DATA RECOVERY BEURSINFO BELGIË WEES VOORBEREID OP DATAVERLIES MAGAZINE INFOSECURITY STORAGE EXPO TOOLING EVENT

Maat: px
Weergave met pagina beginnen:

Download "DATA RECOVERY BEURSINFO BELGIË WEES VOORBEREID OP DATAVERLIES MAGAZINE INFOSECURITY STORAGE EXPO TOOLING EVENT"

Transcriptie

1 JAARGANG 13 - MAART infosecurity MAGAZINE DATA RECOVERY WEES VOORBEREID OP DATAVERLIES BEURSINFO BELGIË INFOSECURITY STORAGE EXPO TOOLING EVENT LOCATION BASED SERVICES: EEN SCHAT AAN INFO, MAAR OOK EEN PRIVACY-PROBLEEM? - ENCRYPTIE ONMISBAAR DOOR PRIVACYWETGEVING - REVIEW: WATCHGUARD DIMENSION - DE OVERHEID NEEMT EEN LOOPJE MET ONZE PRIVACY - MEER DDOS-AANVALLEN OP EUROPESE BEDRIJVEN - GAMIFICATION WORDT BELANGRIJK HULPMIDDEL OM AWARENESS TE CREËREN - BEVEILIGEN VAN API S WORDT STEEDS BELANGRIJKER - SECURITY-INDUSTRIE HEEFT OOK EEN MAATSCHAPPELIJKE PLICHT

2 TSTC de Security Opleider van Nederland - Botnets, DDoS, Malware... Gehackt! Bent u de volgende? - En wat is dan uw reputatie- en/of financiële schade? - Vormt uw Blackberry of iphone een security risico? Herkent u bovenstaande vragen? Deze tijd vraagt om oplossingen en kennis van zaken. Zorg dat u goed getraind bent, kijk gauw op g Colofon - Editorial Infosecurity Magazine is het enige onafhankelijke vakblad in de Benelux dat zich expliciet bezighoudt met informatiebeveiliging. Het blad beweegt zich op het snijvlak van technologie en beleid. Vanaf het hekwerk tot in de boardroom. Toezending van Infosecurity Magazine vindt plaats op basis van abonnementen en controlled circulation. Vraag uw abonnement aan via Uitgever Jos Raaphorst Leren door te spelen Het is zo n beetje de grootste open deur die een security-firma tegenwoordig nog kan intrappen: de mens uitroepen tot het grootste gevaar als het om security gaat. Of zoals Apozy het uitdrukt: cybercriminelen gaan niet meer achter fouten in de firewall aan, ze nemen vooral de gebruikers op de korrel. Een greep uit onze security certificeringen: Certified Ethical Hacker (CEH) Computer Hacking Forensic Investigator (CHFI) Certified Security Analyst (ECSA) Licensed Penetration Tester (LPT) Certified Information Systems Security Professional (CISSP) Certified Information Security Manager (CISM) Certified Information Systems Auditor (CISA) Cloud Security Audit and Compliance (CSAC) Certified Risk Manager ISO 27005/31000 ATC of the Year TSTC - 7e jaar op rij de beste EC-Council Security Opleider Europa! ATC of the Year 2013 Hoofdredacteur Robbert Hoeffnagel Advertentie-exploitatie Will Manusiwa Eindredactie/traffic Ab Muilwijk Vormgeving Media Service Uitgeest Druk Control Media Infosecurity magazine is een uitgave van FenceWorks BV Beatrixstraat CK Zoetermeer U heeft nog nooit van Apozy gehoord? Dan zou ik die naam maar snel eens gaan googelen, want deze firma uit San Francisco geldt als een van de voorlopers op het gebied van gamification of security. Security als game? Inderdaad. Tijdens de Security Analyst Summit van Kaspersky Lab eerder dit jaar werd gamification zelfs als een van de meest veelbelovende methoden genoemd om eindelijk eens iets te gaan doen aan ons grootste security issue: de mens. De Britse overheid constateerde in een recente voorlichtingscampagne rond cybersecurity dat de helft van de burgers helemaal niets doet aan security. Veel gebruikers - maakt niet uit of zij zakelijk is namelijk dat veel gebruikers vaak lange tijd helemaal niet in de gaten hebben dat zij een security issue hebben. Pas als zij met de gevolgen worden geconfronteerd - bijvoorbeeld doordat er plotsklaps vreemde bedragen van hun bankrekening worden afgeschreven - beseffen zij welke fouten zij gemaakt hebben. Apozy is een van de aanbieders van technologie die gebruikt kan worden voor gamification op het gebied van security. Daarmee leiden zij gebruikers op. Bijvoorbeeld door hen in de game te dwingen om beslissingen te nemen: klik ik wel of niet op die link? Doordat het om een spel gaat met winnaars en verliezers, hebben we ineens wél de aandacht Cybercriminelen gaan niet meer achter fouten in de firewall aan, ze nemen vooral de gebruikers op de korrel Want security start bij mensen!! 2014 Niets uit deze uitgave mag op enigerlei wijze worden overgenomen zonder uitdrukkelijke toestemming van de uitgever. Meer informatie: of privé bezig zijn - weten ook eigenlijk helemaal niets van IT-beveiliging. En als ze er al wel wat over weten, vinden zij alle maatregelen die zij eigenlijk zouden moeten nemen maar lastig, omslachtig en onhandig. Anders gezegd: men vindt IT-security vooral gedoe en allesbehalve leuk. Gamification kan hier helpen. Net als de aloude management games nuttig bleken om middle managers op te leiden, kan een security game helpen om gebruikers bewust te maken van de noodzaak van security. Een van de problemen te pakken. Net als we de poule rond het WK-voetbal niet willen verliezen, willen we ook in deze wedstrijd goed scoren. Het gevolg van zo n game is een sterk vergroot bewustzijn. Bij Apozy stellen zij zelfs dat hierdoor The Human Firewall ontstaat. Als de mens ons grootste security issue is, dan is diezelfde mens waarschijnlijk ook de oplossing voor dat probleem. Misschien nog wel meer dan alle technologische oplossingen bij elkaar. Robbert Hoeffnagel Hoofdredacteur Infosecurity Magazine 2 INFOSECURITY MAGAZINE - NR. 1 - MAART

3 PLAN ACCESS ONLY WITH VIP BADGE Zaal 5 / Salle 5 Zaal 4 / Salle 4 Zaal 3 / Salle 3 Zaal 2 / Salle 2 LEGENDA / LÈGENDE ZAAL 1 / : Infosecurity.be technische sessions SALLE 1 : Infosecurity.be sessions techniques ZAAL 2 / : Infosecurity.be management sessions SALLE 2 : Infosecurity.be sessions de management ZAAL 3 / : Infosecurity.be / Storage Expo klantengetuigenissen SALLE 3 : Infosecurity.be / Storage Expo témoignages d utilisateurs ZAAL 4 / : Infosecurity.be / Storage Expo klantengetuigenissen SALLE 4 : Infosecurity.be / Storage Expo témoignages d utilisateurs ZAAL 5 / : Storage Expo seminaries SALLE 5 : Storage Expo séminaires ZAAL 6 / : Tooling Event klantengetuigenissen / seminaries SALLE 6 : Tooling Event témoignages d utilisateurs / séminaires Nooduitgang / sortie de secours Garderobe / vestiaire D156 Zaal 6 / Salle 6 B142 B147 Zaal 1 / Salle 1 INGANG / ENTRÉE D150 D148 D146 D142 D130 D128 D126 D122 D118 D114 D110 D098 D097 D096 D095 D094 D090 D084 D082 D078 D070 D064 D060 D052 D042 D030 D012 C012 TOOLING EVENT STORAGE EXPO TERRAS / TERRASSE A147 A143 B141 B129 A140 A136 A138 A133 A132 D139 B138 A127 D121 B124 B125 A124 A125 D129 B120 B121 A120 D111 B112 B113 A109 A112 A107 PARKING C RING EXIT 7bis RING EXIT 7bis ENTREE 8 PATIO BRUSSELS EXPO PARKING SHUTTLE BUS METRO LOOPBRUG/ PASSERELLE ROMEINSESTEENWEG D109 B110 A108 A105 B104 A104 A091 C076 B094 A094 A089 A088 C096 TERRAS / TERRASSE INFOSECURITY.BE A076 (MEDIA)PARTNERS infosecurity magazine C088 C066 Sponsored by A MAART 2014 BRUSSELS EXPO C060 B060 A060 A077 A075 A073 A069 A065 A061 A051 A047 A045 A041 A037 A031 HOOFD MEDIAPARTNER: GOLDEN SPONSOR: B052 A052 B048 A048 D039 B040 A040 D025 B036 B035 A034 B030 A030 A023 C016 B018 A018 A015 C010 INGANG / ENTRÉE REGISTRATIE GEBIED / RÉCEPTION D'ENREGISTREMENT A011 Situatie per 19 februari. Wij zigingen onder voorbehoud. R INHOUD Meer weten over business, innovatie & IT? Lees 10 WatchGuard Dimension - nieuwe trends in Security Intelligence Platform security bestaat natuurlijk deels uit real-time bescherming tegen ongewenst gedrag; maar voor een minstens even groot gedeelte uit data-analyse en conclusies trekken. Op dit vlak groeit de malware- en aanvalswereld zodanig hard dat klassieke tools het vaak niet meer bijbenen. Hoe ver komt een nieuwe generatie 'box managers', met als een der pioniers Dimension? Is het gewoon een goede volgende BI-achtige stap of bereiken we al volwassen Big Data-niveau? 16 Encryptie onmisbaar door privacywetgeving Privacy staat door toedoen van Edward Snowden en de NSA weer stevig op de kaart, nadat sinds de aanslagen in de VS in 2001 de balans naar veiligheid was doorgeslagen. Met het etiket terrorisme als middel om critici de mond te snoeren, kon bijvoorbeeld het afluisteren van Europese regeringsleiders door de Amerikaanse geheime dienst NSA plaatsvinden. Sinds die praktijken in de zomer van 2013 door Snowden aan het licht kwamen, heeft het belang van privacy meer gewicht gekregen. 28 Gamification wordt belangrijk hulpmiddel om awareness te creëren Hoe maken we security leuk voor eindgebruikers? Want alleen dan gaan gebruikers beveiligingsmaatregelen serieus nemen. Dat was een van de vragen die centraal stond tijdens de Security Analyst Summit die Kaspersky Lab onlangs in San Juan, Puerto Rico organiseerde. Gamification zou hierbij wel eens een sleutelrol kunnen gaan vervullen. WEES VOORBEREID OP DATAVERLIES 6 De voortdurende ontwikkeling van nieuwe types harde schijven zoals de solid state disks en het alsmaar groeiende probleem van malware zijn twee van de grootste trends waarmee data recovery specialisten te maken hebben. Natuurlijk zijn er nog traditionele calamiteiten die uw data bedreigen: veranderingen van het weertype, stroomstoringen, natuurrampen, thuiswerken met één of meer kleuters in de ontdekkingsfase of, en in verreweg de meeste gevallen, simpelweg fouten van de gebruiker. Verzekeringen zijn er om de hardware te vervangen, maar hoe komt de kostbare data terug? LOCATION BASED SERVICES: EEN SCHAT AAN INFO, MAAR OOK EEN PRIVACY-PROBLEEM? 14 Location based services (LBS) geeft beheerders van Wifi-netwerken inzicht in bewegingen en gedragingen van de gebruikers van hun netwerken. Wat voor bezoekers zijn het, nieuwe of terugkerende? Hoeveel tijd besteden zij in het domein? Hoe was dat vorige week of vorige maand? Beheerders zien op een dashboard met stippen en kleurgebieden en in grafieken hoe de huidige situatie is en de historische situatie was. De gebruikers kunnen door LBS beter hun weg vinden en op maat worden geadviseerd of geïnformeerd. Wat doet LBS en kan deze vorm van informatievergaren wel door de privacybeugel? Business & IT publiceert artikelen en blog posts over de relatie tussen IT, business en innovatie. Ook publiceren? Kijk op 31 Beveiligen van API s wordt steeds belangrijker Het zijn met name internet-startups die het gebruik van application programming interfaces (API) populair hebben gemaakt, vertelde Dimitri Sirota van CA Layer 7 tijdens een interview op het Mobile World Congress 2014 in Barcelona. Die trend zien we nu ook meer en meer overslaan naar IT-afdelingen die daarmee veel gemakkelijker data en functionaliteit beschikbaar kunnen stellen. Daarmee zien we ook meteen de behoefte aan het beheren en beveiligen van API s sterk toenemen. 40 Meer DDoS-aanvallen op Europese bedrijven Akamai heeft zijn State of the Internet-rapport over het derde kwartaal van 2013 gepubliceerd. Het rapport biedt inzicht in een aantal belangrijke wereldwijde statistieken, verzameld via het Akamai Intelligent Platform. Hierbij gaat het onder andere om netwerkconnectiviteit en verbindingssnelheden, aanvalsverkeer en de adoptie en beschikbaarheid van breedbandverbindingen. 19 Beursinfo Programma, beursplattegrond, standhoudersoverzicht en alle informatie over Infosecurity.be, Storage Expo en Tooling Event. DE OVERHEID NEEMT EEN LOOPJE MET ONZE PRIVACY 36 Met alle commotie rond de afluisterpraktijken van de NSA en het beschuldigend wijzen van vingers naar de Verenigde Staten, hebben we de neiging te vergeten wat er zich allemaal afspeelt binnen onze eigen Europese grenzen op privacygebied. Er is geen Europese staat te vinden die zijn eigen burgers niet afluistert. En niet alleen de overheden bespieden ons, ook bedrijven hebben de toegang tot onze privégegevens gevonden. Het is de hoogste tijd voor een gecoördineerde nationale én Europese discussie, waarin we de grenzen van onze privacy opnieuw definiëren en naar een manier zoeken om die privacy te waarborgen, aldus John T. Knieriem, algemeen directeur van hostingbedrijf Intermax. WIJ HEBBEN ALS SECURITY-INDUSTRIE OOK EEN MAATSCHAPPELIJKE PLICHT 38 Onlangs lanceerde McAfee een gratis security-app voor zowel Android als ios. Tijdens het Mobile World Congress 2014 in Barcelona ging Raj Samani, chief technology officer EMEA van deze Intel-dochter, dieper in op de redenen achter deze lancering. Wij hebben ook een maatschappelijke plicht om mensen te helpen zich bewust te worden van de risico s die zij online kunnen lopen, meent hij. Daarom besteden wij veel aandacht aan voorlichting - op scholen, maar ook aan volwassenen. Het gratis beschikbaar stellen van McAfee Mobile Security moeten we in diezelfde lijn zien. 4 INFOSECURITY MAGAZINE - NR. 1 - MAART

4 DATA RECOVERY DOOR JAAP-JAN VISSER Wees voorbereid op dataverlies De voortdurende ontwikkeling van nieuwe types harde schijven zoals de solid state disks en het alsmaar groeiende probleem van malware zijn twee van de grootste trends waarmee data recovery specialisten te maken hebben. Natuurlijk zijn er nog traditionele calamiteiten die uw data bedreigen: veranderingen van het weertype, stroomstoringen, natuurrampen, thuiswerken met één of meer kleuters in de ontdekkingsfase of, en in verreweg de meeste gevallen, simpelweg fouten van de gebruiker. Verzekeringen zijn er om de hardware te vervangen, maar hoe komt de kostbare data terug? Wees voorbereid op het ergste, luidt het devies. Wat kan er zoal fout gaan en wat kunt u eraan doen? Alleen wanneer je binnen 72 uur 300 euro losgeld betaalt, krijg je opnieuw toegang tot je pc. Ransomware, programma s om je computer te gijzelen, sturen nog net geen afgesneden muis op of een foto van je laptop naast de krant van de vorige dag. Recent was de ransomware-variant Cryptolocker in het nieuws. De digitale kidnapper hield huis in België. Cryptolocker maakt gebruik van asymmetrische encryptie om je gegevens te versleutelen. Dat betekent dat er zowel een publieke als een geheime sleutel nodig zijn om weer toegang te krijgen tot je gegevens. Veel succes! Wat kun je doen als je het slachtoffer wordt van ransomware? De onaantrekkelijkste optie is betalen en erop te vertrouwen dat de crimineel zo eerlijk is om tegen betaling de sleutel te overhandigen. Eerlijkheid en criminelen Formatteren en alle applicaties opnieuw installeren dan maar. Dat kan als je recent je data elders hebt opgeslagen. Data encryptie is een must voor beveiliging, maar maakt data recovery weer extra uitdagend omdat er altijd een encryptiesleutel nodig is. Als er in dat laatste geval een storing optreedt of als de schijf corrupt is, dan moeten de data recovery specialisten de fout omzeilen door de schijf weer werkend te krijgen en met de sleutel de data toegankelijk te maken. BACK-UP De effectiefste manier om data te beschermen, ook tegen ransomware, is regelmatig een back-up te maken. Op een externe schijf, tape of in de cloud. Veel bedrijven die data verliezen hebben een back-upsysteem. Deze back-upsystemen zijn niet altijd up-to-date of werken niet goed. Data kan het best op verschillende plaatsen en media worden bewaard. Een degelijk back-up rotatieschema en controle op foutmeldingen zijn van het grootste belang. Maar vooral regelmatig een restore testen is cruciaal. FOUTEN Mensen maken fouten, dat ligt in hun aard. Die menselijke fouten veroorzaken vooral een groot deel van het dataverlies bij snelgroeiende bedrijven. Als een bedrijf jong is, wordt vaak gewerkt in kleine teams met relatief weinig IT-uitdagingen. De teamleden doen de IT er vaak wel even bij. Naarmate bedrijven groeien, wisselen de leden van het team en ligt het risico van kenniserosie op de loer. De vertrekkers dragen hun kennis van de IT-processen vaak onvoldoende over. Een fout van het bedrijf is dan weer dat DATA RECOVERY EN OPSLAGTECHNIEKEN HDD/SDD Hard disk drives (HDD) en solid state drives (SDD) hebben een revolutie teweeggebracht in de manier waarop data wordt opgeslagen. Zij vragen een verschillende aanpak bij het terughalen van verloren data. HDD-data wordt magnetisch opgeslagen op snel draaiende schijven met een mechanisch apparaat waarmee aanwezige data kan worden gelezen en weggeschreven. Als oude data wordt overschreven is de onderliggende data niet te herstellen. De beste manier om HDD-data te vernietigen is dan ook met behulp van software. Een SSD bevat geen bewegende delen. SSD-data wordt door een stuurchip elektronisch overgedragen naar geheugenchips. De stuurchip bepaalt of en hoe je toegang krijgt tot de geheugenchips. Omdat dit proces niet te controleren is, is de beste manier om data op een SDD-medium uit te wissen het SDD-medium te vernietigen. Een shredder kan hier uitkomst bieden om ongewenste verspreiding van de data te voorkomen. VIRTUELE DATAOPSLAG Virtuele dataopslag, het toegankelijk maken van verschillende fysieke bronnen als één logische bron, leverde bij veertig procent van de bedrijven die dit in 2012 toepasten problemen op bij het veiligstellen van data (bron: Kroll Ontrack). Als data in virtuele omgevingen zoekraakt, trachten sommige bedrijven de data te reconstrueren in plaats van een specialist in te schakelen die de data kan terughalen. De verborgen complexiteit van virtuele opslag maakt de kans op verlies van data door gebruikers en beheerders aanzienlijk. CLOUD De hoeveelheid door bedrijven en particulieren gegenereerde data in de cloud groeit snel. Dit biedt uitdagingen voor data recovery omdat beheerders niet altijd zullen weten waar hun data zich fysiek bevindt. Ook zal de meeste data versleuteld zijn. Hierdoor zal bij het zoek- raken van data de hulp van deskundigen onmisbaar zijn. RAID Redundant array of independent disks (RAID) is uniek in de zin dat het data over verschillende harde schijven op verschillende manieren (RAID-levels) kan distribueren en repliceren, afhankelijk van de mate van redundantie die is vereist. Sommige RAID levels maken gebruik van redundantie, het opslaan van dezelfde data op verschillende harde schijven op verschillende locaties, om failure rates terug te dringen en systemen in de lucht te houden. Echter, als meerdere schijven een storing ondervinden komt het voordeel van RAID om data te beschermen in het gedrang. De trend om met name in SAN omgevingen RAID-groepen samen te stellen, RAID s samengesteld uit andere RAID-systemen in plaats van schijven, maakt data recovery nog ingewikkelder. TAPE Als tape storage media falen is de enige optie voor de meeste bedrijven om experts op het gebied van data recovery in te schakelen. Zij zijn over het algemeen in staat bestanden te redden na gedeeltelijke overschrijving, breuk, of verbranding en bij softwareproblemen of falende back-ups. BYOD Bedrijfsgegevens bevinden zich tegenwoordig niet alleen op computers in de traditionele zin, maar ook op allerlei mobiele apparaten en ook dit maakt het herstellen van verloren data niet gemakkelijker. Amerikanen noemen dit BYOD (bring your own device). Dit is een groeiende ontwikkeling evenals de hoeveelheid bedrijfsdata die op particuliere pc s en tablets wordt bewaard. Dit zorgt voor nieuwe risico s van het verloren gaan van bedrijfsdata in geval van verlies of beschadiging van de apparaten. Bedrijven moeten hier in hun data recovery planning terdege rekening mee houden. 6 INFOSECURITY MAGAZINE - NR. 1 - MAART

5 DATA RECOVERY COLUMN DOOR MARTIJN VAN LOM WORLD WIDE WEB: PAS OP VOOR INSTORTINGSGEVAAR Wat blijft er over van de kracht van het World Wide Web als landen straks hun internetgrenzen dichtgooien? Het is een vraag die ons bij Kaspersky bezighoudt. Sinds de verklaringen van Snowden over e-spionage door de NSA overwegen steeds meer landen een nationaal internet. Zo willen ze voorkomen dat gevoelige gegevens naar het buitenland weglekken. hier geen beleid voor is opgesteld. Bedrijven maken meer fouten. Zo is het maken van back-ups niet genoeg. Ook het moment waarop dit gebeurt is van belang. Er kan een noodzaak zijn om software te updaten of upgraden. Uitstel HOE SELECTEER IK EEN DATARECOVERYPARTNER Belangrijke vragen die u moet stellen zijn: Kunnen de technici data van alle opslagmedia, inclusief SSD s en virtuele omgevingen, veiligstellen? Kunnen zij alle typen content aan en werkt de dienstverlener samen met hardware- en storagefabrikanten? Zijn de datarecoverypartner en zijn personeel gecertificeerd op het gebied van databeveiliging? Heeft de leverancier een cleanroom waarin opslagmedia veilig kunnen worden geopend en bewerkt? Beschikt de leverancier over speciale apparatuur om in noodgevallen data veilig te stellen? Kan de hulp van de leverancier op ieder gewenst moment worden verkregen? of afstel van het vernieuwen van hard- en software kan leiden tot onnodig dataverlies. Een constant managementproces voor systeemonderhoud is noodzakelijk om de continuïteit van een bedrijf in ieder geval op IT-gebied te waarborgen. BELEID Van beleid op het gebied van databeheer kunnen bedrijven veel profijt hebben; opstellen van regels voor het maken van back-ups, het reageren op vreemde verzoeken in s en dergelijke. Ook moeten bestanden met persoonlijke informatie en kritische bedrijfsgegevens met encryptie worden beschermd. Virusscans, firewalls, popup blockers en controle op zwakke plekken in de beveiliging van het systeem kunnen veel leed voorkomen. Elektronische berichten domineren de communicatie in de hedendaagse kantooromgeving. s kunnen belangrijke informatie bevatten over het gedrag van medewerkers of belangrijke gebeurtenissen. Ze zijn geldig als juridisch document en vooral in de Angelsaksische wereld gebonden aan strikte bewaarregels. Wanneer wet- en regelgeving in beeld komen zijn het de IT-beheerders die met zo min mogelijk interruptie van de werkzaamheden, vaak met weinig middelen, voor het veiligstellen van data moeten zorgen. Zij moeten gegevens als belangrijk herkennen, bewaren en verzamelen. Dit proces van data verzamelen en bewaren moet constant en consistent gebeuren. De juridische afdeling is verantwoordelijk, maar heeft geen duidelijk beeld van waar de gegevens exact in het netwerk te vinden zijn. De IT-afdeling moet op verzoek van de juridische afdeling bestaande en gewiste s of bestanden van de server of uit back-ups kunnen destilleren. Dit is een kostbare en arbeidsintensieve aangelegenheid. De IT-afdeling moet voor haar groeiende gegevensbeheertaak de verspreiding van data binnen en buiten de onderneming goed in kaart hebben en er op afstand toegang toe kunnen krijgen. De risico s die bedrijfsgegevens lopen zijn groot en gevarieerd en zullen toenemen in complexiteit. Het herstellen van informatie en het vernietigen van data, alsmede het management en beheer van data en het zorgen voor toegankelijkheid zullen bovenaan het to do-lijstje van IT-managers blijven staan. De rol van IT-managers bij het voldoen aan eisen van wetgevers zal bovendien steeds belangrijker worden. Jaap-Jan Visser is country manager Kroll Ontrack Nederland Verschillende landen zijn al bezig met wetgeving om het gebruik van buitenlandse diensten te verbieden. Zelfs dicht bij huis zoals Duitsland, dat in november maatregelen aankondigde om de communicatie tussen overheidsorganisaties te beperken tot de landsgrenzen. Een gefragmenteerd internet is een stap terug en zal de innovatie afremmen. Spelers als Microsoft, Cisco, Google of Juniper zullen hun inkomsten zien teruglopen. Jammer voor hen, maar vooral ook jammer voor ons allemaal. Want daardoor zullen ze minder geld hebben voor grote vernieuwingsprojecten en dat is niet goed voor het bedrijfsleven, de economie én de maatschappij. Ook bij bedrijven zit de schrik er goed in, al vóór de onthullingen door Snowden trouwens. Ze maken zich grote zorgen over de veiligheid van hun data. De diefstal van gegevens is één ding, maar hoe kunnen ze nog op hun data vertrouwen als een cybercrimineel of -spion zich toegang tot hun systemen heeft verschaft? Voor hetzelfde geld zijn hun gegevens veranderd. De angst zit er bij sommige organisaties zo erg in dat zij verder willen gaan dan het extra beveiligen van hun systemen en het loskoppelen van Een gefragmenteerd internet is een stap terug en zal de innovatie afremmen diensten van het internet. Ze denken er zelfs over om voor bepaalde processen weer terug te gaan naar papier. Ik vind dat geen stap, maar een grote sprong achteruit. Wat dan wel de oplossing is? Daar moeten de overheid, het bedrijfsleven en technologie-ontwikkelaars zoals wij goed over nadenken. Bij Kaspersky voelen we sterk voor de ontwikkeling van een soort parallel veilig internet, zonder ruimte voor anonieme gebruikers die mogelijk kwaad in de zin hebben. Want een gefragmenteerd internet, daar zien we weinig heil in. En in teruggaan naar papier al helemaal niet. Martijn van Lom, General Manager Kaspersky Lab Benelux and Nordic 8 INFOSECURITY MAGAZINE - NR. 1 - MAART

6 WATCHGUARD DIMENSION DOOR ERIK DE RUIJTER RI Nieuwe trends in Security Intelligence Platform security bestaat natuurlijk deels uit real-time bescherming tegen ongewenst gedrag; maar voor een minstens even groot gedeelte uit data-analyse en conclusies trekken. Op dit vlak groeit de malware- en aanvalswereld zodanig hard dat klassieke tools het vaak niet meer bijbenen. Hoe ver komt een nieuwe generatie box managers, met als een der pioniers Dimension? Is het gewoon een goede volgende BI-achtige stap of bereiken we al volwassen Big Data-niveau? Fig.1: Executive Dashboard REVIEW Beveiliging, nu eenmaal het onderwerp van dit magazine, kent drie hoofdstromen: beschikbaarheid, platformbeveiliging en gebruikersgerelateerde beveiliging. Deze keer hebben we het duidelijk over de platformzijde: bescherming van systemen en data tegen allerlei ongewenst gedrag. Dat gedrag kan vanuit de gebruiker komen, bijvoorbeeld data lekken of ongewenst surfen, maar ook externe aanvallen al dan niet meeliftend op nietsvermoedend gebruik: malware bijvoorbeeld, of botnet-aanvallen, of manin-the-middle aanvallen op ons webverkeer. En die platformbeveiliging is qua tegenmaatregel dan weer opgesplitst naar het kwetsbaarheidspunt : desktop/ server endpoints of het netwerk. In dat netwerk plaatsen we dan een gateway die al het uitgaande (en inkomend) weben mailverkeer coördineert, en dat is natuurlijk een ideale plek om ook beveiligingschecks te plaatsen. Overigens is de vuistregel dat we allebei nodig hebben, endpoint- en netwerkbeveiliging; tenzij we de endpoints inclusief hun USB-poort 100% dichtgezet hebben en geen enkele verantwoordelijkheid voor BYO-apparaten binnen de deuren hoeven te nemen. WatchGuard zit in deze netwerkgateway-markt, met enige telewerk-oplossingen maar verder vooral appliances voor uitgaand webverkeer en . Voor een echte Demilitarised Zone voor eigen interne e-commerce sites verwijst men ons dus naar zwaardere netwerkcentrische concurrenten zoals Cisco of Juniper, hoewel een aantal WatchGuard-functies ook voor inkomend verkeer inzetbaar is. De appliances zijn naar keuze fysieke rode appliances of VM s onder VMWare of Hyper-V. Zometeen de geboden beveiligingsfuncties, want die bepalen mede wat er met de Dimension-console aan analyses mogelijk is. WATCHGUARD PLATFORM- FUNCTIES Het woord firewall is zeker voor uitgaand verkeer tegenwoordig een achterhaald begrip. Natuurlijk bieden de Watch- Guard appliances filtering op IP packettype, de oorspronkelijke firewalltaak, maar ze zijn uitgegroeid tot modulaire UTM-platforms: Unified Threat Management. WatchGuard noemt de meeste modellen daarom XTM, extensible Threat Management. Naast deze basis-bescherming biedt men nog een aantal functies, optioneel bijkoopbaar en inregelbaar, aan de rand van het platformsecurityveld. We lopen de hoofdtaken langs. Proxy inclusief NAT. Alle uitgaande verkeer vanuit browsers in het LAN (inclusief BYO/WiFi!) wordt simpelweg via de gateway gestuurd, en SSL wordt aldaar ook netjes gebridged zodat inspectie mogelijk is. Netwerkinspectie. De firewall biedt al packet inspectie; de optionele Intrusion Prevention module is meer bedoeld voor gateways in een inkomend-verkeer DMZ, maar ook voor de boven genoemde VPN telewerkers. Web- en protocolfiltering. Dit heet Application Control samen met WebBlocker en kan hele websites naar categorie blokkeren, de hele dag of bijvoorbeeld m.u.v. de lunchpauze en na werktijd. Doch ook binnen die websites onderdelen, denk aan Facebook en de Youtube filtered groups die in het onderwijs populair zijn. En de filtering werkt ook door in populaire zoekmachines zoals Google en Bing, sites die toch niet aangeklikt zouden mogen worden komen door safe search gewoon niet in de zoekresultatenlijst. AntiVirus en -spyware; dit is een plugin op de gateway die via handtekeningen en beperkte sandbox-heuristiek aanvallen probeert te voorkomen. Hierbovenop wordt dan Reputation Enabled Defense ingezet om verkeer vanaf besmette sites, zelfs als dat Nu.nl of een ander populair platform is, direkt te blokkeren. AdBlocking; deze is zelfs zo intelligent dat de geschoonde pagina s er weer enigszins toonbaar uitzien. Vanuit bedrijfsoogpunt gezien vaak gewenst, want het spaart enorm in de bandbreedte. Data Loss Prevention. Dit is echt aan de rand van het securityveld omdat er ook hele andere redenen dan veiligheid kunnen zijn voor inzet van deze techniek. Zowel het webverkeer als worden gecheckt op sleutelwoorden, als essentieel aangemerkte bestanden etc. en waar nodig geblokkeerd. Dit sluit aan op de andere soort gateway die WatchGuard levert: security, dit heet niet XTM maar XCS voor extensible Content Security. Ze kunnen o.a. gateway virusbescherming draaien maar ook spamfiltering. Verder geven we hier geen oordeel over de diepte of compleetheid van deze appliance-functies vergeleken met de trits concurrenten in het security gateway-segment. De focus van onze bespreking is Dimension en zijn analyse-mogelijkheden, maar die zijn alleen te begrijpen als het karakter van de datatoevoer duidelijk is: de set redelijk brede en diepe WatchGuard gateways. En dus niet security-metingen op pakweg het endpoint of de identity management-omgeving, als we die zouden willen meenemen dan komen we bij SIEM-tools zoals HP ArcSight terecht. DIMENSION FUNCTIONALITEIT De nieuwe Box Manager - oftewel beheertool voor de eigen functies - heet Dimension; hij wordt gratis meegeleverd met appliances zoals de XTM en XCS. In de vorige Infosecurity Magazine lazen we er al een introductie van. In tegenstelling tot zijn voorgangers is het zelf geen fysieke appliance meer maar puur een virtuele appliance, nu leverbaar onder VMWare en Hyper-V wordt gefaciliteerd in versie 1.1 die uit moet zijn op het moment dat dit gepubliceerd wordt. En daardoor ook cloud-ready in de zin dat hosting ook prima bij IaaS-providers die deze platforms bieden mogelijk is; onze WatchGuard infrastructuur gaat dan simpelweg via een Internet-tunnel in plaats Fig. 2: Top Destinations van via het LAN de logdata naar Dimension toe pompen. De appliance bevat het OS, de database en de fraaie web console; installatie is een zaak van minuten, mede door de bijna 100 standaard meegeleverde rapporten. En standaard filtering-opties zoals Firewatch die slechts enkele muisklikken een drilldown biedt van het verkeer van hoofdcategorie tot individueel probleemgeval. De claim van Dimension is Big Data like visibility for Network Security, en het is de analysekracht die inderdaad het sterke punt is. Wat niet wil zeggen dat dit échte Big Data is, daar komen we in het kader nog op - zoals voor alle concurrenten is daarvoor aanvullende tooling nodig. Dimension doet voor binnenkomende data drie dingen: a] Een-op-een opslaan van de binnengekomen logfiles, o.a. voor latere forensische bewijsplicht. b] Direct aggegreren en analyseren van de data, en opslaan in een summary database die qua dataformaat dichtbij de gewenste console-analyses komt. c] Volgens een schema aanmaken en en van gewenste rapportages. Daarnaast zijn alle data direct beschikbaar voor drilldown in de console; die is qua stijl geënt op de Cubes van OLAP 10 INFOSECURITY MAGAZINE - NR. 1 - MAART

7 WATCHGUARD DIMENSION Fig. 3: FireWatch drilldown Fig. 4: Report (Web Activity) (On Line Analytical Processing) platforms zoals we ze ook veel zien in financiële toepassingen en pakweg geofysische analyses - in zekere zin Excel in webvorm! Dus met draaitabellen, top-10 grafieken en de mogelijkheid om op elke gecumuleerde meting in te zoomen en de onderliggende waarden te bekijken. Met doorspringen, bijvoorbeeld om als user Ederuijter opvallend veel dataverbruik na 5 uur s middags heeft dat te vergelijken per website en te leggen naast wat de top-5 andere gebruikers aan verkeer voor die site genereren; het geheel met slechts enkele muisklikken en, vanwege de klaarstaande cube-data, ook snel op het scherm getoond. Wat Dimension dus níet doet is zelf alarm slaan op basis van overschrijding van ingestelde grenswaarden, of op basis van trends. Dat wordt vooralsnog overgelaten aan de box manager-tools voor de individuele appliances of de consolidatieslag die daarin door WatchGuard servers en FireClusters gemaakt kan worden. Het lijkt wat verwarrend maar het is een logische beperking van een versie 1.0-platform; WatchGuard meldt nadrukkelijk dat ze van plan is de box managers t.z.t. op één uniform en goed samenwerkend platform te brengen, maar dat is een roadmap voor de wat langere termijn. Eventueel kunnen we wél de alarms laten bepalen op de box managers maar de notificaties vervolgens laten versturen vanuit Dimension, op die manier is in ieder geval de afhandeling centraal belegd. Ook integratie met de ConnectWise rapportageserver die populair is bij Managed Service Providers wordt weliswaar geboden maar zal nog aardig op de schop moeten gaan voor een uniforme aanpak. En tot slot, maar dat zagen we al bij de bespreking van de overige WatchGuard producten: Dimension zit echt vast aan de WatchGuard metingen. Dat is best een aardig deel van ons securitylandschap, aannemende dat we voor alle netwerkfuncties WatchGuard gebruiken, maar beslist niet alles. Elke meting aan de endpoints bijvoorbeeld, of elk stuk informatie over gebruikersgerichte beveiliging zoals foute loginpogingen of gebruik-vantask-accounts, kan niet worden meegenomen in een Dimension analyse. DIMENSION INDELING Deze functionaliteit vinden we terug verspreid over de volgende vier hoofdopties: Executive Dashboard. Dit is de overall OLAP Cube console van wat er gebeurt op de gateways en indirect dus onze hele Internetverbinding. Met trends, zwaarste gebruikers en hun zwaarste sites/applications. Executive Reporting. Dit zijn standaard rapporten, ofwel direct op het scherm getoond ofwel scheduled en dan als PDF toeg ed zoals we boven zagen. FireWatch. Dit is een Hierarchical Treemap in Business Intelligence termen; hij hangt één niveau onder het dashboard en biedt de hele draaitabel- en inzoomfunctionaliteit. Global ThreatMap. Dit is een totaal ander Intelligence-stukje maar toch best handig: Business Intelligence BIG DATA OF NIET? Big Data is een begrip uit de Management Information/Business Intelligence wereld, en betekent zoveel als de samenhang ontdekken tussen geheel verschillende databronnen en verschillende datatypes, gestructureerd en ongestructureerd, naar elkaar kunnen omzetten. Traditionele MI/BI tools lopen in hun analyses klem op de vier V s : Volume, Velocity, Variety en Veracity oftewel omvang, groeisnelheid, variatie en datakwaliteit. Vandaar de toevoeging van nieuwe Big Data tools in die MI-wereld, die vaak de Hadoop database gebruiken vanwege diens kracht in opslaan en analyseren van ongestructureerde data. Daarbovenop biedt zo n Big Data tool dan de komplete kracht van OLAP, Cube-Analyse en Draaitabel-inzoomen om de eenmaal getoonde dashboards verder te bekijken. De verwachting die we dus mogen hebben voor Big Data over beveiliging is Landschap van Security Intelligence en Big Data tools Klassieke SIEM SIEM met Klassieke box WatchGuard Box manager met Big Data manager Dimension aangeplakte Big Data Volume + + q + + Groei- en analysesnelheid q q Variatie databronnen + + q q q Variatie analysekracht + ++ q q + Realtime eventanalyse en conclusies Zit (nog) in de + q + legacy box managers q Datakwaliteit Gebruiksgemak Analyse q + q ++ + op basis van de wereldkaart, met de trends in aanvalspatronen per regio. Het kan ons helpen om de settings qua malware-checks op de UTM appliances aan te passen en bijvoorbeeld sites te blokkeren, maar ook om bijvoorbeeld een waarschuwingsmail uit te sturen naar regio APAC klik niet op enige link die zegt van DHL pakketservice afkomstig te zijn. Deze kaart is uniek voor Dimension omdat hij gekoppeld is aan wat er op onze appliances gebeurt, dus zowel de alarm-meldingen bij onszelf als de relatie met Web-brede meldingen. eenzelfde paradigma maar dan voor security-metingen. Inclusief levering van álle databronnen nodig om conclusies te trekken, en liefst ook direct conclusies (events) bepalend. Welnu, bijgaande tabel toont dat de beveiligingsmarkt bepaald nog niet zo ver is. WatchGuard claimt niet eens een volledig Big Data aanbod, doch slechts big data visibility and reporting tools en Instantly turning raw data into actionable security intelligence. Meer dan deze op zichzelf prima prestatie kan men ook niet bieden. De redenen zijn: 1. De brondata zijn beperkt tot Watch- Guard metingen (en niet bijvoorbeeld endpoints en user security). 2. Binnen die metingen verbindt men geen verschillende datatypen met elkaar noch doet men omzettingen/ structureringen. DIMENSION - SECURITY INTELLI- GENCE VOOR DE TOEKOMST! WatchGuard zet met Dimension een nieuwe mijlpaal neer in de markt voor box managers, en daarmee dus ook een nieuw niveau van aantrekkelijkheid voor de eigen netwerk gateways, want Dimension wordt daar gratis bijgeleverd. Op dit vlak, analyse en grafische inzichtelijkheid van de metingen, steekt het met kop en schouders uit boven de concurrentie. Deze deelmarkt van de platformbeveiliging groeit daardoor steeds meer toe naar echte Security Intelligence, en dat is een nuttig onderdeel van onze totale informatiebehoefte rond beveiliging - die al dan niet komplete Big Data -analyses 3. Real-time conclusies worden niet getrokken. Sommigen van deze beperkingen zijn oplosbaar door Dimension-data weer te exporteren naar een apart datawarehouse en daarop échte Big Data tools los te laten, maar dat gaat dan weer ten koste van de snelheid van beslissings-informatie. Werken aan beperking 3) en vermoedelijk ook 2) staat echter netjes op de Dimension-roadmap. Verder kunnen we nog in de tabel lezen dat geen enkel tool/ soort tools op álle Big Data-eisen optimaal scoort. SIEM tools zoals ArcSight en Nitro hebben het meeste potentieel maar hebben i.h.a. weer beduidend zwakkere analyse/olap-consoles dan Dimension, terwijl toevoeging van algemene Big Data tools weliswaar de beste analyses geeft maar het beslis- en snelheidsvoordeel deels opoffert. zou kunnen omvatten. Aan WatchGuard zal het kunnen bereiken van zo n eindplaatje in ieder geval niet liggen! MEER WETEN OVER WATCHGUARD DIMENSION? Meer informatie over Watchguard Dimension is te vinden op: Hier kan ook een gratis test drive worden aangevraagd om zelf ervaring op te doen met Dimension. 12 INFOSECURITY MAGAZINE - NR. 1 - MAART

8 LOCATION BASED SERVICES EEN SCHAT AAN INFO, MAAR OOK EEN PRIVACY-PROBLEEM? Location based services (LBS) geeft beheerders van Wifi--netwerken inzicht in bewegingen en gedragingen van de gebruikers van hun netwerken. Wat voor bezoekers zijn het, nieuwe of terugkerende? Hoeveel tijd besteden zij in het domein? Hoe was dat vorige week of vorige maand? Beheerders zien op een dashboard met stippen en kleurgebieden en in grafieken hoe de huidige situatie is en de historische situatie was. De gebruikers kunnen door LBS beter hun weg vinden en op maat worden geadviseerd of geïnformeerd. Wat doet LBS en kan deze vorm van informatievergaren wel door de privacybeugel? Bas Group, eigenaar van onder andere Dixons, kwam in januari negatief in de media nadat bleek dat de retailketen zijn klanten volgt met Wifi-tracking. Het bedrijf had verzuimd zijn klanten van de Wifi-tracking op de hoogte te stellen om ze de mogelijkheid te geven niet mee te doen. Het bedrijf gaf als verklaring dat het onderwerp privacy helemaal niet was opgekomen omdat alleen de bewegingen van MAC-adressen werden gevolgd. Niet ieder gegeven hoeft immers te worden gekwalificeerd als persoonsgegeven, daarvoor is een vereiste dat het herleidbaar is tot een individu. Een IP-adres is volgens privacytoezichthouder CBP voldoende om te individualiseren, to single out a person, zoals het in wetteksten heet. Daardoor wordt een IP-adres een persoonsgegeven zonder dat verdere gegevens van de houder van het adres bekend zijn. Het argument is dat met behulp van een IP-adres de houder ervan beïnvloed kan worden met gerichte reclame of informatie. Van het CBP moet het betreffende individu op de hoogte worden gesteld en een aanbod krijgen zich hiervoor af te melden. UNIEK VISITEKAARTJE Het is de vraag of wat voor IP-adressen geldt ook van toepassing is op MAC-adressen. Een MAC-adres is immers het unieke visitekaartje van een apparaat en niet van een persoon. Een mobiele telefoon is echter meestal wel een persoonsgebonden apparaat dat niet aan derden wordt meegegeven. Door de verplaatsingen van een specifieke telefoon in kaart te brengen, is te achterhalen waar de eigenaar woont en werkt en kan met aanvullende informatie zijn of haar identiteit worden vastgesteld. De ervaringen van Bas Group leiden tot helderheid over wat wel en niet kan. Het CBP stelt dat zodra MAC-adressen worden opgeslagen, de eigenaren van de apparaten hierover moeten worden geïnformeerd. Zij moeten bovendien tijdig de mogelijkheid krijgen hun Wifi of bluetooth uit te schakelen. Voor het meten van anonieme klantgegevens over beweging of aanwezigheid hoeven de MAC-adressen niet lang te worden bewaard. Als de gegevens daarna worden vernietigd, is er volgens het CBP niet veel aan de hand. PASSIVE VERSUS ACTIVE TRACKING Je moet een onderscheid maken in passive en active tracking bij LBS, legt Spencer Hinzen, presales engineer bij Ruckus Wireless, uit. Ruckus Wireless is een belangrijke leverancier van Wifi-netwerken en LBS. Bij passive tracking vindt data uitwisseling plaats tussen het apparaat en het Wifi-netwerk, zoals alle Wifi-apparaten normaal gesproken altijd al doen tijdens het zoeken naar nieuwe draadloze netwerken in de omgeving. De exploitant krijgt dan informatie over MAC-adressen, signaalsterktes en het type apparaat dat de klant gebruikt. De enige wijze waarop de klant zich bij passive tracking kan afmelden voor de dienst, is door zijn Wifi uit te zetten. Bij active tracking meldt de klant zich via een app of portal aan bij het netwerk en is dus sprake van communicatie in twee richtingen. Apps geven bij installatie aan welke informatie van de gebruiker ze nodig hebben. Hoe lang de gegevens worden bewaard is volgens Hinzen iets dat de netwerkbeheerder bepaalt. Bij passive tracking kunnen bij het bewaren van MAC-adressen privacy issues optreden. Bij active tracking kan een gebruiker aangeven waaraan hij wel of niet wil meewerken. Dat kan de ontwikkelaar van de software in de app regelen. 'Bij active tracking kan een gebruiker aangeven waaraan hij wel of niet wil meewerken' DOOR STEFAN VAN MIERLO RUCKUS SPOT SERVICE Ruckus SPoT Service helpt klanten in overdekte omgevingen met een Wifi-netwerk bij hun zoektocht naar optimale producten en diensten. Het helpt verkopers en beheerders gedragingen en bewegingen te volgen en te analyseren om hun klanten nog beter van dienst te zijn. Een zogeheten heat map geeft met stippen, kleurgebieden en grafieken in real-time een beeld van de positie van klanten. De software biedt mogelijkheden om gebieden met elkaar te vergelijken en om verkeer tussen verschillende zones met elkaar te vergelijken. De real-time data kan tegelijkertijd worden vergeleken met historische data. Ruckus SPoT is wereldwijd verkrijgbaar in het tweede kwartaal van ANALYSEMOGELIJKHEDEN LBS biedt ongekende mogelijkheden om de dienstverlening aan klanten te optimaliseren. Doordat het klantbewegingen exact kan bijhouden, kunnen bedrijven op maat gesneden marketingcampagnes opzetten. De techniek biedt brede analysemogelijkheden op basis van real-time of historische klantinformatie op basis van klantlocatie. In winkelomgevingen kunnen detaillisten door Wifi-tracking snel bepalen welk deel van de bezoekers uit nieuwe klanten en welk deel uit terugkerende klanten bestaat. Ze kunnen vaststellen hoelang klanten bij bepaalde artikelen stilstaan en winkelgedragingen analyseren met gebruik van real-time en historische data. Met deze gegevens krijgen bedrijven een goed beeld van hoe ze hun klanten kunnen behouden en nieuwe klanten voor zich kunnen winnen. BREDE VARIATIE In de hotelbranche werkt LBS mee aan het verbeteren van de klanttevredenheid door wensen van gasten te herkennen en daarop in te spelen. Trouwe klanten kunnen voordeel hebben van on-device features als automatische incheck. In de gezondheidszorg biedt LBS een brede variatie aan toepassingsmogelijkheden zoals navigatie via mobiele telefoons of tablets. Voor openbare ruimten als vliegvelden, conventiecentra, stadions, themaparken en Wifi-netwerken in steden biedt LBS mogelijkheden om real-time crowd control toe te passen. Ook kan location-based informatie worden doorgeven aan gehaaste passagiers om zo snel mogelijk bij hun vervoermiddel te komen. LBS wordt daarmee een soort GPS voor overkapte ruimten. 14 INFOSECURITY MAGAZINE - NR. 1 - MAART

9 BESCHERMING PERSOONSGEGEVENS VAN DE REDACTIE SAFEGUARD ENTERPRISE ENCRYPTIE ONMISBAAR DOOR PRIVACYWETGEVING Privacy staat door toedoen van Edward Snowden en de NSA weer stevig op de kaart, nadat sinds de aanslagen in de VS in 2001 de balans naar veiligheid was doorgeslagen. Met het etiket terrorisme als middel om critici de mond te snoeren, kon bijvoorbeeld het afluisteren van Europese regeringsleiders door de Amerikaanse geheime dienst NSA plaatsvinden. Sinds die praktijken in de zomer van 2013 door Snowden aan het licht kwamen, heeft het belang van privacy meer gewicht gekregen. Naast wetgeving die al in de maak was, leidt dit tot een verhoogde aandacht van overheden, bedrijven en organisaties voor het beschermen van persoonsgegevens. Encryptie, het versleutelen van data, kan vaak een passende maatregel zijn om te voldoen aan wetgeving op het gebied van bescherming van persoonlijke gegevens. In Europees verband wordt gewerkt aan De Algemene Verordening Gegevensbescherming. Deze verordening moet in 2015 in werking treden en moet ervoor zorgen dat in alle Europese lidstaten dezelfde privacyregels gaan gelden. Het gaat daarbij om de bescherming van data die herleidbaar is tot individuen. Een gegeven kan worden gekwalificeerd als persoonsgegeven als het herleidbaar is tot een individu. To single out a person, zoals het in wetteksten wordt omschreven. Periodiek zal naleving van de Algemene Verordening Gegevensbescherming worden gecontroleerd. Bij overtredingen volgt eerst een waarschuwing. Daarna volgen boetes die kunnen oplopen tot 100 miljoen euro of 5 procent van de omzet. De druk van Europa neemt toe. Een hot topic voor veel bedrijven is hoe de boete zich verhoudt tot de investering die zij in databeveiliging moeten doen, zegt Peter Magez, Territory Account Manager Belux bij Sophos. Dit bedrijf is sinds decennia gespecialiseerd in het versleutelen van gevoelige data. Sophos houdt zich al dertig jaar bezig met encryptie, het versleutelen van gevoelige data. De softwaremaker is door de Nederlandse overheid aangewezen als leverancier van encryptieproducten. Sophos biedt onder andere met SafeGuard Enterprise het gereedschap om privacygevoelige data en vertrouwelijke bedrijfsgegevens eenvoudig en gebruiksvriendelijk te beveiligen. Eenvoudig, door de software vanuit een enkele console te bedienen. Vanaf de console kan encryptie worden geregeld van vaste schijven, removable media, file-sharing en van data in de cloud. Ook de opslag, uitwisseling, het delen en het verwijderen van sleutels gebeurt vanaf de centrale console. Sophos helpt bedrijven op een productieve manier om te gaan met veiligheid en privacy en te voldoen aan wetgeving op dat gebied. Bedrijven kunnen ongewenste toegang tot hun bedrijfsgegevens en dataverlies eenvoudig voorkomen, zegt Peter Magez van Sophos. om gegevens van EU-ingezetenen gaat. Het is overigens nog niet duidelijk hoe de wetgever het misbruik van data van ingezetenen buiten de EU-grenzen denkt te kunnen handhaven. Bedrijven krijgen de verplichting datalekken per omgaande SafeGuard Enterprise is gebruiksvriendelijk door processen op de achtergrond te draaien en ervoor te zorgen dat gebruikers niet te maken krijgen met grote vertragingen tijdens het opstarten van hun systeem. Daarnaast voorkomt het product dataverlies en gaat het tegen dat data in een onbeveiligde omgeving terechtkomt. Peter Magez: Encryptie geeft de vrijheid om waar dan ook productief te zijn. Sophos SafeGuard Enterprise is modulair verkrijgbaar. Organisaties kunnen daardoor functionaliteit op maat aanschaffen en in een volgend stadium van hun ontwikkeling het aantal modules uitbreiden. De software van Sophos is dan ook te gebruiken door bedrijven en organisaties met twee tot vele duizenden medewerkers. Het product maakt gebruik van internationaal erkende encryptiestandaarden voor volledige harde schijf encryptie. De software maakt het mogelijk dat verschillende gebruikers met encryptie aan de toezichthouder en aan de betrokkenen te melden. Bedrijven zijn bang dat encryptie een zware impact gaat hebben op de performance en de productiviteit, zegt Peter Magez. Sophos biedt een oplossing om beveiligde systemen delen, zonder dat zij wachtwoorden hoeven uit te wisselen. SafeGuard Enterprise biedt ook de mogelijkheid versneld encryptie toe te passen door alleen de delen van de harde schijf waarop data staat te versleutelen. De tool gebruikt snelle en veilige authenticatie door toepassing van biometrie en ondersteuning van cryptografische tokens. SafeGuard Enterprise is altijd afgestemd op de laatste nieuwe processortechnologie van Intel om de systeemsnelheid optimaal te houden. De tool vereenvoudigt ook datatoegang en dataherstel tijdens een computercrash en maakt veilige en snelle toegang tot versleutelde schijven op andere systemen mogelijk door het automatisch opnieuw toewijzen van sleutels. Sophos heeft de jongste uitvoering van SafeGuard Enterprise, versie 6.1, in februari op de markt gebracht. De standaardencryptiesystemen van Microsoft (BitLocker) en Apple (FireVault) zijn in deze versie verder geïntegreerd. veilig te werken, thuis, op kantoor, onderweg, op een Windows pc, een Mac, een tablet, in the cloud, vanuit één enkele console en zonder impact op het gebruiksgemak en de performance. ZWARE IMPACT Encryptie kan volgens Peter Magez uitkomst bieden om te voldoen aan de nieuwe regelgeving. De Europese dataprotectie autoriteit stelt zich immers op het standpunt dat gegevens geen persoonsgegevens zijn als ze niet te ontsleutelen zijn. Als de mogelijkheid bestaat de encryptie data in de oorspronkelijke staat te herstellen, blijven de privacywaakhonden, als het Nederlandse College Bescherming Persoonsgegevens en de Belgische Commissie voor de bescherming van de persoonlijke levenssfeer (CBPL) echter kritisch. Uitzonderingen worden in de privacywetgeving gemaakt voor opsporing en vervolging door de daartoe aangewezen overheidsinstanties en voor natuurlijke personen zonder commercieel belang. De bewerker van de persoonsgevoelige data hoeft zich overigens niet in de Europese Unie te bevinden. Wat telt is dat het 16 INFOSECURITY MAGAZINE - NR. 1 - MAART

10 DATA RECOVERY DOOR JAN PETERS Het overleven van een serieus data lek MAART 2014 BRUSSEL VAKBEURZEN, SEMINARIES EN ONLINE MATCHMAKING VOOR IT-MANAGERS EN IT-PROFESSIONALS DE BELGISCHE EDITIE IN BRUSSELS EXPO IT SECURITY STORAGE IT MANAGEMENT SOLUTIONS Het lijkt een kwestie van tijd voordat ieder middelgroot bedrijf het slachtoffer zal zijn van een vorm van datalekkage. Ik zet de belangrijkste vormen even uiteen: per ongeluk gepubliceerd gehacked lekken van binnenuit verloren/gestolen computer verloren/gestolen mediadrager twijfelachtige beveiliging Er is een levendige markt voor zogenaamde Personally Identifiable Information (PII) zoals credit cards, adressen en bankrekeninggegevens. Voor veel bedrijven is het geen kwestie van of ze slachtoffer worden van een van de bovenstaande gebeurtenissen, maar wanneer. Recent onderzoek heeft aangetoond dat veel security professionals twijfelen of ze wel genoeg actie ondernemen richting C-level om deze dreiging het hoofd te bieden. Wat ze veelal tegenhoudt is het gebrek aan source informatie, zoals zijn we gehacked, zo ja wanneer, wat is er aan data ontvreemd en wie heeft dit gedaan? Zonder deze informatie heb je een halve casus, en dat is lastig informeren tegenover mensen die graag direct alles weten. In een survey komt naar voren dat in 86% van de gevallen aangeeft dat het detecteren van een cyberaanval te lang duurt binnen een organisatie, en waar 85% zegt dat ze niet in staat zijn om waarschuwingen en incidenten naar behoren te prioriteren als ze zich voordoen. Daarbij komt dat 74% zegt dat er slechte of geen integratie bestaat tussen hun beveiligingsproducten, waardoor het moeilijk voor hen is om effectief te reageren op nieuwe incidenten. Organisaties zijn behoeders van de gegevens van hun klanten. Zij moeten ervoor zorgdragen dat de gegevens van deze klanten naar de best mogelijke maatstaven worden beschermd. Er is een organisatie genaamd Cyber Incident Respons Plan die een scenario voorschrijft als er een datalekkage plaatsvindt; stel een senior security professional aan voor incident respons ontwikkel een respons routine afhankelijk van het type organisatie, informeer autoriteiten, klanten en eventueel de pers betrek de nodige afdelingen die de schakel vormen in het oplossen van dit incident check regelmatig of er updates zijn in het scenario verstrekt door CIRP simuleer regelmatig een datalekkage-incident, zodat timing en adequate handeling effectief uitgevoerd worden analyseer elk incident en zorg dat daarvan geleerd wordt Een snelle en effectieve reactie beperkt de schade, vermindert de hersteltijd en kosten en geeft vertrouwen. Doorgaans worden gedupeerde adressen gebruikt voor phishing mail, waarna mensen die erop reageren opnieuw worden benaderd voor meer bruikbare informatie. Een saneringsaanbod moet worden voorzien van een sterke anti-phishing oplossing, zodat het de organisatie die een datalek heeft ervaren de kans geeft het vertrouwen van haar klanten terug te winnen, en zichzelf in een beter daglicht te plaatsen bij de pers en autoriteiten. Jan Peters is managing director van E-quipment BV REGISTREER NU VOOR GRATIS TOEGANG TOT ALLE DRIE DE VAKBEURZEN VIA: GOLDEN SPONSOR KEYNOTES SEMINARIES KLANTENGETUIGENISSEN INNOVATIES HOOFDMEDIAPARTNER ORGANISATIE 18 INFOSECURITY MAGAZINE - NR. 1 - MAART

11 26-27 MAART 2014 BRUSSELS EXPO DEELNEMERSLIJST STORAGE IT MANAGEMENT SOLUTIONS INFOSECURITY.BE IN HET TEKEN VAN ARE YOU ALWAYS ON? Exposant Arrow BA N.V. Barracuda Networks Belgacom Blue Coat Systems Cisco Systems Belgium CommVault Computacenter Services & Solutions Dell Dimension Data Fujitsu Technology Solutions GDF SUEZ ENERGY SERVICES HP LCL Belgium LPI NetApp Netgear Netherlands NextiraOne Oodrive Oracle Belgium IT SECURITY Standnummer B048 A147 B036 A048 B112 B094 D039 B052 D030 C076 D042 D064 A104 D082 C012 C016 D095 B094 D070 B040 Exposant Seagate Technology International SecureLink Secutec Simac ICT Smals Solutions Magazine Stellar Data Recovery Unitt Uptime Group Veeam Software Virtual Instruments Limited Standnummer D060 C066 C088 C060 D025 D130 D012 D078 B030 D052 D084 Exposant A.N.S. Benelux Autotask Corporation Axios Systems Benelux BA N.V. Belarc Inc. Belgacom Blue vision telecom Cisco Systems Belgium Dell Dimension Data FrontRange Solutions HP Mexon Technology NextiraOne OMNINET Technologies Outpost24 Solutions Magazine Symfoni TOPdesk Belgium Standnummer D128 D148 D139 A147 D126 A048 D142 B094 D030 C076 D156 A104 B124 B094 B138 D150 D130 D121 B142 Na Jaarbeurs Utrecht eind oktober verandert Brussels Expo traditioneel in maart weer in hét platform voor de ICT-professional. Op 26 en 27 maart 2014 kunnen IT-specialisten naar de Belgische editie van Infosecurity.be, Storage Expo en The Tooling Event. In Paleis 8 van Brussels Expo, aan de Ring van de noordkant van de stad - en dus vanuit Nederland en Antwerpen heel snel te bereiken - staan straks meer dan honderd leveranciers klaar met hun nieuwste technieken, producten en diensten voorstellen. Via seminars, keynotes en casestudies verwoorden marktleiders, verenigingen en ICT-professionals hun visies, ideeën en antwoorden op de meest actuele ICT-thema s en dit alles onder het overkoepelende thema Are you always ON? IT is een essentieel onderdeel van de bedrijfsvoering: medewerkers werken niet meer per definitie binnen vastomlijnde kantoormuren en -uren. Zij zijn vandaag de dag always on. Op de vakbeurzen Infosecurity, Storage Expo en The Tooling Event Belgium wil men de IT-sector aanmoedigen om beter in te spelen op deze nieuwe evoluties. Nog steeds wordt er reactief gewerkt, terwijl de business eigenlijk op zoek is naar een proactieve houding vanuit IT. Wanneer er een behoefte is, dan wil men het niet volgende week hebben, niet morgen of later op de dag, maar NU. Net als in Nederland is deze beurscombinatie na registratie gratis te bezoeken. Meer info over de beurs, de exposanten en het programma vindt u op Infosecurity. be. Op de website kunt u zich ook direct aanmelden voor een badge. PRAKTISCH: Data: woensdag 26 en donderdag 27 maart 2014 Openingstijden: beide dagen van uur Locatie: Brussels Expo, Paleis 8 Toegang: Gratis na aanmelding via de sites van de beurzen. Zonder vooraanmelding naar binnen? Ter plaatse registreren is eveneens mogelijk. MEER INFO: Web: Tel.: +31 (0) Exposant 2tCloud abnetwork sa Adyton Systems AG AirWatch Akamai Technologies Altirian Arcadiz Telecom Atlantis Computing (Europe) BA N.V. Barracuda Networks B-CCENTRE Belgacom Black Box Network Services Blancco Oy Ltd. BTSoftware Bull Cegeka Check Point Cisco Systems Belgium COMPUTERLINKS Nederland Cyber-Ark Software Cyberoam Technologies Data Unit N.V. Delitad - IS4U Dell Despec Benelux Dimension Data DrayTek EMC Information Systems E-quipment Standnummer A140 B110 A061 B125 D098 A112 A031 D122 A147 B036 D111 A048 A041 A120 A133 A034 A143 A023 B094 C096 B113 A125 A089 B121 D030 D110 C076 B147 B060 D109 Exposant Standnummer ESET A015 Exclusive Networks - Fortinet A076 G Data Software B120 HP A104 IBM Belgium B018 Imtech Telecom A105 Interxion Belgium D094 Intronics Belgium A108 INVEA-TECH A091 ISACA - Information Systems Audit and Control Association D111 (ISC)² D096 ISSA Brussels-European Chapter D111 Kaspersky Lab A094 Kroll Ontrack D090 LNS A075 LPI C012 LSEC - Leaders in Security B141 Minkels ICT D129 Netleaf A124 NextiraOne B094 NIS Consulting A047 Nitroxis A112 Nomadesk A140 Palo Alto Networks A066 Pointsharp Benelux D114 Prodata Systems A018 QNAP Systems, Inc. A109 Ricoh Belgie D118 Rittal A030 SaaSForce C088 Exposant Standnummer SafeNet - The Data Protection Company A011 SCOS Software A073 SecureLink C066 Secutec C088 Security Innovation Pavilion B141 Server Storage Solutions B035 SMS Passcode A045 SMT - Simple Management Technologies A127 Solutions Magazine D130 Solvay Brussels School of Economics and Management D097 Sophos A060 StorageCraft A015 STULZ Belgium bvba B129 Swivel Secure Ltd. A077 Telenet B104 Tintri (UK) Ltd. A132 Toreon A069 Trend Micro Belgium A052 TrueGEN A037 UBM Belux BVBA A065 Varonis A107 Watchguard Technologies A088 Websense A051 Westcon Security A040 Situatie per 19 februari. Wij zigingen onder voorbehoud. GOLDEN SPONSOR HOOFDMEDIAPARTNER ORGANISATIE 20 BEURSSPECIAL INFOSECURITY MAGAZINE - NR. 1 - MAART

12 PLAN MAART 2014 BRUSSELS EXPO INGANG / ENTRÉE ACCESS ONLY WITH VIP BADGE Zaal 5 / Salle 5 Zaal 4 / Salle 4 Zaal 3 / Salle 3 Zaal 2 / Salle 2 Zaal 6 / Salle 6 D156 Zaal 1 / Salle 1 D150 D148 D146 D142 D130 D128 D126 D122 D118 D114 D110 D098 B142 B147 A147 TOOLING EVENT TERRAS / TERRASSE D139 D121 D129 D111 D109 B138 B124 B120 B112 B110 B129 B113 B141 B125 B121 A132 A109 A124 A140 A136 A138 A120 A112 A108 D097 D096 D095 D094 D090 D084 D082 D078 D070 D064 D060 D052 B104 A104 C076 B094 A094 A088 C096 TERRAS / TERRASSE INFOSECURITY.BE A076 C088 Sponsored by C066 A066 C060 B060 A060 B052 A052 STORAGE EXPO B048 A048 D042 D030 D012 D039 B040 A040 D025 B036 B035 A034 B030 A030 C016 B018 A018 C012 C010 A011 INGANG / ENTRÉE REGISTRATIE GEBIED / RÉCEPTION D'ENREGISTREMENT A143 A133 A127 A125 A107 A105 A091 A089 A077 A075 A073 A069 A065 A061 A051 A047 A045 A041 A037 A031 A023 A015 HOOFD MEDIAPARTNER: GOLDEN SPONSOR: LEGENDA / LÈGENDE PARKING C (MEDIA)PARTNERS ZAAL 1 / : Infosecurity.be technische sessions SALLE 1 : Infosecurity.be sessions techniques ZAAL 2 / : Infosecurity.be management sessions SALLE 2 : Infosecurity.be sessions de management ZAAL 3 / : Infosecurity.be / Storage Expo klantengetuigenissen SALLE 3 : Infosecurity.be / Storage Expo témoignages d utilisateurs RING EXIT 7bis ENTREE 8 PATIO 9 LOOPBRUG/ PASSERELLE RING EXIT 7bis ROMEINSESTEENWEG infosecurity magazine ZAAL 4 / : Infosecurity.be / Storage Expo klantengetuigenissen SALLE 4 : Infosecurity.be / Storage Expo témoignages d utilisateurs R ZAAL 5 / : Storage Expo seminaries SALLE 5 : Storage Expo séminaires ZAAL 6 / : Tooling Event klantengetuigenissen / seminaries SALLE 6 : Tooling Event témoignages d utilisateurs / séminaires Nooduitgang / sortie de secours Garderobe / vestiaire 2 10 BRUSSELS EXPO 12 PARKING SHUTTLE BUS METRO Situatie per 19 februari. Wij zigingen onder voorbehoud. 22 BEURSINFO INFOSECURITY MAGAZINE - NR. 1 - MAART

13 g Seminaroverzicht WOENSDAG 26 MAART 2014 DONDERDAG 27 MAART :00 10:05 10:10 10:15 10:20 10:25 10:30 10:35 10:40 10:45 10:50 10:55 11:00 11:05 11:10 11:15 11:20 11:25 11:30 11:35 11:40 11:45 11:50 11:55 12:00 12:05 12:10 12:15 12:20 12:25 12:30 12:35 12:40 12:45 12:50 12:55 13:00 13:05 13:10 13:15 13:20 13:25 13:30 13:35 13:40 13:45 13:50 13:55 14:00 14:05 14:10 14:15 14:20 14:25 14:30 14:35 14:40 14:45 14:50 14:55 15:00 15:05 15:10 15:15 15:20 15:25 15:30 15:35 15:40 15:45 15:50 15:55 16:00 16:05 16:10 Zaal 1 Seminaries Infosecurity.be LEGENDA technische seminaries infosecurity.be management seminaries Storage Expo management seminaries Infosecurity.be technische seminaries Storage Expo The tooling Event HACKING CHALLENGE "ERVAAR HOE EEN HACKER TE WERK GAAT" Powered by Deloitte WHAT IS BWAPP? WEB APPLICATION PENETRATION TESTING WITH BWAPP Malik Mesellem - Freelance Penetration Tester, MME BVBA NETWORK DEVICE FORENSICS Didier Stevens - Consultant, Contrast Europe KEYNOTE SESSIE THE UNDERGROUND ECONOMY Jart Armin - CEO, Cyberdefcon MANAGED IDENTITY AND ACCESS CONTROL. THE REVISION OF SECURITY OUTSOURCING Ward Duchamps - Managing partner, VintiQ Zaal 2 Seminaries Infosecurity.be KEYNOTE SESSIE SECURITY CHALLENGES FOR 2014: POST-SNOWDEN SECURITY Bart Preneel - Professor, KULeuven NEE, JE HEBT WEL IETS TE VERBERGEN Maurits Martijn - Journalist, de Correspondent CONTROLLING YOUR OUTSOURCING RELATIONSHIPS: OVERSIGHT DOES NOT EQUAL INSIGHT Dominique Kindt - Managing director, With bvba 2 CLOUD OR NOT 2 CLOUD, THAT S THE Q Dimitri Lambrechts - IT Solutions Manager, Arseus APT, IT HITS US ALL Freddy Dezeure - Head of CERT- EU, CERT-EU KEYNOTE SESSIE CYBERSECURITY: HET BEDRIJFSLEVEN SCHAKELT IN EEN HOGERE VERSNELLING Rudi Thomaes - Secretaris-generaal ICC België & Marc Vael - Voorzitter ICC België Zaal 5 Seminaries Storage Expo KEYNOTE SESSIE TRENDS IN STORAGE & IT William Visterin - Editor in chief, Minoc STORAGE TRENDS FOR A VIRTUAL FUTURE Bert De Bruijn - Independent consultant and trainer, Virtwo bvba TRANSPARENT CLOUD DATA MOBILITY AND DISASTER RECOVERY Andy Loydell - EMEA & APAC Territory Manager at Cristie Software, Cristie Software DATA EVERYWHERE Michiel von der Crone - Director, Field Advisory Services Team EMEA, Commvault EVOLUTION RÉSEAU DU CENTRE DE DONNÉES Gilles Chekroun - Technical sales, Cisco Systems BUILDING & OPTIMIZING ENTERPRISE- CLASS HADOOP WITH OPEN ARCHITECTURES Paul Brook - EMEA Program Manager Big Data and Cloud Solutions, Dell, SNIA Europe member Zaal 6 Seminaries & klantgetuigenissen Tooling Event KEYNOTE SESSIE GENT. THERE S ONLY ONE WAY OF LIFE AND THAT S Tim Vermeiren - Senior IT Project Manager, UZ Gent SHARED SERVICE MANAGEMENT SIMPLIFIED Jeroen Silvius - Teamleader Consultancy, TOPdesk SERVICE DESK: AUTOMATION GIVES YOU THE TIME TO CONCENTRATE ON GOOD SERVICE AGAIN Wil Van Krieken - Pre-sales, FrontRange Solutions THE MOBILE ENTERPRISE- SIMPLIFY MANAGEMENT OF A WIDE ARRAY OF SYSTEMS AND DEVICES Andy Struys - Senior Solution Architect, Dell Kace THE FUTURE OF SERVICE LEVEL MANAGEMENT Christophe Faems - Operations Manager, OMNINETT Technologies FRIESLANDCAMPINA: A JOURNEY FROM IT SERVICE MANAGEMENT TO ENTERPRISE SERVICE MANAGEMENT Kees Spijk - Application Consultant, FrieslandCampina SMART IT WITH AUTOTASK Daniela Streng - Sales Manager Benelux, Autotask Corporation KEYNOTE SESSIE REPLACING THE SERVICE MANAGEMENT SOLUTION AT ELIA: MOTIVATION, OBJECTIVES & APPROACH. Jan Windels - Project Manager, Elia 10:00 10:05 10:10 10:15 10:20 10:25 10:30 10:35 10:40 10:45 10:50 10:55 11:00 11:05 11:10 11:15 11:20 11:25 11:30 11:35 11:40 11:45 11:50 11:55 12:00 12:05 12:10 12:15 12:20 12:25 12:30 12:35 12:40 12:45 12:50 12:55 13:00 13:05 13:10 13:15 13:20 13:25 13:30 13:35 13:40 13:45 13:50 13:55 14:00 14:05 14:10 14:15 14:20 14:25 14:30 14:35 14:40 14:45 14:50 14:55 15:00 15:05 15:10 15:15 15:20 15:25 15:30 15:35 15:40 15:45 15:50 15:55 16:00 16:05 16:10 Zaal 1 Seminaries Infosecurity.be HACKING CHALLENGE Powered by Deloitte SECURITY ARCHITECT: A WINNING TROJAN HORSE? André Mariën - Information security consultant, Inno.com KEYNOTE SESSIE CRYPTOGRAPHY AS CORNERSTONE OF IT SECURITY Vincent Rymen - Professor Dept. ESAT, KULeuven WITHOUT SAFETY WIRES. ON THE SECURITY OF WIRELESS NETWORKS AND WE THAT CONNECT TO THEM Geert Nauwelaarts - Managing Partner, Blue Vision YOU GOT A SIEM AND NOW? Xavier Mertens - Independent Security Consultant, TrueSec Zaal 2 Seminaries Infosecurity.be KEYNOTE SESSIE PRESENTATION OF THE FIRST BELGIAN EDITION OF THE INFOSECURITY BREACHES SURVEY Marc Sel - Director, PwC ISO ISMS, THE NEW VIEW Jean-Luc Allard - Director, MISIS PRIVACY IS DEAD, LONG LIVE PRIVACY Peter Berghmans - Data Protection Officer, Data Protection Institute & Thomas More KEYNOTE SESSIE SECURITY BIJ GOOGLE Ruben van der Stockt - EMEA Security Lead, Google Zaal 5 Seminaries Storage Expo CLOUD SENSE AND NONSENSE. A PRACTICAL TALK ON WHERE TO USE CLOUD SOLUTIONS AND WHERE NOT Jan Guldentops - CEO & Active consultant, Better Access BENEFITS OF FLASH IN ENTERPRISE STORAGE SYSTEMS Wessel Gans - Strategy Consultant for Benelux and Nordics, Netapp, SNIA Benelux Committee NEXT GENERATION DATA STORAGE AND RECOVERY MANAGEMENT CAPABILITIES, WITH INNOVATIVE CLOUD PORTAL SOLUTIONS Thomas Bak - CSO and Partner, Front-safe A/S KEYNOTE SESSIE STORAGE FOR VDI WITH LOWER TCO AND BETTER PERFORMANCE. JUST MARKETING HYPE OR REALITY? Guy Dierckx - Storage IT Manager, Belgacom STORAGE TRENDS DEMYSTIFIED Michèle Lestiboudois - Enterprise Technical Consultant, Dell Zaal 6 Seminaries & klantgetuigenissen Tooling Event KEYNOTE SESSIE "WAT ALS PROCESSEN ECHT WERKEN" Johan Debruyne - Managing partner & COO, Xedis FRIESLANDCAMPINA: A JOURNEY FROM IT SERVICE MANAGEMENT TO ENTERPRISE SERVICE MANAGEMENT Kees Spijk - Application Consultant, FrieslandCampina THE FUTURE OF SERVICE LEVEL MANAGEMENT Christophe Faems - Operations Manager, OMNI- NETT Technologies SHARED SERVICE MANAGEMENT SIMPLIFIED Jeroen Silvius - Teamleader Consultancy, TOPdesk SMART IT WITH AUTOTASK Daniela Streng - Sales Manager Benelux, Autotask Corporation SERVICE DESK: AUTOMATION GIVES YOU THE TIME TO CONCENTRATE ON GOOD SERVICE AGAIN Wil Van Krieken - Pre-sales, FrontRange Solutions THE MOBILE ENTERPRISE- SIMPLIFY MANAGEMENT OF A WIDE ARRAY OF SYSTEMS AND DEVICES Andy Struys - Senior Solution Architect, Dell Kace 10:00 10:05 10:10 10:15 10:20 10:25 10:30 10:35 10:40 10:45 10:50 10:55 11:00 11:05 11:10 11:15 11:20 11:25 11:30 11:35 11:40 11:45 11:50 11:55 12:00 12:05 12:10 12:15 12:20 12:25 12:30 12:35 12:40 12:45 12:50 12:55 13:00 13:05 13:10 13:15 13:20 13:25 13:30 13:35 13:40 13:45 13:50 13:55 14:00 14:05 14:10 14:15 14:20 14:25 14:30 14:35 14:40 14:45 14:50 14:55 15:00 15:05 15:10 15:15 15:20 15:25 15:30 15:35 15:40 15:45 15:50 15:55 16:00 16:05 16:10 24 BEURSINFO INFOSECURITY MAGAZINE - NR. 1 - MAART

14 g Seminaroverzicht KEYNOTE SESSIES Seminarie: Uitdagingen op vlak van beveiliging 2014: Beveiliging in het post-snowden tijdperk Spreker: Bart Preneel - Professor, KULeuven Tijd en plaats: Woensdag 26 maart van uur - Zaal 2 Over het seminarie:in deze presentatie denken we na over de trends en de uitdagingen rond beveiliging in het post-snowden tijdperk. We bespreken de zich ontwikkelende bedreigingen en de manier waarop we ons kunnen beschermen tegen steeds sterkere tegenstanders die elke schakel in het netwerk en elk apparaat stuk voor stuk proberen te ondermijnen. We proberen de hype te scheiden van de realiteit en bieden een langetermijnperspectief op beveiliging en privacy. Over de spreker: Prof. Preneel staat aan het hoofd van de COSIC-onderzoeksgroep aan de KU Leuven. Hij was eerder al gastprofessor aan vijf Europese universiteiten. Hij schreef meer dan vierhonderd wetenschappelijke publicaties en vond vier patenten uit. Hij verricht vooral onderzoek naar cryptografie, beveiliging van gegevens en privacy. Bart Preneel is voorzitter van LSEC (Leaders in Security) en was zes jaar voorzitter van de IACR (International Association for Cryptologic Research). Hij is lid van de permanente stakeholdersgroep van het ENISA (Agentschap van de Europese Unie voor netwerk- en informatiebeveiliging ) en de Academia Europaea. Hij werd als spreker uitgenodigd op meer dan negentig conferenties in veertig landen. Seminarie: Cybersecurity: het bedrijfsleven schakelt in een hogere versnelling Spreker: Rudi Thomaes - Secretaris-generaal ICC België & Marc Vael - Voorzitter ICC België Tijd en plaats: Woensdag 26 maart van uur - Zaal 2 Over het seminarie: Cybercrime plaatst ondernemingen voor een dilemma. De online wereld doorkruist continu het leven van onze bedrijven en ons privéleven. De voordelen daarvan zijn immens, maar de verdere vooruitgang in de digitalisering en de online toepassingen kunnen onder druk komen van de toenemende cybercriminaliteit. Recente onthullingen die massale spionage en diverse vormen van criminaliteit in de cyberspace aan het licht brachten hebben de bewustwording in een stroomversnelling gebracht. De ongerustheid in ondernemersmiddens is fel toegenomen. Toch willen bedrijven hun productiviteit en de functionaliteit van hun producten blijven opdrijven met nieuwe ICT toepassingen. Hoe daarmee omgaan? De nieuwe en unieke Belgian Cyber Security Guide, het resultaat van intense samenwerking tussen experten en mensen uit de praktijk zet de bedrijven daarbij al een heel eind op weg. Over de sprekers: entiaat in de rechten aan de UIA. Rudi Thomaes begon zijn loopbaan bij Bell Telephone in 1976 als Financieel Export Coördinator en werd Afgevaardigd Bestuurder en Voorzitter van het Directiecomité van Alcatel Bell in Sinds 14 juni 2004 is hij Gedelegeerd bestuurder van het VBO. Rudi Thomaes is Secretaris-generaal van ICC België, Bestuurder bij Umicore, Voorzitter van de Raad van bestuur van Restore nv, Lid van de Advisory Board VK Group nv, Lid bij Europalia. Marc Vael is geboren te Sint-Niklaas op 30 juli Hij behaalde 3 master diploma s (UFSIA/ UA, UHasselt, KUL) en talrijke certificaten (waaronder CISM en CISSP). Marc heeft zich toegelegd op IT audit en controle, risicobeheer en informatieveiligheid en werkte onder andere bij Arthur Andersen, KPMG en Protiviti. Hij is sinds augustus 2010 Chief Audit Executive bij Smals vzw. Hij is momenteel ook Vice-President bij ISACA International, lid van de raad van bestuur van SAI en ISACA Belgium, lid van de ENISA Permanent Stakeholder Group en lid van de Vlaamse Toezichtscommissie. Seminarie: Presentation of the first Belgian edition of the Infosecurity Breaches Survey Spreker: Marc Sel - Director, PwC Tijd en plaats: Donderdag 27 maart van uur - Zaal 2 Over het seminarie: Dit onderzoek werd opgezet in samenwerking met PwC België en Infosecurity België. Het doel ervan was om een groter bewustzijn te creëren bij bedrijven van de veiligheidsrisico s van cyberspace en een analyse te bieden van de mate waarin bedrijven zich tegen deze risico s beschermen en van eventuele belangrijke trends wat betreft de bedreigingen of oplossingen. Het onderzoek was gebaseerd op ons wereldwijd Cybersecurity Breaches Survey. Het maakte gebruik van onze internationale vragenlijst, aangepast aan onze lokale noden. De deelnemers waren ook voornamelijk Belgen. Het onderzoek omvatte ongeveer 60 tot 70 vragen en de deelnemers werden begeleid via een dynamisch menusysteem dat rekening hield met hun antwoorden. De resultaten van dit onderzoek zullen voorgesteld worden. Aan de hand van deze informatie kunnen bedrijven zich vergelijken met andere bedrijven binnen hun sector of erbuiten. De trends en geleerde lessen worden ook op een anonieme manier gedeeld. Over de spreker: Marc Sel werkt voor de adviesdienst voor bedrijven van PricewaterhouseCoopers België als manager gespecialiseerd in IT-beveiliging. Hij startte bij het bedrijf als consultant in januari Gaandeweg heeft hij zich gespecialiseerd op het vlak van veiligheid, zowel vanuit een technisch als vanuit een organisatorisch/ managementperspectief. Hij voerde gespecialiseerd diepteonderzoek uit, stond klanten bij in de keuze van oplossingen en stond in voor de implementatie ervan. Hij werkte onder andere op het gebied van autorisaties en toegangscontrole, netwerkveiligheid, public key infrastructure, smartcards en de organisatie van en het beleid omtrent informatieveiligheid, standaarden en richtlijnen. Seminarie: Security bij Google Spreker: Ruben van der Stockt - EMEA Security Lead, Google Tijd en plaats: Donderdag 27 maart van uur - Zaal 2 Over het seminarie: De complexiteit van IT-beveiliging is alleen maar gegroeid: van een mainframe infrastructuur in de jaren 50 tot functionaliteit uit de cloud anno nu. Vooral de schaal van grootte kan een belangrijk aspect zijn. Hoe zorgt Google ervoor dat er elke minuut 100 uur video op Youtube gezet kan worden of hoe 525 miljoen Gmail gebruikers veilig hun mailbox kunnen raadplegen? Belangrijker nog, hoe zorg je voor een optimale beveiliging? In deze sessie gaan we concreet in op de architectuur en beveiliging van Google s wereldwijde infrastructuur. Over de spreker: Na zijn opleiding kwam Ruben terecht in de begindagen van cloud computing en werkte hij met verscheidene technologieën zoals Salesforce.com, Force. com, Google App Engine en Google Apps. In verschillende rollen hield hij zich bezig met business development, architectuur en migratie/implementatie van deze nieuwe technologieën. Momenteel bekleedt hij de positie van EMEA Security Lead bij Google, waar hij zich concentreert op de veiligheids- en juridische aspecten van cloud computing en zich bezighoudt met bewustmaking en transparantie op dit gebied. Seminarie: The underground economy Spreker: Jart Armin - CEO, Cyberdefcon Tijd en plaats: Woensdag 26 maart van uur - Zaal 1 Over het seminarie: Alle cybercriminaliteit, cyberaanvallen, spam en internetcriminaliteit worden door iemand op een bepaalde plaats gehost en op een bepaalde server georganiseerd. Voorwaarde nummer één om deel te nemen aan de ondergrondse economie is waarschijnlijk eerst gegevens besmetten om de gestolen data daarna ergens terug te halen, vooral de bulletproof hosts - of dit nu gebeurt via besmette websites, Botnet C&C s, spam, phishing, current events, Zeus botnets, exploits of badware. Om dit te begrijpen en in kaart te brengen, is er de top down -aanpak die u een overzicht biedt op de cybercriminaliteit. Huidige schattingen: 85% van de besmettingen van pc s en mobiele toestellen zijn het resultaat van drive-by downloads van gehoste, gevaarlijke, gekaapte en door aanvallen gestuurde websites en servers. Deze presentatie biedt u een huidige en historische analyse van de wereldwijde hosts en biedt u een blik op de ondergrondse economie. Over de spreker: Jart Armin is onderzoeker en analist en schrijft over cybercriminaliteit en computerbeveiliging. Armin liep voor het eerst in de kijker in 2007 door zijn uiteenzetting over het RBN (Russian Business Network). Gedurende 2007 publiceerde hij rapporten en analyses van undercoveroperaties van de criminele RBN-bende op een speciaal hiervoor bestemde blog, de RBNExploit, ondanks de constante DDOS-aanvallen en de kunstmatig opgerichte spiegelwebsites. Dankzij regelmatige blogposts en door zijn samenwerking met derden kon Armin het brede publiek sensibiliseren rond de activiteiten van het RBN. Zo begonnen gerenommeerde kranten hier artikels over te schrijven. Het was op deze RBN-blog dat Armin de eerste rapporten zette over cyberaanvallen, in combinatie met de invasie van Russische troepen in Georgië, drie dagen voor de aanval van augustus Armin is een voorvechter om via een open source-gemeenschap de strijd met de cybercriminaliteit aan te binden. Zo ontwikkelde hij HostExploit, een educatieve website om internetcriminelen en cybercriminele organisaties in het daglicht te plaatsen die crimeware leveren via hosts en registrars. Seminarie: Cryptography as Cornerstone of IT Security Spreker: Vincent Rymen - Professor Dept. ESAT, KULeuven Tijd en plaats: Donderdag 27 maart van uur - Zaal 1 Over het seminarie: IT-veiligheid is een complexe puzzel met heel veel stukjes die allemaal in elkaar moeten passen. Eén van deze puzzelstukjes is de cryptografie. Door haar sterke theoretische basis is deze in staat om krachtige veiligheidseigenschappen te bieden. De link tussen theorie en praktijk is echter niet altijd duidelijk. In deze lezing bekijken we recente ontwikkelingen op het gebied van cryptografie en de impact ervan in de praktijk. Verder stellen we een recent initiatief van ENISA voor dat begrijpbaar advies biedt aan cryptografiegebruikers. Over de spreker: Vincent is medeontwerper van het algoritme Rijndael, dat in 2001 de Advanced Encryption Standard (AES) werd. Hij is ook medeontwerper van de cryptografische hashfunctie van WHIRLPOOL, die deel uitmaakt van ISO/IEC Hij was hoofdcryptograaf bij het bedrijf Cryptomathic NV van 2001 tot In 2004 richtte hij de onderzoeksafdeling Krypto op binnen het departement Toegepaste Informatica van de Technische Universiteit van Graz. Op dit moment werkt hij op het departement Elektrotechniek van de KU Leuven en in de afdeling veiligheid van iminds. 26 BEURSINFO INFOSECURITY MAGAZINE - NR. 1 - MAART

15 SECURITY ANALYST SUMMIT VAN KASPERSKY LAB DOOR ROBBERT HOEFFNAGEL GAMIFICATION WORDT BELANGRIJK HULPMIDDEL OM AWARENESS TE CREËREN Hoe maken we security leuk voor eindgebruikers? Want alleen dan gaan gebruikers beveiligingsmaatregelen serieus nemen. Dat was een van de vragen die centraal stond tijdens de Security Analyst Summit die Kaspersky Lab onlangs in San Juan, Puerto Rico organiseerde. Gamification zou hierbij wel eens een sleutelrol kunnen gaan vervullen. Begin februari werd het Ritz Carlton Hotel in San Juan, Puerto Rico geheel overgenomen door een grote groep security-experts. Dat gebeurde tijdens de zogeheten Security Analyst Summit van Kaspersky Labs. Doel van dit vijf dagen durende event was kennisuitwisseling tussen deze security-aanbieder, wetenschappers en overheidsorganisaties die proberen cybercriminelen op te sporen en voor de rechter te brengen. ANDROID-MALWARE Tijdens het programma kwam een brede waaier aan onderwerpen ter sprake. De presentaties behandelden thema s zo divers als smart money-technologie, de opkomst van fake supportafdelingen, gamification van security, hardwarematige ondersteuning bij dataclassificatie of behavioral detection op Android-apparaten. Om met dit laatste punt te beginnen, Android is in relatief korte tijd uitgegroeid tot het meest gebruikte mobiele platform. Daarmee is het ook uitgegroeid tot een zorgenkindje van formaat. Yury Slobodyanyuk van Kaspersky Lab liet een grafiekje zien waarin de groei van het aantal malware-applicaties voor Android werd weergegeven. De nieuwe activeringen die iedere dag weer plaatsvinden, heeft voor een enorme aanwas van malafide Android-apps gezorgd. In januari dat is dus al weer ruim een jaar geleden - lag het aantal reeds op zes miljoen. Traditionele antivirus-oplossingen kunnen die vloedgolf niet meer aan. Er moet dus iets gebeuren en volgens Slobodyanyuk ligt de oplossing bij behavioral detection. Door het gedrag van een app te volgen en te analyseren, kunnen afwijkingen worden gevonden. Wordt een malware-app gedetecteerd, dan kan het functioneren van deze app direct gestopt worden. Trucs als obfuscation waarbij een app zich voordoet als een andersoortige app en daarmee dus zijn werkelijke functie verbergt, werken bij gebruik van behavioral detection niet, terwijl het via dit soort gedragsgebonden detectiemethoden ook goed mogelijk is om nieuwe en nog niet eerder ontdekte bedreigingen te onderkennen. Behavioral kan bovendien voorkomen dat apps bepaalde als gevaarlijk gekenmerkte functies gebruiken. Zeker als die app voor zijn normale functioneren helemaal geen gebruik van die gevaarlijke functies hoeft te maken. Kenmerkend van deze manier van detecteren is het nadrukkelijk analyseren van logbestanden waarin het gedrag van een app wordt vastgelegd. Slobodyanyuk liet enkele voorbeelden zien hoe deze methode kan helpen om bijvoorbeeld een virus als de Trojan-SMS.AndroidOS.Opfake te onderscheppen. FAKE SUPPORT-TEAMS David Jacoby houdt zich bij Kaspersky Lab onder andere bezig met onderzoek naar malware voor Unix- en Linux-platformen en andere systemen. Hij is in het onderwerp fake support gedoken. Hij ontdekte dat alleen al in de UK dagelijks mensen het slachtoffer worden van namaak-call centers waarvan de medewerkers zich voordoen als support-medewerker van bijvoorbeeld Microsoft. Men claimt te bellen vanuit Londen, Los Angeles of New York, maar afhankelijk van het type scam dat men nastreeft kan het ook om een supportafdeling gaan waarvan men zegt dat deze in locaties als het Belgische Hasselt zijn gevestigd. Men belt steevast omdat het bedrijf op afstand zou hebben ontdekt dat er een probleem is met de Windows- of Office-omgeving van de gebruiker. Hierna biedt men aan om dit te verhelpen. Soms zou het gaan om een virusinfectie, fouten in de computer die ontdekt zijn door Microsoft of licenties die verlopen zouden zijn. De oplossing kost uiteraard geld, maar men biedt een handig lijstje van betalingsmogelijkheden, dus afrekenen hoeft geen probleem te zijn. Dat kan via credit card, Paypal of - wanneer dat beter lijkt uit te komen - desnoods kan de factuur via Western Union worden voldaan. De truc die men uithaalt is dat men via remote access tools als Aplemix, Ammyy, LogMeIn of TeamViewer toegang probeert te krijgen tot de computer van het slachtoffer. Die moet daarvoor wel zelf een paar handelingen verrichten. Vandaar alle social engineering. Met de hulp van deze tools bekijkt men de computer van het slachtoffer, waarbij men eigen software toevoegt (vaak fake antivirus-software) en ondertussen de argeloze gebruiker fraaie lijstjes met gevonden problemen toont. Jacoby beschreef in zijn presentatie de jacht op een dergelijke operatie die luisterde naar de naam Kavish Technosoft. Hij had al snel een aanzienlijke hoeveelheid gegevens verzameld over een van deze scammers - onder andere een man uit India die als naam Sudipta Ganguly hanteerde en ook onder die naam op LinkedIn te vinden bleek. Het bleek echter nog niet zo eenvoudig om voldoende hard bewijsmateriaal te vergaren, zodat de politie in actie kon komen. Uiteindelijk bleek het toch mogelijk een compleet dossier met adressen, Paypal-accounts en dergelijke te overhandigen, zodat juridische actie mogelijk werd. SAFE MONEY Safe Money-technologie kreeg ook de nodige aandacht tijdens de Security Analyst Summit. Onderzoeksbureau IDC heeft berekend dat circa 60 procent van de Internet-gebruikers inmiddels online winkelt en bovendien online betaalt. ebay stelt op zijn beurt dat het aantal ecommerce-accounts momenteel met gemiddeld 15 procent per jaar groeit. Voeg hierbij dat het heel eenvoudig is om een Trojan op een niet goed beveiligde pc geplaatst te krijgen die vervolgens de inloggegevens van de gebruiker doorstuurt en het is duidelijk dat er een groot maatschappelijk probleem dreigt te ontstaan: online fraude. Het aantal phishing-pogingen om bancaire inloggegevens te achterhalen, groeit dan ook exponentieel. Ondanks allerlei voorlichtingscampagnes passen veel computergebruikers nog altijd niet veel meer toe dan een traditioneel antiviruspakket. Afhankelijk van de mate waarin de gebruiker dit pakket up-to-date houdt, kunnen hiermee veel traditionele aanvalspogingen worden tegengehouden. Maar met de verplaatsing van ons betalingsgedrag naar internet neemt ook de inventiviteit van cybercriminelen om dit soort AV-tools te omzeilen snel toe. Safe Money-technologie kan echter helpen om te voorkomen dat inloggegevens in verkeerde handen vallen. Hierbij wordt gebruikgemaakt van een aanpak die uit meerdere hulpmiddelen bestaat: trusted sites, trusted connections en trusted environment. VIRTUAL OF SECURE? Wat betekent dit? Wanneer een gebruiker naar de site van zijn bank gaat, wordt de url automatisch gecheckt bij een database van zogeheten trusted addresses die Kaspersky Lab bijhoudt. Hier kan ook een lijst worden toegepast van url s die de gebruiker zelf aanlegt. Bovendien wordt de authenticiteit gecontroleerd van de server waarmee contact wordt gemaakt. Hierdoor wordt Kaspersky s service voor het verifiëren van digitale certificaten ingezet. Kan het certificaat om wat voor reden dan ook niet gecontroleerd worden, dan wordt de verbinding niet tot stand gebracht. Tenslotte wordt de computer die gebruikt wordt om een transactie te doen gecontroleerd. Hierbij wordt onder andere een check gedaan op vulnerabilities op OS-gebied. Worden problemen aangetroffen, dan wordt de computer als riskant voor bancaire transacties aangemerkt en wordt - in het geval van een Windows-computer - automatisch Windows Update opgestart om de problemen op te lossen. 28 INFOSECURITY MAGAZINE - NR. 1 - MAART

16 SECURITY ANALYST SUMMIT VAN KASPERSKY LAB DIMITRI SIROTA VAN CA LAYER 7 DOOR ROBBERT HOEFFNAGEL Beveiligen van API s wordt steeds belangrijker Daarnaast geeft Kaspersky s Safe Money-aanpak de gebruiker twee opties om het feitelijk intikken van gegevens te beschermen. Dit kan via een zogeheten virtual keyboard of een secure keyboard. De eerste wordt op beeldscherm weergegeven en kan alleen via de muis worden bediend, zodat geen toetsaanslagen kunnen worden geregistreerd. Met een secure keyboard wordt een speciale driver voor het toetsenbord gebruikt, waardoor de input van de gebruiker extra beveiligd is. GAMIFICATION Misschien wel de meest interessante sessie tijdens de Security Analyst Summit had betrekking op manieren om security voor gebruikers leuker en relevanter te maken. Gamification speelt hierbij een hoofdrol. Als 70 procent van de bedrijven mensen als belangrijkste security-probleem ziet, dan moet de awareness rond beveiliging omhoog, verklaarde Vera Trubacheva, business analyst bij Kaspersky Lab. Traditionele security-trainingen werken hierbij meestal niet, want worden door gebruikers gezien als saai en als verplicht nummer. Gamification daarentegen, zo vertelde Trubacheva, helpt wél. Een game wordt namelijk steevast als leuk ervaren en daarmee blijven de security-adviezen en -afspraken veel beter hangen. Niet voor niets maakt bijvoorbeeld het Amerikaanse leger uitgebreid gebruik van games om de security naar een almaar hoger niveau te brengen. In een game komen namelijk twee aspecten bij elkaar: simulaties van situaties, maar ook story telling - aansprekende anekdotes waardoor de onderliggende security-regels veel beter onthouden en toegepast worden. Er zijn reeds een aantal leveranciers actief die zich concentreren op security gamification. Denk aan Apozy of Wombat. Ook Kaspersky Lab legt zich op gamification toe, aldus Trubacheva. Een game bestaat hierbij uit een aantal belangrijke componenten: training in de juiste context aansprekende anekdotes herkenbare situaties gebruikers confronteren met gevolgen van hun handelingen feedback geven op de juistheid of de risico s van bepaalde beslissingen Daarnaast kan een spelelement worden toegevoegd aan het security-beleid zelf. Bijvoorbeeld door punten toe te kennen aan iedere beslissing of handeling die een gebruiker conform het beveiligingsbeleid neemt of uitvoert. Net zoals veel bedrijven een medewerker van de maand kennen in bijvoorbeeld de verkoopafdeling of op de fabrieksvloer, kan ook een security-medewerker van de maand in het leven worden geroepen - compleet met een award. Het uitroepen van een security-medewerker van de maand mag in eerste instantie wellicht klinken als een wat gemakkelijke aanpak. Wie zich echter bedenkt dat een groot deel van de computergebruikers - zowel privé als zakelijk - nauwelijks bewust aandacht aan security besteed, realiseert zich dat er nog veel evangelisatie en voorlichting nog is om zelfs de meest basale security-maatregel algemeen geaccepteerd te krijgen. Laat staan dat gebruikers op eigen initiatief extra energie in security gaan steken. Het zijn met name internet-startups die het gebruik van application programming interfaces (API) populair hebben gemaakt, vertelde Dimitri Sirota van CA Layer 7 tijdens een interview op het Mobile World Congress 2014 in Barcelona. Die trend zien we nu ook meer en meer overslaan naar IT-afdelingen die daarmee veel gemakkelijker data en functionaliteit beschikbaar kunnen stellen. Daarmee zien we ook meteen de behoefte aan het beheren en beveiligen van API s sterk toenemen. Op de vraag aan Sirota of enterprise IT-afdelingen inmiddels een goed begrip hebben van het fenomeen API, blijft het eerst even stil. Dan zegt de vice president Business Unit Strategy van CA s Layer 7-divisie: Ik denk dat de kennis van IT-afdelingen op dit gebied inderdaad aan het toenemen is, maar we staan nog aan het begin van de learning curve op dit gebied. Gelukkig onderkennen de bekende analisten inmiddels wel het belang van API s. Zo heeft Forrester onlangs een Wave-rapport over API-management uitgebracht, terwijl ook andere onderzoeksbureaus nu heel actief naar deze markt kijken. Voor CA Technologies is deze toegenomen belangstelling reden geweest om vorig jaar Layer 7 over te nemen. Sirota: Dat snap ik ook wel. API s spelen in de wereld van cloud en mobiele apps een steeds belangrijker rol en dat zijn heel duidelijk marktsegmenten waarin CA niet alleen al veel langer actief is maar waarin men bovendien stevig wil groeien. CA en Layer 7 kenden voor de overname ook al enkele tientallen gemeenschappelijke klanten. Wij integreerden bijvoorbeeld al geruime tijd onze management portal met de CA SiteMinder-oplossing voor single sign-on. Een application programming interface ontwikkelen is volgens Sirota nog altijd eerder een art dan een science. Er is niet één ultieme manier om een API te ontwerpen. Dat zien we ook heel duidelijk bij onze Nederlandse klanten. Geen twee API s zijn identiek wat betreft structuur en aanpak. Het via een API tot stand brengen van een integratie met bijvoorbeeld Salesforce gebeurt op een heel andere manier dan bijvoorbeeld het enkel en alleen laten uitlezen van data uit een maatwerkapplicatie. Wij noemen dat ook wel: different styles of API s. VLIEGWIELEFFECT Startups hebben op een slimme manier gebruikgemaakt van API s om daarmee een ecosysteem te bouwen. Vrijwel iedere internet-startup heeft redelijk bovenaan zijn prioriteitenlijstje het ontwikkelen van een of meer API s staan. Daarmee bieden zij andere ontwikkelaars de mogelijkheid om gebruik te maken van hun functionaliteit of van de data die zo n startup verzamelt. Daarmee ontstaan dus tal van add-ons die gebouwd worden als extensie op het product van 30 INFOSECURITY MAGAZINE - NR. 1 - MAART

17 BEVEILIGEN VAN API S WORDT STEEDS BELANGRIJKER de startups. Dat verklaart natuurlijk ook waarom sommige startups zo snel kunnen groeien. Zij creëren via hun API s een soort vliegwieleffect. Dat is volgens Sirota ook heel duidelijk opgevallen bij IT-afdelingen van enterprise-organisaties. Ook bedrijven en overheidsorganisaties zien de waarde in van het delen van data of functionaliteit. Het gebruik van hun data groeit daarmee en wellicht kunnen zij er zelfs geld voor vragen. Daarmee neemt dus ook de behoefte aan beheer toe. Dat is een van de drie rollen die Layer 7 vanaf dag één heeft vervuld: enterprise API management. Daarnaast zijn wij in staat om IT-afdelingen te helpen om API s te ontwikkelen, terwijl wij - heel belangrijk - API s ook kunnen beveiligen. Het beheren van API s bestaat uit een aantal taken, vertelt Sirota. Dat is allereerst versiebeheer. Veel API s komen in verschillende varianten. Wat zijn de verschillen daartussen en wat is de meest recente versie? Denk daarnaast aan policies die de gebruiksrechten regelen. Maar ook Quality of Service valt onder API management. Zeker als er sprake is van API s waarvoor de afnemers betalen, is het immers van belang dat we de performance en de beschikbaarheid van een API kunnen garanderen. Soms zit het afrekenmechanisme als het ware ingebakken in de API. In andere gevallen loopt de financiële kant van het gebruik van een API via services als Chargify. CERTIFICEREN Heel belangrijk voor het beheren en het gebruiken van API s is de documentatie: wat doet de API nu precies? Logging en analytics is een laatste activiteit die in de visie van Sirota binnen de discipline API management valt. Hij benadrukt het belang van een goede documentatie. In portals zoals wij die leveren, is het uiteraard mogelijk om API s te classificeren. Maar dat is een vrij algemene indeling waarbij de ontwikkelaar een API in een bepaalde groep kan plaatsen. Maar er bestaan vooralsnog geen fijnmazige classificatiesystemen die in één oogopslag duidelijk maken welke functionaliteit een API biedt. Hetzelfde geldt overigens voor de kwaliteit van een API. Die kan sterk wisselen, maar dat zie je niet aan de buitenkant. Er bestaat ook nog niet zoiets als een certificatie van API s. Net als er geen formele standaarden beschikbaar zijn waar we als ontwikkelaar ons aan kunnen houden om een bepaalde kwaliteit zichtbaar te maken. In de praktijk adviseren wij klanten dan ook om een API eerst heel nadrukkelijk uit te proberen voordat men er in een productieomgeving mee aan de slag gaat. Hoe kan een ontwikkelaar dan de kwaliteit van een API vaststellen? De Layer 7-portal die CA levert, biedt hiervoor een aantal mogelijkheden. De API-wereld is sterk op forums gericht. De portal biedt dus de mogelijkheid om - naast de beschrijving van de API - aan de community te vragen welke ervaringen men heeft met een bepaalde API. Daarop komen steevast goede en inhoudelijke reac- 'API s zijn een belangrijk hulpmiddel voor iedere organisatie die wil innoveren' ties. Dit zijn communities die echt goed werken, juist omdat er nog weinig geformaliseerd is in de vorm van normen en dergelijke. Men beseft dus heel goed dat men op elkaar is aangewezen. Wij zeggen ook wel eens dat goede API s vaak als een soort crowd sourcing-project tot stand komen. BEVEILIGING Security is ook bij API s een belangrijk thema. Als er geen formele standaarden of certificeringen bestaan, hoe kunnen we dan het kaf van het koren scheiden? Sirota adviseert een zogeheten zero trust -aanpak. Ga er per definitie van uit dat een API die je wilt gebruiken een security-probleem heeft. Check de code dus heel goed en test het functioneren van de API heel goed uit. Probeer ook bewust acties uit te voeren waarvoor de API eigenlijk niet bedoeld is. Imiteer dus als het ware het gedrag van een cybercrimineel. Wat gebeurt er dan? Daarnaast is het een goed idee om zogenaamde API gateways toe te passen. Zo n gateway kan tal van functies dienen. Denk aan access control of het limiteren van de hoeveelheid data die een API naar een client mag versturen. Een gateway kan ook gebruikt worden om bijvoorbeeld malicious messages te onderscheppen en dergelijke. Naar de ervaring van Sirota wordt nog wel eens vergeten dat een API bidirectional traffic mogelijk maakt: er kan iets opgevraagd worden, maar er kan ook iets afgeleverd worden. Cybercriminelen kunnen dus slecht ontwikkelde of beveiligde API s misbruiken om bijvoorbeeld gevoelige bedrijfsgegevens te stelen. Toch moeten we niet overdrijven, meent Sirota. Een aanval op een API is technisch op z n minst uitdagend te noemen. Niet iets wat de eerste de beste script kiddie voor elkaar krijgt. We moeten ons dus niet laten afschrikken, want daarmee zouden we onszelf geen goede dienst bewijzen, meent hij. API s worden voor bedrijven steeds belangrijker. Innovatie is van cruciaal belang voor het succes van bedrijven. Die innovatie vindt steeds meer plaats door middel van mobile ofwel door het gebruik van apps. Banken adverteren tegenwoordig natuurlijk niet voor niets met hun apps. Die apps maken heel vaak gebruik van API s om data te vergaren of functionaliteit aan de gebruiker aan te bieden. API s zijn dus een belangrijk hulpmiddel voor iedere organisatie die wil innoveren. 32 INFOSECURITY MAGAZINE - NR. 1 - MAART

18 MIGRATIE MIGRATIE CLOUDCOMPUTING PUBLIC DATACE IT MANAGEMENT SAAS GREEN IT PAAS PRIVATE SECURITY STORAGE HYBRIDE LAAS SOLUTIONS VIRTUALISATIE SECURITY SECURITYPRIVATE LAAS CONVERSION SLA CLOUDCOMPUTING VIRTUALISATIE GREEN IT HYBRIDE CLOUDSHOPPING SOLUTIONS PUBLIC STORAGE LAAS MIGRATIE APPS PRIVATE CONVERSION IT MANAGEMENT GREEN IT cloudworks.nu geheel vernieuwd! Feiten en fictie in kaart gebracht PAAS APPS Snelle en gemakkelijke wifi-verbindingen zijn cruciaal. Maar ook gevaarlijk. Het doel van dit artikel is niet om te vertellen dat er geen gebruik meer gemaakt moet worden van draadloze netwerken, maar om iedereen bewust te maken van de risico s die dit met zich meebrengt. Daarnaast is het uiteraard niet de bedoeling dat met de opgedane kennis misbruik gemaakt wordt van open wifi-netwerken. Draadloze netwerken zijn overal om ons heen. Open draadloze netwerken worden op dit moment overal aangeboden. Een open wifi-netwerk is een netwerk waar iedereen verbinding mee mag maken zonder een gebruikersnaam en/of wachtwoord in te voeren. Denk bijvoorbeeld aan de open netwerken bij McDonalds of tankstations. Een steeds grotere groep mensen is zich gelukkig steeds meer bewust van de risico s die een open netwerk met zich meebrengt. Het is namelijk eenvoudig om data uit de lucht te halen: deze wordt vaak verzonden in leesbare tekst. Maar kunnen we dan wel vertrouwen op bijvoorbeeld https, een met SSL beveiligde verbinding? SecureLabs heeft onderzoek gedaan naar open wifi-netwerken en kwam tot een schokkende conclusie. EEN BEKEND WIFI-NETWERK De meeste clients, of dit nu laptops, tablets of telefoons zijn, hebben tegenwoordig wifi en onthouden draadloze netwerken waar al eens een verbinding mee gemaakt is. Zodra dit netwerk weer bereikbaar is, wordt er vaak automatisch een verbinding gemaakt. Dit zonder tussenkomst of goedkeuring van een gebruiker, laat staan dat het mensen opvalt. Iedereen is tegenwoordig altijd online, bij de meeste gebruikers valt het niet op met welk netwerk er een verbinding wordt gemaakt. Daarnaast vertrouwen mensen maar al te vaak op een bekend wifi-netwerk. Als het de naam heeft van een café of restaurant in de buurt, gaan mensen verbinden. Iedereen kan zijn netwerk een naam geven, het is dan ook de vraag of het netwerk McDonalds ook daadwerkelijk van dat bedrijf is. GEVOELIGE DATA ONDERSCHEPPEN SecureLabs heeft verschillende testen uitgevoerd om te ontdekken hoe eenvoudig het is om gevoelige data te onderscheppen. Binnenkort zullen wij een aantal filmpjes naar buiten brengen met de resultaten. De uitkomsten zijn op z n minst zorgwekkend te noemen. Met eenvoudig verkrijgbare apparatuur is het mogelijk om bijvoorbeeld inloggegevens van sociale media te bemachtigen of transactiegegevens van online bankieren aan te passen. Dit laatste is vooral voor consumenten vervelend omdat de bewijslast sinds 1 januari 2014 bij hen ligt. Ook is het mogelijk om DigiD accounts te onderscheppen. Vooral gebruikers die alleen een gebruikersnaam en wachtwoord hebben lopen hierbij een risico. PINEAPPLE MK5 SecureLabs heeft met de PineApple MK5, welke slechts voor 99 dollar te koop is, verschillende testen uitgevoerd. De PineApple is een kleine computer met twee draadloze netwerkkaarten en verschillende tools die vooraf geïnstalleerd zijn. Een van deze tools is Karma. Karma is een tool die antwoord op aanvragen van clients. Is er bijvoorbeeld eerder eens verbinding gemaakt met een open netwerk Thuis01, dan zal de tool reageren met de reactie dat hij dat netwerk is en de verbinding leveren. SecureLabs heeft, als gebruiker van de PineApple, nu de volledige controle over de sessie. Naast Karma draait ook de tool SSLstrip. Deze zorgt voor het verwijderen van de SSL encryptie: https wordt weer http. Dit stelt ons als aanvaller in staat om data te manipuleren in beveiligde verbindingen. Gebruikers zien nog wel een slotje in de balk staan, maar dit is de favico.ico. De favico.ico is de afbeelding die te zien is in de adresbalk of tabblad. Google gebruikt bijvoorbeeld een blauw vierkant met de G. De meeste gebruikers zullen dit niet opmerken en gaan door. Op dit moment kan de DOOR RONALD KINGMA WIFI IS CRUCIAAL, MAAR LEVENSGEVAARLIJK aanvaller bijvoorbeeld inloggegevens of transactiegegevens onderscheppen en zelfs aanpassen. Dit is slechts een beperkt voorbeeld. Uiteraard zijn er nog veel meer mogelijkheden, denk bijvoorbeeld aan het achterlaten van malware op de client en een backdoor installeren waarmee de gebruiker mogelijk zelfs toegang kan krijgen tot bedrijfsnetwerken. RISICO S BEPERKEN Op dit moment zijn er geen (stabiele) technische maatregelen die helpen om dit soort aanvallen op open wifi-netwerken te voorkomen. De gebruiker kan zelf wel wat doen om risico s te beperken: Controleer altijd of er https in de adresbalk staat. Over het algemeen gaat men naar en klikt vervolgens op internetbankieren. Vanaf dat moment wordt er vaak niet meer gekeken naar de https in de adresbalk. We komen immers uit een vertrouwde omgeving. Controleer zodra je moet inloggen of er https in de adresbalk staat. Bij twijfel moet je niet verder gaan. Zorg dat er niet automatisch wifi-verbindingen worden gemaakt. Standaard maakt bijvoorbeeld de iphone verbinding met netwerken waar al eens eerder verbinding mee is gemaakt. Ook al is het netwerk niet beschikbaar, dan nog zal de iphone proberen het netwerk te bereiken. Schakel deze optie uit. Uiteraard geldt dit ook voor andere devices. Maak bij voorkeur verbinding met gesloten wifi-netwerken. Gesloten wifi-netwerken maken gebruik van wachtwoorden of sleutels. Deze zijn vaak niet bekend bij de aanvaller en beperken het risico dat iemand mee kan kijken. Onze conclusie is dat gebruikers bewust om zouden moeten gaan met open wifi-netwerken en zich moeten realiseren dat potentiele aanvallers mee kunnen kijken met al het verkeer. Ook al doe je niets met je smartphone, alle apps (onder andere , Facebook, Twitter, Linkedin) blijven actief en versturen gebruikersnamen en wachtwoorden om updates te tonen. Ronald Kingma (CISSP) is CEO van SecureLabs 34 INFOSECURITY MAGAZINE - NR. 1 - MAART

19 GEBREK AAN OVERKOEPELEND TOEZICHT EN HANDHAVING ONDERMIJNT VERTROUWEN ONLINE VAN DE REDACTIE DE OVERHEID NEEMT EEN LOOPJE MET ONZE PRIVACY Met alle commotie rond de afluisterpraktijken van de NSA en het beschuldigend wijzen van vingers naar de Verenigde Staten, hebben we de neiging te vergeten wat er zich allemaal afspeelt binnen onze eigen Europese grenzen op privacygebied. Er is geen Europese staat te vinden die zijn eigen burgers niet afluistert. En niet alleen de overheden bespieden ons, ook bedrijven hebben de toegang tot onze privégegevens gevonden. Het is de hoogste tijd voor een gecoördineerde nationale én Europese discussie, waarin we de grenzen van onze privacy opnieuw definiëren en naar een manier zoeken om die privacy te waarborgen, aldus John T. Knieriem, algemeen directeur van hostingbedrijf Intermax. Wij spraken hem over privacy en veiligheid online en de rol die de overheid daarin zou moeten spelen. Facebook s Mark Zuckerberg zei het al in 2010: het tijdperk van de privacy is voorbij. Een uitspraak die hem destijds niet in dank werd afgenomen, maar die steeds meer bewaarheid lijkt te worden. Het ene afluisterschandaal na het andere komt aan het licht en het gaat verder dan overheden die hun burgers afluisteren: ook regeringen onderling bespioneren elkaar, zoals onlangs op de klimaattop. En wat te denken van het bedrijfsleven, dat gegevens over ons verzamelt om effectiever producten aan ons te kunnen slijten? Electronicaketens Dixon, MyCom en icentre peilen het wifi- en bluetooth-signaal van telefoons van klanten, om te zien hoeveel klanten er in de winkel zijn en hoe vaak ze terugkomen. Zijn dit persoonsgegevens of niet? Vinden we dit erg of niet? Knieriem: Onze ideeën over wat privé moet zijn en wat niet, zijn allang niet meer wat ze 20 jaar geleden waren. Iemand van 60 jaar oud heeft heel andere ideeën over privacy dan iemand die nu 16 jaar oud is. Wie initieert de discussie hierover en wie controleert de uitkomsten in de praktijk? Onze overheid toont op dit moment nog bedroevend weinig initiatief... CIOT Het CIOT (Centraal Informatiepunt Onderzoek Telecommunicatie) voert het Besluit verstrekking gegevens telecommunicatie uit. Volgens dit besluit zijn aanbieders van telecommunicatie- en internetdiensten verplicht informatie over hun klanten beschikbaar te stellen in het kader van onderzoek. Gegevens van burgers werden in 2012 maar liefst 2,7 miljoen keer opgevraagd en er is nauwelijks controle over wie dat doet op welke gronden. Als opsporingsdiensten om zouden gaan met huiszoekingen in echte huizen, zoals nu virtueel gebeurt, dan zou de hele Nederlandse bevolking van verontwaardiging over elkaar heen vallen, stelt Knieriem. Toegegeven, er is een breed maatschappelijk draagvlak onder de Nederlandse bevolking om de privacy op te geven als er sprake is van ernstige misdrijven, om bijvoorbeeld de kans op een terroristische aanslag te voorkomen. Digitale opsporing is zeker van belang en absoluut nuttig, maar het lijkt nu alsof opsporingsambtenaren wel heel makkelijk informatie bij het CIOT halen, ook voor kleine misdrijven, als bijvoorbeeld vernielingen of milieudelicten. Denken we echt dat het relevant is om in het geval van een fietsendiefstal het IP-adres van de verdachte bij de hand te hebben? Het is zaak die absurde hoeveelheid aanvragen terug te schroeven. Maar wie gaat hier op toezien? Opstelten blijft toezeggen dat de overheid het op orde gaat brengen, maar er gebeurt weinig. SUWINET Via Suwinet Services kunnen overheidsorganisaties gegevens van burgers en bedrijven digitaal bij elkaar opvragen en naar elkaar sturen. Suwinet Services zijn primair bedoeld voor UWV, SVB en de gemeentelijke sociale diensten, maar inmiddels maken ook veel andere overheidsorganisaties gebruik van deze service voor digitaal gegevensverkeer. Knieriem: Heel toevallig wordt het debat over de wijze waarop gemeentes misbruik maken van Suwinet uitgesteld. Staatssecretaris Klijnsma krijgt hierdoor nog even respijt tot na de gemeenteraadsverkiezingen. Heel tactisch. Nu uit recent onderzoek van de SZW-inspectie is gebleken dat maar een kleine vier procent van de gemeentes voor het opvragen van persoonsgegevens via Suwinet genoeg beveiligingsmaatregelen had getroffen, moet staatssecretaris Klijnsma op dit moment met een bijzonder goed verhaal komen over hoe zij gaat zorgen dat bijna 400 gemeentes hun zaakjes op orde brengen. Knieriem voorspelt dat straks in de Tweede Kamer bij het precaire Suwinet-dossier een zeer stevig gesprek gevoerd wordt over de informatiebeveiliging bij de overheid. De staatssecretaris kan eigenlijk prima aansluiten bij Ivo Opstelten die er ook al jarenlang een janboel van maakt door te pas en te onpas privacy gevoelige telecom- en internetgegevens op te laten vragen door de eerste de beste stadswacht die wat wil weten over een burger. Volgens Knieriem hoort de overheid ervoor te zorgen dat de privacy van burgers is gewaarborgd. TOEZICHTHOUDER De meest logische partij om toezicht te houden is volgens Knieriem het College Bescherming Persoonsgegevens. Helaas is het probleem dat deze instantie slechts een beperkte handhavende macht heeft. Een tandeloze tijger dus, die zegt dat het rondom het CIOT een rommeltje is, maar niet kan dwingen om de rommel ook daadwerkelijk op te ruimen. Je kunt ook denken aan de Algemene Rekenkamer. Als de Rekenkamer met advies komt, dan is er meestal media-aandacht voor, en wordt het onderwerp in de Tweede Kamer opgepakt. Een advies van de Algemene Rekenkamer heeft een hele andere lading dan een advies van een departementale auditdienst. Als er elk jaar gekeken wordt waar het geld aan uit is gegeven door de overheid, waarom doen we dat dan niet ten aanzien van een aantal basiselementen van de rechtstaat als bijvoorbeeld privacy? AANDACHT VERLEGGEN NAAR VEILIGHEID Het vreemde is dat er op het gebied van cybercrime zo ontzettend weinig middelen beschikbaar worden gesteld voor de bestrijding hiervan, zegt Knieriem. De virtuele wereld is zo groot dat we met het verdubbelen van het aantal onderzoeken van 10 naar 20 eigenlijk niets zijn opgeschoten. Er werken mensen bij de politie en als je dan met 20 onderzoeken naar cybercriminaliteit aan komt zetten, dan zou je toch wel kunnen stellen dat de overheid het probleem niet al te serieus neemt. Er komt nu 4 miljoen euro aan extra budget vrij voor de bestrijding van cybercrime. Op de totale overheidsbegroting stelt die natuurlijk niet veel voor. Het is een druppel op een gloeiende plaat en ik voorspel dat hier de komende tijd veel meer aandacht voor zal komen. DE NATIONALE DDOS WASSTRAAT Ondertussen nemen providers zelf al maatregelen, zoals de nationale DDoS wasstraat, een initiatief van de NBIP (Nationale Beheersorganisatie Internet Providers). Het aantal DDoS aanvallen op de internet infrastructuur neemt toe. Internet aanbieders zijn daarbij veelal direct of indirect het doelwit. Benodigde apparatuur of abonnementen om dergelijke aanvallen tegen te gaan zijn zeer kostbaar voor middelgrote en kleinere ISP s en hostingproviders. Bovendien zijn klanten niet per se bereid om (mee) te betalen voor een anti-ddos voorziening. Daarom is bij de DHPA (Dutch Hosting Provider Association) en de NBIP het idee ontstaan om een nationale anti-ddos voorziening te ontwikkelen. Het is een stap in de goede richting om het internet veiliger te maken, vindt Knieriem. Als er een aanval is, dan leidt de provider het verkeer om, met de hulp van de andere providers. Veel banken en onder meer de belastingdienst zijn al geïnteresseerd om hieraan mee te doen, dus de kosten kunnen worden gedeeld. Dit is een goed voorbeeld van een nationaal gecoördineerde actie die onze veiligheid online bevordert. 36 INFOSECURITY MAGAZINE - NR. 1 - MAART

20 RAJ SAMANI, CTO EMEA VAN MCAFEE DOOR ROBBERT HOEFFNAGEL WIJ HEBBEN ALS SECURITY-INDUSTRIE OOK EEN MAATSCHAPPELIJKE PLICHT laat. Bewustwording speelt hierbij een grote rol. Over jongeren maak ik mij niet zoveel zorgen. Bij hen zie ik dat zij heel goed weten wat zij wel en niet aan info willen weggeven. Natuurlijk moeten wij als ouders en bijvoorbeeld leerkrachten helpen om het verschil tussen goed en kwaad te zien, maar dat is niet zo vreselijk veel anders dan 20 jaar geleden toen wij zelf als kinderen adviezen kregen als: ga niet met vreemde mannen mee. Onlangs lanceerde McAfee een gratis security-app voor zowel Android als ios. Tijdens het Mobile World Congress 2014 in Barcelona ging Raj Samani, chief technology officer EMEA van deze Intel-dochter, dieper in op de redenen achter deze lancering. Wij hebben ook een maatschappelijke plicht om mensen te helpen zich bewust te worden van de risico s die zij online kunnen lopen, meent hij. Daarom besteden wij veel aandacht aan voorlichting - op scholen, maar ook aan volwassenen. Het gratis beschikbaar stellen van McAfee Mobile Security moeten we in diezelfde lijn zien. Raj Samani is een echte evangelist. Hij grossiert in one-liners die bedoeld zijn om mensen aan het denken te zetten. En daar slaagt hij ook regelmatig goed in. Wat te denken van een constatering als: Data sucks. Laten we wel wezen: het is vaak helemaal niet leuk dat bedrijven in staat zijn om zoveel gegevens over ons te verzamelen. Zeker niet als we daar onvoldoende waarde voor terugkrijgen. Want dat is natuurlijk waar het om gaat. Ik vind het persoonlijk helemaal niet erg om privé-informatie aan een commerciële partij te geven, als dat wat ik er voor terugkrijg maar zoveel waard is dat ik de verhouding tussen weggeven en terugkrijgen interessant genoeg vind. TATTOOS Samani blijkt ook een fan van tatoeages te zijn. Op jonge leeftijd heeft hij een - vindt hij nu - lelijke tattoo laten zetten. Toen hij die wilde laten verwijderen, ontdekte hij dat het weghalen van tattoos grote nadelen kent: pijnlijk, duur en het laat bovendien littekens achter. Zoals we als maatschappij momenteel met de persoonlijke levenssfeer omgaan, doet mij hier sterk aan denken. Probeer maar eens een account bij een sociaal netwerk te verwijderen. Dat is net als proberen een digital tattoo te verwijderen: pijnlijk, duur en je blijft de littekens de rest van je leven zien. Toch is hij wel degelijk optimistisch. We leven in fascinerende tijden en dat meen ik heel serieus. Hij noemt Big Data, ecommerce, location-based services en al die andere online-innovaties een enorme kans voor de maatschappij. De waarde die we met digital identities creëren is enorm! De schattingen lopen op tot vier biljoen dollar. Maar dan moeten we wel balans zien te vinden tussen de commerciële belangen - zeg maar: de kansen voor het bedrijfsleven - en de bescherming van onze persoonlijke levenssfeer. Wie momenteel het nieuws volgt, kan zomaar tot de conclusie komen dat het helemaal de verkeerde kant op gaat. Dat het bedrijfsleven - en laten we de overheden niet vergeten - almaar meer gegevens probeert te bemachtigen en daarmee de belangen van de maatschappij - let wel: dat zijn nota bene hun klanten! - volkomen uit het oog verliezen. NIET TE LAAT Toch is het naar mijn mening niet te Een groep die het lastiger heeft zijn naar zijn mening volwassenen die niet erg thuis zijn in het gebruik van computers en internet. Keer op keer blijkt uit marktonderzoeken dat veel mensen in deze groep helemaal niets aan security doen. Met alle gevolgen van dien. Dit is een groep mensen die alleen via veel voorlichting zich bewust wordt van de risico s. Maar denk bijvoorbeeld ook aan wat we in de UK active choice noemen. Een smartphone zou bij ingebruikname bijvoorbeeld heel nadrukkelijk de gebruiker de kans moeten geven om een bewuste keuze te maken over - bijvoorbeeld - het aan of uit zetten van parental controls. De gratis security-software die wij nu hebben gelanceerd is mede op deze groep gericht. Het helpt gebruikers om bewuste keuzes te maken. Wie zich realiseert dat 80 procent van de mobiele apps veel meer gegevens over de gebruiker verzamelt dan nodig is om goed te kunnen functioneren, weet dat dit soort bewuste keuzes geen overbodige luxe zijn. Overigens wil Samani wel waarschuwen voor al te grote zorgen over privacy. Ja, we moeten oppassen wat we doen. Maar laten we niet vergeten dat er nooit zoiets als absolute privacy heeft bestaan. We gaven vroeger ook onze creditcard af als we wilden betalen in een restaurant en zo kan ik nog veel meer voorbeelden noemen. We zien nu echter wel een sterk uitvergrotend effect doordat het volume van het aantal bedreigingen en de snelheid waarmee deze op ons afkomen enorm is toegenomen. In plannen van sommige politici om een soort digitale weerbaarheid van kinderen via scholen te ontwikkelen, ziet Samani niet zo veel. Het is een sympathiek idee, maar ik denk niet dat het werkt. We kunnen niet van leerkrachten verwachten dat zij naast hun reguliere werk ook nog eens expert worden op het gebied van internet en online-bedreigingen. De ontwikkelingen gaan simpelweg te snel. Dit is een taak voor bedrijven als McAfee. Wij hebben van IT-security onze core business gemaakt. Ik denk dat wij als industrie een maatschappelijke verantwoordelijkheid hebben om dit op te pakken. Samani noemt deze manier van werken private/public partnership. UITRUIL IT-security is een heel technisch vakgebied, maar misschien wel het meest interessante aan deze business is het economische model van cybercriminelen. Hoe verdienen zij hun geld? Als we dat weten, kunnen we niet alleen technische maatregelen nemen, maar snappen we beter wat hun volgende stappen zullen zijn. Omgekeerd moeten wij als burgers onszelf bewust worden van de vraag hoe wij met onze persoonlijke gegevens om willen gaan. Want als de opbrengst maar hoog genoeg is, zijn wij allemaal bereid om een aantal gegevens over onszelf prijs te geven. De bedrijven die deze data verzamelen, zien het uitsluitend als business-termen. Dus misschien moeten wij dat als maatschappij ook gaan doen. Wat zou een bedrijf bereid zijn te betalen voor mijn salarisgegevens? Of de samenstelling van mijn gezin? Of mijn voorkeur voor auto s, eten of sport? Laten wij als mensen het op dezelfde manier aanpakken als bedrijven: zakelijk. Dan kunnen we heel bewust keuzes maken: welke persoonlijke gegevens zijn wij bereid weg te geven? En wat willen wij daar voor terug? 38 INFOSECURITY MAGAZINE - NR. 1 - MAART

IBM; dataopslag; storage; infrastructuur; analytics; architectuur; big data

IBM; dataopslag; storage; infrastructuur; analytics; architectuur; big data Asset 1 van 10 Big Data Analytics voor Dummies Gepubliceerd op 30 june 2014 Gelimiteerde editie van de populaire Dummies-reeks, speciaal voor managers. Het boek legt uit waarom Big Data Analytics van cruciaal

Nadere informatie

Kenmerken Nomadesk Software

Kenmerken Nomadesk Software Kenmerken Nomadesk Software DATABEVEILIGING Versleutelde lokale schijf Nomadesk creëert een veilige virtuele omgeving, een Vault, op uw lokale harde schijf. Alle mappen en bestanden opgeslagen op de Vault

Nadere informatie

Introduceert KASPERSKY ENDPOINT SECURITY FOR BUSINESS

Introduceert KASPERSKY ENDPOINT SECURITY FOR BUSINESS Introduceert KASPERSKY ENDPOINT SECURITY FOR BUSINESS 1 Business strategieën en de impact voor de IT FLEXIBILITEIT Snel handelen met wendbaarheid en flexibiliteit Voor 66% van de organisaties staat flexibiliteit

Nadere informatie

HOE OMGAAN MET DE MELDPLICHT DATALEKKEN?

HOE OMGAAN MET DE MELDPLICHT DATALEKKEN? HOE OMGAAN MET DE MELDPLICHT DATALEKKEN? EEN HANDIGE CHECKLIST In deze whitepaper bieden we u handvatten die u kunnen helpen bij de implementatie van de meldplicht datalekken binnen uw organisatie. We

Nadere informatie

Het Sebyde aanbod. Secure By Design

Het Sebyde aanbod. Secure By Design Het Sebyde aanbod Secure By Design Ons aanbod Security Scan Secure Development Security Awareness Security Assessment 1. Security Scan > Scan van uw web applicatie(s) op kwetsbaarheden. Hiervoor gebruiken

Nadere informatie

Dataprotectie op school

Dataprotectie op school Dataprotectie op school ook een taak van het management Jacques Verleijen Wat is informatieveiligheid? Mogelijke actoren Netwerkschijven Cloud Backup- en restoremogelijkheden Encryptie Servers Firewalls

Nadere informatie

Berry Kok. Navara Risk Advisory

Berry Kok. Navara Risk Advisory Berry Kok Navara Risk Advisory Topics Informatiebeveiliging in het nieuws Annual Benchmark on Patient Privacy & Data Security Informatiebeveiliging in de zorg Extra uitdaging: mobiel Informatiebeveiliging

Nadere informatie

VOOR EN NADELEN VAN DE CLOUD

VOOR EN NADELEN VAN DE CLOUD VOOR EN NADELEN VAN DE CLOUD VOOR EN NADELEN VAN DE CLOUD Cloud storage. Back-up in de cloud. Er zijn verschillende benamingen voor diensten die computergebruikers in staat stellen om hun documenten en

Nadere informatie

Nationale IT Security Monitor 2015. Peter Vermeulen Pb7 Research

Nationale IT Security Monitor 2015. Peter Vermeulen Pb7 Research Nationale IT Security Monitor 2015 Peter Vermeulen Over het Onderzoek Jaarlijks terugkerende vragen Organisatie en beleid Investeringen en groei 2015 Thema s Databeveiliging (incl. Algemene Data Protectie

Nadere informatie

De Uitdagingen van Mobiele Apparaten Managen

De Uitdagingen van Mobiele Apparaten Managen Kaseya Onderzoek De Uitdagingen van Mobiele Apparaten Managen 2011 www.kaseya.nl Over dit rapport In dit rapport worden de resultaten gepresenteerd van een onderzoek dat door Kaseya is geïnitieerd en uitgevoerd

Nadere informatie

DATAPRIVACY. Wet- en regelgeving, Cloud, beveiligingpersoonsgegevens. Whitepaper ````

DATAPRIVACY. Wet- en regelgeving, Cloud, beveiligingpersoonsgegevens. Whitepaper ```` Naar aanleiding van de recente onthullingen rondom de NSA, de Patriot act en PRISM is er veel onduidelijkheid voor organisaties of hun gegevens wel veilig en voldoende beschermd zijn. Op 1 januari 2016

Nadere informatie

INFORMATIEBEVEILIGING VOOR WEBWINKELS

INFORMATIEBEVEILIGING VOOR WEBWINKELS INFORMATIEBEVEILIGING VOOR WEBWINKELS HANDIGE CHECKLISTS In deze whitepaper bieden we u tips en checklists die kunnen bijdragen aan een optimale beveiliging van zowel uw eigen data als die van uw klanten.

Nadere informatie

Certified Ethical Hacker v9 (CEH v9)

Certified Ethical Hacker v9 (CEH v9) Certified Ethical Hacker v9 (CEH v9) Opleiding van 8 sessies Start: 18-02-2016, Tramstraat 63, 9052 Zwijnaarde Lesdata van deze opleiding: 18/02/2016 ( 09:00-12:00 ) 18/02/2016 ( 13:00-16:00 ) 19/02/2016

Nadere informatie

Automatische online en lokale backup en recovery van bedrijfsdata

Automatische online en lokale backup en recovery van bedrijfsdata Automatische online en lokale backup en recovery van bedrijfsdata Omdat u moet kunnen vertrouwen op uw backup... BACKUPAGENT, DE VOORDELEN OP EEN RIJ - Veilige backups zonder omkijken, alle bedrijfskritische

Nadere informatie

Staat u wel eens stil bij de datarisico s die u loopt? verzekering bedrijfsrisico hypotheek pensioen

Staat u wel eens stil bij de datarisico s die u loopt? verzekering bedrijfsrisico hypotheek pensioen Staat u wel eens stil bij de datarisico s die u loopt? verzekering bedrijfsrisico hypotheek pensioen Kinderen van een jaar weten tegenwoordig al de weg op een tablet. De computer en het internet zijn niet

Nadere informatie

Factsheet DATALEKKEN COMPLIANT Managed Services

Factsheet DATALEKKEN COMPLIANT Managed Services Factsheet DATALEKKEN COMPLIANT Managed Services DATALEKKEN COMPLIANT Managed Services We ontwerpen en implementeren security maatregelen om datalekken te detecteren en het risico daarop te minimaliseren.

Nadere informatie

BEST PRACTICES MOBILE DEVICE MANAGEMENT EN MOBILE SECURITY.

BEST PRACTICES MOBILE DEVICE MANAGEMENT EN MOBILE SECURITY. BEST PRACTICES MOBILE DEVICE MANAGEMENT EN MOBILE SECURITY. With Kaspersky, now you can. kaspersky.nl/business Be Ready for What s Next INHOUD Pagina 1. 24/7 MOBIELE TOEGANG...2 2. MOBILE DEVICE MANAGEMENT

Nadere informatie

Asset 1 van 17. Mobile Application Management en security. Gepubliceerd op 18 april 2015

Asset 1 van 17. Mobile Application Management en security. Gepubliceerd op 18 april 2015 Asset 1 van 17 Mobile Application Management en security Gepubliceerd op 18 april 2015 Veel organisaties hebben de afgelopen jaren hun eigen mobiele enterprise apps ontwikkeld. De data hierin is potentieel

Nadere informatie

Unified Enterprise Security wordt geleverd door onze strategische partner Masergy, de wereldspeler in global communications en security.

Unified Enterprise Security wordt geleverd door onze strategische partner Masergy, de wereldspeler in global communications en security. Het verlengstuk van uw IT security operations: altijd (24x7) de beste expertise en meest actuele kennis, geïntegreerd zicht op wat er gebeurt in uw datacenter en eerder en Security as a Service Het verlengstuk

Nadere informatie

Bring Your Own Device onder controle. Tanja de Vrede

Bring Your Own Device onder controle. Tanja de Vrede Bring Your Own Device onder controle Tanja de Vrede Bring Your Own Device onder controle 5 tools om zelf meegebrachte apparaten te beheren 12 maart 2013 Tanja de Vrede Het gebruik van eigen mobiele apparatuur

Nadere informatie

Handleiding Back-up Online

Handleiding Back-up Online Handleiding Back-up Online April 2015 2015 Copyright KPN Zakelijke Markt Alle rechten voorbehouden. Zonder voorafgaande schriftelijke toestemming van KPN Zakelijke Markt mag niets uit dit document worden

Nadere informatie

Datadiefstal: Gone in 60 Seconds!

Datadiefstal: Gone in 60 Seconds! Datadiefstal: Gone in 60 Seconds! Didacticum Solutions Datadiefstal en ontwikkelingen Het komt regelmatig voor: klantgegevens of intellectuele eigendommen van bedrijven worden door hackers gestolen. Denk

Nadere informatie

PRIVACYVERKLARING PARKINSON VERENIGING

PRIVACYVERKLARING PARKINSON VERENIGING PRIVACYVERKLARING PARKINSON VERENIGING Via de website (www.parkinson-vereniging.nl) en het platform, waar u een Persoonlijk Parkinson Dossier kunt aanmaken, van De Parkinson Vereniging worden privacygevoelige

Nadere informatie

owncloud centraliseren, synchroniseren & delen van bestanden

owncloud centraliseren, synchroniseren & delen van bestanden owncloud centraliseren, synchroniseren & delen van bestanden official Solution Partner of owncloud Jouw bestanden in de cloud Thuiswerken, mobiel werken en flexwerken neemt binnen organisaties steeds grotere

Nadere informatie

PRIVACYVERKLARING PARKINSON VERENIGING

PRIVACYVERKLARING PARKINSON VERENIGING PRIVACYVERKLARING PARKINSON VERENIGING Via de website (www.parkinson-vereniging.nl) en het platform, waar u een Persoonlijk Parkinson Dossier kunt aanmaken, van De Parkinson Vereniging worden privacygevoelige

Nadere informatie

RACKBOOST Hosted Exchange. Mobiel, veilig en eenvoudig. hosting support consulting

RACKBOOST Hosted Exchange. Mobiel, veilig en eenvoudig. hosting support consulting RACKBOOST Hosted Exchange Mobiel, veilig en eenvoudig hosting support consulting RACKBOOST Hosted Exchange RACKBOOST, SINDS 1999 TOONAANGEVEND RACKBOOST is sinds 1999 een toonaangevende Belgische leverancier

Nadere informatie

Bedrijfszekerheid. Altijd in bedrijf ACHTER ELK SUCCES SCHUILT EEN GOED COMPUTERPLAN

Bedrijfszekerheid. Altijd in bedrijf ACHTER ELK SUCCES SCHUILT EEN GOED COMPUTERPLAN Bedrijfszekerheid Altijd in bedrijf ACHTER ELK SUCCES SCHUILT EEN GOED COMPUTERPLAN Altijd in bedrijf Onderwerpen Liveplan remote beheer Firmtel Telefonie Liveplan server backup LivePlan Remote Beheer

Nadere informatie

INFORMATIEBEVEILIGING: WAAR STAAT U NU?

INFORMATIEBEVEILIGING: WAAR STAAT U NU? INFORMATIEBEVEILIGING: WAAR STAAT U NU? HANDIGE CHECKLISTS VOOR DE OVERHEIDSSECTOR In deze whitepaper bieden we u handvatten en checklists voor hoe u om kunt gaan met de nieuwe meldplicht datalekken. Steeds

Nadere informatie

IT security in de mobiele MKB-wereld

IT security in de mobiele MKB-wereld IT security in de mobiele MKB-wereld Onderzoek onder o.a. Nederlandse MKB-bedrijven 14 maart 2013 Martijn van Lom General Manager Kaspersky Lab Benelux and Nordic PAGE 1 Onderzoek onder MKB-bedrijven in

Nadere informatie

Desktop, Laptop, Netbook, Ultrabook or Tablet? Which is best for what? Keuzes maken

Desktop, Laptop, Netbook, Ultrabook or Tablet? Which is best for what? Keuzes maken Desktop, Laptop, Netbook, Ultrabook or Tablet? Which is best for what?. Keuzes maken Wanneer je een computer wilt aanschaffen denk je tegenwoordig niet meteen meer aan de desktop. De desktop is een "grote"

Nadere informatie

Waarom Webfysio? www.webfysio.nl - team@webfysio.nl

Waarom Webfysio? www.webfysio.nl - team@webfysio.nl Uw cliënt verdient toch maatwerk zorg? Waarom Webfysio? Uw eigen online en blended maatwerk educatie- & zorgpakketten aanbieden Online communicatie via cliënt specifieke agenda, notificaties en email Direct

Nadere informatie

Cloud computing Helena Verhagen & Gert-Jan Kroese

Cloud computing Helena Verhagen & Gert-Jan Kroese Cloud computing Helena Verhagen & Gert-Jan Kroese Privacy Better business through better privacy Juridisch kader cloud computing Meldplicht datalekken Tips & Tricks Vragen? 2 Privacy https://www.youtube.com/watch?v=xyzthipktqg

Nadere informatie

WatchGuard gebruikersanonimisering en de algemene verordening gegevensbescherming van de EU

WatchGuard gebruikersanonimisering en de algemene verordening gegevensbescherming van de EU WatchGuard gebruikersanonimisering en de algemene verordening gegevensbescherming van de EU Technische informatie WatchGuard Technologies, Inc. Publicatiedatum: mei 2016 Introductie Met een steeds maar

Nadere informatie

Virtueel of Fysiek. Uitdagingen bij migratie naar Windows 7

Virtueel of Fysiek. Uitdagingen bij migratie naar Windows 7 Het jaar 2011/2012 staat voor veel organisaties in het teken van Windows 7. De overstap van Windows XP naar Windows 7 lijkt in eerste instantie eenvoudig te zijn maar blijkt in de praktijk toch complex.

Nadere informatie

e-token Authenticatie

e-token Authenticatie e-token Authenticatie Bescherm uw netwerk met de Aladdin e-token authenticatie oplossingen Aladdin is een marktleider op het gebied van sterke authenticatie en identiteit management. De behoefte aan het

Nadere informatie

Privacyverklaring Amsio BV

Privacyverklaring Amsio BV Privacyverklaring Amsio BV Via de website en de diensten van hostingbedrijf Amsio BV (www.amsio.com en www.netwerkstatus.nl) worden privacygevoelige gegevens oftewel persoonsgegevens verwerkt. Amsio bv

Nadere informatie

Geef uw onderneming vleugels. Met de soepele werkprocessen

Geef uw onderneming vleugels. Met de soepele werkprocessen Geef uw onderneming vleugels Met de soepele werkprocessen van Dutchict Cloud Online functionaliteiten Managed Cloud Online functio U wilt uw documenten overal kunnen beheren en delen. Maar applicaties

Nadere informatie

Bescherming tegen de gevolgen van cyber risico s. Bedrijfsverzekeringen. CyberEdge van AIG

Bescherming tegen de gevolgen van cyber risico s. Bedrijfsverzekeringen. CyberEdge van AIG Bescherming tegen de gevolgen van cyber risico s Bedrijfsverzekeringen CyberEdge van AIG Wat zijn cyber risico s? Cyber risico s zijn een vaststaand gegeven in een wereld van informatie, informatiesystemen

Nadere informatie

Marlin Family. Marlin

Marlin Family. Marlin PCA Mobile PCA Mobile Organisatie PCA Mobile BV maakt deel uit van de Mobile Solution Group en biedt met ruim 40 enthousiaste collega s een veelomvattend pakket van innovatieve en gebruiksvriendelijke

Nadere informatie

Factsheet SECURITY SCANNING Managed Services

Factsheet SECURITY SCANNING Managed Services Factsheet SECURITY SCANNING Managed Services SECURITY SCANNING Managed Services We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren. Met onze Security

Nadere informatie

Factsheet SECURITY CONSULTANCY Managed Services

Factsheet SECURITY CONSULTANCY Managed Services Factsheet SECURITY CONSULTANCY Managed Services SECURITY CONSULTANCY Managed Services We adviseren u over passende security-maatregelen voor uw digitale platform. Zo helpen we u incidenten als datadiefstal

Nadere informatie

Nieuwe versie! BullGuard. Backup

Nieuwe versie! BullGuard. Backup 8.0 Nieuwe versie! BullGuard Backup 0GB 1 2 INSTALLATIEHANDLEIDING WINDOWS VISTA, XP & 2000 (BULLGUARD 8.0) 1 Sluit alle geopende toepassingen, met uitzondering van Windows. 2 3 Volg de aanwijzingen op

Nadere informatie

Werken zonder zorgen met uw ICT bij u op locatie

Werken zonder zorgen met uw ICT bij u op locatie Werken zonder zorgen met uw ICT bij u op locatie Naast de mogelijkheden om uw programmatuur en gegevens bij Drie-O via Evy 2.0 in de cloud te hosten hebt u ook de mogelijkheid om uw ICT omgeving bij u

Nadere informatie

Cloud werkplek anno 2014. Cloud werkplek anno 2014

Cloud werkplek anno 2014. Cloud werkplek anno 2014 Introductie Peter Klix Infrastructuurarchitect Specialisatie networking en desktop concepts Peter.klix@eic.nl Cloud desktop Introductie Desktop concepten door de jaren Infrastructuur Cloud concepten Focus

Nadere informatie

Microsoft Office 365 voor bedrijven. Remcoh legt uit

Microsoft Office 365 voor bedrijven. Remcoh legt uit Microsoft Office 365 voor bedrijven Remcoh legt uit Beter samenwerken, ook onderweg Starten met Office 365 is starten met het nieuwe werken. Met Office 365 heeft u namelijk de mogelijkheid om altijd en

Nadere informatie

De Enterprise Security Architectuur

De Enterprise Security Architectuur De Enterprise Security Architectuur Martijn Doedens Security Consultant Peter Mesker CTO IT SECURITY IS TOPSPORT! Wat is de definitie?! Een enterprise security architectuur omvat alle noodzakelijke elementen

Nadere informatie

Medische gegevens zijn geclassificeerd als bijzondere persoonsgegevens en vragen extra aandacht!

Medische gegevens zijn geclassificeerd als bijzondere persoonsgegevens en vragen extra aandacht! Privacy is het recht op eerbiediging van de persoonlijke levenssfeer. Privacy van informatie is de afwezigheid van informatie over onszelf bij anderen en bovendien het verbod aan anderen om zonder onze

Nadere informatie

Optimaliseer de performance van uw dienst

Optimaliseer de performance van uw dienst Whitepaper Optimaliseer de performance van uw dienst Succes van uw online applicatie hangt mede af van de performance. Wat kunt u doen om de beste performance te behalen? INHOUD» Offline sites versus trage

Nadere informatie

Robert de Heer. IT Service Group. Cybercrime. Grote markt

Robert de Heer. IT Service Group. Cybercrime. Grote markt uw thema vandaag DE WET OP DATALEKKEN Robert de Heer IT Service Group Wakker worden! Security noodzaak voor u en uw bedrijf het geluid van ondernemers uw gastheer Pieter van Egmond Weet U Internet is de

Nadere informatie

Remcoh Mobile Device beheer. Remcoh legt uit

Remcoh Mobile Device beheer. Remcoh legt uit Remcoh Mobile Device beheer Remcoh legt uit White Paper Middels deze white paper informeert en adviseert Remcoh u over slim beheer van mobiele apparaten en toegang daarmee tot uw bedrijfsgegevens. Waarom

Nadere informatie

Filr. Sebastiaan Veld Anthony Priestman. 10 april 2013. Overview en business case

Filr. Sebastiaan Veld Anthony Priestman. 10 april 2013. Overview en business case Filr Overview en business case 10 april 2013 Sebastiaan Veld Anthony Priestman Introductie Even voorstellen: Sebastiaan Veld s.veld@interexperts.nl Anthony Priestman apriestman@novell.com 10 april 2013

Nadere informatie

Cloud2 Online Backup - CrashplanPRO

Cloud2 Online Backup - CrashplanPRO Cloud2 Online Backup - CrashplanPRO Handleiding- CrashplanPRO - Online Backup Download de clients hier: Windows 32- bit: http://content.cloud2.nl/downloads/back01- cra.backupnoc.nl/crashplan_x86.exe Windows

Nadere informatie

We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren.

We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren. Managed Services Managed Services We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren. Met onze Security Management diensten bewaken we de continuïteit

Nadere informatie

Gebruikershandleiding MobiDM

Gebruikershandleiding MobiDM Gebruikershandleiding MobiDM Gebruikershandleiding voor versie 3.6.2 Versie 1.0 INHOUDSOPGAVE 1. DE MOBIDM PORTAL.... 2 1.1. INLOGGEN... 2 1.2. WACHTWOORD VERGETEN?... 2 2. TOESTELBEHEER.... 3 2.1. OS-AFHANKELIJKE

Nadere informatie

Optimale ICT-beveiliging. Van advies en ontwikkeling tot implementatie en beheer

Optimale ICT-beveiliging. Van advies en ontwikkeling tot implementatie en beheer Optimale ICT-beveiliging Van advies en ontwikkeling tot implementatie en beheer 1 Inhoud Deze brochure geeft u meer uitleg over de manier waarop Telenet de ICT van uw bedrijf kan beveiligen. Ervaring,

Nadere informatie

BESCHERM UW BEDRIJF, WAAR U OOK GAAT. Protection Service for Business

BESCHERM UW BEDRIJF, WAAR U OOK GAAT. Protection Service for Business BESCHERM UW BEDRIJF, WAAR U OOK GAAT Protection Service for Business WE LEVEN IN EEN MOBIELE WERELD WiFi Voetganger We maken tegenwoordig gebruik van meer apparaten via meer verbindingen dan ooit tevoren.

Nadere informatie

Mail Service. Dienstbeschrijving. Copyright The Voip Company 2011 Pagina 1 van 9

Mail Service. Dienstbeschrijving. Copyright The Voip Company 2011 Pagina 1 van 9 Mail Service Dienstbeschrijving Copyright The Voip Company 2011 Pagina 1 van 9 Inhoud Hoofdstuk 1... 3 1.0 Introductie... 3 1.1 Inhoud van de dienst... 3 1.2 Bestaande accounts migreren... 3 1.3 Nieuw

Nadere informatie

IT2BUILD Online Backup. Betrouwbaar, veilig en betaalbaar

IT2BUILD Online Backup. Betrouwbaar, veilig en betaalbaar IT2BUILD Online Backup Betrouwbaar, veilig en betaalbaar Veilig en Betrouwbaar De Backup diensten van IT2Build zijn veilig en betrouwbaar. Alle data wordt opgeslagen in een optimaal beveilgd datacenter.

Nadere informatie

SECURITY UITDAGINGEN 2015

SECURITY UITDAGINGEN 2015 SECURITY UITDAGINGEN 2015 Hoe uw IT-infrastructuur beschermen? Robby Cauwerts Security Engineer 2015 Check Point Software Technologies Ltd. 1 CHECK POINT NAMED A LEADER IN THE GARTNER MAGIC QUADRANTS FOR

Nadere informatie

Open source en open standaarden, hfdst. 1 & 2 p. 3-34. Puntenverdeling: Juiste omschrijving Open Source Juiste omschrijving Open Standaarden

Open source en open standaarden, hfdst. 1 & 2 p. 3-34. Puntenverdeling: Juiste omschrijving Open Source Juiste omschrijving Open Standaarden Antwoordmodel Aan dit antwoordmodel kunnen geen rechten worden ontleend. Het antwoordmodel dient als indicatie voor de corrector. Studiemateriaal Hameeteman, R., Kuiken, B. en Vink, G. (2009). Klein receptenboek

Nadere informatie

Management special. BYOD hulpmiddelen Door: Bram Semeijn

Management special. BYOD hulpmiddelen Door: Bram Semeijn Management special BYOD hulpmiddelen Door: Bram Semeijn BYOD hulpmiddelen IT-managers grijpen betrekkelijk makkelijk naar technische hulpmiddelen om BYOD-apparatuur onder controle te krijgen. Dat kan echter

Nadere informatie

GOEDE ZORG VOOR ONDERZOEKSDATA.

GOEDE ZORG VOOR ONDERZOEKSDATA. GOEDE ZORG VOOR ONDERZOEKSDATA. Ziekenhuislaboratorium LabWest vertrouwt IT-infrastructuur toe aan Sentia Sinds 2011 werken verschillende ziekenhuizen in en rondom Den Haag met een gezamenlijke laboratoriumorganisatie.

Nadere informatie

Seclore FileSecure: beveiliging zonder grenzen!

Seclore FileSecure: beveiliging zonder grenzen! Seclore FileSecure: beveiliging zonder grenzen! Naam auteur : S. Liethoff Type document : Whitepaper Datum versie : 14-02-2013 1. Seclore FileSecure: Beveiliging zonder grenzen! Seclore FileSecure is een

Nadere informatie

Je bent zichtbaarder dan je denkt Een programma over cyber security awareness. Informatie voor managers

Je bent zichtbaarder dan je denkt Een programma over cyber security awareness. Informatie voor managers Je bent zichtbaarder dan je denkt Een programma over cyber security awareness Informatie voor managers Je bent zichtbaarder dan je denkt Informatie voor managers 2 Voorwoord Het cybersecuritybeeld van

Nadere informatie

IT-security bij kleine ondernemingen 10-2013

IT-security bij kleine ondernemingen 10-2013 IT-security bij kleine ondernemingen 10-2013 Analyse Peter Vermeulen, Directeur Pb7 Research: Het onderzoek laat zien dat kleinzakelijke ondernemingen zich vooral baseren op resultaten die in het verleden

Nadere informatie

Beveiligingsbeleid Perflectie. Architectuur & Procedures

Beveiligingsbeleid Perflectie. Architectuur & Procedures Beveiligingsbeleid Perflectie Architectuur & Procedures 30 november 2015 Versiebeheer Naam Functie Datum Versie Dimitri Tholen Software Architect 12 december 2014 0.1 Dimitri Tholen Software Architect

Nadere informatie

BeCloud. Belgacom. Cloud. Services.

BeCloud. Belgacom. Cloud. Services. Cloud Computing Webinar Unizo Steven Dewinter Steven.Dewinter@belgacom.be January 20 th, 2012 Agenda Agenda: Wat is nu precies Cloud Computing? Voordelen & Nadelen Hoe ga ik naar de Cloud? Belgacom Cloud

Nadere informatie

Oplossingen overzicht voor Traderouter > 02/11/2010

Oplossingen overzicht voor Traderouter > 02/11/2010 Oplossingen overzicht voor Traderouter > 02/11/2010 Netconnex is opgericht in 2004 (Gezeteld in Belgie maar het hoofd datacenter gelegen in Nederland [omgeving Amsterdam]). Zeer gestaag groeiende onderneming

Nadere informatie

imagine. change. Omdat WerkPlek voor u werkt Ricoh WerkPlek De beste zorg voor uw werkplek

imagine. change. Omdat WerkPlek voor u werkt Ricoh WerkPlek De beste zorg voor uw werkplek imagine. change. Omdat WerkPlek voor u werkt Ricoh WerkPlek De beste zorg voor uw werkplek Een complete werkplek inclusief hard- en software zonder zorgen? Laat WerkPlek voor u werken Thuis, op kantoor

Nadere informatie

Dell SonicWALL product guide

Dell SonicWALL product guide Dell SonicWALL product guide TZ Series Dell SonicWALL SMB solutions: TZ Series at-a-glance De Dell SonicWALL TZ Serie bevat de instapmodellen van de Dell SonicWALL fi rewalls. De serie bestaat uit drie

Nadere informatie

CLOUD COMPUTING MAGAZINE

CLOUD COMPUTING MAGAZINE LACIE KOPPELT NAS AAN VEILIGE WUALA-CLOUD PRIVACY IS GEEN STRUIKELBLOK MEER TEKST: REDACTIE LaCie staat al jaren goed bekend als een fabrikant van externe harde schijven, kleine nas-systemen, maar ook

Nadere informatie

Factsheet SECURITY SCANNING Managed Services

Factsheet SECURITY SCANNING Managed Services Factsheet SECURITY SCANNING Managed Services SECURITY SCANNING Managed Services We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren. Met onze Security

Nadere informatie

Mobiele gegevensdragers. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Mobiele gegevensdragers. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Mobiele gegevensdragers Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging

Nadere informatie

Aanvraagformulier Cyber en Data Risks verzekering by Hiscox

Aanvraagformulier Cyber en Data Risks verzekering by Hiscox A Algemeen 1. Gegevens aanvrager Naam: Adres: Dochter- Bedrijven 50% aandel of meer: Heeft u een vestiging in de VS/ Canada Graag een opgave van uw activiteiten: Graag een opgave van uw website(s) : 2.

Nadere informatie

01/05. Websites Nederland over. Mobile marketing. Whitepaper #03/2013. Mabelie Samuels internet marketeer

01/05. Websites Nederland over. Mobile marketing. Whitepaper #03/2013. Mabelie Samuels internet marketeer 01/05 Websites Nederland over Mobile marketing Mabelie Samuels internet marketeer 02/05 Mobile marketing Kunt u zich uw eerste mobiele telefoon nog herinneren? Die van mij was een Motorola, versie onbekend,

Nadere informatie

Intramed OnLine instellen en gebruiken. Voor ipad en iphone

Intramed OnLine instellen en gebruiken. Voor ipad en iphone Intramed OnLine instellen en gebruiken Voor ipad en iphone Inhoudsopgave Hoofdstuk 1 Algemeen...1 1.1 Toegang tot inlogportalen...1 Hoofdstuk 2 Basic account...3 2.1 Microsoft Remote Desktop installeren

Nadere informatie

BlackBerry Cloud Services

BlackBerry Cloud Services BlackBerry Cloud Services Flexibele draadloze oplossing Uitgebreide beveiligingsopties Eenvoudig (centraal) te beheren Kosten besparen BlackBerry Enterprise Server & BlackBerry Express Server BlackBerry

Nadere informatie

Smartphones onder vuur

Smartphones onder vuur Smartphones onder vuur Dominick Bertens Account Manager NAVO & NL Agenda Sectra Communications Bedreigingen Bring Your Own Device Panthon 3 Samenvatting Security Masterclass Vragen Sectra Communications

Nadere informatie

Privacy beleid. Algemeen

Privacy beleid. Algemeen Privacy beleid Algemeen In dit Privacy beleid wordt beschreven hoe wij omgaan met uw persoonsgegevens. Wij verzamelen, gebruiken en delen persoonsgegevens om de websites van JaMa Media, zoals Mijnkoopwaar

Nadere informatie

Handleiding. Online backup PC

Handleiding. Online backup PC Handleiding Online backup PC Inhoudsopgave 1. Installatie 2 2. Configuratie eerste keer 4 3. Bepalen waarvan een backup gemaakt moet worden 5 4. Instellen wanneer de backup wordt uitgevoerd 5 5. Beveiliging

Nadere informatie

Het Office 365 portfolio van Copaco Nederland

Het Office 365 portfolio van Copaco Nederland Het portfolio van Copaco Nederland Het portfolio van Copaco Nederland verandert continu en wordt steeds uitgebreider. Daarnaast zien we de vraag naar abonnementen van zowel onze partners als van eindgebruikers

Nadere informatie

Microsoft; applicaties; ontwikkelaar; developer; apps; cloud; app; azure; cloud computing; DevOps; microsoft azure

Microsoft; applicaties; ontwikkelaar; developer; apps; cloud; app; azure; cloud computing; DevOps; microsoft azure Asset 1 van 7 Over het bouwen van cloudoplossingen Gepubliceerd op 24 february 2015 Praktische handleiding voor ontwikkelaars die aan de slag willen met het maken van applicaties voor de cloud. Zij vinden

Nadere informatie

Haal het beste uit uw gegevens met geïntegreerde Business Intelligence

Haal het beste uit uw gegevens met geïntegreerde Business Intelligence Exact Insights powered by QlikView Haal het beste uit uw gegevens met geïntegreerde Business Intelligence Met Exact Insights zet u grote hoeveelheden data moeiteloos om in organisatiebrede KPI s en trends.

Nadere informatie

End to End Virtualisation

End to End Virtualisation End to End Virtualisation Virtualisatie in een Citrix wereld Edwin van den Broek Valid ICT Uiteindelijk willen we allemaal hetzelfde De DSM visie Applicaties transparant aan gebruikers aanbieden, ongeacht

Nadere informatie

PRIVACY STATEMENT. Toelichting De informatie die VraagHugo uit jouw antwoorden verkrijgt, bestaat uit de volgende informatie:

PRIVACY STATEMENT. Toelichting De informatie die VraagHugo uit jouw antwoorden verkrijgt, bestaat uit de volgende informatie: PRIVACY STATEMENT De Diensten van VraagHugo zijn gericht op ondernemingen en ondernemers. Toch worden er persoonsgegevens verwerkt, van jou als zelfstandig ondernemer of van jou als contactpersoon namens

Nadere informatie

Uw bedrijf beschermd tegen cybercriminaliteit

Uw bedrijf beschermd tegen cybercriminaliteit Uw bedrijf beschermd tegen cybercriminaliteit MKB is gemakkelijke prooi voor cybercriminelen Welke ondernemer realiseert zich niet af en toe hoe vervelend het zou zijn als er bij zijn bedrijf wordt ingebroken?

Nadere informatie

Ontdek wat Office 365 voor Uw organisatie kan doen!

Ontdek wat Office 365 voor Uw organisatie kan doen! Microsoft Office 365 / 2013 Office 365 maakt een heel nieuwe werkwijze mogelijk. Office 365 biedt vrijwel overal toegang tot de vertrouwde Microsoft Office-tools, aangevuld met hoogwaardige, eenvoudig

Nadere informatie

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1. www.traxion.com

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1. www.traxion.com Veilig de cloud in Whitepaper over het gebruik van Cloud-diensten deel 1 www.traxion.com Introductie Deze whitepaper beschrijft de integratie aspecten van clouddiensten. Wat wij merken is dat veel organisaties

Nadere informatie

Advocatuur en informatie beveiliging Een hot topic

Advocatuur en informatie beveiliging Een hot topic Advocatuur en informatie beveiliging Een hot topic René van den Assem Partner @ Verdonck, Klooster & Associates eherkenning adviseur @ ICTU Rene.vandenassem@vka.nl De achterstandspositie PwC en IronMountain

Nadere informatie

Intramed OnLine instellen en gebruiken. Voor Android tablet of telefoon

Intramed OnLine instellen en gebruiken. Voor Android tablet of telefoon Intramed OnLine instellen en gebruiken Voor Android tablet of telefoon Inhoudsopgave Hoofdstuk 1 Algemeen...1 1.1 Toegang tot inlogportalen...1 Hoofdstuk 2 Basic account...3 2.1 Microsoft Remote Desktop

Nadere informatie

Portal Handleiding voor de gebruiker 4.8

Portal Handleiding voor de gebruiker 4.8 Portal Handleiding voor de gebruiker 4.8 Deze handleiding beschrijft op gebruikersniveau de basisfuncties van de portal. Version: x.x MOBIDM Gebruikershandleiding Pagina 1 Index Introductie 2 Help-bestanden

Nadere informatie

Worry Free Business Security 7

Worry Free Business Security 7 TREND MICRO Worry Free Business Security 7 Veelgestelde vragen (extern) Dal Gemmell augustus 2010 Inhoud Kennismaking met Worry Free Business Security... 3 Wat is Worry Free Business Security?... 3 Wanneer

Nadere informatie

Introductie Werken met Office 365

Introductie Werken met Office 365 Introductie Werken met Office 365 Een introductie voor gebruikers Inhoud Inleiding... 4 Aanmelden bij Office 365... 4 Werken met Office 365 Outlook... 5 Werken met Outlook 2007/2010... 5 Werken met de

Nadere informatie

Factsheet Enterprise Mobility

Factsheet Enterprise Mobility Factsheet Enterprise Mobility www.vxcompany.com Informatie willen we overal, altijd en op elk device beschikbaar hebben. Privé, maar zeker ook zakelijk. Met het gebruik van mobile devices zoals smartphones

Nadere informatie

Je bent zichtbaarder dan je denkt Een programma over cyber security awareness. Informatie voor medewerkers

Je bent zichtbaarder dan je denkt Een programma over cyber security awareness. Informatie voor medewerkers Je bent zichtbaarder dan je denkt Een programma over cyber security awareness Informatie voor medewerkers Je bent zichtbaarder dan je denkt Informatie voor medewerkers 2 Inleiding Iedereen maakt steeds

Nadere informatie