BEURSSPECIAL MARK RABEN VAN SAP: IT BELANGRIJKSTE WAPEN TEGEN FRAUDE MAGAZINE

Maat: px
Weergave met pagina beginnen:

Download "BEURSSPECIAL MARK RABEN VAN SAP: IT BELANGRIJKSTE WAPEN TEGEN FRAUDE MAGAZINE"

Transcriptie

1 JAARGANG 12 - OKTOBER infosecurity MAGAZINE MARK RABEN VAN SAP: IT BELANGRIJKSTE WAPEN TEGEN FRAUDE WOLFGANG KANDEK (QUALYS) KIJK OOK NAAR INDIRECTE RELATIES IN DE DIGITALE SUPPLY CHAIN BEURSSPECIAL INFOSECURITY - STORAGE EXPO - TOOLING EVENT - SECURITY TOUR VEEL WIFI-NETWERKSTRUCTUREN NIET OPGEWASSEN TEGEN TOENAME MOBIEL DATAVERKEER - GEDEGEN STRATEGIE BIEDT CONTROLE IN DE CLOUD - HOU DRIE TYPEN HACKERS IN DE GATEN PROCENT VEILIGHEID? HET KAN WÉL! - HET NETWERK ZIET ALLES - NETWERKAANVALLEN LAAGDREMPELIG TE LEASEN - AUTHENTICATIE MET VINGERAFDRUK VOORKOMT IDENTITEITSFRAUDE - INDUSTRIËLE BEVEILIGING ALS UITGANGSPUNT

2 g Colofon - Editorial Free Security at Your Fingertips Visit qualys.com/secure today! Infosecurity magazine is het enige onafhankelijke vakblad in de Benelux dat zich expliciet bezighoudt met informatiebeveiliging. Het blad beweegt zich op het snijvlak van technologie en beleid. Vanaf het hekwerk tot in de boardroom. Infosecurity magazine verschijnt viermaal per jaar, toezending geschiedt op abonnementbasis Uitgever Jos Raaphorst Bizarre ideeën Bij het maken van deze beurseditie van Infosecurity magazine viel ons op hoezeer iedereen het heeft over de NSA. Dat zegt wellicht iets over de schade die deze affaire heeft aangericht. Als zo massaal wordt afgeluisterd, zonder dat hier kennelijk een duidelijke verdenking of zelfs maar juridische toetsing voor nodig was (is), wat zegt dat dan over onze relatie met de Verenigde Staten? En wat zegt het over Amerikaanse aanbieders, die massaal aangeven dat zij niet anders konden, maar dat komt toch op z n minst onbevredigend over. Ook het technische raffinement waarmee we bedreigd worden valt op. Van de NSA, maar ook van cybercriminelen - al of niet met ondersteuning van een staat. OWASP TOP 10 SCAN WEBSITE SECURITY AUDIT SCAP SCAN BROWSER CHECK PATCH TUESDAY AUDIT Hoofdredacteur Robbert Hoeffnagel Redactie Hans Lamboo Advertentie-expolitatie Will Manusiwa Abonnementen Wilt u zich abonneren op Infosecurity magazine of heeft u een vraag over uw abonnement? Stuur een naar Vormgeving Media Service Uitgeest Drukwerk Control Media Infosecurity magazine is een uitgave van FenceWorks B.V. BEATRIXSTRAAT CK ZOETERMEER TEL Wat moeten we hier allemaal van denken? Ik denk dat de komende Infosecurity-beurs een mooie gelegenheid vormt om hierover ons standpunt te bepalen. Hoe formuleren we een weldoordachte security-strategie als de producten waarmee we dit beleid mogelijk willen maken kennelijk van tal van achterdeurtjes zijn voorzien? Heeft het dan zin om - zoals we steeds vaker horen - te pleiten voor een Europese cloud? Maar hoe gaan we dan om met een eventuele overname van een partij die onderdelen levert voor zo n Europese cloud? Of gaan we naar een Europa waarin we niet alleen systeembanken kennen die te belangrijk zijn om om te kunnen vallen, maar ook naar systeem-it-bedrijven die zo cruciaal zijn dat ze niet overgenomen mogen worden door niet-europese bedrijven? Dat geeft dan te denken over de eventuele overname van KPN. Of levert KPN vooral fat pipes en moeten we onze aandacht veel geconfronteerd. Wat te denken van de beveiligingsaanpak die Twitter kennelijk hanteert en waarmee op verbluffend eenvoudige wijze voorkomen kan worden dat cybercriminelen name servers kunnen overnemen? Hoe? Zodra er wijzigingen rond een name server dreigen te worden doorgevoerd, worden deze aanpassingen eerst voor toestemming naar... een mens gestuurd. Het is een aanpak die volledig in tegenspraak is met alle trends op IT-gebied. Want liefst automatiseren we alles weg. Mensen maken immers maar fouten. Maar kennelijk zijn we - soms - toch nog nodig. Tenslotte nog een laatste voorbeeld hoe mensen met radicale ideeën kunnen komen die ons wellicht uit de brand kunnen helpen. Luister maar eens naar John McAfee (inderdaad, de excentriekeling die laatst in Midden-Amerika werd gearresteerd). Hij wil - net als een club als Oc- Heeft het nog wel zin om een weldoordachte security-strategie op te zetten? Find out if you are secure from hackers and compliant with regulations. Audit the security of browsers, systems and web applications in your organisation. Qualys makes these free security tools available at your fingertips at Niets uit deze uitgave mag op enigerlei wijze worden overgenomen zonder uitdrukkelijke toestemming van de uitgever. Meer informatie: meer richten op softwarematige security-oplossingen? De security-wereld is er de afgelopen maanden zeker niet overzichtelijker op geworden. Hadden we al niet genoeg technische en strategische issues op te lossen, nu komen hier ook ineens allerlei politieke aspecten bij. Daarom is het erg verfrissend als we soms ineens met nieuwe of opgepoetste ideeën worden cupy.here - software ontwikkelen waarmee we kleine en op specifieke groepen van mensen gerichte netwerken kunnen maken - zonder koppeling aan internet. Google die twee projecten maar eens. Het zijn bizarre ideeën. Maar misschien zijn we daar wel hard aan toe. Robbert Hoeffnagel Hoofdredacteur Infosecurity magazine 2013 Qualys, Inc. All rights reserved. INFOSECURITY.NL MAGAZINE - nr. 4 - OKTOBER

3 Je nieuwe functie als Security Engineer In verband met onze groei zijn we op zoek naar een Security Engineer die ons team wil komen versterken! Als Security Engineer heb je diepgaande kennis op het gebied van onze security en networking producten. Je wilt met uitdagende technologieën van leidende security vendoren projectmatig werken. De combinatie van enerzijds de security technologie en anderzijds de integratie met de networking technologie is iets waar je jouw energie in kwijt kunt. Je krijgt veel zelfstandigheid om security oplossingen te kunnen pre-stagen, implementeren en onderhouden. Benieuwd? Kijk dan op 4 Go Integrated Networking Security Solutions SecureLink is een vooraanstaande Benelux georiënteerde security en networking integrator. SecureLink onderscheidt zich door haar geïntegreerde security en networking specialisatie, voorname vendor statussen, managed services en hoge klanttevredenheid. Secure! SecureLink Nederland B.V. Trapezium DL SLIEDRECHT T g INHOUD 16 Hou drie typen hackers in de gaten Veel IT-afdelingen hebben een goede kennis van de technologie die zij gebruiken om hun organisatie of datacenter te beschermen tegen cybercriminelen. Of het nu gaat om UTM-appliances, oplossingen voor compliance management, tools om wifi-netwerken af te schermen of BYOD device management. Maar kennen zij hun vijanden net zo goed als zij met dit soort tools uit de voeten kunnen? 18 Veel Wifi-netwerkstructuren niet opgewassen tegen toename mobiel dataverkeer Bij het maken van plannen voor het uitrollen van gigabit Wifi staan de prestaties centraal als het gaat om het kiezen van de technologie. Intelligente netwerkarchitecturen vormen de tot dusver ontbrekende schakel voor de IT-afdeling om veilige en betrouwbare real-time data-overdracht te realiseren naar het groeiende aantal mobiele apparaten binnen een onderneming. Het netwerk wordt getransformeerd naar een niveau, waarmee de gebruikers meer business kunnen doen en de IT-afdeling wordt gezien als degene die business mogelijk maakt. 20 Column Erik Remmelzwaal van DearBytes: 100 procent veiligheid? Het kan wél! Om cybercriminaliteit en het verlies van kostbare informatie te voorkomen, moeten organisaties hun beveiliging steeds beter en strakker inrichten. Maar welk soort beveiliging hebben we daadwerkelijk nodig? Beleidsmakers en experts roepen al snel dat 100 procent veiligheid een utopie is. Maar als we die 100 procent toch niet gaan halen, waarom zullen we ons dan eigenlijk inspannen? 22 Het netwerk ziet alles Hoewel traditionele oplossingen voor netwerkbeveiliging zoals firewalls en IPS en noodzakelijk blijven, wordt het steeds belangrijker om te weten wat er op het netwerk zélf gebeurt. Moderne aanvalstechnieken weten zich steeds beter te vermommen als stealths en zijn daardoor door de gangbare perimeterbeveiliging moeilijk of niet te ontdekken of te stoppen. Dat vergt een steeds holistischer kijk op netwerkbeveiliging en de analyse van datastromen die dagelijks over de wereld gaan. 57 Cybercrime-as-a-Service De toenemende variëteit en complexiteit van cyberaanvallen die we nu zien, zijn het product van een opkomende cybercrime-as-a-service markt. De criminele dienstverleners in dit segment stellen kwaadwillenden in staat om netwerkaanvallen uit te voeren tegen aanmerkelijk lagere kosten dan gebruikelijk en zonder dat diepgaande technische kennis nodig is. Door deze laagdrempelige manier van aanbieden komen deze aanvalstechnieken voor steeds meer mensen beschikbaar. 60 Authenticatie met vingerafdruk voorkomt identiteitsfraude Identiteitsfraude is een beveiligingsrisico waar IT-managers serieuzer rekening mee moeten gaan houden. Is degene die inlogt op uw systemen en toegang krijgt tot uw bedrijfsinformatie wel de persoon die u denkt. Zeker nu steeds meer mensen vanuit huis of onderweg met eigen apparatuur (Bring Your Own Device) voor uw bedrijf werken. Het identificeren van gebruikers via hun vingerafdruk is zowel een veiligere als eenvoudigere methode om identiteitsfraude te voorkomen, dan met een gebruikersnaam en wachtwoord. Het in s-hertogenbosch gevestigde bedrijf id-me heeft het gebruik en operationele beheer van deze biometrische techniek eenvoudiger en betrouwbaarder gemaakt - via de cloud. 66 Victor de Pous in Legal Look: Recht & informatiebeveiliging Mijn uitgangspunt luidt dat, los van wettelijke en contractuele voorschriften, netwerk- en informatiebeveiliging ten principale een maatschappelijke verplichting betreft, die een belangrijke, zelfs essentiële bouwsteen vormt van maatschappelijk verantwoord ondernemen. Gedegen strategie biedt controle in de cloud 9 Steeds meer organisaties raken doordrongen van het feit dat de cloud niet alleen gemak biedt maar ook beveiligingsrisico s introduceert. Het bepalen van een strategie helpt om op een gecontroleerde manier naar de cloud te gaan. Het valt echter niet mee om een strategie uit te stippelen als data niet zijn geclassificeerd en voor de opslag en het beheer van die data gebruik wordt gemaakt van third party-technologieën, zo constateert Bastiaan Schoonhoven, marketing manager bij Motiv. In dit artikel zet hij uiteen hoe een weloverwogen cloud-strategie kan worden geformuleerd. SAP: IT belangrijkste wapen tegen fraude 12 Kijk ook naar indirecte relaties in de digitale supply chain 6 Het vergrendelen van programmaconfiguraties en het patchen van computers zijn twee cruciale taken in cybersecurity. In het praktisch georiënteerde raamwerk van De twintig meest kritische beveiligingsmechanismen zijn ze aangemerkt als taken met hoge prioriteit in de mechanismen drie en vier. Zij volgen net na hardware- en software-inventarisatie, die zijn omschreven in de mechanismen één en twee. Fraude in de bouw, de vastgoedsector, hypotheken, belastingtoeslagen, nepartsen en met BTW. De lijst met oplichterij wordt steeds langer en ook in Nederland lijkt corruptie schering en inslag. Volgens Mark Raben, Director Innovation & Product Strategy bij SAP Nederland, is het dan ook tijd om big data in te zetten tegen de fraudeurs. Jammer dat IT niet grootschaliger wordt ingezet om dit maatschappelijk probleem gerichter aan te pakken. BEURSSPECIAL 31 Programma, beursplattegrond, standhoudersoverzicht en alle informatie over Infosecurity.nl, Storage Expo, Tooling Event en de Security Tours. INFOSECURITY.NL MAGAZINE - nr. 4 - OKTOBER

4 g Vergrendelen van programmaconfiguraties en patchen zijn cruciaal DOOR WOLFGANG KANDEK Kijk ook naar indirecte relaties in de digitale supply chain Het vergrendelen van programmaconfiguraties en het patchen van computers zijn twee cruciale taken in cybersecurity. In het praktisch georiënteerde raamwerk van De twintig meest kritische beveiligingsmechanismen (zie kader) zijn ze aangemerkt als taken met hoge prioriteit in de mechanismen drie en vier. Zij volgen net na hardware- en software-inventarisatie, die zijn omschreven in de mechanismen één en twee. Patchen en vergrendelen spelen uitsluitend in op de eerste laag van de digitale supply chain. We moeten dan ook alert zijn op de meer indirecte relaties in de infrastructuur. De patch-set die Microsoft in augustus uitbracht, omvatte een nieuwe versie van Microsoft Exchange. Een nieuwe versie van de Exchange Mail Server-software was nodig met het oog op een kwetsbaarheid in een van de componenten waarover Microsoft geen controle heeft. Microsoft gebruikt deze in licentie van een derde partij. Daarom moet het bedrijf deze monitoren met het oog op beveiligingspatches. Microsoft doet dit prima, maar de software waar het om gaat (Outside-in van Oracle) wordt ook door andere bedrijven gebruikt. Van die andere bedrijven is het niet zeker dat zij net zo zorgvuldig zijn als Microsoft. Op dit moment staat niet vast of andere leveranciers ook nieuwe versies hebben uitgebracht naar aanleiding van deze kwestie. DOMEINNAMEN DE TWINTIG MEEST KRITISCHE BEVEILIGINGSMECHANISMEN Veel organisaties implementeren beveiligingsprogramma s om hun transacties en intellectuele eigendommen te beschermen. Veel gebruikte standaarden op dat gebied zoals ISO 2700x en NIST zijn berucht om hun omvang. De nieuwste versie van NIST telt maar liefst 450 pagina s en beschrijft beveiligingsmechanismen. De complexiteit van deze standaarden vereist diepgaande kennis tijdens het ontwerp. Het is zelfs nog uitdagender om de scope van een implementatie te bepalen. Deze situatie was in 2008 aanleiding voor een groep beveiligingsexperts om een kleine set van beveiligingsmechanismen te bepalen die te gebruiken zijn als begrijpelijke richtlijnen voor computerbeveiliging. De groep stelde twintig mechanismen vast die volgens hen de basis zijn voor een effectieve beveiliging, de SANS top-20. Naast het beschrijven van deze twintig meest kritische beveiligingsmechanismen gaf de groep ook effectiviteitskenmerken aan de mechanismen. De eerste vijf mechanismen kregen daarbij het kenmerk zeer effectief. Dat zijn: het creëren van een voorraadoverzicht van alle hardware, zodat het aantal gebruikte systemen bekend is; het vaststellen van alle software zodat er inzicht is in alle besturingssystemen en applicaties; het bepalen van een veilige configuratiestandaard als basis voor systemen; het uitvoeren van een continu proces van kwetsbaarheidsanalyses en herstelacties voor gecatalogiseerde software; het implementeren van bescherming tegen malware. Kijk voor meer informatie op https://www.qualys.com/solutions/ compliance/sans/ Een andere schakel in onze digitale supply chain is te illustreren aan de hand van aanvallen eerder dit jaar op websites van de New York Times, Huffington Post en Twitter door het Syrian Electronic Army (SEA). Het SEA voerde geen rechtstreekse aanval uit, maar werkte via de partij waar de domeinnaam is geregistreerd. Deze organisatie onderhoudt de relatie van de domeinnaamhouder met de beheerder van het.com-topdomein en controleert de mapping van name servers. Onder normale omstandigheden heet de name server van de New York Times dns.ewr1.nytimes.com. Tijdens de aanval wist de SEA via de domeinregistratie dit te veranderen in m.sea.sy. Dat gaf de SEA controle over alle nytimes.com-servers, - met als belangrijkste - maar ook over andere systemen zoals mail.nytimes.com. Een en ander leidde tot ongewenste content op de sites en downtime. Twitter was beter bewapend tegen dit type aanval. Dit bedrijf had een beschermingsmiddel in de vorm van een registry lock bij de partij waar het domein is geregistreerd. Deze voorziening wordt uitgevoerd door VeriSign. Wanneer het registry lock geactiveerd is, worden wijzigingen voor een name server door een medewerker gecontroleerd. Deze verifieert de wijziging bij de eigenaar van de domeinnaam. Een wijziging bij Twitter van de normale instelling ns1.p34. dynect.net naar m.sea.sy zou meteen opvallen bij controle. Alleen met geavanceerde social engineering waarbij iemand zich zou voordoen als Twitter-medewerker zou dit eventueel kans van slagen hebben. Dit is een mooi startpunt voor ieder bedrijf om te bepalen hoe kwetsbaar ze zijn en hoe dat te minimaliseren is. Uiteraard geldt bovenstaande voor ieder toplevel-domein, van.com tot.fr en.nl. Voor de IT-beveiligingssector betekent dit ook een nieuw facet bij het in kaart brengen van IT-middelen. Wij moeten ons afvragen van welke middelen de business afhankelijk is en welke potentiële issues deze middelen kunnen aantasten. Daarbij moeten we niet stoppen bij de eigen organisatie maar ook kijken naar serviceproviders en hen betrekken bij die activiteiten. Wolfgang Kandek is CTO van Qualys VGZ beveiligt webapplicaties met QualysGuard Zorgverzekeraar VGZ speelt een actieve rol in de Nederlandse zorgsector. De organisatie telt ruim 4,2 miljoen klanten en circa medewerkers. VGZ ging ongeveer een jaar geleden op zoek naar een manier om de beveiliging te controleren van alle websites. Deze zijn grotendeels gebouwd op basis van Microsoft.NET en Sharepoint. Via deze sites stellen klanten vragen, sturen ze informatie in en bekijken of wijzigen zij hun polis. VGZ wilde er zeker van zijn dat zijn websites en applicaties veilig en beschikbaar zijn. De organisatie koos met het oog hierop voor QualysGuard Web Application Scanning van Qualys. Die keus volgde op een jarenlang succesvol gebruik van QualysGuard Vulnerability Management. Een van de doorslaggevende factoren voor ons was naast het feit dat Qualys- Guard Web Application Scanning fouten vond die we niet eerder hadden geconstateerd dat veel van onze klanten ook gebruikmaken van QualysGuard. De scans van deze oplossing zijn zo accuraat en compleet, dat je niet meer hoeft te gissen. Dat maakt de keus voor ons heel eenvoudig, zegt Arthur Visser, senior infrastructure engineer bij VGZ. QualysGuard Web Application Scanning stelt kwetsbaarheden in webapplicaties vast, waaronder SQL-injectie, cross-site scripting en URL redirection. Dankzij de dynamische interface ervaren gebruikers een intuïtieve en gebruiksvriendelijke geautomatiseerde workflow met een zeer gering aantal false positives. Als onderdeel van de evaluatie voerde VGZ een aantal testscans uit op verschillende webapplicaties. Wij waren zeer tevreden met het resultaat, QualysGuard Web Application Scanning automatiseert alles, komt met heel weinig false positives en vindt de echte kwetsbaarheden. Dit bespaart ons veel tijd en inspanning, zegt Visser. QualysGuard Web Application Scanning zorgde vooral voor veel tijdbesparing bij het testen van ongeveer zeventig aan VGZ gerelateerde websites. Volgens Visser was QualysGuard Web Application Scanning in staat om verschillende ernstige kwetsbaarheden op te sporen waaronder cross-side scripting en SQL-injectie. Het bedrijf gebruikt nu QualysGuard Web Application Scanning voor het scannen van de volledige webinfrastructuur. Deze beslaat circa 25 webservers, waarop verschillende sites gehost worden. Aantrekkelijk aan QualysGuard Web Application Scanning is dat de oplossing na een scan meteen acties voorstelt. Dat bespaart ons veel tijd die we anders kwijt zouden zijn aan het zoeken naar oplossingen, zegt Visser. QualysGuard Web Application Scanning, in combinatie met QualysGuard Vulnerability Management, stelt VGZ in staat om de beveiliging en compliance beter af te stemmen. De testresultaten van Qualys zijn zeer effectief. Wanneer het verificatierapport van Qualys geen fouten laat zien, weten we dat alle patches doorgevoerd zijn en we klaar zijn voor onze audit, besluit Visser. 6 INFOSECURITY.NL MAGAZINE - NR. 4 - OKTOBER

5 SECURE DATA TRANSFER / NETWORK DIAGNOSTIC WAN ACCELERATION / REDUNDANCY WS_FTP Server with SSH Simple. Secure. Managed. SSL / SSH support PCI DSS Compliance FIPS ValidatedCryptography Secure Copy (SCP2) SSH Key Management NEW: Wireshark Training Analyzing TCP/IP Networks Troubleshooting and Securing TCP/IP Networks Authorized Training Partner Troubleshooting TCP/IP Networks (5 days Wireshark University) This hands-on course provides in-depth training on Wireshark and TCP/IP communications analysis. This course covers the use of Wireshark to identify the most common causes of performance problems in TCP/IP communications. NEW! MOVEit Mobile: extends secure, compliant file-based workflows to mobile Secure sign-on Access and transfer of files Ability to send and receive packages Integration with native device applications Support for ios (iphone/ipad) and Android All the power of MOVEit s centralized visibility and control for mobile file transfers Riverbed AirPcap a/b/g/n Wi-Fi Capture Adapters Cascade Pilot Network Communication, Analysis and Forensic investigation g Cloud security krijgt brede belangstelling DOOR BASTIAAN SCHOONHOVEN Gedegen strategie biedt controle in de cloud Steeds meer organisaties raken doordrongen van het feit dat de cloud niet alleen gemak biedt maar ook beveiligingsrisico s introduceert. Het bepalen van een strategie helpt om op een gecontroleerde manier naar de cloud te gaan. Het valt echter niet mee om een strategie uit te stippelen als data niet zijn geclassificeerd en voor de opslag en het beheer van die data gebruik wordt gemaakt van third party-technologieën, zo constateert Bastiaan Schoonhoven, marketing manager bij Motiv. In dit artikel zet hij uiteen hoe een weloverwogen cloud-strategie kan worden geformuleerd. Cloud computing introduceert meerdere risico s die de beveiliging van gevoelige bedrijfsgegevens in gevaar kunnen brengen. Werknemers die publieke opslagdiensten zoals Dropbox en Google Drive gebruiken om zakelijke documenten op te slaan, onttrekken deze documenten aan het beveiligingsdomein van de werkgever. Als gegevens die volgens de geldende wet- en regelgeving bijvoorbeeld alleen binnen Europa mogen worden NETWORK/APPLICATION PERFORMANCE MANAGEMENT Integrated Application & Network Visibility... In One Single Solution Code-Level Monitoring with Network Insight Network-Aware Application Performance Monitoring End User Experience Monitoring Intelligent Web Application Performance Monitoring FREE Tool: CRMcheckr CRM (Salesforce) Performance Monitoring FOR EXTREME UP TIME... ALL THE TIME The highest level of WAN Redundancy Firewall, VPN, IPSec and DHCP Server SmartDNS for automatic inbound/ outbound line failover and dynamic load balancing MultiPath Security (MPSec) for the highest possible secure transmission and redundancy for VPN tunnels Automatic VPN, VoIP, Thin Client load balancing and auto failover of sessions Multi-line QoS, WAN Optimization, acceleration and compression Pleiten voor een Europese cloud is momenteel populair maar weinig realistisch. 8 Distribution: SCOS Benelux tel. +31 (0) tel. +32 (0) INFOSECURITY.NL MAGAZINE - NR. 4 - OKTOBER

6 niet het predikaat high secure maar wel het predikaat secure krijgen, komen bij voorkeur in een private cloud te staan die door de eigenaar van de data kan worden gecontroleerd en die zich bij voorg Cloud security krijgt brede belangstelling opgeslagen op Amerikaanse servers terechtkomen, heeft de werkgever er mogelijk nog een probleem bij op het gebied van compliance. Ook privacy ligt gevoelig als het gaat om cloud computing, zo bleek ook weer uit de commotie die ontstond toen in juni van dit jaar de grootschalige afluisterpraktijken van de Amerikaanse veiligheidsdienst NSA aan het licht kwamen. Voor het Europees Parlement vormden de afluisterpraktijken van de NSA in ieder geval de spreekwoordelijke druppel. In september pleitte de justitiecommissie van het Europees Parlement voor een Europese Cloud die moet voorkomen dat Amerikaanse overheidsdiensten in data kunnen blijven rondneuzen. In de eerste plaats zouden Europese overheden zoveel mogelijk gebruik moeten gaan maken van Europese cloud-aanbieders, zo staat in het voorstel te lezen. In de tweede plaats moet het gebruik van open source-software worden gestimuleerd, zodat er geen geheime achterdeurtjes in software gebouwd kunnen worden. Deze twee uitgangspunten lijken tot een zekere mate van schijnzekerheid te leiden. Overheden krijgen immers geen enkele garantie dat een Europese cloud-aanbieder niet wordt overgenomen door een aanbieder van een ander continent. En het gebruik van open source-software is nog geen garantie dat een aanbieder zijn beveiligingsbeleid op orde heeft. Bijvoorbeeld ISO 27001/ en ISAE 3402-certificeringen zijn daarvoor een betere graadmeter. Veelzeggend in dit verband was het nieuws eind juli dat De Nederlandsche Bank Amazon Web Services heeft goedgekeurd voor gebruik door financiële en bancaire instellingen. DNB is van oordeel dat de IaaS-cloud van Amazon volledig compliant is met de geldende regelgeving en staat het gebruik van AWS toe voor alle facetten van de Nederlandse financiële transacties. CLASSIFICATIE VOOR DE CLOUD Het mag duidelijk zijn dat cloud computing op alle niveaus een veelbesproken onderwerp is dat zelfs een plaatsje heeft weten te veroveren op de politieke agenda. De actuele ontwikkelingen geven ook duidelijk aan dat de cloud nog erg schimmig is. Des te belangrijker is het dan ook om de gang naar de cloud grondig voor te bereiden, zodat je weet wat je te wachten staat. Het proces van het selecteren en boeken van de juiste reis is misschien wel belangrijker dan de reis zelf. Om te voorkomen dat een organisatie de controle in de cloud verliest, zal eerst een gedegen cloud-strategie moeten worden opgesteld. Een belangrijke eerste stap is het aan de hand van dataclassificaties bepalen welke data waar mogen staan. Zoals het gebruikelijk is om binnen het interne netwerk een gouden zone te definiëren voor de kostbaarste kroonjuwelen, is het nu ook zaak om te bepalen welk type informatie beslist niet in de cloud mag staan. Zo zal Coca-Cola de Coca-Cola-formule niet beschikbaar stellen via een publieke cloud-dienst; die moet binnen het eigen netwerk worden beveiligd en beschermd. Daarna blijft er een verzameling data over die wel in de cloud mag staan, maar ook hier kan nog een tweedeling worden aangebracht. De data die misschien Een belangrijke eerste stap is het aan de hand van dataclassificaties bepalen welke data waar mogen staan keur binnen Nederland bevindt. Om er zeker van te zijn dat de cloud provider de integriteit, vertrouwelijkheid en beschikbaarheid van informatie goed heeft geregeld, is het goed om erop te letten dat de leverancier is gecertificeerd voor bijvoorbeeld ISO 27001, ISO en ISO 9001 en ook ISAE Daarmee toont de leverancier aan de processen aantoonbaar op orde te hebben. Bij voorkeur is de cloud-leverancier in staat om de beveiliging van de private cloud in te richten met zaken als firewall-functionaliteit, Identity and Access Management, en generieke zaken als weerbaarheid, security monitoring en incident response. De data die niet als direct gevoelig worden gekwalificeerd kunnen probleemloos in een publieke cloud worden geplaatst, bijvoorbeeld van Amazon of Microsoft. Maar ook hier is het raadzaam om na te denken over de beveiliging. Zo kan er voor worden gekozen om een applicatie eerst dusdanig volwassen te maken dat deze in staat is om zichzelf en haar data te beschermen. EXTRA MAATREGELEN Met het afnemen van diensten uit de cloud wordt het beheer van de digitale identiteiten complexer. Bijvoorbeeld een system integrator kan ervoor zorgen dat de verschillende diensten die een bedrijf uit de cloud afneemt aan elkaar worden geknoopt zodat vanaf één punt kan worden ingelogd. Op die manier is er één identiteit voor zowel on-premise als in de cloud. Security monitoring kan vervolgens een extra maatregel zijn om grip te houden op security binnen uw ICT-omgeving die zich on-premise kan bevinden, maar ook in de private cloud. Op basis van automatische geavanceerde analyses voor grote hoeveelheden (log-) data worden afwijkende patronen en mogelijke beveiligingsincidenten gesignaleerd. Een MOTIV MSAFE Publieke diensten voor bestandsuitwisseling en opslag zoals Dropbox zijn even populair als omstreden. Zo bestaat het risico dat derden bestanden afluisteren of onderscheppen. Ook kan het gebeuren dat gebruikers bestanden verkeerd adresseren. msafe is een zakelijke oplossing van Motiv voor het veilig, digitaal uitwisselen van allerhande vertrouwelijke bestanden. Met Motiv msafe zijn bestanden tot 10 GB veilig te delen met geautoriseerde gebruikers. Sterke authenticatie en de versleuteling van zowel de opslag als het transport van digitale bestanden is altijd van toepassing. msafe is leverbaar tegen een vaste vergoeding voor het gebruik van opslagcapaciteit en het aantal downloads en als maatwerkdienst. recente ontwikkeling hierin is dat de zogenoemde SIEM-omgeving wordt gekoppeld aan directory s en security Een reis boeken is belangrijker dan de reis zelf intelligence-databronnen. Hierdoor worden incidenten beter zichtbaar en in veel gevallen gekoppeld aan een individueel gebruikers/beheerdersaccount. Security monitoring is de basis om incident response-processen goed te laten functioneren. Deze monitoring-functie kan ook worden belegd binnen een Security Operations Center dat niet alleen zorgt voor monitoring en detectie, maar ook voor een beter inzicht en incident-response. Bastiaan Schoonhoven is marketing manager bij Motiv Bastiaan Schoonhoven: ISO 27001/ en ISAE 3402-certificeringen zijn een betere graadmeter dan een Europese cloud. 10 INFOSECURITY.NL MAGAZINE - NR. 4 - OKTOBER

7 g Fraud Management-software DOOR TEUS MOLENAAR IT belangrijkste De Association of Certified Fraud Examiners (ACFE) is de grootste antifraude organisatie, die in november een seminar houdt met de titel Big Data & Internal Investigations. Er zijn sprekers van de Hogeschool Leiden, Universiteit Maastricht, Universiteit Leiden, Internationaal Tribunaal VN en ABN AMRO. Vreemd genoeg niemand van de overheid, hoewel zorgen uitkeringsfraude zeer bedenkelijke fenomenen zijn. Toch geeft dit seminar wel aan dat het onderwerp hot is. En dat mag ook wel, want uit een wereldwijd onderzoek van ACFE blijkt dat er heel veel geld verloren gaat als gevolg van fraude, terwijl de pakkans verontrustend laag is. KLEINE PAKKANS De uitkomsten van het onderzoek van ACFE Report to the nations on occupational fraud and abuse 2012 Global fraud study zijn schokkend. Zo blijkt dat de gemiddelde onderneming vijf procent van haar omzet verliest als gevolg van fraude. De meest voorkomende vorm is die van werknemers die goederen achterover drukken. Maar de maximale schade wapen tegen fraude Fraude in de bouw, de vastgoedsector, hypotheken, belastingtoeslagen, nepartsen en met BTW. De lijst met oplichterij wordt steeds langer en ook in Nederland lijkt corruptie schering en inslag. Volgens Mark Raben, Director Innovation & Product Strategy bij SAP Nederland, is het dan ook tijd om big data in te zetten tegen de fraudeurs. Jammer dat IT niet grootschaliger wordt ingezet om dit maatschappelijk probleem gerichter aan te pakken. daarbij blijft beperkt tot circa euro per jaar. Financiële fraude komt in acht procent van de gevallen voor, maar hier gaat het dan wel om minstens euro per geval. Fraude komt het meest voor in de banksector en andere financiële dienstverlening, gevolgd door de overheid en andere publieke organisaties. De maakindustrie is respectievelijk de derde sector met het grootste verlies. Maar wat het meest opvallend is, zegt Raben, is dat het zo lang duurt voordat een fraudegeval aan het licht komt. De gemiddelde ontdekkingstijd is achttien maanden. Wat hem nog meer schokte, is dat de meeste organisaties geen controlemechanismen of andere methoden in gebruik hebben om malversaties tijdig op te sporen. En dat terwijl toch is gebleken dat er een overduidelijke correlatie is tussen de aanwezigheid van antifraude controles en lagere fraudebedragen en een kortere duur van het bedrog. Organisaties die om het even welke van de zestien gebruikelijke antifraude mechanismen in gebruik hebben, ervaren minder verlies. Wat het meest opvallend is, is dat het zo lang duurt voordat een fraudegeval aan het licht komt TIPS De meest gebruikelijke maatregelen zijn onder meer: externe audits van de boekhouding, een door medewerkers ondertekende gedragsregeling, een onafhankelijke controlecommissie, een hotline, training voor managers, verplichte baanrotatie, en een beloning voor klokkenluiders. Sinds het eerste onderzoek blijkt dat fraude het meest aan het licht komt door tips. In 2012 was dit bij ruim 40 procent van de gevallen. Gevolgd door 15 procent van de managers die de gang van zaken controleert en 14 procent door interne audits. En dan volgen er nog acht methoden, waarvan per ongeluk op de vierde plaats staat, en IT als laatste (met circa 1 procent). De constatering dat gebruikmaking van informatietechnologie om fraude te detecteren nauwelijks voorkomt, verbaast Raben. Dat geeft toch wel weer aan dat er een heel grote onbekendheid bestaat met deze materie. Dat kunnen wij onszelf aantrekken, zegt deze vertegenwoordiger van de IT-industrie. MAATSCHAPPELIJK BELANG Hij wijst erop dat bij fraude en corruptie echt een maatschappelijk belang speelt. Op het moment dat een verzekeringsmaatschappij wordt opgelicht, leidt dat uiteindelijk tot hogere premies en dus tot maatschappelijke onvrede. In Nederland zijn een voertuigenverzekering bij het bezit van een auto en een zorgverzekering verplicht; daar ontkom je niet aan. Belastingfraude en uitkeringsfraude leiden tot minder inkomsten en hogere uitgaven bij de overheid dan noodzakelijk. Dit is dan ook een onderwerp dat terecht politieke belangstelling heeft. Het is niet voor niets dat minister Schippers op Prinsjesdag een plan van aanpak heeft gepresenteerd om de zorgfraude te bestrijden. Hij zou echter wel willen dat er meer aandacht is voor de rol die informatietechnologie op dit vlak kan spelen. Vrijwel alle informatieverkeer en dat geldt ook, misschien wel juist, voor financiële transacties verloopt tegenwoordig digitaal. Hier kunnen we de term big data met gemak hanteren. Want het gaat om enorme hoeveelheden gegevens. Te veel om met de hand uit te zoeken, zoals gebruikelijk bij audits en controle door managers. Dat is bovendien foutgevoe- 12 INFOSECURITY MAGAZINE - NR. 4 - OKTOBER

8 g Fraud Management-software networking, wireless, security en storage & servers lig, omdat veel auditeurs en managers niet op de hoogte zijn van de jongste wet- en regelgeving, en bovendien door vermoeidheid wel wat cijfers over het hoofd kunnen zien. Dit verklaart de lage pakkans en de lange tijd die sjoemelaars hebben om hun ongewenste acties voort te zetten. Wij hebben Fraud Management-software op de markt gebracht die hierbij een rol kan spelen. Voor de verzekeringsbranche hebben we zelfs een speciale versie van de programmatuur ontwikkeld, zegt Raben. ZO SNEL MOGELIJK Bij fraudebestrijding gaat het erom zo snel mogelijk te handelen nadat eenmaal iets is ontdekt. Dat betekent dat een organisatie wel een draaiboek moet hebben met de te ondernemen acties op een constatering dat iemand onoorbaar heeft gehandeld. Maar het betekent ook dat eventuele misstanden zo snel mogelijk aan het licht moeten komen. Hierbij speelt IT een belangrijke rol. Het is zaak al die gegevens te doorzoeken op afwijkingen. Denk hierbij aan tijdstippen waarop iemand handelingen verricht, want buiten reguliere kantoortijden mag je verwachten dat medewerkers niet aan het werk zijn. Zo moet IT ook incidenten kunnen opsporen als iemand met bedragen manipuleert waartoe hij niet is gerechtigd. Je moet verschillende gegevens aan elkaar koppelen. Er is een bestand met alle codes die artsen krijgen om te kunnen declareren bij verzekeringsmaatschappijen. Sommige artsen zijn overleden, of zitten in de gevangenis, waarbij iemand dan hun code gebruikt om handelingen te declareren. Het moet toch niet zo moeilijk zijn om de gebruikte codes te verifiëren. Toch is dat misschien helemaal niet nodig. Stel dat je zoveel declaraties binnen krijgt op één code, waarbij het vrijwel in de tijd gezien onmogelijk is dat iemand zoveel doet. Dergelijke frauduleuze handelingen komen dankzij het gebruik van IT meteen aan het licht, zodat de fraudeur niet de gelegenheid krijgt om door te gaan met zijn verwerpelijke praktijken. Iedereen moet er in de praktijk scherper op zijn, dan weet ik zeker dat we dit fenomeen grotendeels de baas kunnen zijn, stelt Raben. REAL-TIME Met de in-memory database SAP HANA is het mogelijk om enorme hoeveelheden gegevens real-time te analyseren. Dan kun je die ontdekkingstijd terugschroeven van achttien maanden naar achttien seconden of misschien nog minder. Op het moment dat je een afwijking ontdekt, dan kun je ervoor kiezen om de fraudeur nog een tijdje door te laten gaan om meer bewijsmateriaal te verzamelen, of meteen de politie in te schakelen. In dat draaiboek moet staan hoe je moet handelen. Maar het begint met het implementeren van een systeem dat real-time, de klok rond, het hele jaar door, razendsnel analyseert of er afwijkingen voorkomen. Want dat is wat het systeem doet: gedragingen afzetten tegen de ingevoerde parameters. Zo vindt het patronen, verbanden en correlaties, in relatie tot wat is gedefinieerd als toelaatbaar gedrag. De meeste BI-leveranciers hebben algoritmen ontwikkeld voor wie dit werk een koud kunstje is. Maar je moet wel over een database beschikken die in staat is die snelheden te halen, geeft Raben aan. DALING FRAUDE INTERNET- BANKIEREN De daling bij fraude via internetbankieren in Nederland bleek het eerste half jaar van 2013 significant. In het eerste half jaar van 2012 ging nog bijna 25 miljoen euro verloren bij de Nederlandse banken; een jaar later is dat 4,2 miljoen euro; een daling van 82 procent. Volgens de Vereniging van Nederlandse Banken is de teruglopende opbrengst voor cybercriminelen het gevolg van betere fraudeherkenning, voortvarend politieoptreden en een alerter publiek. De activiteiten van de fraudeurs zelf zijn niet afgenomen; alleen het effect ervan. Wellicht hebben zij hun activiteiten uitgebreid, want in België is juist sprake van een enorme toename van fraudegevallen met internetbankieren. De eerste helft van 2013 leverde al net zoveel problemen op als over heel Een voorlichtingscampagne zoals de Belgische overheid voorstaat, helpt wel, maar een betere fraudeherkenning via Fraud Management-software bij de banken zet meer zoden aan de dijk. Welke tips hij nog meer heeft? Je moet ervoor zorgen dat het systeem waarschuwingen afgeeft bij de juiste personen op het moment dat het afwijkingen constateert. Zorg dat de fraudeurs hun verfoeilijke werk niet meer kunnen voortzetten, of volg hun handelingen nauwgezet om later in te grijpen. Vorm een dossier. Daarbij kun je verschillende geografieën in het dossier opnemen, want de software is niet aan landsgrenzen gebonden. Hij vindt eveneens dat de regels voor fraudedetectie in het systeem makkelijk aanpasbaar moeten zijn. De wereld van (overheids)afspraken en regelingen verandert immers constant. Tot slot geeft hij aan dat het nodig is een simulatieomgeving te bouwen om de werking van het systeem voor fraudebeheer te testen met als doel het aantal valse alarmen te minimaliseren. Maar misschien het belangrijkst nog wel is de boodschap tussen de oren te krijgen van de beslissers dat IT hier een cruciale rol kan vervullen, aldus Raben. live wireless demo s Kom naar stand A132 TechAccess is distributeur van Pantone Cool Gray 9 Pantone 368 Pantone 2925 Pantone Cool Gray 9 100% Black Waarom TechAccess? Uw distributeur voor uw security-, networking-, wireless- en storage&servers vraagstukken. Op stand A132 zal TechAccess gedurende deze twee dagen live wireless demo s geven van onder andere Juniper, Aruba Networks, Fortinet en Meraki. Daarnaast wordt Mobile Device Management in één adem genoemd met wireless, Bring Your Own Device. Hiervoor presenteren wij de uitstekende oplossing van MobileIron. Andere oplossingen die TechAccess o.a. biedt zijn: Two Factor Authenticatie Next Generation Firewalls Next Generation Threat Protection Mail en Web security Storage Back-up Routing Servers Fiber channel switches DDoS protection SSL VPN DNS/DHCP Optics Switching DWDM/CWDM archiving Load Balancing Al de productgroepen kunnen ondersteund worden met behulp van de TechAccess services: Presales support Trainingen onderhoudscontracten Testapparatuur, demo s en pilots wireless site survey Telemarketing TechAccess value Added it distribution ekkersrijt 4601, 5692 dr son T consultancy istallatie service helpdesk support verhuur marketing reparatie 14 INFOSECURITY MAGAZINE - NR. 4 - OKTOBER

9 g Onderzoek van WatchGuard wijst uit: DOOR ETIENNE VAN DER WOUDE Hou drie typen hackers Hoe beter wij onze vrienden, kennissen of buren kennen, hoe beter we elkaar begrijpen en - dus - met elkaar omgaan. Dat geldt niet alleen voor menselijke relaties, maar ook voor de wereld van informatiebeveiliging. Laten we daarom een gewetensvraag stellen: hoe goed kent u uw vijanden? Letterlijk. Pak de meest recente security-incidenten die uw organisatie heeft meegemaakt: kent u de persoon die achter dit incident zat? Wat hem ertoe gebracht heeft juist uw organisatie op de korrel te nemen? Of om überhaupt zich met deze - zeg maar - tak van sport te gaan bezighouden? ESSENTIËLE INFORMATIE Grote kans is dat u het antwoord op deze vragen schuldig moet blijven. Dat is een gemiste kans, want hoe goed uw technische beschermingsmaatregelen ook mogen zijn, als u niets weet over de motivatie van uw tegenstander, ontbreekt er essentiële informatie die het verschil kan uitmaken tussen succes en falen. Onderzoek van WatchGuard heeft uitgewezen dat er drie typen hackers bestaan: de hacktivist, de cybercrimineel en de door landen of staten gesponsorde aanvallers. in de gaten Veel IT-afdelingen hebben een goede kennis van de technologie die zij gebruiken om hun organisatie of datacenter te beschermen tegen cybercriminelen. Of het nu gaat om UTM-appliances, oplossingen voor compliance management, tools om wifi-netwerken af te schermen of BYOD device management. Maar kennen zij hun vijanden net zo goed als zij met dit soort tools uit de voeten kunnen? THE HACKTIVIST De hacktivist wordt gedreven door politieke motieven. We hebben het hier in de regel over politieke activisten die de kracht van internet hebben ontdekt. Zij gebruiken cyberaanvallen als manier om hun politieke boodschap gehoord te krijgen of kracht bij te zetten. Denk aan groepen als Anonymous, maar ook aan de acties van het Syrian Electronic Army. Veelal gaat het om decentraal optredende groepjes individuen, waar geen sprake is van een centrale leiding. Ondanks het feit dat er van een georganiseerd verband vaak nauwelijks sprake is, kunnen deze groepen serieuze problemen veroorzaken. Zij maken veelal gebruik van gratis van internet geplukte script kiddie -tools als HOIC en LOIC, waarmee zij vooral DDOS (distributed denial of service) aanvallen uitvoeren. Dat is een op zich weinig sophisticated aanvalstype, maar de problemen zijn er voor hun doelwit niet minder groot door. Sommige hacktivists hebben echter meer techniek aan boord en kiezen voor aanvallen op webapplicaties - denk aan SQLinjecties - om gegevens te stelen. Hun doel is meestal om hun slachtoffer een slecht imago te bezorgen door gevoelige gegevens openbaar te maken. Een fenomeen dat doxing wordt genoemd. Hacktivists willen hun doelwit dwingen om - bijvoorbeeld - hun beleid aan te passen. Denk aan dierenwelzijn en dergelijke. Dit betekent dat zeker niet alleen overheden of multinationals op de korrel genomen worden, maar ook kleinere bedrijven het slachtoffer kunnen worden. CYBERCRIMINELEN Deze groep wordt gedreven door maar één doel: geld verdienen - op welke manier dan ook. Het lastige van deze groep is dat deze zo divers is. Er zitten éénpitters tussen, maar ook strak georganiseerde en gefinancierde maffiabendes. Gezamenlijk zijn zij wereldwijd goed voor een omzet van vele miljarden euros per jaar, geld dat zij stelen van zowel burgers, bedrijven als overheden. Cybercriminelen maken deel uit van een underground economy die groeit en bloeit als nooit te voren. Hier vindt een rauwe vorm van kapitalisme plaats waarbij sommige partijen nieuwe technologie en nieuwe producten ontwikkelen, andere groepen deze via webshops te koop of te huur aanbieden, terwijl weer andere groepen deze tools afnemen om daadwerkelijk aanvallen uit voeren. Soms zijn deze aanvallen bedoeld om geld afhandig te maken, maar veel aanvallen hebben ook tot doel om informatie te verzamelen die weer verhuurd of verkocht kan worden. Momenteel zijn web exploits als Blackhole, Phoenix en Nuclear Pack erg populair. Op basis hiervan kunnen zij vergaand geautomatiseerde aanvallen uitvoeren op argeloze gebruikers van websites of webapplicaties zonder dat deze personen er iets van merken (driveby attacks). Aanvallen, info verzamelen en categoriseren gebeurt allemaal geautomatiseerd. DOOR REGERINGEN GESPONSORDE AANVALLERS Dit is een relatief nieuwe groep van hackers waar veel analisten en security-bedrijven zich grote zorgen om maken. Deze hackers worden namelijk gefinancierd door regeringen om zeer geavanceerde technologie te ontwikkelen en te gebruiken om aanvallen op zorgvuldig geselecteerde bedrijven of overheidsinstellingen uit te voeren. Doel van de aanval is veelal het stelen van intellectuele eigendommen. Twee recente voorbeelden laten zien welke risico s we met dit type hackers lopen. Neem Operation Aurora. Algemeen wordt er van uitgegaan dat deze aanval is uitgevoerd door Chinese hackers om toegang te krijgen tot Google en een aantal andere grote bedrijven. Men was op zoek naar gevoelige bedrijfsinformatie. Dezelfde groep lijkt ook ingebroken te hebben - of pogingen daartoe gedaan te hebben - bij Amerikaanse veiligheidsdiensten. Stuxnet valt ook in deze categorie. In dit geval lijken een of meer staten opdracht gegeven te hebben voor het ontwikkelen van malware die zich niet alleen jarenlang schuil heeft gehouden in computersystemen die industriële installaties aansturen, maar die tevens in staat waren om zogeheten PLC s (programmable logic controllers) te infecteren zodat deze anders dan bedoeld zouden functioneren. De aanval leek met name gericht op de nucleaire installaties van Iran. ZEER GEAVANCEERD Van deze drie groepen hackers maakt de laatste groep in de regel gebruik van de meest geavanceerde tools. Juist door de betrokkenheid van een regering zijn de aanvallers veilig en kunnen zij veel geld investeren in het aantrekken van briljante researchers die - bewust of onbewust - aan het ontwikkelen van zeer geraffineerde software werken. Vaak wordt gebruikgemaakt van vulnerabilities die nog niet algemeen bekend zijn. Een teken dat personen aan het werk zijn met een zeer diepgaande kennis van de security-industrie. Kijk ook niet raar op als deze aanvallers gebruikmaken van stenografische technieken, kernel level rootkits en zeer geavanceerde vormen van encryptie. Allemaal bedoeld om bestaande securitymaatregelen te omzeilen en ontdekking van een aanval te voorkomen. Deze aanvallers zijn - niet onlogisch, gezien hun opdrachtgevers - zeer vasthoudend en staan er om bekend om hele series aanvallen op een bepaald doelwit uit te voeren, net zo lang tot men binnen is. Een fenomeen dat inmiddels ook wel advanced persistent threat (APT) wordt genoemd. Veel security professionals hebben de laatste jaren flinke vooruitgang geboekt als het gaat om het buiten de deur houden van de eerste twee typen hackers. De derde groep is daarentegen van een geheel ander niveau. In alle drie gevallen geldt echter dat we er als security professionals niet zijn met enkel en alleen het aanschaffen van moderne hardware en software tools. We moeten goed weten wie zich een weg naar binnen probeert te banen. Hebben we daar een goed beeld van, dan weten we ook meer over de tools en technieken die zij in de regel zullen gebruiken. En dat is zeer waardevolle informatie voor wie zijn business goed wil beschermen. Etienne van der Woude is Regional Sales Manager Benelux van WatchGuard 16 INFOSECURITY MAGAZINE - NR. 4 - OKTOBER

10 g Veilige, mobiele toegang vraagt om netwerken met ingebo uwde intelligentie DOOR EDUARD MEELHUYSEN Veel Wifi netwerkstructuren niet opgewassen tegen toename mobiel dataverkeer Bij het maken van plannen voor het uitrollen van gigabit Wifi staan de prestaties centraal als het gaat om het kiezen van de technologie. Intelligente netwerkarchitecturen vormen de tot dusver ontbrekende schakel voor de IT-afdeling om veilige en betrouwbare real-time data-overdracht te realiseren naar het groeiende aantal mobiele apparaten binnen een onderneming. Het netwerk wordt getransformeerd naar een niveau, waarmee de gebruikers meer business kunnen doen en de IT-afdeling wordt gezien als degene die business mogelijk maakt. Ongeacht het soort mobiele apparaat dat zijn weg weet te vinden naar de werkvloer, moeten IT-afdelingen een op afroep beschikbare netwerkdienst leveren die aan de functionaliteitseisen van de individuele gebruikers voldoet op het moment dat zij informatiebronnen binnen of buiten de onderneming raadplegen. Daarvoor moet het netwerk alsmede het bijbehorende systeem voor beheer en beveiliging aan elke situatie zijn aan te passen. In de door mobiliteit gedreven onderneming ligt de focus op de gebruiker en niet op de structuur van het netwerk en het aantal toegangspoorten. De dagen dat elke werkplek drie aansluitingen had, liggen lang achter ons. Gebruikers werken nu vanaf elke plaats met willekeurig welk apparaat en verwachten onbeperkte, draadloze aansluitingen. Bring Your Own Device (BYOD) projecten zijn aan de orde van de dag. Netwerkbeheerders moeten hun oplossingen voortdurend toetsen aan de mogelijkheid applicaties op een veilige manier te laten draaien op apparaten in eigen beheer, maar ook op apparaten van buiten de organisatie. ANDERE SPELREGELS Daarvoor zullen ze inzicht moeten hebben in functionaliteit die nodig is om ervoor te zorgen dat apparaten onder alle omstandigheden veilig en productief zijn te gebruiken met inachtneming van de privacy-regels. In het verleden lag het probleem voor de IT-afdeling om meer capaciteit ter beschikking te stellen niet in het realiseren van de aansluitingen, maar in vrijmaken van systeembronnen op het moment dat mobiele apparaten zich al binnen de onderneming bevonden. De regels van het spel zijn veranderd. De technologie maakt alles mogelijk. Het succes van een mobiele implementatie is afhankelijk van de mate waarin we zekerheid verkrijgen over beveiliging en afstemming op beleidsregels. Die bepalen immers of apparaten gebruik kunnen maken van voor de betreffende gebruiker beschikbare systeembronnen of zijn afgesloten van services die niet voor hem of haar toegankelijk zijn. Tegelijkertijd moeten we voorkomen dat het aantal aangesloten apparaten de voorhanden systeembronnen niet gaat overbelasten. INZICHT EN CONTROLE Inzicht in de applicaties en controle op het gebruik is de belangrijkste stap bij het optimaliseren van het bedrijfsnetwerk voor mobiel gebruik. Voor een netwerkbeheerder is het van groot belang om exact te weten hoe de systeembronnen zich gedragen op het moment dat alle nieuwe apparaten op het netwerk actief zijn. Worden de radiogolven niet te veel afgeschermd, is er voldoende bandbreedte op het WAN (Wide Area Network), presteert het netwerk naar behoren? Op al die vragen moeten ze antwoord kunnen geven en daarop handelen. Dat is een uitdaging. Laten we capaciteit als voorbeeld nemen. Een recent uitgevoerde studie toont dat omstreeks 2016 de gemiddelde mobiele gebruiker ongeveer zes keer meer webpagina s opent en veertien keer meer megabytes aan applicaties activeert op zijn apparaat dan de gebruiker nu. Wanneer je die cijfers vertaalt naar de huidige Wifi-capaciteit, dan zijn de problemen voorspelbaar. Bedrijfsnetwerken moeten in staat zijn om te gaan met een enorme toename in datatransmissiesnelheid over Wifi. Sedert 2003 was die redelijk stabiel. De eerste voorwaarde is dat je die toename van de netwerkbelasting waarneemt en de oorzaken van de verandering vanuit het juiste perspectief analyseert. Netwerkbeheerders zullen tot op detailniveau moet kunnen aangeven wie, waarmee en wanneer op het netwerk is aangesloten. Pas aan de hand van die informatie kunnen zij zich toeleggen op het optimaliseren van de netwerkfunctionaliteit voor die betreffende gebruiker. Door met behulp van beheerinstrumenten zowel waar te nemen als te beïnvloeden kunnen organisaties met robuuste Quality of Service (QoS) mobiele netwerkdiensten leveren, afgestemd op de wensen van individuele gebruikers. LANGE TERMIJN-VISIE Wanneer je alleen maar zicht hebt op het gebruik van mobiele apparaten, heb je een probleem, want uiteindelijk zal je de trends, de capaciteitsplanning en het netwerkgebruik bedrijfsbreed over een reeks van systemen er ook bij moeten betrekken. Om die reden eisen organisaties met een lange termijn-visie standaardisering op systemen en netwerkstructuren. Bijvoorbeeld: één toegangslaag die is geoptimaliseerd voor mobiel gebruik en één controlevoorziening waarmee is waar te nemen wat precies op het netwerk is aangesloten, wie de gebruiker is en of de verbinding zich wel leent voor hetgeen de gebruiker aan het doen is. In 2016 opent de gemiddelde mobiele gebruiker 6x meer webpagina's en activeert 14x meer megabytes aan applicaties Daarvoor heb je netwerken met ingebouwde intelligentie nodig. Traditionele netwerkinfrastructuren kunnen niet omgaan met complexe beveiliging- en beheerfunctionaliteit, laat staan dat ze opgewassen zijn tegen de massale toename van het netwerkverkeer. De realiteit leert dat de capaciteitsbehoefte alleen maar zal toenemen. De beperkingen in prestaties van netwerken vormden tot nu toe de laatste barrière voor de overgang naar mobiele applicaties. De nieuwste richtlijn voor draadloze transmissie - 5 GHz, ac biedt een drie keer hogere snelheid dan de momenteel toegepaste standaard Wireless-N (802.11n). Met 5 GHz, ac-technologie zijn er geen beperkingen meer voor het invoeren van BYOD. De meest veeleisende applicaties laten zich dan probleemloos mobiel ontsluiten. De mobiele laag wordt de belangrijkste, veilige en betrouwbare toegang tot het bedrijfsnetwerk. Eduard Meelhuysen, Sales Director Northern Europe van Aerohive Networks AEROHIVE S WLAN- OPLOSSING BIJ HOOGVLIET- SUPERMARKTEN Aansluiting voor zelfscankassaterminals in 52 supermarkten Aansluiting voor 62 discount terminals in alle 62 supermarkten Aansluiting voor 62 Zebra QL220 + printers in alle 62 supermarkten Gecentraliseerd beheer op afstand van het gehele draadloze netwerk vanuit het hoofdkantoor Lage bandbreedte naar het centrale beheerpunt met de mogelijkheid om zonder verbinding met het hoofdkantoor te functioneren Onze investering in de Aerohive WLAN-oplossing betekent dat onze zelfscan- en kortingsterminals gemakkelijk op elk moment de hoge druk van grote gebruikersaantallen aankunnen. Het in de winkel faciliteren van mogelijkheden zoals zelfscan zorgt ervoor dat wij onze positie in de markt behouden. We hebben een zeer veilig systeem gekocht, een robuuste infrastructuur vanuit één plek te beheren. Net als bij onze eigen, succesvolle winkelformule kregen we waar voor ons geld, aldus Albert Cornelisse, IT-manager bij Hoogvliet. 18 INFOSECURITY MAGAZINE - NR. 4 - OKTOBER

11 g Cybercriminaliteit en verlies van kostbare informatie voorkomen DOOR ERIK REMMELZWAAL 100 procent veiligheid? Het kan wél! Om cybercriminaliteit en het verlies van kostbare informatie te voorkomen, moeten organisaties hun beveiliging steeds beter en strakker inrichten. Maar welk soort beveiliging hebben we daadwerkelijk nodig? Beleidsmakers en experts roepen al snel dat 100 procent veiligheid een utopie is. Maar als we die 100 procent toch niet gaan halen, waarom zullen we ons dan eigenlijk inspannen? Mensen en organisaties verschuilen zich achter dit idee, met als gevolg dat er te weinig of zelfs helemaal niets aan de beveiliging wordt gedaan. Het is deze lakse instelling in de basis die de talloze incidenten mogelijk maakt. En het enige waar die incidenten vervolgens toe leiden is praten, dure werkgroepen, adviezen en het ergst van alles: surveillance. Niets van dit alles leidt tot betere beveiliging, of leert de praktijk ons soms van wel? Verscholen achter het 100 procent veiligheid is een utopie idee mijdt men het echte probleem uit alle macht. Het is dus hoog tijd dat in die instelling verandering komt. Ik zeg dan ook:100 procent veiligheid is haalbaar. Ga daarom meteen voor dit doel, want alleen de weg daar naartoe is al ongelooflijk waardevol in de strijd tegen cybercriminaliteit, dataverlies en imago-schade. NUL PROCENT Als je kijkt naar de actuele situatie bij het gemiddelde Nederlandse bedrijf, dan schrik je wel even. In de 12 jaar dat ik de meest uiteenlopende organisaties heb bezocht, heb ik geleerd dat de beveiliging vaak verre van compleet is. Ik zou zeggen dat het gemiddelde bedrijf misschien maar op 30 procent veiligheid opereert. Er zijn zelfs gevallen waar de score naar mijn mening zelfs niet boven de nul procent komt. Het gaat dan om bedrijven die weliswaar beveiligingsoplossingen hebben aangeschaft en uitgerold, maar waar die spullen vervolgens niet of nauwelijks beheerd worden. En dan ben je in feite eigenlijk net zo veilig als zonder beveiliging. Beheer en onderhoud zijn essentieel voor de effectiviteit van iedere beveiligingsoplossing, dat is een van de eerste praktische zaken die wij bij klanten aanpakken. Maar bedrijven moeten vooral eerst heel goed nadenken over wat ze eigenlijk willen bereiken met informatiebeveiliging. Je kan de prachtigste beveiligingsoplossingen implementeren, maar als er geen goed plan en beleid achter zit, geef je een hoop geld uit zonder ook maar in de buurt van dat doel van 100 procent veiligheid te komen. Het draait dan om drie hoofdvragen. Ten eerste: wat zijn de doelstellingen van de beveiliging? Laat je niet puur leiden door allerlei adviezen en tips op internet, maar redeneer vanuit je eigen bedrijfsdoelstellingen. En realiseer je dat dit een managementonderwerp is, niet een ITonderwerp. RISICO S De tweede vraag is net zo belangrijk ten aanzien van de doelstelling: welke risico s loopt het bedrijf op dit moment? Welke potentiële schade kan worden aangericht? En zijn er misschien ook risico s die helemaal niet technisch van aard zijn, zoals vertrouwelijke papieren documenten die niet door de papierversnipperaar gaan, of een oude computer of server die wordt weggegooid en waar nog informatie op staat. Het is moeilijk voor te stellen, maar dat gebeurt bijna dagelijks. En ten derde moet er bepaald worden welke risico s wel en welke niet afgedicht moeten worden. Dat vraagt om goed onderbouwde keuzes. Het is bijna ondoenlijk om alles te beveiligen, maar het gaat erom dat je je wel bewust bent van de risico s zodat je de juiste strategie kan kiezen. Voor de risico s die je accepteert, richt je de nodige controles in om snel te signaleren als er iets mis gaat, zodat er ook snel en adequaat kan worden gereageerd. Op basis van de antwoorden op deze vragen kom je dan tot de uiteindelijke aanpak, die opnieuw uit drie aspecten bestaat: preventie, response en organisatie. Welke van deze drie aspecten als eerste wordt aangepakt is eigenlijk niet zo belangrijk, daar kunnen bedrijven zelf een keuze in maken. Als je ze uiteindelijk maar alle drie invult. Daarnaast is beveiliging geen project met een vast begin- en eindpunt; ieder van deze drie aspecten is aan verandering onderhevig, waardoor informatiebeveiliging een oneindig proces is. DRIE STAPPEN Bij preventie wordt aan de hand van het beleid en de inventarisatie gekeken hoe de eerder bepaalde risico s het beste kunnen worden voorkomen of afgedicht. Hierin speelt securitytechnologie een belangrijke rol, maar het vraagt ook om heldere beleidsregels en procedures. Bij response gaat het om het continu monitoren op verdachte activiteiten op het netwerk en de systemen, waarbij zonodig direct actie kan worden ondernomen. En bij organisatie tot slot, gaat het om het goed plannen, inrichten en formaliseren van de aanpak, de te nemen stappen en de procedures op het gebied van beveiliging. Over het algemeen zou ik adviseren om altijd bij de organisatie te beginnen, maar we weten dat veel bedrijven ook dringend op zoek zijn naar snelle oplossingen en die zijn dus in de andere twee onderdelen van de aanpak te vinden. Door in samenwerking met een deskundige partner de drie kernvragen volledig te beantwoorden en vervolgens preventie, response en organisatie optimaal in te richten, is die 100 procent veiligheid absoluut haalbaar. En zelfs als een bedrijf de laatste fracties van procentpunten niet haalt, zijn de meest voor de hand liggende dreigingen dan in ieder geval onder controle. Dus geen getreuzel en excuses meer, maar aanpakken! Erik Remmelzwaal is chief exective officer van DearBytes 20 INFOSECURITY MAGAZINE - NR. 4 - OKTOBER

12 g Holistische kijk op netwerkbeveiliging wordt pure noodzaak DOOR JAN HEIJDRA EN RIK CHORUS Het netwerk ziet alles Hoewel traditionele oplossingen voor netwerkbeveiliging zoals firewalls en IPS en noodzakelijk blijven, wordt het steeds belangrijker om te weten wat er op het netwerk zélf gebeurt. Moderne aanvalstechnieken weten zich steeds beter te vermommen als stealths en zijn daardoor door de gangbare perimeterbeveiliging moeilijk of niet te ontdekken of te stoppen. Dat vergt een steeds holistischer kijk op netwerkbeveiliging en de analyse van datastromen die dagelijks over de wereld gaan. Het beveiligingslandschap verandert snel en puntoplossingen zijn steeds minder afdoende als enige remedie tegen aanvallen. Daarom is in de loop der jaren een systeem ontwikkeld dat een veel bredere kijk op het netwerk mogelijk maakt en waardoor aanvallers ook op andere manieren kunnen worden ontdekt. Bekende aanvalstechnieken kunnen prima worden gepareerd met een goed ontworpen security-infrastructuur met componenten zoals intrusion prevention, antivirus, content security en firewalls. VINGERAFDRUKKEN Wanneer ze eenmaal binnen zijn, kunnen ze alleen daar nog ontdekt worden. Daarom wordt gekeken naar vingerafdrukken van de dreiging. Dit gebeurt door afwijkend gedrag te analyseren van het verkeer dat over de switches en routers van het netwerk gaat, wat aanwijzingen op kan leveren over geavanceerd aanvalsverkeer. Zo kan phising in principe door web security worden opgevangen, omdat te zien is of een link kwaadaardig is. Het verhaal wordt anders wanneer het gaat om handgemaakte aanvallen op specifieke doelwitten met een specifieke bedoeling. Deze aanvallen zijn vaak gebaseerd op kennis van een doel, vaak het netwerk zelf of een persoon in de organisatie, of beide. Wanneer zo n custom threat eenmaal door de perimeterdefensie heen is, wordt het actief in het hart van het netwerk, waar doorgaans veel minder bescherming aanwezig is. Door zich stil en schuil te houden in het geruis van normaal netwerkverkeer, kunnen deze dreigingen zich onder de radar verder verspreiden naar de uiteindelijke doelen. De perimeterverdediging beschikt niet over de ogen om dergelijke dreigingen te zien. Vaak komt dergelijke malware binnen via social engineering of phishing, of via externe media zoals usbsticks of eigen apparatuur van medewerkers (BYOD). Een specifiek voorbeeld is het StealthWatch-systeem van Lancope, dat voor de analyse wordt gebruikt. Cisco heeft nauw met dit bedrijf samengewerkt om de StealthWatch onderdeel te maken van de brede Cisco Cyber Threat Defense-oplossing. StealthWatch verzamelt en analyseert NetFlow- en IPFIX-informatie van Cisco-apparatuur. Daarnaast wordt gekeken naar de context van verkeer (identiteit, reputatie, applicatie, etc.) door informatie te analyseren die geleverd wordt door de Cisco Identity Service Engine, Cisco Secure Intelligence Operations en Cisco-routers. 24X7 Cisco Secure Intelligence Operations (SIO) verzamelt informatie afkomstig van bepaalde Cisco-apparatuur over de hele wereld en is in staat om de allernieuwste dreigingen zichtbaar te maken. Deze malware intelligence wordt gegenereerd door de dagelijkse analyse van 13 miljard bezoeken aan websites en het doorlichten (niet doorlézen!) van 93 miljard berichten per dag. Hier wordt gezocht naar afwijkende of opvallende verkeerspatronen. Dit werk wordt verricht door big data-specialisten, die 24 uur per dag actief zijn. Bij elkaar analyseert het SIO elke dag meer dan 100 TB aan data, afkomstig van meer dan twee miljoen beveiligingsapparaten. Ongeveer één op de twee klanten van Cisco is gelinkt aan SIO, waardoor de een de ander kan voeden. Uiteindelijk wordt alle relevante informatie overzichtelijk getoond op een beeldscherm. Cisco Secure Intelligence Operations (SIO) verzamelt informatie afkomstig van bepaalde Cisco-apparatuur over de hele wereld en is in staat om de allernieuwste dreigingen zichtbaar te maken. De beveiligingsanalist kan op basis hiervan verdachte activiteit waarnemen, gebruikersinformatie verzamelen, de gebruikte applicaties identificeren, de reputatie van de host zien en het potentiële gevaar inschatten. Is dat eenmaal bekend, dan kan nauwkeuriger gezocht gaan worden naar aanvalsmateriaal op het netwerk dat gebruikt zou kunnen worden in combinatie met handgemaakte malware. Ook kan nu gerichter gezocht worden naar malware die bijvoorbeeld backdoors creëert en kan de communicatie van de hacker met de gecompromitteerde interne hosts worden gevolgd. Tot slot kan worden nagegaan of er sprake is geweest van datadiefstal. Wij zijn er van overtuigd dat alleen een dergelijke geïntegreerde en holistische aanpak de enige juiste weg is om bedrijfsnetwerken en daarmee de economie van morgen te beschermen. Gelet op het steeds grotere gewicht van de digitale economie absolute noodzaak! Jan Heijdra is Product Specialist Data Center & Cloud Solutions. Rik Chorus is Product Specialist Security. Het SIO analyseert elke dag meer dan 100 TB aan data, afkomstig van meer dan twee miljoen beveiligingsapparaten 22 INFOSECURITY MAGAZINE - NR. 4 - OKTOBER

13 g Holistische kijk op netwerkbeveiliging wordt pure noodzaak g g Security CloudTour - STARTPUNT CLOUDTOUR STAND F120 VAN INFOSECURITY MAGAZINE.NL Cisco neemt storage serieus Dat Cisco storage steeds serieuzer neemt, blijkt onder meer uit de nauwe samenwerkingsverbanden die het bedrijf onderhoudt met storagespecialisten NetApp en EMC. Samen met NetApp maakt Cisco de Flexpods-platforms, terwijl Cisco met VMware en EMC via het samenwerkingsverband VCE de vblocks op de markt brengt. Daarnaast heeft Cisco begin september zijn voornemen bekendgemaakt om het Amerikaanse bedrijf Whiptail over te nemen. Whiptail is specialist op het gebied van solid-state geheugensystemen die zijn geoptimaliseerd voor high-performance computing (HPC). De systemen van Whiptail zijn schaalbaar van één tot 30 nodes en halen maar liefst ruim 4 miljoen IOPS (input/output operations per seconde). De ruwe capaciteit bedraagt in de grootste uitvoering 360 TB. Met deze acquisitie wil Cisco de performance van zijn Unified Computing System (UCS) een flinke boost geven. Juist businesskritische applicaties zoals virtualisatie, big data, databases en HPC zullen hiervan gaan profiteren. FLEXPOD Op het gebied van geconvergeerde infrastructuren toont Cisco op de Storage Expo onder meer Flexpods en vblocks. Het met NetApp ontwikkelde Flexpodplatform bestaat al weer bijna drie jaar. Afgelopen zomer is er een naamswijziging doorgevoerd: het Expresspod heet voortaan Flexpod Express en het standaard Flexpod heet nu Flexpod DataCenter. Belangrijk nieuws is dat beide bedrijven een nieuw Flexpod aankondigen, genaamd Flexpod Select. Deze oplossing is speciaal ontwikkeld voor big data-omgevingen en momenteel gevalideerd voor Cloudera en NortonWorks. Afgelopen jaar heeft Cisco het aantal gevalideerde oplossingen voor Flexpod sterk zien toenemen. Waren de validaties in het begin vooral op VMware gericht, nu worden er ook veel Microsoft- en Citrixworkloads gevalideerd. Juni jongstleden is al weer de derde versie van het Microsoft Private Cloud-ontwerp op Flexpod gepresenteerd. SAP HANA OP FLEXPOD Samen met partner Intenzz heeft Cisco een compleet package voor SAP HANA op het Flexpod ontwikkeld. Dit is een zogenaamde in-memory computing oplossing die voor een drastische versnelling van intensief rekenwerk zorgt. De Flexpod-appliance met SAP HANA wordt geleverd inclusief licenties, applicaties en implementatie. Tijdens de Storage Expo zal er een Flexpod op de Cisco-stand aanwezig zijn en kunnen genoemde innovaties worden besproken. NIEUWE VBLOCKS Medio september heeft VCE - zoals gemeld het samenwerkingsverband van VMware, Cisco en EMC - enkele nieuwe vblocks geannonceerd. Het gaat onder meer om de vblock 340, voorzien van de nieuwste VNX-systemen van EMC. Dit vblock is vier keer sneller dan het vorige 300-model en heeft een twee keer zo grote capaciteit. Later dit jaar zal VCE ook een vblock met ExtremeIO op de markt brengen bestemd voor VDI-omgevingen en een vblock voor high-performance database-omgevingen (Oracle). Bezoekers van de Storage Expo kunnen op de Cisco-stand een vblock bezichtigen. AUTOMATION & ORCHESTRA- TION MET UCS DIRECTOR IT-as-a-Service is tegenwoordig hét toverwoord voor veel organisaties. Wie snel moet kunnen reageren op veranderende omstandigheden stelt andere eisen aan de onderliggende IT-infrastructuur. Om via selfservice-portalen resources aan te kunnen vragen dient de onderliggende hardware gestandaardiseerd te zijn. Cisco realiseert dat door middel van een geconvergeerde infrastructuur. Hier bovenop draait Cisco UCS Director, de software voor centraal management, beheer en orkestratie. Tijdens de Storage Expo zullen er voortdurend demo s gegeven worden van UCS Director Automation & Orchestration. UCS ACCELERATOR (FUSION-IO) Op de B200-M3 blades en in de Cisco rackservers levert Cisco een UCS Storage Accelerator op basis van Fusion-io of LSI-technologie. Deze flash-gebaseerde oplossingen bieden een grote hoeveelheid IOPS om de workload richting harde schijf af te vangen en bevinden zich daarom zo dicht mogelijk bij de CPU op de blade of rackserver. Cisco ziet deze UCS Accelerator-technologie een enorme vlucht nemen, voornamelijk in virtuele en/of database-omgevingen. Tijdens de Storage Expo zullen hier demonstraties van worden gegeven en kunnen bezoekers de UCS Storage Accelerator/Fusionio-technologie bespreken met Cisco-medewerkers. Voor security gerelateerde vragen voor, tijdens of na Voor datacenter gerelateerde vragen voor, tijdens of na de Storage Op het gebied van geconvergeerde infrastructuren toont Cisco op de Storage Expo onder meer Flexpods en vblocks. Security Tour Barracuda, Dimension Data, SCOS en TSTC uitgelicht Op 30 en 31 oktober 2013 vindt in Hal 1 van de Jaarbeurs te Utrecht de beurs Infosecurity.nl plaats. Ook dit jaar gezamenlijk met de vakbeurzen Storage Expo en Tooling Event. Verderop in dit nummer treft u de volledige Beurscatalogus aan met de plattegrond, het seminarprogramma en de diverse sprekers. Dat IT een essentieel onderdeel is van de bedrijfsvoering, is geen nieuws meer. Dat medewerkers niet per definitie meer binnen de kantoormuren en/of vastgestelde kantooruren werken, ook niet. Zij zijn onderhand always on. Maar hoe komt het dan dat IT en met name security toch vaak uit de pas loopt met de vraag vanuit de business? Nog steeds wordt er reactief gewerkt en is men volgend, terwijl de business eigenlijk op zoek is naar een proactieve houding vanuit IT. Wanneer er een behoefte is, dan wil men het niet volgende week hebben, niet morgen of later op de dag, maar NU. Om op deze groeiende behoefte in te spelen zal de IT-organisatie applicaties en informatie op aanvraag direct moeten kunnen aanbieden. En daarom heeft de beursorganisatie dit jaar gekozen voor het thema: IT On DEMAND. Infosecurity magazine heeft een kwartet exposanten geselecteerd die in tien minuten tijd hun security-propositie uit de doeken doen. Op beide beursdagen (om en om 14.00) kunt u samen met een gids langs deze geselecteerde exposanten. Bezoekers kunnen zich vooraf (online bij de registratie) aanmelden om deel te nemen aan de Security Tour of spontaan meelopen door zich te melden bij de start van de rondleiding op de stand van Infosecurity magazine (standnummer E100). De exposanten die onderdeel uitmaken van de Security Tour krijgen de mogelijkheid om een presentatie van maximaal tien minuten te houden. Hierin kunnen zij in de vorm van een pitch hun security-propositie aan u kenbaar maken. Als Security Tour-volger krijgt u hierdoor in een korte tijd een goed beeld van de stand van zaken. Op de volgende pagina s presenteren Barracuda, Dimension Data, SCOS en TSTC zich als deelnemer aan de SecurityTour 24 INFOSECURITY MAGAZINE - NR. 4 - OKTOBER

14 g Security Tour - HALTE 1 SCOS Mobile Secure Managed File Transfer MOVEit van Ipswitch is bedoeld voor onbelemmerd veilig mobiel werken TSTC op Infosecurity met nieuwe trainingen en Masterclass Cloud Security Security Tour - HALTE 2 TSTC g SCOS Software te Hoofddorp komt met release MOVEit 8.0. Met dit softwarepakket kunnen werknemers die mobiel werken op een betrouwbare manier bestanden uitwisselen als onderdeel van de belangrijkste bedrijfsprocessen. Daarnaast biedt het pakket IT-afdelingen een veilige manier voor document- en bestandsoverdracht, compleet met logging en monitoring. MOVEit lost een probleem op waar bedrijven al jaren tegenaan lopen: mobiel werken waarbij een balans bestaat tussen veiligheid en productiviteit. In een poging het werk gedaan te krijgen, hanteren mobiele gebruikers nu vaak direct beschikbare file-sharing opties buiten de IT-structuur van het bedrijf. Deze aanpak zorgt voor zwakke plekken op het gebied van veiligheid, zichtbaarheid en controle binnen het bedrijf. Bovendien zijn de verzonden files niet automatisch gekoppeld aan bedrijfsprocessen. Door mobiele apparaten te integreren in een systeem voor Secure Managed File Transfer kunnen met MOVEit alle bestanden betrouwbaar en veilig afgeleverd worden. Bovendien houdt IT zicht en controle op het bestandsverkeer. Ook blijven bestanden dan gelinkt aan originele bedrijfsprocessen of zakelijke documenten. VEILIG INFORMATIE DELEN MOVEit 8.0 breidt de Managed File Transfer-functionaliteit uit voor mobiel gebruik op ios- en Android-apparaten, zodat mobiel geïntegreerd kan worden in bestaande processen van bestandsuitwisseling bij een bedrijf. Het maakt bestanden die binnen bedrijfssystemen gebruikt worden beschikbaar voor mobiele gebruikers. Gebruikers kunnen nieuwe bestanden uploaden, waarbij het bestandsverkeer automatisch wordt teruggevoerd naar de bedrijfssystemen. Daarnaast kunnen mobiele gebruikers veilig bestanden naar elkaar sturen en onderling informatie delen. Wij gebruiken MOVEit 8.0 om grote bestanden en patches naar onze klanten te versturen, waaronder beveiligingsreferenties, aldus Patrick Akkerman, support engineer van SCOS Benelux. We gebruiken MOVEit intern, omdat we hiermee eenvoudig en veilig grote.exe- en.msi-bestanden via kunnen versturen. Daarnaast kunnen onze klanten nu veilig bestanden naar ons sturen via onze upload portal. We hebben ook centrale controle over de gebruikerstoegang en de levenscyclus van een bestand. We weten nu zeker dat bestanden worden verwijderd als ze zijn ontvangen. Het is ook belangrijk dat we in staat zijn elke bestandsoverdracht te bewaken en te controleren. EXTRA FUNCTIES MOVEit 8.0 voegt ook extra functies toe die IT-afdelingen helpen te voldoen aan beveiligings- en compliance-eisen. Nieuwe beveiligingsfuncties zijn: Bescherming tegen kwetsbaarheden is uitgebreid met de nieuwste bescherming tegen de top 10 bedreigingen uit het Open Web Application Security Project (OWASP); Anti-virus beveiliging met ondersteuning voor McAfee, Symantec en Sophos; De beveiligingswizard is gestroomlijnd met lockdown-processen om de veiligheidsconfiguratie te verbeteren en noodzakelijke maatregelen te nemen om de veiligheid te waarborgen; De mogelijkheid van file-tracking met auditing-, zichtbaarheids- en controlemogelijkheden voor de naleving van PCI (Payment Card Industry), HIPAA/HITECH (Health Insurance Portability en Accountability Act) en SOX (Sarbanes - Oxley); Ondersteuning voor platformen als Windows Server 2012, Microsoft SQL Server 2012 en Microsoft Exchange/Outlook 2013; Verbeterd dashboard waardoor beheerders nu de mogelijkheid hebben gevoelige berichten te beschermen. U vindt SCOS 30 en 31 oktober Wie een rondje over de jaarlijkse Infosecurity expo wandelt en niet beter zou weten, zou kunnen denken dat een effectieve bescherming tegen cybercrime te koop is per doos. Even (laten) configureren, lampjes controleren en u en uw aandeelhouders kunnen weer rustig slapen. De werkelijkheid is dat het aantal IT security incidenten jaarlijks stijgt en criminelen steeds weer nieuwe technieken bedenken om duurbetaalde appliances ongemerkt te omzeilen. Het mogelijke gevolg is een wapenwedloop waarin u als verdedigende partij waarschijnlijk aan het kortste eind trekt. Opleider TSTC - voluit Tshukudu Technology College - is Nederlands specialist in compacte (IT) security trainingen en vertolkt op Infosecurity een heldere, andere boodschap: Security start bij mensen! Deze boodschap betekent niet dat er bij informatiebeveiliging geen technische oplossingen benodigd zijn, maar dat organisaties prioriteit zouden moeten geven aan het verhogen van het security kennisniveau van de individuele medewerker. De kern is dat het uiteindelijk mensen zijn die beleid verzinnen en controleren; mensen die techniek implementeren en monitoren; en mensen die vatbaar zijn voor bijvoorbeeld social engineering. De ervaring leert dat consequent investeren in training en opleiding, de kosten die gemaakt moeten worden voor het beveiligen van de organisatie onder de streep omlaag brengt en de effectiviteit ervan vergroot. TSTC OP INFOSECURITY TSTC is dit jaar voor de achtste keer op rij op Infosecurity aanwezig. Niet met 150 m 2 standruimte, zonder bestickerde dames maar mét ruimte en tijd voor een goed gesprek over opleiden, certificeren en persoonlijke ontwikkeling. Of u nu zelf op zoek bent naar een training of wanneer u de kennis van uw medewerkers naar een hoger plan wilt tillen, er zijn tal van mogelijkheden. Het volledige security opleidingsprogramma van TSTC bevat vandaag de dag ruim dertig, meest vendor-onafhankelijke titels en groeit nog elk kwartaal. In veel gevallen zijn cursisten niet langer dan drie tot vijf dagen van hun werkplek afwezig en wordt de training afgesloten met een internationaal erkende certificering. Maatwerk behoort ook tot de mogelijkheden wanneer een bedrijf behoefte heeft aan meer diepgang op een specifiek terrein of een op de eigen situatie toegespitste, verkorte training. Dit jaar presenteert TSTC zich op Infosecurity met een korte masterclass Cloud Security door subject expert Duane Anderson. Deze herhaalt zich een aantal keer per dag op de stand. De presentatie behandelt zowel de business consequenties van Cloud Security als de meer technische aspecten ervan zodat er voor elke bezoeker van de beurs iets te leren valt. Na afloop van een sessie is er gelegenheid om over dit onderwerp door te praten. U ontvangt dan tevens een kortingsvoucher voor de nieuwe 5-daagse Cloud Security, Audit & Compliance (CSAC) training die TSTC als eerste opleider in Nederland verzorgt. WAAROM TSTC? Acht jaar geleden onderkende TSTC dat training in security niet alleen voorbehouden zou moeten zijn aan technische vendors als Cisco, Microsoft of Checkpoint. Sinds die tijd is de opleider uitgegroeid tot dé Nederlandse specialist in onafhankelijke trainingen op de terreinen informatiebeveiliging en IT security. Een training bij TSTC voldoet altijd aan de volgende eisen: een klassikale kwaliteitstraining van een praktijkervaren- maar ook didactisch vaardige trainer, een huiselijke- maar ook professionele sfeer en een duidelijke meerwaarde boven zelfstudie. Dit uit zich bij de technisch georiënteerde trainingen in uitdagende hands-on praktijklabs waar in tactische en strategische titels veel aandacht is voor discussie en interactie. Het belangrijkste doel van een training is dat professionals met direct toepasbare, nieuwe kennis terugkeren op hun werkplek. Toch is voor veel deelnemers en organisaties het behalen van een certificering ook van belang. Zonder er een examentraining van te maken, worden cursisten bij TSTC zodanig opgeleid dat de kans van slagen voor het examen (indien van toepassing) zeer groot is. Slagingsgarantie garandeert dat men bij onverhoopte zaken kosteloos opnieuw aan een training mag deelnemen of zelfs zonder kosten opnieuw examen mag doen. NIEUWE TRAININGEN Volgens TSTC is er steeds meer vraag naar specialistische, korte cursussen op specifieke security terreinen. Veel professionals die de meer generieke trainingen hebben afgerond en de bijbehorende bekende certificeringen hebben behaald, geven aan behoefte te hebben aan verdieping en praktijkoefening. Korte vervolgtrainingen onder leiding van praktijkexperts kunnen in deze behoefte voorzien. Te denken valt aan trainingen over het beveiligen van mobile devices, een verdieping in encryptie en het penetratietesten van webapplicaties aan de hand van de OWASP Testing Guide. De markt voor de bestaande trainingen en certificeringen als CISSP, Certified Ethical Hacker (CEH), CRISC en CISA lijkt echter nog lang niet verzadigd. Veel bedrijven onderkennen pas sinds kort de kloof tussen aanwezige kennis en de bedreigingen van cybercriminaliteit voor het imago en de toekomst van de organisatie. Opleiding is het aangewezen middel om deze kloof te dichten en uw organisatie tegen kwaadwillenden te berschermen. U vindt TSTC 30 en 31 oktober op Infosecurity stand 01D INFOSECURITY MAGAZINE - NR. 4 - OKTOBER

15 g Security Tour - HALTE 3 DIMENSION DATA Security Tour - HALTE 4 BARRACUDA g Vind oplossingen voor uw IT-vraagstukken op de stand van Dimension Data IT wordt steeds complexer en meeromvattend. Denk alleen maar aan de onderwerpen Cloud, Security en Datacenter en de vragen komen vanzelf bij u op. Zoals: hoe bereidt u uw datacenter voor op de cloud? Of: hoe gaat u om met security-bedreigingen zoals DDoS-aanvallen? Gelukkig is er op 30 en 31 oktober Infosecurity en Storage Expo. Op de stand van Dimension Data (A144) kunt u met onze experts bijpraten over de vraagstukken die in uw organisatie spelen. Via een live demo kunt u kennismaken met onze enterprise grade Public/ Private Cloud-diensten. Daarnaast besteden wij op onze stand aandacht aan tal van actuele onderwerpen op het gebied van cloud, security en datacenter. DAGELIJKSE PRESENTATIE IN HET CASE STUDY-PROGRAMMA: Onderwerp: EEN DDOS-AANVAL?! HOE BLIJF IK IN CONTROL EN KRIJG IK MEER INZICHT? Tijdstip: 10:15 10:45 uur Locatie: zaal 1 Wilt u graag live zien hoe een DDoS aanval wordt gedaan? Kom dan naar onze case study presentatie. Tevens krijgt u handvatten mee hoe u de controle over uw omgeving terugkrijgt en welke maatregelen u kunt nemen om een DDoS aanval te voorkomen. Topics waarvoor u bij Dimension Data op de stand terecht kunt zijn: SECURITY: Secure Enterprise Mobility Smart Threat Protection DDoS Secure Application Optimization DATACENTER: Integrated Secure Datacenter Big Data/VDI Solutions Validated Datacenter designs CLOUD: Dimension Data Public/ Private Cloud Demo Network Centric Cloud Secure Cloud U vindt Dimension Data 30 en 31 oktober op Infosecurity stand 01A144 Nieuwe IT-uitdagingen vragen om slimme security De invoering van cloud-toepassingen en nieuwe technologieën, zoals sociale media, online samenwerking, opslagmedia, C/BYOD, biedt de mogelijkheid voor een rijkere, meer gedifferentieerde en effectievere gebruikerservaring voor een steeds meer diverse gemeenschap van gebruikers. Het valt echter niet mee om met de krimpende budgetten te voldoen aan de toenemende vraag naar IT-services die met deze voordelen gepaard gaat. Bovendien worden de huidige IT-beheerders dagelijks geconfronteerd met een aantal nieuwe uitdagingen, die niet op een kosteneffectieve manier kunnen worden aangepakt met traditionele IT-oplossingen. Op de Barracuda-stand (A136) krijgt u antwoord op de vraag hoe al deze nieuwe technologieën en de cloud zich de afgelopen jaren hebben ontwikkeld en hoe wij als gevolg hiervan de beveiliging en data opslag hebben moeten herdefiniëren. GEAVANCEERDE CONTENT- BEVEILIGING EN GEGEVENS- BESCHERMING Barracuda Networks levert rendabele, eersteklas IT-oplossingen voor alle type organisaties. Deze oplossingen leveren een snel rendement op de investering en zijn voorzien van geavanceerde mogelijkheden en functies die nodig zijn om de complexe uitdagingen waar beheerders van vandaag de dag mee worden geconfronteerd, op een eenvoudige en makkelijke manier het hoofd te bieden. Barracuda s beveiligings- en opslagoplossingen vereenvoudigen cloud adoptie & investeringskosten drastisch voor zowel fysieke als virtuele omgevingen. Met onze full feature platform verkleinen wij uitdagingen rondom integratie en het incalculeren van de kosten. Om een paar oplossingen te noemen waarmee u bij ons op de stand kunt kennismaken: BARRACUDA BACKUP Naadloze, end-to-end data bescherming en DR-oplossing die software, hardware en cloud combineert in een centraal beheerd platform met onbeperkte capaciteit opties. BARRACUDA WEB SECURITY Bij vele eindgebruikers van de 21 e eeuw is een voortdurende interactie met online bronnen en toepassingen eenvoudigweg niet meer weg te denken. Ondanks het risico op illegale content, verspilde bandbreedte en het verlies van vertrouwelijke gegevens. Met de Barracuda Web Filter kunnen medewerkers genieten van alle voordelen die een internetverbinding biedt, zonder dat ze zich zorgen hoeven te maken over de risico s. BARRACUDA WEB APPLICATION FIREWALL De Barracuda Web Application Firewall blokkeert een steeds groeiende lijst van geavanceerde web-based inbraken en aanvallen die zich richten op gehoste applicaties op webservers en in de cloud. De Barracuda Web Application Firewall scant al het inkomende internetverkeer om aanvallen te blokkeren en scant al het uitgaande verkeer tot een zeer effectieve Data Loss Prevention (DLP). Het is verkrijgbaar als een fysieke of virtuele appliance en wordt ingezet voor de web-applicatie servers. BARRACUDA BIEDT DAAR- NAAST EEN PAAR SLIMME VOORDELEN - Up & Running in enkele minuten Geen software nodig bij installatie. Barracuda producten zijn eenvoudig te implementeren en te gebruiken - Je hoeft geen gespecialiseerde IT expert te zijn Alle Barracuda producten zijn voorzien van een intuïtieve web interface voor efficiënt beheer. Het gebruiksgemak betekent dat uw IT-medewerkers geen experts hoeven te zijn in bepaalde oplossingen - Direct contact met onze Support Hoog opgeleide Barracuda support technici zijn 24x7 beschikbaar om telefoontjes van klanten te beantwoorden - Automatische updates Verzamelde gegevens worden bij Barracuda Central geanalyseerd en gebruikt voor het maken van definities voor Energize Updates die automatisch Barracuda producten op de nieuwste bedreigingen beschermen. - Betaalbaar en voorspelbaar in de kosten Barracuda s abonnementen gebaseerde prijsstelling is consistent en eenvoudig. Geïntegreerde producten zonder onverwachte kosten en betaalbaar. Kijk voor meer informatie op https://www.barracuda.com/products U vindt Barracuda 30 en 31 oktober op Infosecurity stand 01A INFOSECURITY MAGAZINE - NR. 4 - OKTOBER

16 g Column Werknemers vaak achilleshiel van beveiliging We lezen regelmatig in de media hoe bedrijven en organisaties het slachtoffer worden van cybercriminelen. Er wordt dan al snel gedacht dat de technische beveiligingsmaatregelen hebben gefaald of dat er een doelgerichte aanval heeft plaatsgevonden. Onderzoek daaromtrent laat echter een heel ander beeld zien: het zijn de werknemers die het grootste beveiligingsrisico vormen voor een bedrijf. En dan gaat het meestal niet om moedwillige acties, maar om onbedoelde menselijke fouten OKT 2013 JAARBEURS UTRECHT VAKBEURZEN, SEMINARS EN ONLINE MATCHMAKING VOOR IT-MANAGERS EN IT-PROFESSIONALS IT SECURITY STORAGE IT MANAGEMENT SOLUTIONS De Global Corporate IT Security Risks 2013-enquête dat het afgelopen voorjaar in samenwerking met B2B International is opgezet, maakt duidelijk dat in veel gevallen werknemers op de een of andere manier de oorzaak waren van een beveiligingsincident. Hoewel kwetsbaarheden in toepassingen een belangrijke oorzaak van beveiligingsincidenten (bij 39 procent van alle bedrijven) zijn, blijkt er in vier van de vijf soorten interne beveiligingsincidenten een duidelijk verband te bestaan met acties van medewerkers. Dan valt te denken aan het doelbewust of onbedoeld lekken van vertrouwelijke bedrijfsgegevens, of schendingen van het auteursrecht. Erg pijnlijk, kostbaar en rampzalig voor het bedrijfsimago. En het had voorkomen kunnen worden... Een bekend voorbeeld is het versturen van zakelijke berichten (vaak met bijgesloten documenten) naar persoonlijke accounts van medewerkers. Bijvoorbeeld om er thuis mee te kunnen werken. Die medewerkers zijn zich er vaak niet van bewust dat dit in veel gevallen inbreuk maakt op het bedrijfs- en beveiligingsbeleid, en dat dit een beveiligingsrisico in zich draagt. Datzelfde geldt voor het downloaden van illegale content of handige gekraakte software naar hun werkcomputer. Al dit soort activiteiten kan het imago van de werkgever aanzienlijk schaden en zelfs flinke kostenposten opleveren. Zo had een werknemer zijn privé-laptop meegenomen naar het werk en maakte daarmee vervolgens verbinding met het lokale bedrijfsnetwerk. Die werknemer had op de laptop echter een Bit- Torrent-client geïnstalleerd waarmee hij software voor eigen gebruik had gedownload. En daaronder bevonden zich ook gekraakte programma s. Het gevolg was dat na drie maanden de politie aanklopte bij zijn werkgever met een huiszoekingsbevel, omdat het bedrijf werd verdacht van het schenden van copyright door het gebruik van illegale software. Uiteindelijk moest dit bedrijf een boete betalen. Bij een ander incident kwamen vertrouwelijke bedrijfsgegevens op straat te liggen, nadat een medewerker kopieën van bestanden naar zijn persoonlijke account had verstuurd. Dit incident werd onderzocht door beveiligingsexperts, die spyware op de pc van de werknemer aantroffen. Deze spyware legde al zijn toetsaanslagen vast, waardoor cybercriminelen erin slaagden om de aanmeldingsgegevens voor zijn account te bemachtigen. Op deze wijze kregen ze ook toegang tot de vertrouwelijke bedrijfsdocumenten en hadden ze vrij spel. Gelukkig zijn er stappen die bedrijven kunnen nemen om deze risico s zo veel mogelijk te beperken. Het belangrijkste is om werknemers bewust te maken van van ICT-risico s. Zelfs de meest geavanceerde beveiligingsoplossingen zijn kansloos als het personeel het belang van beveiliging niet inziet. Informeer werknemers daarom regelmatig over de laatste stand van zaken op beveiligingsgebied en leer hen om op verantwoorde wijze om te gaan met software, social media en internetdiensten voor het opslaan en uitwisselen van gegevens. Een andere belangrijke maatregel is het definiëren, implementeren en bewaken van veelomvattende beleidsregels voor de ICT-beveiliging van de onderneming. Dat begint bij het beperken van de toegang tot internetbronnen die potentieel een bedrijfsrisico vormen. Ook het blokkeren van netwerkpoorten en protocollen die niet voor het werk noodzakelijk zijn, is een effectieve oplossing. Daarnaast bestaat de mogelijkheid om de toegang tot applicaties door medewerkers te beperken, zodat zij alleen die softwaretoepassingen kunnen starten die door de beveiligingsspecialisten van het bedrijf zijn goedgekeurd. Dit is een goede manier om een organisatie te beschermen tegen kwaadaardige en illegale software. Daarnaast is het gebruik van bestandsencryptie aan te raden om de integriteit en geheimhouding van bedrijfsdocumenten te waarborgen. En tot slot is het natuurlijk essentieel om bewezen, specialistische beveiligingsoplossingen in te zetten. Liefst een waarmee zowel pc s als mobiele apparatuur beveiligd en beheerd kunnen worden. Een dergelijke oplossing zou dan tevens niet alleen effectieve bescherming voor de ICT-infrastructuur moeten bieden, maar ook beleidsregels op het gebied van ICT-beveiliging moeten afdwingen. Martijn van Lom, General Manager REGISTREER NU VOOR GRATIS TOEGANG TOT ALLE DRIE DE VAKBEURZEN VIA: KEYNOTES SEMINARS CASE STUDIES RUIM 150 EXPOSANTEN Mede mogelijk gemaakt door: BEURSSPECIAL 30 Intel, the Intel logo, Xeon, and Xeon Inside are trademarks or registered trademarks of Intel Corporation in the U.S. and/or other countries. INFOSECURITY MAGAZINE - NR. 4 - OKTOBER

17 DEELNEMERSLIJST OKT 2013 JAARBEURS UTRECHT IT SECURITY STORAGE IT MANAGEMENT SOLUTIONS Exposant Stand A10 Networks E066 ADISA E136 Authasas A170 Adyton Systems AG E132 Aerohive Networks Europe Ltd. D137 Airwatch B107 Akamai Technologies E156 AppRiver AG C152 B-able B.V. C136 Barracuda Networks Ltd. A136 Beowolff D139 BioXS Distribution BV A170 BlackIP D134 Blancco Oy Ltd A117 BRAIN FORCE B.V. A101 Bravoure-it D157 BTSoftware BV E056 Cert2Connect B.V. F162 Check Point Software Technologies B.V. E096 Cisco Systems International B.V. B100 Cohesive Communications (Holdings) Ltd D137 Comodo E135 CompLions B.V. A102 Compumatica secure networks B.V. B116 Computable Newsroom E140 COMPUTERLINKS Nederland bv E096 Contec isc B.V. D130 Crypsys Data Security B.V. B122 Cyber-Ark Software (uk) LTD B117 Cyso Managed Hosting B162 Datad Automatisering B.V. D161 DearBytes BV B136 Dell B.V. B056 Despec Benelux E164 Digital Investigation B.V. B154 Dimension Data Nederland B.V. A144 Dionach BV E150 Diskshred E133 Draytek B143 E-quipment BV E154 ESET NOD32 Nederland D116 Eurocloud Nederland B079 Exclusive Networks C116 F5 Networks C130 Flection / Arrow Value Recovery Europe E136 Fortinet A132 / E096 Fox-IT C145 G Data Software A145 HID Corporation Ltd. A170 ICT magazine (DNU, De Nederlandse Uitgeefgroep BV) B079 InfoSecure B.V. E080 Infosecurity Magazine, CloudWorks, DatacentreWorks (Fenceworks) E100 INVEA-TECH a.s. E139 (ISC)² D145 i SOC 24 b.v. C146 ISSA (Information Systems Security Association) - Netherlands chapter B079 It-Recycling C160 KPN Corporate Market B.V. D076 Lantech BV E116 Linux Professional Institute Nederland (LPI) B079 Exposant L-Sec leaders in security Madison Gurkha McAfee International BV MMS - Secure Motiv Nagios Nederland Netlynx NL BV Netwrix NGI, platform voor ICT professionals Norea, de beroepsorganisatie van IT-auditors Nováccent ICT Solutions B.V. ORBEDO Oxford Computer Group BeNeLux Palo Alto Networks PerfectBackup B.V. Pinewood B.V. Platform voor Informatiebeveiliging (PVIB) Quanza RSA Security SafeNet - The Data Protection Company SCOS Software Sectra Communications BV Security Academy SMS Passcode A/S SMT Simple Management Technologies B.V Sophos B.V. Splunk Services UK Ltd SRC Secure Solutions bv StorageCraft Techaccess Value Added IT Distribution Thycotic Software Ltd TREND MICRO Benelux Truphone BV TSTC B.V. UBM Nederland BV Unomaly AB Van Randwijk Paperflow Solutions B.V. Varonis Worldwide Headquarters VASCO Data Security Veeam Software Vest Informatiebeveiliging Vosko Networking B.V. Watchguard Technologies B.V. Websense BV WeSecure Westcon Security Winmag Pro (Clipboard Publishing) Stand D166 B154 B144 D166 D100 E152 D153 D132 B079 B079 A112 A107 A129 C116 A107 D131 B079 E066 B076 A106 D151 C144 A121 C121 B123 D075 D138 A133 B139 A132 A103 C088 A125 D153 A135 D166 C164 A116 D087 B103 E070 D088 C123 E096 E126 E104 B079 Exposant Stand Atlantis Computing (Europe) B077 AXEZ B030 Bull Nederland N.V. B087 Cisco B100 Cisco Systems International B.V. B100 CommVault C028 Computable Newsroom E140 DataManagement Professionals D033 Dell B.V. B056 Dimension Data Nederland B.V. A144 EMC Computer Systems (Benelux) BV B076 EraStor Europe c.v.b.a. A097 E-Storage B.V. B038 EuroCloud Nederland B079 Eurofiber A032 EVault B088 ExaGrid Systems, Inc. A096 FlexVirtual B.V. B073 Fujitsu Technology Solutions B.V. C036 Fusion-io UK Ltd B020 Hewlett-Packard Nederland B.V. B033 Hitachi Data Systems Nederland B.V. C076 Huawei A044 I3 Groep A056 IBM Nederland B.V. B048 ICT magazine (DNU, De Nederlandse Uitgeefgroep BV) B079 Infosecurity Magazine, CloudWorks, DatacentreWorks (Fenceworks) E100 Imation Europe B.V. A049 Imtech ICT Communication Solutions B093 Innovation Data Processing A076 Inprove A095 Integral Memory Plc A079 KPN Corporate Market B.V. D076 Kroll Ontrack A089 Linux Professional Institute Nederland (LPI) B079 NetApp BV C046 NETGEAR B063 Nexenta Systems B057 NGI, platform voor ICT professionals B079 Nimble Storage UK Limited A061 Oracle Netherlands A088 PQR B.V. D039 Pure Storage A068 QNAP Systems, Inc. A058 Schipper Safestore A075 Scholten Awater A033 Sertho Storage Solutions A096 SimpliVity A080 SJ Solutions B039 SNIA Europe B079 SLTN C029 Telindus - ISIT A024 Tintri UK, Ltd. A090 Violin Memory EMEA LTD A094 Western Digital (Netherlands B.V.) A038 WideXS A062 Winmag Pro (Clipboard Publishing) B079 Xantaro Nederland BV A071 Your Fiber B.V. A067 ZyXEL Communications B.V. A019 Exposant Stand Arcade ICT B.V. E035 Axios Systems Benelux B006 Belarc Inc. E048 Business Generating Software E032 Cherwell Software, Ltd D005 Cisco Systems International B.V. B100 Computable Newsroom E140 De ISM-methode C004 Dell B.V. B056 Dupaco Distribution B.V. B012 Enterprise DB B012 Infosecurity Magazine, CloudWorks, DatacentreWorks (Fenceworks) E100 Frontrange Solutions D027 F-Secure B.V B012 ICT magazine (DNU, De Nederlandse Uitgeefgroep BV) B079 IGEL Technology GmbH E050 Infra Benelux B.V. C006 InfraVision B.V. E012 Linux Professional Institute Nederland (LPI) B079 Login Consultants Nederland BV /Login VSI D040 Matrix42 D048 Mexon Technology D034 Mproof Nederland D028 NetIQ B012 Nexthink S.A. E046 NGI, platform voor ICT professionals B079 Nibble-IT B012 Novell Nederland B.V. B012 OGD ict-diensten E041 OMNINET Nederland E028 Redhat B012 RES Software Netherlands B012 SYMFONI & Service Now D006 The Backbone E007 TOPdesk C012 Winmag Pro (Clipboard Publishing) B079 Xangati E BEURSSPECIAL INFOSECURITY MAGAZINE - NR. 4 - OKTOBER

18 PLATTEGROND OKT 2013 JAARBEURS UTRECHT Situatie per , wijzigingen voorbehouden. Definitieve indeling was bij het ter perse gaan nog niet bekend. P2 P4 P4 ENTREE WEST ZAAL 2 Tooling Event Seminars/ Case Studies & Solution Sessions ZAAL 3 Tooling Event Seminars/ Case Studies & Solution Sessions SALES/VIP LOUNGE ZAAL 4 Storage Expo Case Studies & Solution Sessions ZAAL 5 Infosecurity.nl Case Studies & Solution Sessions ZAAL 6 Infosecurity.nl Case Studies & Solution Sessions ZAAL 7 DELL - MICROSOFT FLEX POD LUNCH LOUNGE HAL12 HAL11 HAL10 HAL9 HAL3 HAL4 E012 THEATER BOULEVARD THEATER BOULEVARD THEATER BOULEVARD E148 E150 E152 E154 E156 HAL7 HAL8 HAL2 P3 ENTREE OOST HAL 1 P1 JAARBEURS PLEIN NS STATION Hal 1: Infosecurity.nl, Storage Expo en Tooling Event 2013 De Security Tour start bij E100 en eindigt bij A136 Infosecurity magazine Stand E100 SCOS Stand D151 TSTC Stand D153 Dimension Data Stand A144 Barracuda Stand A136 E007 D006 D005 C006 C004 B006 TERRAS C012 B012 B020 E028 D028 D027 C028 TOOLING EVENT C029 B030 E032 D033 C036 E035 D034 E042 E046 D039 E041 D040 B038 E048 B048 E050 D048 C046 E056 D056 TERRAS Mede mogelijk gemaakt door: B056 E066 E070 E076 E080 D076 D075 C076 D088 E096 D087 C088 E100 D100 E104 TERRAS Mede mogelijk gemaakt door: B076 B088 B100 E116 E126 E132 E136 D116 C116 D130 D131 C130 INFOSECURITY.NL B116 C123 B122 C121 E131 E135 E133 D132 D134 E140 D137 D145 D151 D139 C136 B136 E139 D138 C146 C144 C145 B144 TERRAS D153 C152 D157 B154 F162 E164 D166 B165 D161 C164 B162 C160 STORAGE EXPO ENTREE STORAGE EXPO EN TOOLING EVENT A024 A019 A032 B033 B039 A040 A038 A036 A033 A044 A041 A045 A049 B057 A056 B063 A058 A062 A061 A067 A071 B073 B077 A070 B079 A068A072 A076 A080 B087 B093 A096 A088 A090 A094 B103 A102 A075 A079 A089 A095 A097 A101 A103 A107 A117 A121 A125 A129 A133 A135 A106 B107 A112 B117 A118 A116 B123 A132 B139 B143 A136 A144 A145 TERRAS A170 Werkelijke situatie Hoofdsponsor: Intel en Cisco ENTREE INFOSECURITY.NL NAAR 1 STE VERDIEPING: ENTREE Werkelijke situatie Intel, the Intel logo, Xeon, and Xeon Inside are trademarks or registered trademarks of Intel Corporation in the U.S. and/or other countries. ZAAL 8: INFOSECURITY.NL - Management Seminars ZAAL 9: STORAGE EXPO - Technische Seminars ZAAL 10: INFOSECURITY.NL - Management Seminars ZAAL 11: STORAGE EXPO - Technische Seminars Zaal 8 donderdag 31 oktober Zaal 12 Zaal 11 Zaal 10 Zaal 9 Zaal 8 woensdag 30 oktober ZAAL 12: INFOSECURITY.NL - Seminars Media Plaza Supernova 34 BEURSSPECIAL INFOSECURITY MAGAZINE - NR. 4 - OKTOBER

19 g Seminaroverzicht Woensdag 30 oktober 30 OKTOBER 31 OKTOBER JAARBEURS UTRECHT Zaal 2 Zaal 3 Zaal 8 Zaal 9 Zaal 10 Zaal 11 Zaal 4 Case studies & solution sessions Zaal 5 Case studies & solution sessions Zaal 6 Case studies & solution sessions 10:00 10:05 10:10 10:15 10:20 10:25 10:30 10:35 10:40 10:45 10:50 10:55 11:00 11:05 11:10 11:15 11:20 11:25 11:30 11:35 11:40 11:45 11:50 11:55 12:00 12:05 12:10 12:15 12:20 12:25 12:30 12:35 12:40 12:45 12:50 12:55 13:00 13:05 13:10 13:15 13:20 13:25 13:30 13:35 13:40 13:45 13:50 13:55 14:00 14:05 14:10 14:15 14:20 14:25 14:30 14:35 14:40 14:45 14:50 14:55 15:00 15:05 15:10 15:15 15:20 15:25 15:30 15:35 15:40 15:45 15:50 15:55 16:00 16:05 BUSINESS ALIGNED IT PROJECT MANAGEMENT Roeland Ravesteijn BICT MSc - Partner bij Aranea, Honorary Lecturer aan de University of Liverpool DO S EN DON TS VAN EEN SUCCESVOLLE IT SERVICE MANAGEMENT SOFTWARE REPLACEMENT Jaap Brinkman Business Development Director Axios Systems, Johan van den Boogaard Manager Managed Systems & Services Macaw én Gijs Warbroek - Manager Customer Services Macaw SERVICE DESK: AUTOMATION MAAKT WEER TIJD VRIJ VOOR ÉCHTE SERVICE Wil van Krieken - Pre-sales Front- Range Solutions PROCES MINING: THE NEXT BIG THING IN SERVICE DELIVERY VERBETERING Willem van Asperen - Expert in Data Analytics PA Consulting Group VOOR WAT HOORT WAT - PRAKTISCHE HANDVATTEN VOOR EEN GOEDE SAMENWERKING MET UW KLANT Pouyan Daddeh - Service Management Consultant TOPdesk SELECTIE EN AANBESTEDING VAN DESKTOP AS A SERVICE Mark van den Heuvel en Nicky Hoenderboom - Wu Wise WORKING IN THE PAST OR ACTING ON THE PRESENT DE ZIN EN ONZIN VAN RAPPORTAGES Henri Peters & Floris Scheurleer - Partners bij Flexxer CLOUD GOVERNANCE: GEEN OUDE WIJN IN NIEUWE ZAKKEN! Oscar Halfhide & Rudolf Liefers - Senior managementadviseurs MONITORING HYBRID CLOUDS Gert Kiewiet MSc BSc - Directeur consultancy The Backbone BEHEREN, BEWAKEN & AUTOMA- TISEREN; EEN NIEUW TIJDPERK? Philippe Thys - Solution Architect/Managing Consultant Arcade ICT HOE WORD IK EEN SUCCESVOLLE CLOUD PROVIDER? VIJF STAPPEN EN VALKUILEN. Peter van Eijk - Club Cloud Computing DE WENDBAARHEID VAN ICT Gert-Jo van der Heijden - Sr. Interim Professional Yacht ITSM AND BEYOND...WITH SERVICENOW AND SYMFONI Peter van Damme - Consulting Director Symfoni Benelux VAN CLOUD TOT BEDRIJFS- GEHEIM; WAAROM WIJ NIET KUNNEN BEVEILIGEN Brenno de Winter Onderzoeksjournalist CYBER- AWARENESS; SAMENWERKEN VOOR EEN VEILIGE EN VITALE CYBER SAMENLEVING Wil van Gemert - Directeur Cyber Security MANAGE THE UNEXPECTED; THE HUMAN FACTOR. LIST EN BEDROG IN DE BEVEILIGING! Jan de Boer MSIT - Adviseur informatiebeveiliging Capgemini CYBERSECURITY INDUSTRIËLE AUTOMATISERING: ZIJN WE DE WEG KWIJT? Paul Hendriks - Principal Consultant Information Risk Management Capgemini & Maurice Snoeren - Teamlead Fleet Control RWE/Essent FACING THE UPHEAVAL: CHANGING DYNAMICS FOR SECURITY GOVERNANCE Yves Le Roux - Policy Program Lead, (ISC)2 EMEA Advisory Board,, Principal Consultant CA Technologies INFORMATION IS POWER. HOW TO EXTRACT KNOW- LEDGE FROM INFORMATION? Hans Gankema - Unithoofd serverinfrastructuur CIT Rijksuniversiteit Groningen SERVER SIDE FLASH, ALS SAN TE TRAAG IS Ilja Coolen - Onafhankelijke Storage Consultant ICSS FIBER CHANNEL PROTOCOL... WHAT ELSE? Joost van der Made - Consultant Systems Engineer CISCO LEGENDA Keynote Infosecurity.nl Storage Expo Tooling Event HEY API, HEB JIJ MIJN SAN GEZIEN? Marc van Eijk - Consultant Inovativ VERHALEN VERTELLEN MET DATA Jelle Kamsma - Oprichter LocalFocus KEYNOTE STORAGE TRENDS 2013 Gert Brouwer - Oprichter en senior adviseur Brouwer Storage Consultancy VENDOR NEUTRAL DATA ARCHIVERING VORMT DE BASIS VAN HET BORSTKANKER (BIG) DATA DIENSTEN ECOSYSTEEM. Peter Walgemoed - Founder, Carelliance 10:00 10:05 10:10 10:15 10:20 10:25 10:30 10:35 10:40 10:45 10:50 10:55 11:00 11:05 11:10 11:15 11:20 11:25 11:30 11:35 11:40 11:45 11:50 11:55 12:00 12:05 12:10 12:15 12:20 12:25 12:30 12:35 12:40 12:45 12:50 12:55 13:00 13:05 13:10 13:15 13:20 13:25 13:30 13:35 13:40 13:45 13:50 13:55 14:00 14:05 14:10 14:15 14:20 14:25 14:30 14:35 14:40 14:45 14:50 14:55 15:00 15:05 15:10 15:15 15:20 15:25 15:30 15:35 15:40 15:45 15:50 15:55 16:00 16:05 INFOSECURITY.NL HACKING CHALLENGE V2.0 POWERED BY DELOITTE: ERVAAR HOE EEN HACKER TE WERK GAAT Martijn Knuiman - Senior Manager Cyber Security Deloitte Risk Services DE BOTNET ECONOMIE Rickey Gevers - CyberCrime specialist Digital Investigation FORENSICS IN CYBERCRIME ONDERZOEK, LESSONS LEARNED EN TRENDS Kevin Jonkers - Senior Forensic IT Expert Fox-IT 5 DENKFOUTEN OVER CYBERSECURITY Gerben Schreurs - Partner KPMG Forensic SESSIE DOOR NEXENTA HET HOE EN WAAROM VAN CONVERGED INFRASTRUCTURE SOLUTIONS IN HET DATACENTER VAN MORGEN Jerry Rozeman - Chief Technology Officer Datacenter Solutions i.o.v. PQR DELIVER VIRTUAL DESKTOPS THAT MATCH THE PERFORMANCE OF SSD LAPTOPS. Jerry Rijnbeek - Sales Engineer Fusion-io GEEF JE ENTERPRISE TOEPASSINGEN EEN EXTREME BOOST MET FLASH-STORAGE IBM Flash expert BACKUP & REPLICATION V7 VEEAM S BIGGEST RELEASE EVER! SO WHAT S NEW? Maikel Kelder - System Engineer Veeam Software & Henk Arts - System Engineer Veeam Software EEN VEILIGE DATAVERZEKERING MET EVAULT CLOUD-CONNECTED RECOVERY OPLOSSINGEN Winfried Posthumus - Regional Sales Manager Benelux Evault IBM STORWIZE FAMILY: KLANTEN AAN HET WOORD IBM customer EEN DDOS AANVAL?! HOE BLIJF IK IN CONTROLE EN KRIJG IK MEER INZICHT? VOORZORGSMAATREGELEN EN LIVE DEMO! Roel Villerius - Technical Architect Security Dimension Data & Mohamed Al Ayachi - LoB Manager Network Integration and Security Dimension Data AFLUISTERSCHANDAAL: SMARTPHONE VEREIST BEVEILIGING Dominick Bertens - Key Account Manager NAVO Sectra Communications RISICO S, INFORMATIEBEVEILI- GING, COMPLIANCE, CERTI- FICERING EN GEÏNTEGREERDE AUDITING VAN NORMEN ONDER CONTROLE MET ÉÉN TOOL Marcel Lavalette - Directeur CompLions HET NIEUWE BEVEILIGEN IN DE CLOUD Michael van der Vaart - Technical Information Manager SpicyLemon i.o.v. ESET NOD32 SESSIE DOOR FOX-IT DE CRISIS ALS BUSINESS DRIVER VAN EEN HOLISTISCHE AANPAK VAN IT SECURITY Pieter Lacroix - Managing Director Benelux Sophos HOW A RETAIL COMPANY IMPROVED ITS OPERATIONAL EXCELLENCE AND SECURITY POSTURE BY IMPLEMENTING CYBERARK Patrik Horemans - Account Executive Benelux CyberARK WAPENEN TEGEN CYBERCRIME IT-SECURITY 2.0 VS. CYBERCRIME 2.0 Hans Willem Verwoerd - Security Consultant Lantech bv ATB FINANCIAL Patrick van der Veen - Senior Systems Engineer VARONIS HOE BEREIK IK 100% VEILIGHEID? Erik Remmelzwaal - CEO DearBytes COMPLIANCE REPORTING Sjoerd Hulzinga - Practice Lead Secuirty & Compliance KPN Consulting SESSIE DOOR SMT VAN IT-BEVEILIGING NAAR BEVEILIGEN VAN INFORMATIE, EEN BELOFTE WORDT INGELOST! Stef Liethoff - Managing Partner Business Development Nováccent Group bv DE MISSENDE LINK NAAR ENTERPRISE PRESTATIE? HET TIJDPERK VAN GIGABIT WIFI, GEBRUIKERSERVARING EN NETWERKTRANSFORMATIE Roy Verboeket - Senior Pre Sales Engineer Aerohive Networks HOW TO SECURE THE NEXT PHASE OF MOBILITY Peter Schuchmann - Enterprise Account Executive AirWatch Zaal 7 Case studies & solution sessions BOUW EEN INNOVATIEVE PRIVATE CLOUD! OVER VIRTUALISATIE EN NETWERKARCHITECTUUR. Martin Vliem - Principal Cloud Technology Specialist Microsoft NEW DATA CENTERS NEED NEW NETWORK ARCHITECTURES - DELL ACTIVE FABRIC Perry van den Brink - Networking Specialist DELL WINDOWS SERVER 2012 R2: NIEUW IN VIRTUALISATIE Tony Krijnen - IT Pro Technology Advisor Microsoft IS MIJN STORAGE INTELLIGENT GENOEG? Vincent van der Linden - Storage Sales Manager DELL STORAGE VERBETERINGEN IN WINDOWS SERVER 2012 R2 Tony Krijnen - IT Pro Technology Advisor Microsoft POWEREDGE VRTX - GECONVERGEERDE INFRASTRUCTUUR MET PIT! Herbert Smals - Enterprise Marketing Manager DELL VERKRIJG CONTROLE OVER BYOD MET DELL KACE Andy Struys - Sr. Solution Architect DELL SERVICES Ingrid Heijmink - Services Manager DELL DATA PROTECTIE: ALLES. ELKE KEER. OP TIJD Jaap van Kleef - Technical Manager DELL 36 BEURSSPECIAL INFOSECURITY MAGAZINE - NR. 4 - OKTOBER

20 g Seminaroverzicht Woensdag 30 oktober 30 OKTOBER 31 OKTOBER JAARBEURS UTRECHT INFOSECURITY.NL KEYNOTE: Van cloud tot bedrijfsgeheim; waarom wij niet kunnen beveiligen. Insteek: Managementsessie Spreker: Brenno de Winter Onderzoeksjournalist Tijd: Zaal 8 Over de Keynote Sessie: Slechte keuzes, gebrek aan visie en nalatigheid zorgen ervoor dat iedere strategie rond cybercrime een verloren strijd is, waarbij het niet meer mogelijk is de strijd nog te winnen. Tenzij wij kiezen voor een radicaal andere koers zal iedere stap rond beveiliging onvoldoende zijn en de stappen gezamenlijk tekort schieten. Wie echt denkt iets te verdedigen te hebben, zal nu echt in actie moeten komen en effectieve maatregelen gaan bespelen. Deze sessie wordt mede mogelijk gemaakt door: EMC, NetApp & IBM. Over de Spreker: Technologie is iets dat altijd centraal heeft gestaan in het leven van Brenno de Winter, Koud vijf jaar oud schreef hij voor het eerst een computerprogramma. Sindsdien wekken zowel mogelijkheden als risico s en beperkingen zijn aandacht. Hij heeft daarna gewerkt in de ICT-industrie en langzaam de overstap gemaakt naar de journalistiek met als drive problemen rond ICT onder de aandacht te brengen. Zijn werk leidt in menige bestuurskamer, raad, parlement of andere bestuurstafel tot discussies. Vooral zijn werk rond aanbestedingen, de OV-chipkaart en DigiNotar gaven hem landelijke bekendheid. Brenno de Winter houdt zich al tientallen jaren bezig met ict en schrijft met name over privacy- en beveiligingsgerelateerde onderwerpen, onder andere voor Webwereld.nl en Nu.nl. Het initiatief om Lektober te organiseren en iedere dag een privacylek te presenteren, leidde tot een landelijke discussie over het falen van gegevensbescherming in Nederland. Zijn eigenzinnige, scherpe, eenvoudige en vooral duidelijke benadering van moeilijk te begrijpen onderwerpen maken hem tot een graag gehoorde spreker. Journalistenvakblad Villamedia riep Brenno de Winter uit tot journalist van het jaar Brenno de Winter kreeg zijn prijs onder meer vanwege primeurs over de misstanden rond de OV-chipkaart en over de slechte beveiliging van voornamelijk overheidswebsites. Seminar: Cyber- awareness; samenwerken voor een veilige en vitale cyber samenleving Insteek: Managementsessie Spreker: Wil van Gemert -Directeur Cyber Security Tijd: Zaal 8 Over de sessie: Dhr van Gemert gaat in zijn presentatie in op actuele ontwikkelingen op het gebied van cyber security, zoals de nieuwe Cyber Security Strategie. In het kader van de campagne Alert Online onderstreept hij het belang van cyber security awareness. Over de Spreker: Wil van Gemert (1960) is directeur Cyber Security. De functie ontstond begin 2012 toen het kabinet uitvoering gaf aan de Cyber Security Strategie. De directie omvat naast het beleidscluster ook het Nationaal Cyber Security Centrum. (NCSC). De heer van Gemert begon zijn loopbaan na de politieacademie in 1988 als officier bij de politie in Amsterdam waar hij diverse leidinggevende functies vervulde met name in het rechercheveld. In 1995 stapte hij over naar het KLPD om het eerste landelijke rechercheteam te gaan vormen. Ook was hij bij het KLPD verantwoordelijk voor de oprichting van de Nationale Recherche. In 2004 vertrok hij naar de AIVD waar hij als directeur democratische rechtsorde leiding gaf aan de terrorismebestrijding, contraspionage en veiligheidsonderzoeken. Wil van Gemert is onder meer afgestudeerd aan de UvA in politieke en sociale wetenschappen. Seminar: Infosecurity.nl Hacking Challenge v2.0 powered by Deloitte: Ervaar hoe een hacker te werk gaat Spreker: Martijn Knuiman - Senior Manager Cyber Security Deloitte Risk Services Tijd: Zaal 11 Over de sessie: Hacken is het doorbreken van de beveiliging van een applicatie of infrastructuur en wordt veelal gezien als een ingewikkelde bezigheid. In deze sessie tonen wij u hoe hackers daadwerkelijk te werk gaan. Tijdens Infosecurity.nl 2012 heeft de eerste editie van de Hacking Challenge plaatsgevonden en werd als zeer interessant ervaren. Dit jaar zullen de deelnemende hackers aan nog meer interessante challenges onderworpen worden, terwijl u live kan meekijken. De sessie wordt begeleidt door Deloitte Ethical Hacking experts, die tevens live toelichting geven over de acties van de hackers. Over de Spreker: Martijn is een senior manager binnen de Security & Privacy afdeling van Deloitte Risk Services en heeft ruim 10 jaar ervaring op het gebied van IT infrastructuur en security. Hij heeft gewerkt aan diverse security infrastructuur projecten en bekleedde rollen zoals security officer, security adviseur en security auditor. Martijn heeft zich gespecialiseerd in de uitvoer van security gerelateerde opdrachten zoals implementatie van Cyber SOCs, Data Leakage Prevention, Security Management en Ethical Hacking. Martijn is daarnaast verantwoordelijk voor de Deloitte HackLAB trainingen waarbij klanten hands-on ervaring krijgen in de werkwijze van hackers en inzicht in de risico s die organisaties dagelijks lopen. Seminar: Manage the unexpected; the human factor. List en bedrog in de beveiliging! Insteek: Managementsessie Spreker: Jan de Boer MSIT - Adviseur informatiebeveiliging Capgemini Tijd: Zaal 8 Over de sessie: Als je denkt dat problemen in de (informatie)beveiliging zijn op te lossen met techniek, dan begrijp je het probleem niet en overschat je de techniek. De mens is namelijk het probleem! Jan de Boer neemt ons mee in de wereld van list, bedrog en psychologische trucs waarmee social engineers weten door te dringen tot de meest bedrijfskritische informatie en locaties. Hij zal inzicht geven in die trucs en legio voorbeelden geven van zijn mystery man bezoeken bij bedrijven en instellingen waarbij het zelfs mogelijk was om zeeschepen uit een beveiligde haven te varen, wapen in ontvangst te nemen, toegang te krijgen tot patiëntendossiers en een vervalste identiteit uit het GBA te krijgen. De lezing wordt afgewisseld met videobeelden en foto s van onderzoeksresultaten waarin de psychologische trucs worden beschreven en toegelicht. Interactief, verbluffend, leerzaam en vooral leuk! Over de Spreker: Jan heeft is tijdens zijn 25- jarige loopbaan als officier bij de Koninklijke Landmacht o.a. zes jaar tuchtrechter geweest en is hij als militair en later als diplomaat betrokken geweest bij de handhaving van de vrede en de stabiliteit in het voormalig Joegoslavië. In 1999 heeft hij de overstap gemaakt naar Capgemini. Zijn vakgebied is integrale (informatie)beveiliging. Zijn specialisatie is de psychologie en menselijke aspecten in de informatiebeveiliging (afgestudeerd aan de TU Eindhoven). Social Engineering is zijn passie. Hij heeft een groot aantal spraakmakende resultaten behaald bij overheidsdiensten maar ook voor private ondernemingen waaronder een groothandel in medicijnen, telecomproviders, ziekenhuizen en een groot distributiecentrum voor computers. Jan schrijft regelmatig artikelen over de achtergronden van Social Engineering en zijn ervaringen en resultaten van onderzoeken. In september is zijn boek over dit onderwerp verschenen. Seminar: Cybersecurity Industriële Automatisering: Zijn we de weg kwijt? Insteek: Managementsessie Spreker: Paul Hendriks - Principal Consultant Information Risk Management Capgemini & Maurice Snoeren - Teamlead Fleet Control RWE / Essent Tijd: Zaal 8 Over de sessie: Er is steeds meer automatisering die buiten het blikveld van de CIO valt. Niet alleen maar industriële automatisering, maar ook allerlei andere automatisering, die vitaal is in het dagelijks leven wordt bedreigd door cybercriminaliteit. Bijvoorbeeld elektriciteitsnetwerken, ziekenhuizen en vele andere elementen van de Nederlandse vitale infrastructuur zijn nog steeds niet afdoende beveiligd. Dit probleem is geen technisch probleem, maar een management probleem. De sprekers gaan in op deze problematiek en doen een aantal voorstellen voor oplossingsrichtingen. Zij zullen het publiek uitdagen om deel te nemen aan de discussie. Moeten we de rol van de CIO opnieuw evalueren? Over de Spreker: Paul Hendriks is Principal consultant binnen de Cybersecurity expert groep van Capgemini. Na zijn studie experimentele natuurkunde in Utrecht is hij begonnen als docent toegepaste natuurkunde aan een HBO opleiding. Zijn volgende stap was in de richting van de industriële automatisering, in diverse internationale technisch-inhoudelijke en commerciële rollen bij Foxboro en Emerson Process Systems. Van daaruit heeft hij de overstap gemaakt naar Capgemini, zijn eerste rol was Technology consultant. Vanaf 2001 heeft Paul een aantal verschillende adviseurs en management rollen vervuld, waaronder business architect, practice manager en programma manager. De laatste jaren heeft hij zich gespecialiseerd als Architect en Cybersecurity deskundige, dat laatste met een focus op Technische Automatisering. Seminar: Facing the Upheaval: Changing Dynamics for Security Governance in the EU Insteek: Managementsessie Spreker: Yves Le Roux - Policy Program Lead, (ISC)2 EMEA Advisory Board, Principal Consultant, CA Technologies Tijd: Zaal 8 Over de sessie: Information Security is becoming the victim of the disruptive change introduced by the latest trends in Information technology: Bring Your Own Device (BYOD), Cloud Computing and Social Networking. Today a corporation s systems development, and therefore that of its technical security controls, is slipping away from the carefully planned IT strategy. This is occurring as European governments and the EU are making great efforts to recognise and control information security risk. The EU, with its release of a new Cyber- Security Strategy, part of its Digital Agenda for economic growth, is working to set a framework for all. Unfortunately, regulatory initiative appears to be falling behind the trends with the emergence of new expectations for compliance becoming increasingly difficult and in some cases technically impossible to achieve given the direction being taken with business systems. The preservation of the EU s values around privacy in the socially networked market place and measures, including the right to be forgotten and the requirement to inform of intent before gathering personal information will be impossible to track let alone enforce. This session outlines the changing dynamics for security compliance offering EMEA findings of the 2013 (ISC)2 Workforce Study, citing the experience of 3229 people in the region, including an analysis of the responses from the 250 participants in the Netherlands. Over de Spreker: After his graduation from Paris University in 1970, Yves le Roux worked in the Rothschild Group where, among others tasks, he was in charge of the network security and other security related issues. In 1981, he joined the French Ministry of Industry where he was in charge of the Open Systems Standardization programs. In 1986, he took the position of European Information Security Manager at Digital Equipment. Then, he joined the security research and development team. In 1999, he went to Entrust Technologies, PKI software editor. In 2003, Yves joined Computer Associates Int. as a Technology Strategist. He has co-authored three books on security. He was a lecturer at Paris University and spoke in many conferences (e.g. ISSE 2011, SecureCloud 2012, European ID management Conference 2012, EUROCACS/ISRM 2012). Member of the (ISC)2 European Advisory Board. Seminar: De Botnet Economie Insteek: Technische sessie Spreker: Rickey Gevers - CyberCrime specialist Digital Investigation Tijd: Zaal 11 Over de sessie: In het laatste decennium zijn botnets uitgegroeid van redelijk kleinschalige computernetwerken, vaak bestuurd via IRC, tot geavanceerde gedistribueerde systemen welke uit honderd duizenden geïnfecteerde computers bestaan en bestuurd worden via gedecentraliseerde Command and Control servers. Deze computer netwerken staan vaak aan de basis van grote computer hacks die het nieuws halen en voor veel rumoer kunnen zorgen. Maar waarom worden dit soort zombie netwerken eigenlijk gecreëerd? Over de Spreker: In zijn puberjaren aan het begin van deze eeuw kraakte Gevers zo n beetje het gehele netwerk van elke universiteit in Nederland. Een leuk tijdverdrijf, totdat Rickey in de kraag gevat werd vanwege een slordigheidje tijdens een inbraak in 2005 bij een Amerikaanse Universiteit in Michigan. Zijn IP-adres was te achterhalen. De FBI tipte de KLPD en Gevers kreeg in 2011, zes jaar na het strafbare feit, een voorwaardelijke gevangenisstraf van drie maanden. Deze jeugdzonde zal me de rest van mijn leven achtervolgen, een carrière in de ICT-business kan ik vanwege mijn strafblad vergeten, dacht Rickey destijds. Maar niets is minder waar. Tegenwoordig werkt Rickey als cybercrime expert bij digitaal forenisch onderzoeksbureau Digital Investigation. Seminar: Forensics in cybercrime onderzoek, lessons learned en trends Insteek: Technische sessie Spreker: Kevin Jonkers - Senior Forensic IT Expert Fox-IT Tijd: Zaal 11 Over de sessie: Digitaal forensisch onderzoek uitgevoerd tijdens grote cyber-incidenten draagt niet alleen bij in het verzorgen van inzicht t.a.v. de oorzaak van een incident, maar het legt vaak ook pijnlijk bloot welke belangrijke informatie ontbreekt. Fox-IT adviseert klanten dan ook op het gebied van forensic readiness; hoe kan een organisatie efficienter en sneller inzicht krijgen in de toedracht van een incident. Wat is relevante informatie en hoe ga je deze bewaren zodat ze tijdens een onderzoek snel beschikbaar en inzichtelijk zijn? Naast ervaringen en tips zal Kevin ook een blik in de toekomst werpen, waarbij ook de Europese Privcay Richtlijn en algemene meldplicht in ogenschouw wordt genomen. Over de Spreker: Kevin is senior forensisch IT expert bij Fox-IT. Na afronding van zijn mas- 38 BEURSSPECIAL INFOSECURITY MAGAZINE - NR. 4 - OKTOBER

Unified Enterprise Security wordt geleverd door onze strategische partner Masergy, de wereldspeler in global communications en security.

Unified Enterprise Security wordt geleverd door onze strategische partner Masergy, de wereldspeler in global communications en security. Het verlengstuk van uw IT security operations: altijd (24x7) de beste expertise en meest actuele kennis, geïntegreerd zicht op wat er gebeurt in uw datacenter en eerder en Security as a Service Het verlengstuk

Nadere informatie

Factsheet DATALEKKEN COMPLIANT Managed Services

Factsheet DATALEKKEN COMPLIANT Managed Services Factsheet DATALEKKEN COMPLIANT Managed Services DATALEKKEN COMPLIANT Managed Services We ontwerpen en implementeren security maatregelen om datalekken te detecteren en het risico daarop te minimaliseren.

Nadere informatie

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1. www.traxion.com

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1. www.traxion.com Veilig de cloud in Whitepaper over het gebruik van Cloud-diensten deel 1 www.traxion.com Introductie Deze whitepaper beschrijft de integratie aspecten van clouddiensten. Wat wij merken is dat veel organisaties

Nadere informatie

m.b.v. digitale certificaten en PKI Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van VPN s

m.b.v. digitale certificaten en PKI Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van VPN s Beknopte dienstbeschrijving Beveiligen van VPN's m.b.v. digitale certificaten en PKI Document: Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van VPN s Inhoudsopgave 1. Inleiding 2 2. Snel te

Nadere informatie

Behoud de controle over uw eigen data

Behoud de controle over uw eigen data BEDRIJFSBROCHURE Behoud de controle over uw eigen data Outpost24 is toonaangevend op het gebied van Vulnerability Management en biedt geavanceerde producten en diensten aan om bedrijven preventief te beveiligen

Nadere informatie

Bring it Secure. Whitepaper

Bring it Secure. Whitepaper Whitepaper Imtech ICT Communication Solutions, Rivium Boulevard 41 2909 LK Capelle a/d IJssel T +31 88 988 96 00, info.cs@imtech.nl, www.imtech.nl/cs Imtech Vandaag de dag moet security een standaard

Nadere informatie

Business Event AGENDA. 13 November 2014. Arrow ECS Houten

Business Event AGENDA. 13 November 2014. Arrow ECS Houten 13 November 2014 Business Event Arrow ECS Houten AGENDA OCHTEND Registratie en ontbijt 08:00-09:15 uur U kunt kiezen uit onderstaande sessies PRE-SALES & CONSULTANT Sessie Sessie 1 Sessie 2 NetApp - Converged

Nadere informatie

Workflows voor SharePoint met forms en data K2 VOOR SHAREPOINT

Workflows voor SharePoint met forms en data K2 VOOR SHAREPOINT Slimmer samenwerken met SharePoint Workflows voor SharePoint met forms en data K2 VOOR SHAREPOINT Workflows, forms, reports en data WAAROM KIEZEN VOOR K2? Of u nu workflows moet maken voor items in SharePoint

Nadere informatie

5 CLOUD MYTHES ONTKRACHT

5 CLOUD MYTHES ONTKRACHT 5 CLOUD MYTHES ONTKRACHT Na enkele jaren ervaring met de cloud, realiseren zowel gebruikers als leveranciers zich dat enkele van de vaakst gehoorde mythes over cloud computing eenvoudigweg... niet waar

Nadere informatie

Asset 1 van 17. Mobile Application Management en security. Gepubliceerd op 18 april 2015

Asset 1 van 17. Mobile Application Management en security. Gepubliceerd op 18 april 2015 Asset 1 van 17 Mobile Application Management en security Gepubliceerd op 18 april 2015 Veel organisaties hebben de afgelopen jaren hun eigen mobiele enterprise apps ontwikkeld. De data hierin is potentieel

Nadere informatie

ISSX, Experts in IT Security. Wat is een penetratietest?

ISSX, Experts in IT Security. Wat is een penetratietest? De Stuwdam 14/B, 3815 KM Amersfoort Tel: +31 33 4779529, Email: info@issx.nl Aanval- en penetratietest U heeft beveiligingstechnieken geïnstalleerd zoals Firewalls, Intrusion detection/protection, en encryptie

Nadere informatie

VOOR EN NADELEN VAN DE CLOUD

VOOR EN NADELEN VAN DE CLOUD VOOR EN NADELEN VAN DE CLOUD VOOR EN NADELEN VAN DE CLOUD Cloud storage. Back-up in de cloud. Er zijn verschillende benamingen voor diensten die computergebruikers in staat stellen om hun documenten en

Nadere informatie

Factsheet SECURITY SCANNING Managed Services

Factsheet SECURITY SCANNING Managed Services Factsheet SECURITY SCANNING Managed Services SECURITY SCANNING Managed Services We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren. Met onze Security

Nadere informatie

Blackboard. Jan Willem van der Zalm Director EMEA, Blackboard Managed Hosting DATE

Blackboard. Jan Willem van der Zalm Director EMEA, Blackboard Managed Hosting DATE Blackboard Managed Hosting SURF Cloud Vendordag Jan Willem van der Zalm Director EMEA, Blackboard Managed Hosting DATE 2 Agenda SURF Cloud strategie Blackboard Managed Hosting & Private Cloud Blackboard

Nadere informatie

Op zoek naar gemoedsrust?

Op zoek naar gemoedsrust? Op zoek naar gemoedsrust? Proximus beveiligt uw ICT omgeving. Christophe Crous - Head Of Security Solutions 13 May 2016 Sensitivity: Unrestricted 1 Toenemende uitdagingen en cybergevaren Gevaren Phishing

Nadere informatie

Dicht het security gat - Microsoft SharePoint, OCS, en Exchange met Secure File Sharing Heeft uw organisatie ook een Dropbox probleem?

Dicht het security gat - Microsoft SharePoint, OCS, en Exchange met Secure File Sharing Heeft uw organisatie ook een Dropbox probleem? Dicht het security gat - Microsoft SharePoint, OCS, en Exchange met Secure File Sharing Heeft uw organisatie ook een Dropbox probleem? Executive summary Organisaties maken meer en meer gebruik van online

Nadere informatie

Uw bedrijf beschermd tegen cybercriminaliteit

Uw bedrijf beschermd tegen cybercriminaliteit Uw bedrijf beschermd tegen cybercriminaliteit MKB is gemakkelijke prooi voor cybercriminelen Welke ondernemer realiseert zich niet af en toe hoe vervelend het zou zijn als er bij zijn bedrijf wordt ingebroken?

Nadere informatie

Maak kennis met. donderdag 19 november 2015

Maak kennis met. donderdag 19 november 2015 Maak kennis met wie is GeeFirm GeeFirm Ervaring en referenties in allerlei sectoren Synmotive Internet Overal Cloud - Telecom - Web - IT 24 x 7 support 100% web based office onderdeel van AllSolutions

Nadere informatie

Introduceert KASPERSKY ENDPOINT SECURITY FOR BUSINESS

Introduceert KASPERSKY ENDPOINT SECURITY FOR BUSINESS Introduceert KASPERSKY ENDPOINT SECURITY FOR BUSINESS 1 Business strategieën en de impact voor de IT FLEXIBILITEIT Snel handelen met wendbaarheid en flexibiliteit Voor 66% van de organisaties staat flexibiliteit

Nadere informatie

IBM; dataopslag; storage; infrastructuur; analytics; architectuur; big data

IBM; dataopslag; storage; infrastructuur; analytics; architectuur; big data Asset 1 van 10 Big Data Analytics voor Dummies Gepubliceerd op 30 june 2014 Gelimiteerde editie van de populaire Dummies-reeks, speciaal voor managers. Het boek legt uit waarom Big Data Analytics van cruciaal

Nadere informatie

De Enterprise Security Architectuur

De Enterprise Security Architectuur De Enterprise Security Architectuur Martijn Doedens Security Consultant Peter Mesker CTO IT SECURITY IS TOPSPORT! Wat is de definitie?! Een enterprise security architectuur omvat alle noodzakelijke elementen

Nadere informatie

Certified Ethical Hacker v9 (CEH v9)

Certified Ethical Hacker v9 (CEH v9) Certified Ethical Hacker v9 (CEH v9) Opleiding van 8 sessies Start: 18-02-2016, Tramstraat 63, 9052 Zwijnaarde Lesdata van deze opleiding: 18/02/2016 ( 09:00-12:00 ) 18/02/2016 ( 13:00-16:00 ) 19/02/2016

Nadere informatie

Sr. Security Specialist bij SecureLabs

Sr. Security Specialist bij SecureLabs Wie ben ik? Ronald Kingma, CISSP ronald@securelabs.nl Sr. Security Specialist bij SecureLabs Introductie SecureLabs Voorheen ISSX Code of Conduct Real Penetration Testing Vulnerability Management Veiligheidsincidenten

Nadere informatie

m.b.v. digitale certificaten en PKI Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van e-mail

m.b.v. digitale certificaten en PKI Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van e-mail Beknopte dienstbeschrijving Beveiligen van e-mail m.b.v. digitale certificaten en PKI Document: Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van e-mail Inhoudsopgave 1. Inleiding 2 2. Snel te

Nadere informatie

De Uitdagingen van Mobiele Apparaten Managen

De Uitdagingen van Mobiele Apparaten Managen Kaseya Onderzoek De Uitdagingen van Mobiele Apparaten Managen 2011 www.kaseya.nl Over dit rapport In dit rapport worden de resultaten gepresenteerd van een onderzoek dat door Kaseya is geïnitieerd en uitgevoerd

Nadere informatie

Factsheet SECURITY SCANNING Managed Services

Factsheet SECURITY SCANNING Managed Services Factsheet SECURITY SCANNING Managed Services SECURITY SCANNING Managed Services We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren. Met onze Security

Nadere informatie

We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren.

We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren. Managed Services Managed Services We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren. Met onze Security Management diensten bewaken we de continuïteit

Nadere informatie

DE BUSINESS CASE VOOR DE ASP OPLOSSING VAN CRM RESULTANTS VOOR ONDERWIJSINSTELLINGEN

DE BUSINESS CASE VOOR DE ASP OPLOSSING VAN CRM RESULTANTS VOOR ONDERWIJSINSTELLINGEN DE BUSINESS CASE VOOR DE ASP OPLOSSING VAN CRM RESULTANTS VOOR ONDERWIJSINSTELLINGEN Inleiding CRM Resultants biedt aan haar klanten de keuze om Microsoft Dynamics CRM in huis te installeren, of om de

Nadere informatie

Trends in de Campusinfrastuctuur. In samenwerking met Stratix

Trends in de Campusinfrastuctuur. In samenwerking met Stratix Trends in de Campusinfrastuctuur In samenwerking met Stratix Agenda Workshop Trends in Campusinfrastructuur 30-4-2015 Agenda Introductie: SURFnet Automated Networks IaaS en SaaS Wireless Privacy en Security

Nadere informatie

Resultaten van de scan. Open poorten. High vulnerabilities. Medium vulnerabilites. Low vulnerabilities

Resultaten van de scan. Open poorten. High vulnerabilities. Medium vulnerabilites. Low vulnerabilities De Nessus scan We hebben ervoor gekozen om de webserver met behulp van Nessus uitvoerig te testen. We hebben Nessus op de testserver laten draaien, maar deze server komt grotendeels overeen met de productieserver.

Nadere informatie

Microsoft Office 365 voor bedrijven. Remcoh legt uit

Microsoft Office 365 voor bedrijven. Remcoh legt uit Microsoft Office 365 voor bedrijven Remcoh legt uit Beter samenwerken, ook onderweg Starten met Office 365 is starten met het nieuwe werken. Met Office 365 heeft u namelijk de mogelijkheid om altijd en

Nadere informatie

Bring Your Own Device onder controle. Tanja de Vrede

Bring Your Own Device onder controle. Tanja de Vrede Bring Your Own Device onder controle Tanja de Vrede Bring Your Own Device onder controle 5 tools om zelf meegebrachte apparaten te beheren 12 maart 2013 Tanja de Vrede Het gebruik van eigen mobiele apparatuur

Nadere informatie

IAM en Cloud Computing

IAM en Cloud Computing IAM en Cloud Computing Cloud café 14 Februari 2013 W: http://www.identitynext.eu T: @identitynext www.everett.nl www.everett.nl Agenda 1. Introductie 2. IAM 3. Cloud 4. IAM en Cloud 5. Uitdagingen 6. Tips

Nadere informatie

Stappen ze bij u ook gewoon door de achterdeur binnen? Bart de Wijs. IT Security in de Industrie. FHI 11 Mei 2006

Stappen ze bij u ook gewoon door de achterdeur binnen? Bart de Wijs. IT Security in de Industrie. FHI 11 Mei 2006 Bart de Wijs Stappen ze bij u ook gewoon door de achterdeur binnen? All rights reserved. 5/17/2006 IT Security in de Industrie FHI 11 Mei 2006 Achterdeuren? Heeft u ook: Slide 2 Van die handige USB memory

Nadere informatie

Enterprise SSO Manager (E-SSOM) Security Model

Enterprise SSO Manager (E-SSOM) Security Model Enterprise SSO Manager (E-SSOM) Security Model INHOUD Over Tools4ever...3 Enterprise Single Sign On Manager (E-SSOM)...3 Security Architectuur E-SSOM...4 OVER TOOLS4EVER Tools4ever biedt sinds 2004 een

Nadere informatie

INFORMATIEBEVEILIGING: WAAR STAAT U NU?

INFORMATIEBEVEILIGING: WAAR STAAT U NU? INFORMATIEBEVEILIGING: WAAR STAAT U NU? HANDIGE CHECKLISTS VOOR DE OVERHEIDSSECTOR In deze whitepaper bieden we u handvatten en checklists voor hoe u om kunt gaan met de nieuwe meldplicht datalekken. Steeds

Nadere informatie

Optimale ICT-beveiliging. Van advies en ontwikkeling tot implementatie en beheer

Optimale ICT-beveiliging. Van advies en ontwikkeling tot implementatie en beheer Optimale ICT-beveiliging Van advies en ontwikkeling tot implementatie en beheer 1 Inhoud Deze brochure geeft u meer uitleg over de manier waarop Telenet de ICT van uw bedrijf kan beveiligen. Ervaring,

Nadere informatie

Zwaarbewolkt met kans op neerslag

Zwaarbewolkt met kans op neerslag 8 ControllersMagazine januari - februari 2015 automatisering Zwaarbewolkt met kans op neerslag Cloud was het woord van 2014. Het gaat hierbij om hard- en software die niet meer hoeft te worden aangeschaft

Nadere informatie

GOEDE ZORG VOOR ONDERZOEKSDATA.

GOEDE ZORG VOOR ONDERZOEKSDATA. GOEDE ZORG VOOR ONDERZOEKSDATA. Ziekenhuislaboratorium LabWest vertrouwt IT-infrastructuur toe aan Sentia Sinds 2011 werken verschillende ziekenhuizen in en rondom Den Haag met een gezamenlijke laboratoriumorganisatie.

Nadere informatie

Sebyde Web Applicatie Security Scan. 7 Januari 2014

Sebyde Web Applicatie Security Scan. 7 Januari 2014 Sebyde Web Applicatie Security Scan 7 Januari 2014 Even voorstellen Sebyde BV is Certified IBM Business Partner voor security systems, gespecialiseerd in applicatie security en security awareness. We leveren

Nadere informatie

BEST PRACTICES MOBILE DEVICE MANAGEMENT EN MOBILE SECURITY.

BEST PRACTICES MOBILE DEVICE MANAGEMENT EN MOBILE SECURITY. BEST PRACTICES MOBILE DEVICE MANAGEMENT EN MOBILE SECURITY. With Kaspersky, now you can. kaspersky.nl/business Be Ready for What s Next INHOUD Pagina 1. 24/7 MOBIELE TOEGANG...2 2. MOBILE DEVICE MANAGEMENT

Nadere informatie

Solution Dag 2015. refresh-it. Printing. Frits de Boer Frenk Tames 1 12.06.2015

Solution Dag 2015. refresh-it. Printing. Frits de Boer Frenk Tames 1 12.06.2015 Solution Dag 2015. refresh-it Printing Frits de Boer Frenk Tames 1 12.06.2015 Agenda. 1. Welkom Frits de Boer 2. Samsung Printing Frenk Tames 3. Rondleiding Tonerfabriek ARP Supplies 2 12.06.2015 Solution

Nadere informatie

Partneren met een Cloud broker

Partneren met een Cloud broker Partneren met een Cloud broker Vijf redenen om als reseller te partneren met een Cloud broker Introductie Cloud broker, een term die je tegenwoordig vaak voorbij hoort komen. Maar wat is dat nu precies?

Nadere informatie

Whitepaper Succesvol migreren naar de cloud

Whitepaper Succesvol migreren naar de cloud Whitepaper Succesvol migreren naar de cloud Jitscale Einsteinbaan 4a 3439 NJ Nieuwegein The Netherlands T: +31(0)88 00 22 777 F: +31(0)88 00 22 701 E: info@jitscale.com www.jitscale.com Introductie De

Nadere informatie

hoogwaardige IaaS Cloudoplossingen

hoogwaardige IaaS Cloudoplossingen hoogwaardige IaaS Cloudoplossingen Exclusieve partnership Cloudleverancier NaviSite is als onderdeel van mediaconglomeraat Time Warner Cable één van de grootste wereldwijde providers van enterprise class

Nadere informatie

Beveiligingsbeleid Stichting Kennisnet

Beveiligingsbeleid Stichting Kennisnet Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek

Nadere informatie

Meerdere clouds samensmeden tot één grote, hybride omgeving

Meerdere clouds samensmeden tot één grote, hybride omgeving Cloud of Clouds Meerdere clouds samensmeden tot één grote, hybride omgeving whitepaper CUSTOM 1 Bedrijven maken steeds vaker gebruik van meerdere clouddiensten, omdat ze aan iedereen in de organisatie

Nadere informatie

Factsheet E COMMERCE BEHEER Managed Services

Factsheet E COMMERCE BEHEER Managed Services Factsheet E COMMERCE BEHEER Managed Services E COMMERCE BEHEER Managed Services We zorgen voor een gegarandeerd stabiel, snel en schaalbaar e-business platform. Efficiënt beheer is cruciaal voor de continuïteit

Nadere informatie

INFORMATIEBEVEILIGING VOOR WEBWINKELS

INFORMATIEBEVEILIGING VOOR WEBWINKELS INFORMATIEBEVEILIGING VOOR WEBWINKELS HANDIGE CHECKLISTS In deze whitepaper bieden we u tips en checklists die kunnen bijdragen aan een optimale beveiliging van zowel uw eigen data als die van uw klanten.

Nadere informatie

BESCHERM UW BEDRIJF, WAAR U OOK GAAT. Protection Service for Business

BESCHERM UW BEDRIJF, WAAR U OOK GAAT. Protection Service for Business BESCHERM UW BEDRIJF, WAAR U OOK GAAT Protection Service for Business WE LEVEN IN EEN MOBIELE WERELD WiFi Voetganger We maken tegenwoordig gebruik van meer apparaten via meer verbindingen dan ooit tevoren.

Nadere informatie

Datadiefstal: Gone in 60 Seconds!

Datadiefstal: Gone in 60 Seconds! Datadiefstal: Gone in 60 Seconds! Didacticum Solutions Datadiefstal en ontwikkelingen Het komt regelmatig voor: klantgegevens of intellectuele eigendommen van bedrijven worden door hackers gestolen. Denk

Nadere informatie

Factsheet SECURITY CONSULTANCY Managed Services

Factsheet SECURITY CONSULTANCY Managed Services Factsheet SECURITY CONSULTANCY Managed Services SECURITY CONSULTANCY Managed Services We adviseren u over passende security-maatregelen voor uw digitale platform. Zo helpen we u incidenten als datadiefstal

Nadere informatie

HOUD UW BEDRIJFSVOERING ALTIJD EN OVERAL VEILIG. Protection Service for Business

HOUD UW BEDRIJFSVOERING ALTIJD EN OVERAL VEILIG. Protection Service for Business HOUD UW BEDRIJFSVOERING ALTIJD EN OVERAL VEILIG Protection Service for Business WE LEVEN IN EEN MOBIELE WERELD WiFi Voetganger We maken gebruik van meer apparaten en verbindingen dan ooit tevoren. De mogelijkheid

Nadere informatie

ComPromise Cross Info Event 7 november 2013

ComPromise Cross Info Event 7 november 2013 ComPromise Cross Info Event 7 november 2013 Kees Woortmeijer en Maurice de Wit Grip op ICT ICT de klok rond Passie voor ICT ICT met een glimlach Kennis van ICT Inhoud ComPromise Strategie en ontwikkelingen

Nadere informatie

Microsoft Dynamics CRM & Integrated Innovation

Microsoft Dynamics CRM & Integrated Innovation Microsoft Dynamics CRM & Integrated Innovation 22 mei 2008 Qurius Page 1 Agenda Uitdagingen People Ready Business Integrated Innovation Case: FNV Bondgenoten Qurius en samenvatting Qurius Page 2 Uitdagingen

Nadere informatie

Altijd en overal in de cloud. Al uw data en applicaties vanaf elk device bereikbaar voor uw medewerkers

Altijd en overal in de cloud. Al uw data en applicaties vanaf elk device bereikbaar voor uw medewerkers Altijd en overal in de cloud Al uw data en applicaties vanaf elk device bereikbaar voor uw medewerkers Zorgeloos in de cloud De wereld verandert voortdurend en ook ons werkmodel bevindt zich in een fase

Nadere informatie

CASE STUDY. FRISS pakt verzekeringsfraude aan met. Solvinity. Steeds minder fraudeurs weten verzekeringsmaatschappijen een pootje te lichten.

CASE STUDY. FRISS pakt verzekeringsfraude aan met. Solvinity. Steeds minder fraudeurs weten verzekeringsmaatschappijen een pootje te lichten. CASE STUDY FRISS pakt verzekeringsfraude aan met Solvinity Steeds minder fraudeurs weten verzekeringsmaatschappijen een pootje te lichten. FRISS pakt verzekeringsfraude aan met Solvinity Steeds minder

Nadere informatie

Geef uw onderneming vleugels. Met de soepele werkprocessen

Geef uw onderneming vleugels. Met de soepele werkprocessen Geef uw onderneming vleugels Met de soepele werkprocessen van Dutchict Cloud Online functionaliteiten Managed Cloud Online functio U wilt uw documenten overal kunnen beheren en delen. Maar applicaties

Nadere informatie

Naar de cloud: drie praktische scenario s. Zet een applicatiegerichte cloudinfrastructuur op. whitepaper

Naar de cloud: drie praktische scenario s. Zet een applicatiegerichte cloudinfrastructuur op. whitepaper Naar de cloud: drie praktische scenario s Zet een applicatiegerichte cloudinfrastructuur op whitepaper Naar de cloud: drie praktische scenario s Veel bedrijven maken of overwegen een transitie naar de

Nadere informatie

Sim as a Service. Veilig en betrouwbaar beheer op afstand van systemen via M2M datacommunicatie

Sim as a Service. Veilig en betrouwbaar beheer op afstand van systemen via M2M datacommunicatie Sim as a Service Veilig en betrouwbaar beheer op afstand van systemen via M2M datacommunicatie RAM Mobile Data Sim as a Service Veilig en betrouwbaar beheer op afstand van systemen via M2M datacommunicatie

Nadere informatie

Cloud werkplek anno 2014. Cloud werkplek anno 2014

Cloud werkplek anno 2014. Cloud werkplek anno 2014 Introductie Peter Klix Infrastructuurarchitect Specialisatie networking en desktop concepts Peter.klix@eic.nl Cloud desktop Introductie Desktop concepten door de jaren Infrastructuur Cloud concepten Focus

Nadere informatie

Van Virtualisatie naar Cloud Computing De roadmap voor de toekomst?

Van Virtualisatie naar Cloud Computing De roadmap voor de toekomst? Van Virtualisatie naar Cloud Computing De roadmap voor de toekomst? Louis Joosse Principal Consultant Alle intellectuele eigendomsrechten met betrekking tot de inhoud van of voortvloeiende uit dit document

Nadere informatie

Remcoh Mobile Device beheer. Remcoh legt uit

Remcoh Mobile Device beheer. Remcoh legt uit Remcoh Mobile Device beheer Remcoh legt uit White Paper Middels deze white paper informeert en adviseert Remcoh u over slim beheer van mobiele apparaten en toegang daarmee tot uw bedrijfsgegevens. Waarom

Nadere informatie

1 Dienstbeschrijving all-in beheer

1 Dienstbeschrijving all-in beheer 1 Dienstbeschrijving all-in beheer De all-in beheer overeenkomst van Lancom is modulair opgebouwd. U kunt bij Lancom terecht voor deelgebieden zoals helpdesk ondersteuning of backup, maar ook voor totale

Nadere informatie

F5 NETWORKS Good, Better & Best. Nick Stokmans Account Manager

F5 NETWORKS Good, Better & Best. Nick Stokmans Account Manager F5 NETWORKS Good, Better & Best Nick Stokmans Account Manager The F5 Advantage Security Enterprise Users $ Customers Attacker ICSA Certified Default Deny ACL s Full Proxy DoS Mitigation SSL IP Intelligence

Nadere informatie

Professional Services

Professional Services Professional Services Winning deals together with Alcadis Professional Services Experience Center Het Experience Center biedt Alcadis alle faciliteiten om partners te informeren over Wi-Fi, IP-connectiviteit

Nadere informatie

Welkom. Christophe Limpens. Solution Consultancy Manager

Welkom. Christophe Limpens. Solution Consultancy Manager Welkom Christophe Limpens Solution Consultancy Manager Veranderende tijden For internal use only. Select your 'R' level. De huidige taal van onze klanten CLOUD Disaster Recovery MAART OKTOBER DECEMBER

Nadere informatie

Beknopte dienstbeschrijving beveiligen van Webapplicaties m.b.v. digitale certificaten en PKI

Beknopte dienstbeschrijving beveiligen van Webapplicaties m.b.v. digitale certificaten en PKI Beknopte dienstbeschrijving beveiligen van Webapplicaties m.b.v. digitale certificaten en PKI Document: Beknopte dienstbeschrijving beveiligen van Webapplicaties Versie: maart 2002 mei 2002 Beknopte dienstbeschrijving

Nadere informatie

André Salomons Smart SharePoint Solutions BV. Cloud security en de rol van de accountant ICT Accountancy praktijkdag

André Salomons Smart SharePoint Solutions BV. Cloud security en de rol van de accountant ICT Accountancy praktijkdag André Salomons Smart SharePoint Solutions BV Cloud security en de rol van de accountant ICT Accountancy praktijkdag Cloud security moet uniformer en transparanter, waarom deze stelling? Links naar de artikelen

Nadere informatie

Doe de poll via the Live App

Doe de poll via the Live App INGRID LIGTHART Je software in de private cloud Doe de poll via the Live App Iedereen heeft het over cloud Cloud is de toekomst Doe mee aan de private cloud poll! Geef nu uw mening via de Exact live app

Nadere informatie

Beveiliging en bescherming privacy

Beveiliging en bescherming privacy Beveiliging en bescherming privacy Beveiliging en bescherming privacy Duobus B.V. Nieuwe Boteringestraat 82a 9712PR Groningen E info@duobus.nl I www.duobus.nl September 2014 2 Voorwoord Als organisatie

Nadere informatie

Mobile device management:

Mobile device management: Jacco Bezemer Mobile device management: Grip op smartphones en tablets Even voorstellen Jacco Bezemer, Adviseur sinds 2008 Begonnen als Technisch Consultant bij Ictivity in 2000 jacco.bezemer@ictivity.nl

Nadere informatie

Software Defined Datacenter Visie van Cisco. Erwin uit de Bos Datacenter Strategie Specialist NL euitdebo@cisco.com Versie: 5 februari 2015

Software Defined Datacenter Visie van Cisco. Erwin uit de Bos Datacenter Strategie Specialist NL euitdebo@cisco.com Versie: 5 februari 2015 Software Defined Datacenter Visie van Cisco Erwin uit de Bos Datacenter Strategie Specialist NL euitdebo@cisco.com Versie: 5 februari 2015 Tomorrow Starts Here. Make amazing things happen by connecting

Nadere informatie

Onderzoeksverslag Beveiliging

Onderzoeksverslag Beveiliging Onderzoeksverslag Beveiliging Project 3 TI1B - Mohamed, Ruben en Adam. Versie 1.0 / 29 maart 2016 Pagina 1 Inhoud 1. INLEIDING... 3 2. VEILIGHEID EISEN... 3 3. SOFTWARE... FOUT! BLADWIJZER NIET GEDEFINIEERD.

Nadere informatie

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce. Cloud Computing, een inleiding ICT Accountancy & Financials congres 2013: Cloud computing en efactureren 10 december 2013 Jan Pasmooij RA RE RO: jan@pasmooijce.com 10 december 2013 1 Kenmerken van Cloud

Nadere informatie

Asset 1 van 4. Data Recovery as a Service. Gepubliceerd op 9 november 2015

Asset 1 van 4. Data Recovery as a Service. Gepubliceerd op 9 november 2015 Asset 1 van 4 Data Recovery as a Service Data herstellen na een calamiteit is lastiger dan het lijkt. Dit is geen kernactiviteit van ondernemingen, zeker niet van mkb-bedrijven. Zonder data loopt de continuïteit

Nadere informatie

MSSL Dienstbeschrijving

MSSL Dienstbeschrijving MSSL Dienstbeschrijving Versie : 1.0 Datum : 28 augustus 2007 Auteur : MH/ME Pagina 2 van 7 Inhoudsopgave Inhoudsopgave... Fout! Bladwijzer niet gedefinieerd. Introductie... 3 Divinet.nl Mssl... 3 Hoe

Nadere informatie

Partners in Information Security. Partners in Information Security. Peter Rietveld. DDoS in perspectief

Partners in Information Security. Partners in Information Security. Peter Rietveld. DDoS in perspectief Partners in Information Security Partners in Information Security Peter Rietveld DDoS in perspectief Peter Rietveld Security Adviseur Traxion Even voorstellen Domein Manager Situational Awareness Competence

Nadere informatie

Werkplekvisie. Hans van Zonneveld Senior Consultant Winvision

Werkplekvisie. Hans van Zonneveld Senior Consultant Winvision Werkplekvisie Hans van Zonneveld Senior Consultant Winvision De essentie De gebruiker centraal Verschillende doelgroepen Verschillende toepassingen Verschillende locaties Het beschikbaar

Nadere informatie

Een veilige draadloze internet-en netwerkverbinding in uw gemeente, voor u en uw burgers. Hoe pakt u dit aan? impakt.be

Een veilige draadloze internet-en netwerkverbinding in uw gemeente, voor u en uw burgers. Hoe pakt u dit aan? impakt.be Een veilige draadloze internet-en netwerkverbinding in uw gemeente, voor u en uw burgers. Hoe pakt u dit aan? IMPAKT Secure ICT IMPAKT is meer dan 25 jaar actief in België en Luxemburg als ICT beveiliging

Nadere informatie

Hoog Beschikbaarheid en het waterschapshuis

Hoog Beschikbaarheid en het waterschapshuis Hoog Beschikbaarheid en het waterschapshuis het doel, de mogelijkheden en de beperkingen Oracle Waterschapsdag SPREKER : E-MAIL : DATUM : Johan Westerduin jwesterduin@transfer-solutions.com 30 november

Nadere informatie

Verras uw business-collega s met een IT-sixpack

Verras uw business-collega s met een IT-sixpack Hybride-cloudaanpak Verras uw business-collega s met een IT-sixpack De CIO staat steeds meer onder druk: enerzijds vragen uw businesscollega s een s nellere en meer flexibele dienstverlening, anderzijds

Nadere informatie

Meest mobiele organisatie van Nederland

Meest mobiele organisatie van Nederland Resultaten onderzoek Meest mobiele organisatie van Nederland Juni 2013 Uitkomsten onderzoek onder top organisaties in Nederland Uitgevoerd door Keala Research & Consultancy in de periode mei tot en met

Nadere informatie

Office 365. Auteur: Roy Scholten Datum: 9/11/2015 Versie: 1.3 OPENICT B.V.

Office 365. Auteur: Roy Scholten Datum: 9/11/2015 Versie: 1.3 OPENICT B.V. Office 365. Auteur: Roy Scholten Datum: 9/11/2015 Versie: 1.3 Over Open ICT De afgelopen jaren zijn de technische ontwikkelingen snel gegaan, de typemachine is vervangen door de tablet. De ontwikkelingssnelheid

Nadere informatie

Werken zonder zorgen met uw ICT bij u op locatie

Werken zonder zorgen met uw ICT bij u op locatie Werken zonder zorgen met uw ICT bij u op locatie Naast de mogelijkheden om uw programmatuur en gegevens bij Drie-O via Evy 2.0 in de cloud te hosten hebt u ook de mogelijkheid om uw ICT omgeving bij u

Nadere informatie

Informatiebeveiliging voor gemeenten: een helder stappenplan

Informatiebeveiliging voor gemeenten: een helder stappenplan Informatiebeveiliging voor gemeenten: een helder stappenplan Bewustwording (Klik hier) Structureren en borgen (Klik hier) Aanscherping en maatwerk (Klik hier) Continu verbeteren (Klik hier) Solviteers

Nadere informatie

Frontend performance meting

Frontend performance meting Frontend performance meting als aanvulling op de traditionele manier van performancetesten René Meijboom rene@performancearchitecten.nl Introductie Uitdaging bij huidige klant Succesvolle performancetest

Nadere informatie

Hardening. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Hardening. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Hardening Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst

Nadere informatie

BeCloud. Belgacom. Cloud. Services.

BeCloud. Belgacom. Cloud. Services. Cloud Computing Webinar Unizo Steven Dewinter Steven.Dewinter@belgacom.be January 20 th, 2012 Agenda Agenda: Wat is nu precies Cloud Computing? Voordelen & Nadelen Hoe ga ik naar de Cloud? Belgacom Cloud

Nadere informatie

Tags: online; websites; automatisering; infrastructuur; cloud; infrastructure; Mirabeau; 626; automation; guidelines

Tags: online; websites; automatisering; infrastructuur; cloud; infrastructure; Mirabeau; 626; automation; guidelines Asset 1 van 4 Effectief in de cloud Gepubliceerd op 7 october 2013 Cloud technologie speelt een steeds grotere rol binnen de exploitatie van web omgevingen. De voordelen van cloud zijn inmiddels breeduit

Nadere informatie

HMI s ontsluiten machines naar het WEB

HMI s ontsluiten machines naar het WEB HMI s ontsluiten machines naar het WEB Grip op uw machine onafhankelijk van zijn locatie Door: Bert-Jan Ruesink Email: b.ruesink@duranmatic.nl Machinebouw event 2015 Pag. 1 Duranmatic B.V. Technische handelsonderneming,

Nadere informatie

Droom of werkelijkheid? Integratie VMware NSX en F5 zorgt voor effectieve uitrol van applicaties.

Droom of werkelijkheid? Integratie VMware NSX en F5 zorgt voor effectieve uitrol van applicaties. Droom of werkelijkheid? Integratie VMware NSX en F5 zorgt voor effectieve uitrol van applicaties. Ralph Wanders Datacenter Solutions Manager IT SECURITY IS TOPSPORT! Datacenter solutions componenten Orchestrate

Nadere informatie

Remote maintenance 4.0

Remote maintenance 4.0 Locatie A Locatie B Remote maintenance 4.0 Onderwerpen 1 2 3 Uitleg Remote maintenance 4.0 Verschillende manieren van Remote maintenance Remote maintenance als een service 4 Twee voorbeelden van mogelijke

Nadere informatie

Victor-Jan Leurs ceo

Victor-Jan Leurs ceo Victor-Jan Leurs ceo Wie is Caase? ontstaan uit Computer SOS (1988) 4 vestigingen, 80 medewerkers The Cloud Integrator in Benelux Partner Van Microsoft & IBM Belangrijkste Benelux partner van Google Wat

Nadere informatie

HOE OMGAAN MET DE MELDPLICHT DATALEKKEN?

HOE OMGAAN MET DE MELDPLICHT DATALEKKEN? HOE OMGAAN MET DE MELDPLICHT DATALEKKEN? EEN HANDIGE CHECKLIST In deze whitepaper bieden we u handvatten die u kunnen helpen bij de implementatie van de meldplicht datalekken binnen uw organisatie. We

Nadere informatie