Cybersecure met hulp van professionele HBO ICT studenten. Kosteloze cybersecurity bedrijfsprojecten voor het MKB door De Haagse Hogeschool

Transcriptie

1 Cybersecure met hulp van professionele HBO ICT studenten Kosteloze cybersecurity bedrijfsprojecten voor het MKB door De Haagse Hogeschool

2 Inleiding Cybercrime is een containerbegrip. Computercriminaliteit of cybercrime is razendsnel van kwajongenswerk uitgegroeid tot internationaal opererende netwerken die over de hele digitale wereld geld, goederen, informatie en identiteiten stelen, die chanteren, afpersen en frauderen. Uit een analyse van Deloitte d.d. april 2016 blijkt dat cybercriminaliteit bij Nederlandse bedrijven en de overheid jaarlijks rond de 10 miljard euro kost. Hoe zorgt u als ondernemer er voor dat uw onderneming geen slachtoffer van cybercrime wordt? U kunt uw organisatie op diverse manieren veiliger maken door het nemen van zowel technische, beleidsmatige als gedragsmatige maatregelen ter preventie, monitoring en voor het acteren na het plaatsvinden van een cyberincident. Studenten van de Haagse hogeschool kunnen u hierbij ondersteunen! De Haagse Hogeschool biedt, vanuit haar opleiding HBO ICT, diverse kosteloze bedrijfsprojecten aan voor het MKB waarbij van u enkel een tijdsinspanning wordt verwacht. In deze catalogus kunt u lezen welke projecten wanneer worden aangeboden en waarom deze voor uw onderneming interessant kunnen zijn. Daarnaast bevat de catalogus alle praktische informatie die relevant is per bedrijfsproject. De Haagse Hogeschool biedt deze projecten in het kader van het maatschappelijk belang aan om zowel uw organisatie te helpen cybersafe te worden, als om haar studenten te laten oefenen in de praktijk met echte/feitelijke vraagstukken. Aangezien de opdrachten door studenten worden uitgevoerd moet u er rekening mee houden dat niet elke opdracht succesvol wordt volbracht. Wij kunnen geen garanties bieden op de tijdigheid en de kwaliteit van het resultaat. Wij zorgen er voor dat onze studenten in het bezit zijn van een verklaring omtrent gedrag (VOG) en indien nodig stellen wij per opdracht een overeenkomst op waarin o.a. een verklaring van geheimhouding wordt opgenomen.

3 Projecten Cybercrime Fraud Investigation Bent u slachtoffer van een cybercrime geworden en wilt u graag weten wat er nu echt is gebeurd? 2. Research & Innovation Loopt u tegen een uitdagend securityprobleem aan binnen en/of buiten uw organisatie? Onze HBO ICT studenten gaan graag voor uw op onderzoek uit! 3. Compliance & Auditing Heeft u een bedrijf met 5 tot 50 medewerkers en wilt u ook weten: Wat de relevante wetten en regels voor uw bedrijf inzake informatiebeveiliging en privacy zijn? Bijvoorbeeld de nieuwe privacy wetgeving die op 25 mei 2018 van kracht wordt. Wat de stand van zaken van nakoming hiervan bij uw bedrijf is? Wat de eerstvolgende stap ter verbetering voor uw bedrijf kan zijn? 4. Governance & Architecture Heeft u nog vragen over uw security beleid, en of behoefte aan het security policies/bedrijfsbeleid op het gebied van security, laat onze studenten u dan helpen met het ontwerpen van bedrijfsbeleid, maatregelen en/of oplossingen! 5. Network and Systems professional project Heeft uw organisatie een technisch ICT-security vraagstuk? Bijvoorbeeld de behoefte aan een pentest 1 op een webapplicatie of een beoordeling van uw netwerkconfiguratie. 6. Information Risk Management Welke risico s loopt uw organisatie eigenlijk met betrekking tot informatiebeveiliging? Een quick-scan of een risicoanalyse geeft duidelijkheid over de de risico s. 7. Business Continuity Management & Crisismanagement Heeft u een draaiboek voor crisismanagement? Zijn de zaken goed geregeld wanneer het onverhoopt mis gaat? Zijn er back-ups van databestanden? Is het mogelijk om het werk elders (uitwijk) te hervatten? Is er een draaiboek voor de crisissituatie beschikbaar? Zijn er procedures voor repressie en herstel beschikbaar? 8. Security behaviour Mystery Guest Hoe kwetsbaar is uw organisatie via uw medewerkers telefonisch en/of bij de entreebalie? Hoe vatbaar zijn medewerkers voor social engineering 2? Hoe makkelijk geven medewerkers informatie prijs die niet prijsgegeven had mogen worden? 1 Een penetratietest of pentest (binnendringingstest) is een toets van een of meer computersystemen op kwetsbaarheden, waarbij deze kwetsbaarheden ook werkelijk gebruikt worden om in deze systemen in te breken. 2 een techniek waarbij een computerkraker een aanval op computersystemen tracht te ondernemen via de gebruikers van de systemen

4 1. Cybercrime Fraud Investigation Bent u slachtoffer van een cybercrime en wilt u graag weten wat er echt is gebeurd? Onze tweedejaars Information Security Management studenten zoeken dit graag voor u uit. Zij voeren een technisch onderzoek bij uw organisatie uit naar wat er daadwerkelijk door de cybercrimineel in uw systemen gedaan is. U krijgt na het onderzoek een onderzoeksrapportage die de basis kan vormen voor een aangifte van een cybercrime bij de politie. Alle studenten zijn in het bezit van een VOG en gaan uiteraard vertrouwelijk met uw gegevens om. Dit wordt vooraf in de projectovereenkomst vastgelegd. Dit project wordt aangeboden tussen 28 augustus en 10 november Studenten komen in een groep variërend van twee tot vier, afhankelijk van de aard van het project, een aantal keren bij uw organisatie langs. Na een eerste intakegesprek volgt een plan van aanpak met daarin een nadere planning en afspraken voor onderzoeksactiviteiten en/of interviews. In de afronding (eerste week van november) worden de resultaten in-house gepresenteerd en ontvangt u een onderzoeksrapport met conclusies en aanbevelingen. Om het onderzoek uit te kunnen voeren hebben de studenten gedurende hun bezoek toegang nodig tot de relevante systemen en netwerken. De studenten staan in voor de integriteit van de onderzoeksdata zodat ze kunnen worden gebruikt in eventuele rechtszaken of andere juridische geschillen. Als u slachtoffer bent geworden van een cybercrime, neem dan contact op met Saman Barjas: S.Barjas@hhs.nl U kunt samen vrijblijvend de mogelijkheden voor uw bedrijf om deel te nemen aan het bedrijfsproject Cybercrime Fraud Investigation bespreken. U kunt zich tot uiterlijk 7 juli 2017 voor dit bedrijfsproject aanmelden.

5 2. Research & Innovation Loopt u tegen een uitdagend securityprobleem aan binnen en/of buiten uw organisatie? Onze HBO ICT studenten gaan graag voor uw op onderzoek uit! Op basis van uw probleem- of vraagstelling voeren derde jaars HBO-ICT studenten individueel of in een tweetal, gedurende 8 weken een ICT-security onderzoek uit. De studenten komen in samenspraak met u tot een relevante onderzoeksvraag geven hier middels research antwoord op. De resultaten van het onderzoek worden in de vorm van een onderzoeksrapport opgeleverd en tijdens een assessment op de Haagse Hogeschool gepresenteerd. Dit bedrijfsproject wordt vier keer per jaar aangeboden. De startmomenten zijn: 28 augustus 2017, 13 november 2017, 5 februari 2018 en 23 april U kunt zich per periode tot uiterlijk 4 weken voor aanvang van het bedrijfsproject aanmelden. Als u uw vraagstuk met het cybersecurity probleem aan onze studenten wilt voorleggen, kunt u contact opnemen met: Jan Dirk Schagen: j.d.schagen@hhs.nl Als u na een oriënterend telefoongesprek besluit om uw vraagstuk neer te leggen bij onze studenten, vragen wij u om de opdracht op papier zetten (1 A4tje). Wij kijken vervolgens naar de omvang, het niveau en het cyber-technische aspect van de opdracht. Vervolgens wordt de opdracht toegevoegd aan de catalogus waaruit de studenten kunnen kiezen. Gedurende de acht weken waarin het onderzoek wordt uitgevoerd, verwachten wij van u dat u minimaal een keer aan het begin en een keer aan het einde van deze periode contact heeft met de student(en). Daarnaast vragen wij u de nodige informatie en eventuele materialen beschikbaar te stellen om het onderzoek uit te voeren.

6 3. Compliance & Auditing Heeft u een bedrijf met 5 tot 50 medewerkers en wilt u ook weten: Wat de relevante wetten en regels voor uw bedrijf inzake informatiebeveiliging en privacy zijn? Bijvoorbeeld de nieuwe privacy wetgeving die op 25 mei 2018 van kracht wordt. Wat de stand van zaken van nakoming hiervan bij uw bedrijf is? En wat de eerstvolgende stap ter verbetering voor uw bedrijf kan zijn? Overheden, bedrijfssectoren en professionele beroepsverenigingen leggen steeds striktere regels op aan bedrijven en geleverde producten en diensten. Dat geldt zeker ook voor informatiebeveiliging. Alle bedrijven, groot en klein, hebben met regelgeving in deze te maken. Bij de opleiding Information Security Management leren onze tweedejaars studenten in theorie, wat compliance en auditing voor een reeks van aandachtsgebieden van informatiebeveiliging inhoudt. Maar daar komt nog wel iets bij: het toepassen van theorie in de praktijk. Studenten kunnen praktijkopdrachten Compliance & Auditing bij uw bedrijf uitvoeren en bieden daarmee binnen het kader van uw concrete opdracht inzicht in de volgende vragen. - Welke wetten en regels zijn voor ons bedrijf inzake informatiebeveiliging en privacy van toepassing? - Hoe moeten wij hieraan invulling geven? - Hoe kunnen wij nagaan, of en in hoeverre wij bij het inrichten van maatregelen duurzaam voldoen aan deze wet- en regelgeving? Tussen november 2017 en februari 2018 bieden wij uw organisatie de kans om een adviesopdracht op dit gebied te laten uitvoeren door een groepje van onze studenten. De studenten leveren uw bedrijf een auditplan, een poster met kerninformatie en een auditrapport. Vanuit uw organisatie verwachten wij dat u tijd vrij maakt voor een aantal interviews met u en/of uw medewerkers. U kunt uw bedrijf aanmelden voor dit bedrijfsproject. De uiterlijke sluitingsdatum is 15 oktober. Voor meer informatie en/of aanmelding voor dit project kunt u contact opnemen met: Jaap de Bie: j.a.j.debie@hhs.nl

7 4. Governance & Architecture Op 25 mei 2018 moet ook uw organisatie aan de wetgeving van de Algemene verordening gegevensbescherming voldoen. Vanuit deze nieuwe wetgeving zult u zelf moeten kunnen laten zien dat u voldoet aan de regelgeving. Een goed information security beleid of security policy is hierbij een eerste stap. Heeft u vragen over uw information security beleid, laat onze studenten u dan helpen met het ontwerpen van maatregelen en/of oplossingen! Derdejaars studenten Information Security Management kunnen voor u gedurende een periode van 10 weken (13 november februari 2018 of 23 april juni 2018) een vraagstuk op het gebied van security beleid uitzoeken en maatregelen ontwerpen en/of oplossingen bieden voor uw organisatie. In samenspraak met u formuleren de studenten een heldere doelstelling en bakenen de opdracht af, waarna de studenten aan de slag gaan en met concrete en passende oplossingen voor uw organisatie komen. Van u verwachten wij dat u de studenten gedurende de periode van 10 weken tenminste twee maal spreekt. Een keer aan het begin van de periode om de opdracht te formuleren en nog een keer aan het einde van het project. Daarnaast verwachten wij dat de studenten beschikking krijgen over de informatie en materialen die zij nodig hebben om de opdracht goed voor u te kunnen uitvoeren. Als u meer informatie over dit bedrijfsproject wilt of als u graag zou willen deelnemen, kunt u contact opnemen met Joey Roetman: j.m.roetman@hhs.nl U kunt uw bedrijf aanmelden voor dit bedrijfsproject tot uiterlijk 3 weken voor de start van een van de twee bovengenoemde onderwijsperiodes.

8 5. Network and Systems professional project Heeft uw organisatie een technisch ICT-security vraagstuk? Binnen dit bedrijfsproject voeren derdejaars HBO ICT studenten in een groep van één tot vier studenten, een technisch ICT-security gerelateerd onderzoek voor uw organisatie uit. Het vertrekpunt voor de studenten is een uitdagend security probleem uit de praktijk waar de studenten vervolgens 20 weken (1,5 dag per week) mee aan de slag zullen gaan. Opdrachten dienen te voldoen aan bepaalde criteria op het gebied van onderzoek en karakter. Bij dit soort opdrachten kunt u bijvoorbeeld denken aan: - Onderzoek naar technische kwetsbaarheden in productiesystemen of consumentenelektronica - Onderzoek naar toepassingsmogelijkheden van een open source SIEM-tool in uw kantoor- productienetwerk. - Onderzoek naar implementatiemogelijkheden van Internet of Things-apparaten in uw productieomgeving. Dit bedrijfsproject wordt aangeboden in de periode van 5 februari 2018 tot en met 29 juni U kunt uw bedrijf aanmelden voor dit bedrijfsproject tot uiterlijk 3 weken voor de start van een van de twee bovengenoemde onderwijsperiodes. Heeft u een uitdagend technisch ICT-security vraagstuk, neem dan voor meer informatie en een oriënterend gesprek contact op met Adri Pronk: a.g.p.pronk@hhs.nl Als u na een oriënterend telefoongesprek besluit om uw vraagstuk neer te leggen bij onze studenten, vragen wij u om de opdracht op papier te zetten (1 A4tje). Wij zullen vervolgens kijken naar de omvang, het niveau en het cybertechnische aspect van de opdracht. Vervolgens wordt de opdracht toegevoegd aan de catalogus waaruit de studenten kunnen kiezen. Vanuit uw organisatie verwachten wij dat u in uw organisatie tijd vrij maakt voor de studenten gedurende de loop van het onderzoek.

9 6. Information Risk Management Welke risico s loopt uw organisatie eigenlijk met betrekking tot informatiebeveiliging? Onze eerstejaars ISM-studenten voeren een risico-analyse uit volgens de standaard methode NEN-ISO/IEC27005 op het gebied van informatiebeveiliging bij uw organisatie. Hierbij wordt gekeken naar de inrichting van de organisatie- en de bedrijfsprocessen en worden kritische processen in kaart gebracht en kroonjuwelen geïdentificeerd. We gaan hierbij uit van een architectuurbenadering, waarbij het uitgangspunt is dat de mens de activiteiten uitvoert binnen een proces. Dit proces wordt ondersteund door data/informatie/applicatie welke draait op basis van infrastructuur. Op basis hiervan voeren de studenten een risicoanalyse uit om vervolgens de keten(architectuur) van uw organisatie in kaart brengen. De studenten bespreken samen met u de grootste risico s die hieruit naar voren komen en op basis daarvan stellen de studenten een adviesrapport op waarin beschreven staat hoe deze risico s kunnen worden gemitigeerd. Om dit onderzoek uit te voeren wordt van u/uw medewerkers verwacht de studenten een aantal maal (3-5 sessies van 1 tot 1,5 uur) te woord te staan zodat zij een overzicht kunnen maken van de eerder genoemde keten. Daarnaast is informatie die u mogelijk al heeft of een SLA 3 die u aan een externe partij heeft uitbesteed, waardevolle input voor de studenten. Als u meer informatie over dit bedrijfsproject wilt of als u zich wil aanmelden voor dit project, dan kunt u contact opnemen met Joey Roetman: j.m.roetman@hhs.nl Dit bedrijfsproject wordt aangeboden in de periode van 5 februari april U kunt uw bedrijf aanmelden voor deelname aan het project tot en met 3 weken voor de aanvangsdatum van de periode. 3 Service Level Agreement

10 7. Business Continuity Management & Crisismanagement Heeft u de zaken goed geregeld wanneer het mis gaat? Zijn er back-ups van databestanden? Is het mogelijk om het werk elders te hervatten? Wanneer organisaties getroffen worden door calamiteiten zoals brand, watersnood, uitval van energie en/of een cybercrime, betekent dat wellicht het einde van de organisatie. Uit onderzoek blijkt dat de inrichting van Business continuity-en crisismanagement, de overlevingskansen van de organisatie in deze situaties substantieel kan vergroten. Het gaat daarbij om het ontwikkelen, uitvoeren en onderhouden van plannen die nodig zijn om in het geval van calamiteiten de continuïteit van de organisatie te waarborgen. Te denken valt uiteraard aan ontruimingsplannen, de samenwerking met ambulante organisaties, maar met name ook aan de communicatie- en uitwijkplannen in geval van een calamiteit. Er wordt aandacht besteed aan de afhankelijkheid van de business van IT en aan de modellen en methoden die gebruikt kunnen worden om dit in kaart te brengen. Kan uw organisatie wel wat ideeën en concrete plannen gebruiken om uw continuïteit te waarborgen in geval van een calamiteit, dan kunt u hierbij de hulp van onze tweedejaars studenten Information Security Management inschakelen. Zij zullen in een periode van 10 weken (5 februari april 2018) uw bedrijf doorlichten en advies met betrekking tot business continuity management & crisismanagement uitbrengen en indien gewenst, deels implementeren. Van u/uw organisatie wordt een tijdsinvestering gevraagd van naar schatting 10 à 20 uur. Dit zal in de vorm van een intake gesprek, interviews en een afsluitend gesprek zijn. Daarnaast is het van belang dat de studenten toegang krijgen tot de huidige maatregelen (beleid en procedures). U kunt uw organisatie aanmelden tot uiterlijk 3 weken voorafgaande aan de startdatum van deze bedrijfsopdracht. Voor meer informatie en aanmelding kunt u contact opnemen met Bas Houtepen: b.houtepen@hhs.nl,

11 8. Security behaviour Mystery Guest Hoe kwetsbaar is een organisatie via de telefoon? Hoe vatbaar zijn medewerkers voor social engineering via deze weg? Geven medewerkers gemakkelijk informatie prijs die niet prijsgegeven had mogen worden? Door middel van Social Engineering zullen onze eerstejaars Information Security Management studenten in de periode van 23 april juni 2018 op zoek gaan naar de kwetsbaarheden van uw organisatie. De studenten stellen eerst een aanvalsplan op, waarna zij middels meerdere telefoontjes gedurende de afgesproken uitvoeringsweek Social Engineeringsaanvallen op uw organisatie uitvoeren. Gedurende deze zo genoemde aanvallen proberen de studenten zoveel mogelijk vertrouwelijke informatie van uw medewerkers te verkrijgen. De studenten verwerken hun bevindingen in een onderzoeksrapport met conclusies en aanbevelingen voor uw organisatie en geven hier een presentatie over. Uiteraard zullen onze studenten deze informatie enkel gebruiken voor het uitvoeren van deze opdracht. Voordat de opdracht wordt aangegaan, worden er eerst afspraken over de inhoud van de opdracht, geheimhouding en aansprakelijkheid vastgelegd. Voor meer informatie over dit bedrijfsproject of om uw organisatie aan te melden voor deze opdracht kunt u contact opnemen met: Bas Houtepen: b.houtepen@hhs.nl, Michelle Ancher: m.ancher@hhs.nl, U kunt uw organisatie tot uiterlijk 3 weken voor de start aanmelden voor deze opdracht.

12 Zoals in de bovenstaande beschrijvingen staat genoemd, worden de projecten in de volgende periodes aangeboden. Planning 2017: Periode I: 28 augustus november Cybercrime Fraud Investigation 2-Research & Innovation Periode II: 13 november februari Research & Innovation 3-Compliance & Auditing 4-Governance & Architecture Planning 2018: Periode III: 5 februari april Research & Innovation 5-Network and Systems professional project (loopt door in periode IV) 6-Information Risk Management 7-Business Continuity Management & Crisismanagement Periode IV: 23 april juni Research & Innovation 4-Governance & Architecture 8- Security behaviour Mystery Guest