dit onderzoek is het informatiebeveiliging jaarboek 2004 / 2005 uitgekomen. Door de hoeveelheid aandacht die in dit jaarboek aan awareness of aan awareness gerelateerde onderwerpen besteed werd, kan ook worden aangenomen dat awareness een belangrijk, maar nog onbekend en een beginnende discipline is Te hanteren methodieken Na een kort scan van de beschikbare literatuur, bleek dat er nog maar weinig bekend is over awareness [6]. Het meest wordt gesproken over oplossingen om inbreuk op het informatiesysteem te voorkomen. Oplossingen zoals firewalls, virusscanners, Intrusion Detection Systems (IDS) worden overvloedig behandeld. Ook organisatorische aspecten over hoe een beleid moet worden opgesteld en hoe taken verdeeld moeten worden komen naar voren. Maar de manier waarop awareness moet worden gecreëerd is nauwelijks bekend. Ook zijn nergens verschillende fasen beschreven waar awareness van een onderneming in kan worden gepositioneerd. Door het tekort aan aandacht is er nog maar weinig bekend over awareness. Om toch aan de beschikbare kennis te komen voor dit onderzoek, zal gebruik worden gemaakt van interviews. Zoals al aangegeven is in de voorgaande paragrafen zullen er verschillende interviews worden uitgevoerd. Deze interviews worden uitgevoerd om verschillende vragen beantwoord te krijgen. De onderzoeksvragen die zullen worden bekeken bij de interviews zijn: 1. Wat zijn de typische problemen bij het vergroten van awareness? 2. Welke oplossingen zijn er om de awareness te vergroten, en wat zijn de voor en nadelen van deze oplossingen? Deze vragen kunnen het best beantwoord worden door de IT - managers van een onderneming, omdat IT-managers over het algemeen in de B.V. Nederland verantwoordelijk zijn voor awareness. Daarom zullen interviews gehouden worden met IT-managers uit diverse sectoren. De verschillende geïnterviewden zijn onderverdeeld in koplopers en achterblijvers, waarbij in de interviews de koplopers meer gevraagd is naar oplossingen en de achterblijvers meer naar problemen. 1.5 Afbakening Het onderzoek zal gericht worden op bedrijven waarbij het werknemersaantal ligt rond de 1000 werknemers, dit als wens van de opdrachtgever. Daarnaast is de achterliggende gedachte dat kleinere ondernemingen kunnen profiteren van de kennis van grotere bedrijven, omdat deze in het algemeen voorlopen op ontwikkelingen. Dus de geïnterviewde bedrijven kunnen leervolle ervaringen overdragen aan kleinere ondernemingen. Het onderzoek richt zich vooral op IT-managers en security officers. Dit omdat de problemen met awareness en bij de implementatie van awareness, ondervonden worden door deze twee functionarissen en omdat het een wens is van de opdrachtgever. Pagina 15

17 1.6 Persoonlijke ontwikkeling Aan het begin van dit verslag, was de kennis over beveiliging, bij mij vooral technisch van aard. Door middel van een goede technische beveiliging, was het in mijn opinie mogelijk om een goede algehele beveiliging te creëren. Vandaar dat in het tweede hoofdstuk vooral naar de technische aspecten van beveiliging is gekeken. Echter later bleek dat deze beveiliging niet voldoende was. Dat er problemen zijn met de beveiliging die alleen technisch van aard is. Ik ontdekte dat de mens een belangrijke rol speelt bij beveiliging, in hoofdstuk 3 is dit uitgewerkt. Een onkunde van mijzelf, was het feit dat ik niet kon begrijpen dat er medewerkers zijn die mail openen met bijvoorbeeld een dubieuze bijlage (met een van de volgende extensies zip/exe/pif enz) openen. Toch blijkt dit te gebeuren, ook bij Media Plaza. Ook kwam ik erachter dat de meest actuele en eigenlijk enige manier om medewerkers bewust te maken, is door middel van een awareness-campagne.verschillende opzetten voor campagnes waren gegeven en materiaal is er te vinden op internet. Maar vanuit wetenschappelijk oogpunt is er bijna niets bekend over awareness. Daarom besloot ik onderzoek te doen naar awareness. Daarbij is mijn ontwikkeltraject gegaan van een organisatorische maatregel schuwende houding, tot een goedkeurende houding ten opzichte van organisatorische maatregelen. Tijdens het onderzoek naar de positionering, kwam ik achter de manier van aanpak tot het verkrijgen van een awareness vergrotende maatregel binnen de organisatie. Dit was niet het uiteindelijke onderzoeksdoel, maar zeer zeker wel een nuttige bijdrage voor ondernemingen die aandacht willen besteden aan dit onderwerp. Het is dus niet zozeer een product off-the-shelf aanschaffen, dat awareness vergroot (deze bedrijven bevinden zich momenteel al op de markt). In het volgende hoofdstuk zal worden beschreven wat informatiebeveiliging inhoud. Pagina 16

18 2.0 Inleiding in informatiebeveiliging In dit hoofdstuk zal gekeken worden naar wat informatiebeveiliging inhoud. Verschillende aspecten van informatiebeveiliging zullen bekeken worden. In paragraaf 2.1 zal een algemeen globaal overzicht worden gegeven van welke aspecten van informatie en informatievoorziening bedreigd en beschermd kunnen worden. In paragraaf 2.2 zal een overzicht worden gegeven van de momenteel belangrijkste bedreigingen. Daarna zal in paragraaf 2.3 gekeken worden welke beveiligingsmaatregelen er zijn om de bedreigingen te kunnen weerstaan. Maar of deze beveiligingsmaatregelen voldoende zijn, zal bekeken worden in paragraaf Wat is informatiebeveiliging Om informatie te beveiligen moet er met verschillende zaken rekening worden gehouden. Allereerst moet gekeken worden naar welke delen van de informatie en informatievoorziening kunnen worden bedreigd. Deze aspecten zijn [1],[7],[8] - Beschikbaarheid - Integriteit (Correctheid, volledigheid, geldigheid, authenticiteit, enz.) - Vertrouwelijkheid Om een goede informatiebeveiliging te verkrijgen zal de beveiliging zich op deze aspecten moeten richten. Om duidelijk te maken waarom deze aspecten beveiligd dienen te worden zal in het kort gekeken worden naar wat er met deze aspecten bedoeld wordt. Het beveiligen van de beschikbaarheid houdt in dat de informatie beschikbaar is, op het moment dat erom gevraagd wordt. Het moet niet zo zijn dat informatie niet of vertraagd beschikbaar is. Een voorbeeld waarbij gebruik is gemaakt om de beschikbaarheid van de informatie aan te vallen en op deze manier voor een beveiligingsinbreuk te zorgen, is te lezen in het onderstaande artikel. Pagina 17

19 7 oktober 2004 Websites overheid door ddos-aanval lamgelegd De websites en zijn afgelopen maandagavond onbereikbaar geworden door een aanval van hackers. De aanval van de groep, een 'distributed denial of service attack' (ddos), zou bedoeld zijn als protest tegen het kabinetsbeleid. Er is aangifte gedaan bij de politie Er wordt geprobeerd om overheid.nl en regering.nl zo snel mogelijk weer bereikbaar te maken, maar niet bekend is hoe lang dit gaat duren. Momenteel zijn ze allebei nog 'uit de lucht'. Het Ictu-programma Computer Emergency Response Team van de Nederlandse overheid (Govcert.nl) doet extra onderzoek doen naar het voorkomen van ddos-aanvallen. Daarbij wordt gebruik gemaakt van de 'lessons learned' van de huidige aanval. Het voorval legt de vinger op een gevoelige plek: het opzetten van zo'n aanval is kinderspel. Letterlijk, want het blijken nogal eens jongeren, zogenoemde 'script kiddies', te zijn die verantwoordelijk zijn voor ddos-aanvallen. Aanvalsplannen en handleidingen kunnen door zulke 'script kiddies', die vaak geen clou hebben van wat ze kunnen aanrichten, tamelijk eenvoudig van het internet worden geplukt Redactie Computable Bron: ( ) Het beveiligen van integriteit van informatie heeft betrekking op de correctheid, volledigheid, geldigheid, authenticiteit en onweerlegbaarheid. De informatie moet goed zijn, up-to-date enz. Vertrouwelijkheid houdt in dat de informatie op het informatiesysteem alleen beschikbaar is voor degene die over de informatie of data mag beschikken. En dat de informatie op de juiste wijze gebruikt wordt door deze personen. In het onderstaande artikel is te lezen hoe vertrouwelijke informatie in handen van verkeerde personen is gekomen. Dit doordat de beveiliging ergens bij Cisco heeft gefaald. De gevolgen zijn in dit geval minimaal winstverlies. Maar naast dit voorbeeld staan tal van voorbeelden, denk bijvoorbeeld aan hackers die creditcard gegevens van Mastercard en Visa wisten te bemachtigen in februari 2003 [I3]. Pagina 18

20 Source Code Club biedt opnieuw gestolen code Cisco aan Door Yoeri Lauwers - woensdag 3 november :32 - Bron: News.com - Views: Ongeveer vier maanden nadat de Source Code Club voor het eerst gestolen broncode te koop aanbood, is de hackerswinkel opnieuw geopend. Voor dollar kan men volgens de SCC de broncode van het Cisco-besturingssysteem voor firewalls, Pix, aanschaffen. In de aankondiging wordt niet vermeld hoe men de broncode in zijn bezit kreeg. Cisco heeft ondertussen al aangegeven deze zaak te onderzoeken, maar kon nog geen uitspraak doen over de echtheid van de aangeboden broncode. Het zou echter wel gaan om versie uit maart 2003, terwijl men ondertussen al bij versie gekomen is. Om potentiële klanten over te halen biedt de Source Code Club ook extraatjes aan. Zo krijgen klanten die een volledig pakket broncode aanschaffen toegang tot de code van andere software, die niet publiek beschikbaar is. Toen de SCC in juli zijn deuren opende moest de virtuele winkel na tien dagen al opgedoekt worden om nog eens vier dagen later weer op usenet te verschijnen. Bron: ( ) Om voor een beveiliging op de drie verschillende aspecten te verzorgen, zijn er verschillende soorten beveiligingsmaatregelen. Deze zijn opgedeeld in de volgende 3 groepen [7],[9]: - Fysieke beveiligingsmaatregelen - Logische beveiligingsmaatregelen - Organisatorische beveiligingsmaatregelen Fysieke beveiliging is beveiliging die door middel van fysieke zaken tot stand komt. Hierbij moet worden gedacht aan computers die aan de werkplek zijn vastgeketend en dus niet zomaar mee kunnen worden genomen. Logische beveiligingsmaatregelen zijn maatregelen die op het systeem draaien. Hierbij moet bijvoorbeeld worden gedacht aan inloggen door middel van gebruikersnaam en wachtwoord, of aan virusscanners. De laatste manier van beveiligen is op organisatorisch gebied, hieronder vallen alle organisatorische maatregelen, als beleid, regels en procedures. Naar aanleiding van het onderstaande bericht zullen de verschillende manieren van beveiliging worden toegelicht. Pagina 19

Werkplekbeveiliging in de praktijk

Werkplekbeveiliging in de praktijk Werkplekbeveiliging in de praktijk M.E.M. Spruit Geautomatiseerde werkplekken vormen een belangrijke schakel in de informatievoorziening van organisaties. Toch wordt aan de beveiliging van werkplekken

Nadere informatie

Factsheet Penetratietest Informatievoorziening

Factsheet Penetratietest Informatievoorziening Factsheet Penetratietest Informatievoorziening Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

Solution Dag 2015. refresh-it. Printing. Frits de Boer Frenk Tames 1 12.06.2015

Solution Dag 2015. refresh-it. Printing. Frits de Boer Frenk Tames 1 12.06.2015 Solution Dag 2015. refresh-it Printing Frits de Boer Frenk Tames 1 12.06.2015 Agenda. 1. Welkom Frits de Boer 2. Samsung Printing Frenk Tames 3. Rondleiding Tonerfabriek ARP Supplies 2 12.06.2015 Solution

Nadere informatie

Bescherming tegen de gevolgen van cyber risico s. Bedrijfsverzekeringen. CyberEdge van AIG

Bescherming tegen de gevolgen van cyber risico s. Bedrijfsverzekeringen. CyberEdge van AIG Bescherming tegen de gevolgen van cyber risico s Bedrijfsverzekeringen CyberEdge van AIG Wat zijn cyber risico s? Cyber risico s zijn een vaststaand gegeven in een wereld van informatie, informatiesystemen

Nadere informatie

BEVEILIGINGSARCHITECTUUR

BEVEILIGINGSARCHITECTUUR BEVEILIGINGSARCHITECTUUR Risico s onder controle Versie 1.0 Door: drs. Ir. Maikel J. Mardjan MBM - Architect 2011 cc Organisatieontwerp.nl AGENDA Is een beveiligingsarchitectuur wel nodig? Oorzaken beveiligingsincidenten

Nadere informatie

Beveiliging en bescherming privacy

Beveiliging en bescherming privacy Beveiliging en bescherming privacy Beveiliging en bescherming privacy Duobus B.V. Nieuwe Boteringestraat 82a 9712PR Groningen E info@duobus.nl I www.duobus.nl September 2014 2 Voorwoord Als organisatie

Nadere informatie

Het Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV

Het Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV Het Sebyde aanbod Secure By Design AUG 2012 Sebyde BV Wat bieden wij aan? 1. Web Applicatie Security Audit 2. Secure Development 3. Security Awareness Training 4. Security Quick Scan 1. Web Applicatie

Nadere informatie

Informatiebeveiliging voor gemeenten: een helder stappenplan

Informatiebeveiliging voor gemeenten: een helder stappenplan Informatiebeveiliging voor gemeenten: een helder stappenplan Bewustwording (Klik hier) Structureren en borgen (Klik hier) Aanscherping en maatwerk (Klik hier) Continu verbeteren (Klik hier) Solviteers

Nadere informatie

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging Seminar Trends in Business & IT bij woningcorporaties Informatiebeveiliging Agenda Rondje verwachtingen Even voorstellen.. Informatiebeveiliging waarom? Stand van zaken bij corporaties Informatiebeveiliging

Nadere informatie

IBM; dataopslag; storage; infrastructuur; analytics; architectuur; big data

IBM; dataopslag; storage; infrastructuur; analytics; architectuur; big data Asset 1 van 10 Big Data Analytics voor Dummies Gepubliceerd op 30 june 2014 Gelimiteerde editie van de populaire Dummies-reeks, speciaal voor managers. Het boek legt uit waarom Big Data Analytics van cruciaal

Nadere informatie

Advies informatiebeveiligings analyse HvA

Advies informatiebeveiligings analyse HvA Advies informatiebeveiligings analyse HvA Wouter Borremans - 0461911 - v1.1 1 Juni 2005 1 Inleiding Dit document is geschreven met als doel om de Hogeschool van Amsterdam[5] (HvA) te voorzien van een advies

Nadere informatie

INFORMATIEBEVEILIGING VOOR WEBWINKELS

INFORMATIEBEVEILIGING VOOR WEBWINKELS INFORMATIEBEVEILIGING VOOR WEBWINKELS HANDIGE CHECKLISTS In deze whitepaper bieden we u tips en checklists die kunnen bijdragen aan een optimale beveiliging van zowel uw eigen data als die van uw klanten.

Nadere informatie

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002. Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten

Nadere informatie

Factsheet Penetratietest Infrastructuur

Factsheet Penetratietest Infrastructuur Factsheet Penetratietest Infrastructuur Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

Inhoud leereenheid 1. Security en IT: inleiding. Introductie 15. Leerkern 15. Terugkoppeling 18. Uitwerking van de opgaven 18

Inhoud leereenheid 1. Security en IT: inleiding. Introductie 15. Leerkern 15. Terugkoppeling 18. Uitwerking van de opgaven 18 Inhoud leereenheid 1 Security en IT: inleiding Introductie 15 Leerkern 15 1.1 What Does Secure Mean? 15 1.2 Attacks 16 1.3 The Meaning of Computer Security 16 1.4 Computer Criminals 16 1.5 Methods of Defense

Nadere informatie

Inhoud. Dus u denkt dat internetbankieren veilig is? Informatiebeveiliging Cryptografie Internetbankieren. 26 september 2009 Harald Vranken

Inhoud. Dus u denkt dat internetbankieren veilig is? Informatiebeveiliging Cryptografie Internetbankieren. 26 september 2009 Harald Vranken Dus u denkt dat internetbankieren veilig is? 26 september 2009 Harald Vranken Inhoud Informatiebeveiliging 2 Informatiebeveiliging Introductie Informatie betekenisvolle gegevens waardevol (privacy, bedrijfsinformatie)

Nadere informatie

Onderzoeksverslag Beveiliging

Onderzoeksverslag Beveiliging Onderzoeksverslag Beveiliging Project 3 TI1B - Mohamed, Ruben en Adam. Versie 1.0 / 29 maart 2016 Pagina 1 Inhoud 1. INLEIDING... 3 2. VEILIGHEID EISEN... 3 3. SOFTWARE... FOUT! BLADWIJZER NIET GEDEFINIEERD.

Nadere informatie

Een checklist voor informatiebeveiliging

Een checklist voor informatiebeveiliging Door: De IT-Jurist Versie: 1.0 Datum: juli 2015 Hoewel bij de totstandkoming van deze uitgave de uiterste zorg is betracht, kan De IT-Jurist niet aansprakelijk worden gehouden voor de gevolgen van eventuele

Nadere informatie

Hoe fysiek is informatiebeveiliging?

Hoe fysiek is informatiebeveiliging? Hoe fysiek is informatiebeveiliging? Johan de Wit Siemens Nederland NV Hoe fysiek is informatiebeveiliging? Informatie is voor organisaties van onschatbare waarde, het beschermen ervan heeft binnen organisaties

Nadere informatie

Sebyde Security in een organisatie A3 Management Workshop. 7 Januari 2014

Sebyde Security in een organisatie A3 Management Workshop. 7 Januari 2014 Sebyde Security in een organisatie A3 Management Workshop 7 Januari 2014 Even voorstellen Sebyde BV is Certified IBM Business Partner voor security systems, gespecialiseerd in applicatie security en security

Nadere informatie

Aanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA. Arjan Dekker

Aanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA. Arjan Dekker Aanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA Arjan Dekker 25 mei 2005 Inhoudsopgave 1 Inleiding 2 2 Analysemethoden 2 2.1 Kwalitatieve risicoanalyse......................

Nadere informatie

HOE OMGAAN MET DE MELDPLICHT DATALEKKEN?

HOE OMGAAN MET DE MELDPLICHT DATALEKKEN? HOE OMGAAN MET DE MELDPLICHT DATALEKKEN? EEN HANDIGE CHECKLIST In deze whitepaper bieden we u handvatten die u kunnen helpen bij de implementatie van de meldplicht datalekken binnen uw organisatie. We

Nadere informatie

Beveiligingsbeleid Stichting Kennisnet

Beveiligingsbeleid Stichting Kennisnet Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek

Nadere informatie

Audit: Beveiliging Digitale Examens

Audit: Beveiliging Digitale Examens Audit: Beveiliging Digitale Examens 1 Hoffmann Bedrijfsrecherche bv http://www.youtube.com/watch?v=wq-wn7lykxu 2 Regio met grote ambities Onze regio, Brainport regio Eindhoven, is een van de meest dynamische

Nadere informatie

NBV themanummer Nieuwsbrief December 2010

NBV themanummer Nieuwsbrief December 2010 December 2010 NBV themanummer Nieuwsbrief December 2010 Het Nationaal Bureau Verbindingsbeveiliging (NBV), onderdeel van de AIVD, geeft voor zijn relaties tweemaandelijks een nieuwsbrief uit. Dit is een

Nadere informatie

Security Health Check

Security Health Check Factsheet Security Health Check De beveiligingsthermometer in uw organisatie DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl De Security

Nadere informatie

Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus 20018. 2500 EA Den Haag. Datum 22 mei 2013 Beantwoording Kamervragen 2013Z08874

Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus 20018. 2500 EA Den Haag. Datum 22 mei 2013 Beantwoording Kamervragen 2013Z08874 > Retouradres Postbus20011 2500 EA Den Haag Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus 20018 2500 EA Den Haag Directie Burgerschap en Informatiebeleid Turfmarkt 147 Den Haag Postbus

Nadere informatie

Kennissessie Information Security

Kennissessie Information Security Kennissessie Information Security 3 oktober 2013 Bonnefantenmuseum De sleutel ligt onder de mat Wachtwoord: welkom1234 Focus op vertaling strategie in de organisatie Advies, programma, project en interim

Nadere informatie

Samenvatting Meldplicht Datalekken. Michael van der Vaart Head of Technology ESET Nederland

Samenvatting Meldplicht Datalekken. Michael van der Vaart Head of Technology ESET Nederland Samenvatting Meldplicht Datalekken & Michael van der Vaart Head of Technology ESET Nederland DISCLAIMER LET OP: Het gaat hier om een interpretatie van de omtrent de meldplicht datalekken. Deze interpretatie

Nadere informatie

IT Security in de industrie

IT Security in de industrie IT Security in de industrie Praktische ervaringen met cyber security in de Energiesector en Procesindustrie Henk Spelt Henk.Spelt@kema.com Experience you can trust. Onderwerpen Waarom is (cyber) security

Nadere informatie

INFORMATIEBEVEILIGING: WAAR STAAT U NU?

INFORMATIEBEVEILIGING: WAAR STAAT U NU? INFORMATIEBEVEILIGING: WAAR STAAT U NU? HANDIGE CHECKLISTS VOOR DE OVERHEIDSSECTOR In deze whitepaper bieden we u handvatten en checklists voor hoe u om kunt gaan met de nieuwe meldplicht datalekken. Steeds

Nadere informatie

Unified Enterprise Security wordt geleverd door onze strategische partner Masergy, de wereldspeler in global communications en security.

Unified Enterprise Security wordt geleverd door onze strategische partner Masergy, de wereldspeler in global communications en security. Het verlengstuk van uw IT security operations: altijd (24x7) de beste expertise en meest actuele kennis, geïntegreerd zicht op wat er gebeurt in uw datacenter en eerder en Security as a Service Het verlengstuk

Nadere informatie

HANDLEIDING SMTP DIENST BEDRIJVENWEB NEDERLAND B.V.

HANDLEIDING SMTP DIENST BEDRIJVENWEB NEDERLAND B.V. HANDLEIDING SMTP DIENST BEDRIJVENWEB NEDERLAND B.V. Uitgave : 1.0 KORTE OMSCHRIJVING In dit document wordt beschreven hoe u gebruik kunt maken van de SMTP dienst van Bedrijvenweb Nederland B.V. om e-mail

Nadere informatie

Sebyde Web Applicatie Security Scan. 7 Januari 2014

Sebyde Web Applicatie Security Scan. 7 Januari 2014 Sebyde Web Applicatie Security Scan 7 Januari 2014 Even voorstellen Sebyde BV is Certified IBM Business Partner voor security systems, gespecialiseerd in applicatie security en security awareness. We leveren

Nadere informatie

Datadiefstal: Gone in 60 Seconds!

Datadiefstal: Gone in 60 Seconds! Datadiefstal: Gone in 60 Seconds! Didacticum Solutions Datadiefstal en ontwikkelingen Het komt regelmatig voor: klantgegevens of intellectuele eigendommen van bedrijven worden door hackers gestolen. Denk

Nadere informatie

Het Sebyde aanbod. Secure By Design

Het Sebyde aanbod. Secure By Design Het Sebyde aanbod Secure By Design Ons aanbod Security Scan Secure Development Security Awareness Security Assessment 1. Security Scan > Scan van uw web applicatie(s) op kwetsbaarheden. Hiervoor gebruiken

Nadere informatie

Je bent zichtbaarder dan je denkt Een programma over cyber security awareness. Informatie voor managers

Je bent zichtbaarder dan je denkt Een programma over cyber security awareness. Informatie voor managers Je bent zichtbaarder dan je denkt Een programma over cyber security awareness Informatie voor managers Je bent zichtbaarder dan je denkt Informatie voor managers 2 Voorwoord Het cybersecuritybeeld van

Nadere informatie

Karel Titeca Bart Denys november / december 2015. Awareness sessie eindgebruikers

Karel Titeca Bart Denys november / december 2015. Awareness sessie eindgebruikers Karel Titeca Bart Denys november / december 2015 Awareness sessie eindgebruikers Om te beginnen: een filmpje En nu iets over onze identiteit. Onze echte. Karel Titeca Verantwoordelijke Communicatie, Servicepunt

Nadere informatie

Meldplicht datalekken

Meldplicht datalekken Meldplicht datalekken Peter Westerveld Directeur en principal security consultant Sincerus consultancy Sincerus Cybermonitor Opgericht in 2004 20 medewerkers Informatiebeveiliging Zwolle en Enschede 15-02-16

Nadere informatie

Prestatiebeloning werkt nauwelijks, maar prestatieafstemming

Prestatiebeloning werkt nauwelijks, maar prestatieafstemming Prestatiebeloning werkt nauwelijks, maar prestatieafstemming werkt wel André de Waal Prestatiebeloning wordt steeds populairder bij organisaties. Echter, deze soort van beloning werkt in veel gevallen

Nadere informatie

Hoe gaat u dit gemeentelijke varkentje wassen? Aansluiten bij de IBD Anita van Nieuwenborg

Hoe gaat u dit gemeentelijke varkentje wassen? Aansluiten bij de IBD Anita van Nieuwenborg Hoe gaat u dit gemeentelijke varkentje wassen? Aansluiten bij de IBD Anita van Nieuwenborg Programma 1. De IBD 2. stappenplan Aansluiten bij de IBD 3. VCIB-gesprek (plenair) 2 1.1 De IBD Gezamenlijk initiatief

Nadere informatie

Beveiligingsaspecten van webapplicatie ontwikkeling met PHP

Beveiligingsaspecten van webapplicatie ontwikkeling met PHP RADBOUD UNIVERSITEIT NIJMEGEN Beveiligingsaspecten van webapplicatie ontwikkeling met PHP Versie 1.0 Wouter van Kuipers 7 7 2008 1 Inhoud 1 Inhoud... 2 2 Inleiding... 2 3 Probleemgebied... 3 3.1 Doelstelling...

Nadere informatie

Cloud computing Helena Verhagen & Gert-Jan Kroese

Cloud computing Helena Verhagen & Gert-Jan Kroese Cloud computing Helena Verhagen & Gert-Jan Kroese Privacy Better business through better privacy Juridisch kader cloud computing Meldplicht datalekken Tips & Tricks Vragen? 2 Privacy https://www.youtube.com/watch?v=xyzthipktqg

Nadere informatie

Sr. Security Specialist bij SecureLabs

Sr. Security Specialist bij SecureLabs Wie ben ik? Ronald Kingma, CISSP ronald@securelabs.nl Sr. Security Specialist bij SecureLabs Introductie SecureLabs Voorheen ISSX Code of Conduct Real Penetration Testing Vulnerability Management Veiligheidsincidenten

Nadere informatie

Verslaglegging. P. Broekhuizen F. Sijsling G. Zandvliet Docenten Nederlands

Verslaglegging. P. Broekhuizen F. Sijsling G. Zandvliet Docenten Nederlands Verslaglegging P. Broekhuizen F. Sijsling G. Zandvliet Docenten Nederlands Leeuwarden, 13 september 2011 Verslaglegging Door : P. Broekhuizen, F. Sijsling en G. Zandvliet Docenten Nederlands Klas : LBLV.2

Nadere informatie

Informatiebeveiliging

Informatiebeveiliging Informatiebeveiliging 2QGHUZLMVLQZDDUGHQHQQRUPHQ Lectoraat Informatiebeveiliging Haagse Hogeschool Cobie van der Hoek Leo van Koppen 12-11-2004 Lectoraat Informatiebeveiliging HHS&THR 1 Introductie Lectoraat

Nadere informatie

w o r k s h o p s 2 0 1 5

w o r k s h o p s 2 0 1 5 workshops 2015 Security en social engineering Internet is niet meer weg te denken uit ons dagelijks leven: bankzaken, contacten, informatie zoeken, (ver)kopen, spelletjes en ander vermaak vinden via internet

Nadere informatie

Voor onder meer volgende preventieve diensten hebben wij sterke partners : Doopput 14 2550 Kontich

Voor onder meer volgende preventieve diensten hebben wij sterke partners : Doopput 14 2550 Kontich P R E V E N T I E Cybercontract biedt bedrijven toegang tot een unieke set gespecialiseerde diensten bij lokale professionals! Diensten van bewezen kwaliteit snel en centraal toegankelijk. Zo helpen we

Nadere informatie

Factsheet Penetratietest Webapplicaties

Factsheet Penetratietest Webapplicaties Factsheet Penetratietest Webapplicaties Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

Security Starts With Awareness

Security Starts With Awareness Security Starts With Awareness Think Secure Think Secure is in 2003 opgericht met het doel organisaties te ondersteunen met kennis en diensten die: 1.Het bewustzijn m.b.t. informatie- en ICT beveiliging

Nadere informatie

Aanpak A58 security issues. Door P. Goossens, 31 oktober 2014

Aanpak A58 security issues. Door P. Goossens, 31 oktober 2014 Aanpak A58 security issues Door P. Goossens, 31 oktober 2014 Het PCP A58 Spookfile project Security, wat is dat en delen we hetzelfde beeld? Security aanpak > Analyse High Level Architecture > Over The

Nadere informatie

Invloed van het aantal kinderen op de seksdrive en relatievoorkeur

Invloed van het aantal kinderen op de seksdrive en relatievoorkeur Invloed van het aantal kinderen op de seksdrive en relatievoorkeur M. Zander MSc. Eerste begeleider: Tweede begeleider: dr. W. Waterink drs. J. Eshuis Oktober 2014 Faculteit Psychologie en Onderwijswetenschappen

Nadere informatie

Procedurerichtlij nen voor informanten

Procedurerichtlij nen voor informanten Procedurerichtlij nen voor informanten De bijgevoegde procedurerichtlijnen voor informanten die door elke bestuurder, directeur en werknemer van BARNES Group Holland B.V., zakendoend met de naam KENT,

Nadere informatie

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Noordhoff Uitgevers is een educatieve uitgeverij die verschillende

Nadere informatie

Onderzoeksresultaten infosecurity.nl

Onderzoeksresultaten infosecurity.nl Onderzoeksresultaten infosecurity.nl Pagina 1 Introductie Tijdens de beurs infosecurity.nl, die gehouden werd op 11 en 12 oktober 2006, heeft Northwave een onderzoek uitgevoerd onder bezoekers en exposanten.

Nadere informatie

Veilig samenwerken. November 2010

Veilig samenwerken. November 2010 Veilig samenwerken November 2010 Overzicht Introductie Veilig Samenwerken Visie Vragen Afsluiting Introductie SkyDec Communicatie Navigatie Services Introductie Communicatie Voor afgelegen gebieden: Telefonie

Nadere informatie

1. Uw tablet beveiligen

1. Uw tablet beveiligen 11 1. Uw tablet beveiligen Het risico op virussen of andere schadelijke software (malware genoemd) is bekend van pc s. Minder bekend is dat u ook op een tablet met malware geconfronteerd kan worden als

Nadere informatie

Welkom. De fysieke beveiliging van uw industriële netwerk. Sjoerd Hakstege van Eekhout Network & Security Specialist Phoenix Contact B.V.

Welkom. De fysieke beveiliging van uw industriële netwerk. Sjoerd Hakstege van Eekhout Network & Security Specialist Phoenix Contact B.V. Welkom De fysieke beveiliging van uw industriële netwerk Sjoerd Hakstege van Eekhout Network & Security Specialist Phoenix Contact B.V. In-Depth Security = meerdere lagen Security Aanpak 1. Fysieke beveiliging

Nadere informatie

onderzoek en privacy WAT ZEGT DE WET

onderzoek en privacy WAT ZEGT DE WET onderzoek en privacy WAT ZEGT DE WET masterclass research data management Maastricht 4 april 2014 presentatie van vandaag uitleg begrippenkader - privacy - juridisch huidige en toekomstige wet- en regelgeving

Nadere informatie

Kwetsbaarheden in BIOS/UEFI

Kwetsbaarheden in BIOS/UEFI Kwetsbaarheden in BIOS/UEFI ONDERZOEKSRAPPORT DOOR TERRY VAN DER JAGT, 0902878 8 maart 2015 Inhoudsopgave Inleiding... 2 Wat is een aanval op een kwetsbaarheid in het BIOS?... 2 Hoe wordt een BIOS geïnfecteerd?...

Nadere informatie

Ivo Opstelten Minister van Veiligheid en Justitie Postbus 20301 2500 EH DEN HAAG

Ivo Opstelten Minister van Veiligheid en Justitie Postbus 20301 2500 EH DEN HAAG Post Bits of Freedom Bank 55 47 06 512 M +31 (0)6 13 38 00 36 Postbus 10746 KvK 34 12 12 86 E ton.siedsma@bof.nl 1001 ES Amsterdam W https://www.bof.nl Ivo Opstelten Minister van Veiligheid en Justitie

Nadere informatie

Inhoudsopgave Fout! Bladwijzer niet gedefinieerd. Fout! Bladwijzer niet gedefinieerd. Fout! Bladwijzer niet gedefinieerd.

Inhoudsopgave Fout! Bladwijzer niet gedefinieerd. Fout! Bladwijzer niet gedefinieerd. Fout! Bladwijzer niet gedefinieerd. Validatie van het EHF meetinstrument tijdens de Jonge Volwassenheid en meer specifiek in relatie tot ADHD Validation of the EHF assessment instrument during Emerging Adulthood, and more specific in relation

Nadere informatie

Communicatie & Multimedia Design. Onderzoeksopzet. Afstudeerstage mt&v

Communicatie & Multimedia Design. Onderzoeksopzet. Afstudeerstage mt&v Communicatie & Multimedia Design Onderzoeksopzet Afstudeerstage mt&v Michel Janse 24 6 2010 Inleiding. In dit document geef ik een conceptuele weergave van het pad dat ik tijdens mijn onderzoek en het

Nadere informatie

e-token Authenticatie

e-token Authenticatie e-token Authenticatie Bescherm uw netwerk met de Aladdin e-token authenticatie oplossingen Aladdin is een marktleider op het gebied van sterke authenticatie en identiteit management. De behoefte aan het

Nadere informatie

Klant. Klant - Branche: Industrie - > 20000 employees - Vestigingen in > 25 landen. Specifiek - Profitabele, kosten gedreven strategy

Klant. Klant - Branche: Industrie - > 20000 employees - Vestigingen in > 25 landen. Specifiek - Profitabele, kosten gedreven strategy Klant Klant - Branche: Industrie - > 20000 employees - Vestigingen in > 25 landen Specifiek - Profitabele, kosten gedreven strategy IT characteristics - Constante verandering: organsiatie, techniek, processen.

Nadere informatie

Partners in Information Security. Partners in Information Security. Peter Rietveld. DDoS in perspectief

Partners in Information Security. Partners in Information Security. Peter Rietveld. DDoS in perspectief Partners in Information Security Partners in Information Security Peter Rietveld DDoS in perspectief Peter Rietveld Security Adviseur Traxion Even voorstellen Domein Manager Situational Awareness Competence

Nadere informatie

Cyber Security: hoe verder?

Cyber Security: hoe verder? Cyber Security: hoe verder? Pensioenbestuurders Rotterdam, 11 maart 2014 Generaal (bd.) Dick Berlijn 2 Wat is Cyber, wat is Cyber Security? Cyber is: Overal Raakt alles Energie, transport, infrastructuur,

Nadere informatie

Hoofdstuk 2: Kritisch reflecteren 2.1. Kritisch reflecteren: definitie Definitie: Kritisch reflecteren verwijst naar een geheel van activiteiten die

Hoofdstuk 2: Kritisch reflecteren 2.1. Kritisch reflecteren: definitie Definitie: Kritisch reflecteren verwijst naar een geheel van activiteiten die Hoofdstuk 2: Kritisch reflecteren 2.1. Kritisch reflecteren: definitie Definitie: Kritisch reflecteren verwijst naar een geheel van activiteiten die worden uitgevoerd om uit het gevonden bronnenmateriaal

Nadere informatie

Raadsmededeling - Openbaar

Raadsmededeling - Openbaar Raadsmededeling - Openbaar Nummer : 54/2016 Datum : 22 maart 2016 B&W datum : 22 maart 2016 Beh. ambtenaar : Annelies te Booij Portefeuillehouder : G. Berghoef Onderwerp : Meldplicht datalekken Aanleiding

Nadere informatie

COGNITIEVE DISSONANTIE EN ROKERS COGNITIVE DISSONANCE AND SMOKERS

COGNITIEVE DISSONANTIE EN ROKERS COGNITIVE DISSONANCE AND SMOKERS COGNITIEVE DISSONANTIE EN ROKERS Gezondheidsgedrag als compensatie voor de schadelijke gevolgen van roken COGNITIVE DISSONANCE AND SMOKERS Health behaviour as compensation for the harmful effects of smoking

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...

Nadere informatie

Inhoudsopgave. 2 Danique Beeks Student Advanced Business Creation Stage JH Business Promotions

Inhoudsopgave. 2 Danique Beeks Student Advanced Business Creation Stage JH Business Promotions Onderzoeksopzet Danique Beeks Studentnummer: 2054232 Advanced Business Creation Stagebedrijf: JH Busines Promotions Bedrijfsbegeleider: John van den Heuvel Datum: 12 September 2013 Inhoudsopgave Inleiding

Nadere informatie

Dataprotectie op school

Dataprotectie op school Dataprotectie op school ook een taak van het management Jacques Verleijen Wat is informatieveiligheid? Mogelijke actoren Netwerkschijven Cloud Backup- en restoremogelijkheden Encryptie Servers Firewalls

Nadere informatie

In jouw schoenen. Een praktische invulling van informatiebeveiliging

In jouw schoenen. Een praktische invulling van informatiebeveiliging In jouw schoenen Een praktische invulling van informatiebeveiliging Informatiebeveiliging hot topic Hoeveel weet jij eigenlijk van informatiebeveiliging? veel voldoende te weinig Vooraf.. Wat vind jij

Nadere informatie

Help, een datalek, en nu? IKT-College 16 februari 2016. Mirjam Elferink Advocaat IE, ICT en privacy

Help, een datalek, en nu? IKT-College 16 februari 2016. Mirjam Elferink Advocaat IE, ICT en privacy Help, een datalek, en nu? IKT-College 16 februari 2016 Mirjam Elferink Advocaat IE, ICT en privacy Inleiding Voorbeelden recente datalekken - Medische gegevens online door fout scanbedrijf (Bron: R. van

Nadere informatie

Leones. Business Case Service Management Tool

Leones. Business Case Service Management Tool Leones Business Case Service Management Tool Inhoudsopgave 1. AFBAKENING... 3 1.1 DOEL... 3 1.2 AANNAMES... 3 1.3 HUIDIGE SITUATIE... 3 1.4 PROBLEEMSTELLING... 3 1.5 WAT ALS ER NIETS GEBEURT?... 3 2. OPTIES...

Nadere informatie

Wat zijn e-skills? Wat is het probleem met e-skills?? Wat is het probleem voor Nederland? TaskForce e-skills Nederland

Wat zijn e-skills? Wat is het probleem met e-skills?? Wat is het probleem voor Nederland? TaskForce e-skills Nederland Agenda Wat zijn e-skills? Wat is het probleem met e-skills?? Wat is het probleem voor Nederland? TaskForce e-skills Nederland Resultaten Ronde Tafel Conferentie 15 september Plan van Aanpak Nederland e-skills

Nadere informatie

Tweede Kamer der Staten-Generaal

Tweede Kamer der Staten-Generaal Tweede Kamer der Staten-Generaal 2 Vergaderjaar 2012 2013 26 643 Informatie- en communicatietechnologie (ICT) Nr. 278 BRIEF VAN DE MINISTER VAN VEILIGHEID EN JUSTITIE Aan de Voorzitter van de Tweede Kamer

Nadere informatie

Leidraad om te komen tot een praktijk van Responsible Disclosure

Leidraad om te komen tot een praktijk van Responsible Disclosure Leidraad om te komen tot een praktijk van Responsible Disclosure 1 Inhoudsopgave 1 Wat is een kwetsbaarheid 2 Responsible Disclosure 3 Verantwoordelijkheden 4 Bouwstenen voor Responsible Disclosure 2 Inleiding

Nadere informatie

Inleiding. Hoofdstuk 1

Inleiding. Hoofdstuk 1 Hoofdstuk 1 Inleiding 1.1 Welkom 10 1.2 Wat is ICT Security? 10 1.3 Voor wie is dit boek? 11 1.4 Hoe is het boek opgebouwd? 12 1.5 Benodigdheden 12 1.6 Toolselectie 13 1.7 Werken met Virtualbox 14 1.1

Nadere informatie

IT Security Een keten is zo sterk als de zwakste schakel.

IT Security Een keten is zo sterk als de zwakste schakel. IT Security Een keten is zo sterk als de zwakste schakel. René Voortwist ICT Adviseur Leg het mij uit en ik vergeet het. Laat het me zien en ik onthoud het misschien, maar betrek mij erbij en ik begrijp

Nadere informatie

Informatiebeveiligingsdienst Aansluiten, waarom eigenlijk Assen, 6 Maart 2014. Anita van Nieuwenborg

Informatiebeveiligingsdienst Aansluiten, waarom eigenlijk Assen, 6 Maart 2014. Anita van Nieuwenborg Informatiebeveiligingsdienst Aansluiten, waarom eigenlijk Assen, 6 Maart 2014 Anita van Nieuwenborg Programma 1. De IBD 2. Dienstverlening van de IBD 3. Het stappenplan Aansluiten bij de IBD 4. Dialoog

Nadere informatie

Afstudeerprojecten 2015. Security Management. saxion.nl

Afstudeerprojecten 2015. Security Management. saxion.nl Afstudeerprojecten 2015 Security Management saxion.nl Inhoud Woord vooraf Security Management Beste afgestudeerde, Frank Nijsink 4 Van harte gefeliciteerd met het (bijna) behalen van het diploma Security

Nadere informatie

Privacy Policy. Beheer. Algemeen. Disclaimer. Welke gegevens verzamelen wij

Privacy Policy. Beheer. Algemeen. Disclaimer. Welke gegevens verzamelen wij Privacy Policy Beheer De website www.sportentrainer.nl is een onderdeel van het bedrijf Sportentrainer.nl. Het bedrijf staat geregistreerd bij de Kamer Van Koophandel onder nummer: 59939761 De adresgegevens

Nadere informatie

De Invloed van Religieuze Coping op. Internaliserend Probleemgedrag bij Genderdysforie. Religious Coping, Internal Problems and Gender dysphoria

De Invloed van Religieuze Coping op. Internaliserend Probleemgedrag bij Genderdysforie. Religious Coping, Internal Problems and Gender dysphoria De Invloed van Religieuze Coping op Internaliserend Probleemgedrag bij Genderdysforie Religious Coping, Internal Problems and Gender dysphoria Ria de Bruin van der Knaap Open Universiteit Naam student:

Nadere informatie

De status van USB-schijfbeveiliging in Nederland

De status van USB-schijfbeveiliging in Nederland De status van USB-schijfbeveiliging in Nederland Gesponsord door Kingston Technology Onafhankelijk uitgevoerd door Ponemon Institute LLC Publicatiedatum: November 2011 Ponemon Institute Onderzoeksrapport

Nadere informatie

Bijlage 2 Beveiligingsplan. Informatiebeveiliging

Bijlage 2 Beveiligingsplan. Informatiebeveiliging Bijlage 2 Beveiligingsplan Informatiebeveiliging De verantwoordelijkheid voor informatiebeveiliging ligt bij het dagelijks bestuur. In de DB-vergadering van 31 augustus 2015 is stilgestaan bij een aantal

Nadere informatie

Security Les 1 Leerling: Marno Brink Klas: 41B Docent: Meneer Vagevuur

Security Les 1 Leerling: Marno Brink Klas: 41B Docent: Meneer Vagevuur Security Les 1 Leerling: Klas: Docent: Marno Brink 41B Meneer Vagevuur Voorwoord: In dit document gaan we beginnen met de eerste security les we moeten via http://www.politiebronnen.nl moeten we de IP

Nadere informatie

Architecture Governance

Architecture Governance Architecture Governance Plan van aanpak Auteur: Docent: Stijn Hoppenbrouwers Plaats, datum: Nijmegen, 14 november 2003 Versie: 1.0 Inhoudsopgave 1. INLEIDING... 3 2. PROBLEEMSTELLING EN DOELSTELLING...

Nadere informatie

Berry Kok. Navara Risk Advisory

Berry Kok. Navara Risk Advisory Berry Kok Navara Risk Advisory Topics Informatiebeveiliging in het nieuws Annual Benchmark on Patient Privacy & Data Security Informatiebeveiliging in de zorg Extra uitdaging: mobiel Informatiebeveiliging

Nadere informatie

Visie op cybercrime. Rob Heijjer MSc, CISSP Crisismanagement & Fraudebestrijding Security Lab. Rabobank Nederland. Februari 2011

Visie op cybercrime. Rob Heijjer MSc, CISSP Crisismanagement & Fraudebestrijding Security Lab. Rabobank Nederland. Februari 2011 Visie op cybercrime Rob Heijjer MSc, CISSP Crisismanagement & Fraudebestrijding Security Lab Februari 2011 Rabobank Nederland Virtuele kanalen... Er zijn vele wegen Telefoon Voice & IVR (DTMF) TV WWW e-mail

Nadere informatie

Informatiebeveiliging in de praktijk gebracht! Een pragmatische aanpak van IT-beveiliging.

Informatiebeveiliging in de praktijk gebracht! Een pragmatische aanpak van IT-beveiliging. Informatiebeveiliging in de praktijk gebracht! Een pragmatische aanpak van IT-beveiliging. Nick Pieters IT Security audits IT Security consulting & oplossingen IT Security trainer Human... nick@secure-it.be

Nadere informatie

Plan van Aanpak beschikbaar stellen broncode Basisregistratie Personen (BRP)

Plan van Aanpak beschikbaar stellen broncode Basisregistratie Personen (BRP) Plan van Aanpak beschikbaar stellen broncode Basisregistratie Personen (BRP) Samenvatting De minister van Binnenlandse Zaken en Koninkrijksrelaties (BZK) heeft in de Tweede Kamer toegezegd de broncode

Nadere informatie

1. Uw computer beveiligen

1. Uw computer beveiligen 11 1. Uw computer beveiligen Voor computers die verbinding maken met internet is goede beveiliging essentieel. Een goed beveiligingssysteem verkleint het risico op malware (virussen of andere schadelijke

Nadere informatie

Meten is weten? Performance benchmark bij een geo-ict migratietraject

Meten is weten? Performance benchmark bij een geo-ict migratietraject Meten is weten? Performance benchmark bij een geo-ict migratietraject Student: Begeleiders: Professor: Sandra Desabandu (s.desabandu@zoetermeer.nl Edward Verbree (GIMA/TU Delft) en Pieter Bresters (CBS)

Nadere informatie

De Modererende Invloed van Sociale Steun op de Relatie tussen Pesten op het Werk. en Lichamelijke Gezondheidsklachten

De Modererende Invloed van Sociale Steun op de Relatie tussen Pesten op het Werk. en Lichamelijke Gezondheidsklachten De Modererende Invloed van Sociale Steun op de Relatie tussen Pesten op het Werk en Lichamelijke Gezondheidsklachten The Moderating Influence of Social Support on the Relationship between Mobbing at Work

Nadere informatie

DigiNotar certificaten

DigiNotar certificaten DigiNotar certificaten Onlangs is duidelijk geworden dat er digitaal is ingebroken bij het bedrijf Diginotar. Daarmee worden alle DigiNotar certificaten niet meer als veilig geaccepteerd. Certificaten

Nadere informatie

Handleiding Back-up Online Windows Versie april 2014

Handleiding Back-up Online Windows Versie april 2014 Handleiding Back-up Online Windows Versie april 2014 Inhoudsopgave Hoofdstuk 1. Inleiding 3 Hoofdstuk 2. Installatie 4 2.1 Installatie procedure vanuit de installatie-email 4 2.2 Installatie procedure

Nadere informatie