Afstudeerprojecten Security Management. saxion.nl

Transcriptie

1 Afstudeerprojecten 2015 Security Management saxion.nl

2 Inhoud Woord vooraf Security Management Beste afgestudeerde, Frank Nijsink 4 Van harte gefeliciteerd met het (bijna) behalen van het diploma Security Management! Het behalen van dit diploma is in meerdere opzichten uniek. Je bent een van de allereerste lichting bachelorstudenten Security Management in Nederland die het felbegeerde diploma in ontvangst mag nemen. Een memorabel moment! In 2011 ben je gestart met de opleiding in Apeldoorn en anno 2015 ben je klaar om de arbeidsmarkt te betreden. Je professionele carrière gaat van start en dat is een mijlpaal in je leven. Jeroen Aijtink 6 Joey Post 8 We zijn er trots op dat je alle proeven van bekwaamheid, die tot stand zijn gekomen in nauwe samenwerking met het beroepenveld, hebt doorstaan. En dat je nu op zoek gaat naar een mooie positie in het securitydomein. Enkele studenten hebben al een carrièrekeuze gemaakt, anderen zijn nog zoekende. In dat proces zul je, net als tijdens de opleiding, uitdagingen tegenkomen. Met jouw kennis, kunde en ambitie ben ik ervan overtuigd dat je deze uitdagingen het hoofd kunt bieden. Ramon Verbrügge 10 Niet alleen je inspanningen hebben geleid tot dit unieke afstudeermoment. Ook de inspanningen van docenten en het beroepenveld hebben hier een belangrijke rol in gespeeld. Ik ben mijn collega s en het beroepenveld daarvoor zeer erkentelijk. Veel succes gewenst en graag tot ziens! Kijk ook eens als alumni op om je mede-afstudeerders te blijven volgen. Met vriendelijke groet, Drs. B.J. (Bruce) Rinsampessy Teamleider Security Management 2 Afstudeerprojecten

3 Maatschappij afhankelijk van informatieen communicatietechnologie Het belang van informatiebeveiliging is de afgelopen decennia steeds verder toegenomen en door incidenten die zich steeds vaker voordoen, is pijnlijk duidelijk geworden hoeveel de huidige maatschappij afhankelijk is geworden van informatie- en communicatietechnologie als onderdeel van het dagelijks leven. Onder andere op school, thuis en op het werk. Ook het gebruik van mobiele telefoons en tablets is enorm toegenomen en vrijwel iedereen heeft bijna overal toegang tot het internet. Iedereen is tegenwoordig kwetsbaar en een mogelijk doelwit voor cybercriminelen. Veelzeggende incidenten als de Diginotar crisis en Lektober zijn uitstekende voorbeelden van de afhankelijkheid van ICT en de schadelijke gevolgen die informatiebeveiligingsincidenten hebben voor organisaties. Enkele effecten die deze incidenten hebben gehad zijn: imagoschade en verminderd vertrouwen van de burgers in ICT en de overheid, geldboetes, financiële schade en hoge herstelkosten, verlies van data en in enkele gevallen vertrouwelijke data en politieke gevolgen, zoals het aftreden van verantwoordelijke personen. Het is voor organisaties dus van vitaal belang een gedegen informatiebeveiliging in te stellen. Huidige en gewenste niveau Het verschil tussen het gewenste en het huidige niveau van bewustzijn is de basis geweest voor de ontwikkeling van een bewustwordingsprogramma voor de gemeenten in Twente. Het bewustwordingsprogramma is op grond van de PDCA cyclus van Deming vormgegeven en is bedoeld om de medewerkers van de gemeente de komende jaren bewust te maken op het gebied van informatiebeveiliging. Een aantal onderdelen van deze bewustwording zijn: de risico s die er bestaan voor een gemeente en welke beveiligingsmaatregelen hiertegen getroffen zijn en hoe deze gehanteerd moeten worden. Het streven is in de zeer nabije toekomst de bewustwording centraal vanuit het samenwerkingsverband tussen gemeenten aan te sturen, zodat er een integraal bewustwordingsprogramma komt dat voor iedere gemeenten makkelijk hanteerbaar is. Zodra iedere gemeente een voldoende mate van bewustzijn in de organisatie heeft geborgd, kan de bewustwording lokaal georganiseerd worden, waarbij vanuit het samenwerkingsverband enkel nog middelen aangereikt worden om dit te vergemakkelijken. Gemeente Enschede Frank Nijsink Huidige niveau van bewustzijn medewerkers Sinds 2011 werken acht Twentse gemeenten samen op diverse onderdelen van bedrijfsvoering, waaronder informatiebeveiliging. Om de informatiebeveiliging vorm te geven is de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) geadopteerd en vastgesteld door de colleges van burgemeester en wethouders. In de baseline staan onderdelen van informatiebeveiliging weergegeven waaraan een gemeente in Nederland moet voldoen. Eén van deze onderdelen is bewustwording op het gebied van informatiebeveiliging. Er bestond geen volledig inzicht in het niveau van bewustzijn van de medewerkers en door diverse incidenten was de verwachting dat dit niveau niet voldoende zou zijn. Om deze reden is onderzoek uitgevoerd naar het huidige niveau van bewustzijn en de mogelijkheden om het bewustzijn van de medewerkers te vergroten, mocht dit niet voldoende blijken te zijn. Belang van menselijke factor De menselijke factor is van groot belang voor een goede informatiebeveiliging. Een organisatie kan nog zoveel maatregelen treffen, maar als deze niet worden gebruikt of niet goed worden gebruikt, hebben deze weinig tot geen effect en kunnen er incidenten optreden met zeer schadelijke gevolgen. Beveiligingsbewustzijn is de mate waarin elke medewerker het belang van beveiliging voor de organisatie en het noodzakelijke niveau van beveiliging dat voor de organisatie vereist is, begrijpt, en hier naar handelt. Het doel is elke medewerker kennis bij te brengen en de houding van een medewerker tegenover informatiebeveiliging positief te stemmen, zodat hij of zij het juiste gedrag gaat vertonen. Om de menselijke factor van informatiebeveiliging te beïnvloeden is beveiligingsbewustzijn onmisbaar. Allereerst was het van belang inzicht te krijgen in de mogelijkheden om het bewustzijnsniveau van de gemeentelijke medewerkers te meten. Er is gekozen om een volwassenheidsmodel te hanteren. Door het meten van verschillende indicatoren kan een organisatie worden ingedeeld in een volwassenheidsniveau en kan het verschil worden bepaald met het gewenst niveau. Op basis van diverse modellen en theorieën uit de literatuur is er een bewustzijnsvolwassenheidsmodel gecreëerd. Vervolgens dienden de verschillende indicatoren die bepalend zijn voor het niveau van bewustzijn gemeten te worden. Vanwege de omvang van de steekproef is gekozen voor het hanteren van een enquête die is uitgezet bij de acht deelnemende gemeenten aan het project (Almelo, Borne, Enschede, Haaksbergen, Hengelo, Hof van Twente, Losser en Oldenzaal). Daarnaast is er een quickscan georganiseerd bij deze verschillende gemeenten om de stand van zaken omtrent bewustzijn duidelijk te krijgen. Op basis van deze resultaten kon het bewustzijnsniveau worden bepaald en werd het verschil met het gewenste niveau duidelijk. 4 Afstudeerprojecten

4 Cyber criminaliteit Hackers en cyber-criminelen worden steeds inventiever en slaan steeds vaker hun slag op het gebied van datadiefstal of systeem manipulatie. Het is hierdoor volgens beveiligingsexperts dan ook niet de vraag of, maar wanneer een organisatie succesvol aangevallen wordt. Ter beveiliging wapenen organisaties zichzelf steeds beter door beveiligingsmaatregelen als firewalls en log analyse apparatuur te plaatsen. Maar wat als deze beveiligingsmaatregelen falen? De producten van SDL worden door meer dan 1500 klanten gebruikt voor vertalingen of marketing, waaronder 45 van de 50. Waardoor SDL een schat aan informatie opslaat voor haar klanten. Dit maakt de kans, dat cyber-criminelen hun pijlen op deze Software-as-a- Service producten richten, groter. Wanneer cybercriminelen succesvol zijn in hun aanval, komt het aan op de voorbereiding van SDL aan om hierop te reageren. Vragen hierbij zijn: waar melden medewerkers dit beveiligingsincident, wie reageert er op het beveiligingsincident en hoe worden acties gecoördineerd? Deze vragen worden beantwoord in een security incident response plan. het gebied van beveiligingsincidenten. De Chief Technology Officer is namens het Exec team geïnterviewd, waarbij vooral gekeken is naar de wijze waarop het Exec team geïnformeerd wil worden over beveiligingsincidenten en de rol die zij bij de coördinatie willen betekenen. In de laatste fase van de afstudeeropdracht zijn het geselecteerde model en de interviewresultaten samengevoegd tot een security-incident response plan voor SDL. Dit plan bestaat uit het beveiligingsbeleid voor het afhandelen van beveiligingsincidenten, een procesbeschrijving en de voorbereiding op beveiligingsincidenten. De Information Security Officer van SDL zal de resultaten van de afstudeeropdracht gaan implementeren. De eerste stappen hiervoor zijn al gezet. SDL, Amsterdam Jeroen Aijtink Een security-incident response model en plan De opdracht bij SDL was het selecteren van een security-incident response model en het opstellen van een security-incident response plan wat SDL kan implementeren om toekomstige beveiligingsincidenten binnen haar Software-asa-Service producten te beheersen. Hierbij moest rekening gehouden worden met de bestaande bedrijfsprocessen voor het afhandelen van incidenten en de huidige ISO27001 certificering. Opzet van het onderzoek Voor SDL is een security-incident response plan opgesteld aan de hand van de afstudeeropdracht. Om dit te realiseren zijn eerst verschillende security-incident response modellen uit de literatuur met elkaar vergeleken. Daarna is, op basis van de eisen van het Cloud Services management team van SDL, het beste model voor SDL geselecteerd. Als laatste is het standaard model aangepast aan de bestaande processen en eisen van de stakeholders. De eerste onderzoeksfase bestond uit een literatuurstudie, waarbij security incident response modellen in kaart zijn gebracht. Op basis van verschillende wetenschappelijke artikelen kwamen vijf modellen relevante naar voren om beveiligingsincidenten in de ICT omgeving te beheersen. Opvallend was dat alle modellen andere terminologie hanteren en uitgaan van verschillende fasen. Meest geschikte model Het model wat het meest aansluit op de eisen van het management team is de ISO27035 voor security incident response. Dit model gaat uit van een proactieve aanpak, omdat vooraf plannen worden beschreven hoe een beveiligingsincident af te handelen. Naast de proactieve aanpak integreert de ISO27035 goed met de ISO27001 standaard voor informatie beveiliging. Dit laatste kenmerk maakte dit model het meest geschikt voor SDL. Integratie en implementatie van het model Nadat het beste security-incident response model was geselecteerd, kon gestart worden met de integratie van dit model binnen SDL. Hiervoor zijn interviews uitgevoerd met medewerkers binnen de afdelingen Cloud Services, Customer Support en het Exec team. De afdeling Cloud Services beheert de Software-as-a-Service producten die SDL aan haar klanten aanbiedt. Deze afdeling heeft gedurende de interviews veel informatie aangeleverd over het bestaande incidentproces en de wijze waarop beveiligingsincidenten worden afgehandeld. Customer Support biedt ondersteuning aan de klanten van SDL voor alle diensten. Gedurende de interviews is gekeken naar de interactie tussen de afdelingen Customer Support en Cloud Services op 6 Afstudeerprojecten

5 TNO, Den Haag Beschrijving van het onderzoek Het onderzoek had tot doel om inzichtelijk te maken hoe het gesteld is met het beveiligingsbewustzijn van de medewerkers op één van de locaties van TNO in het land. Om het onderwerp te verkennen en af te bakenen is eerst literatuurstudie verricht. Beveiligingsbewustzijn/Security Awareness wordt gevormd door drie psychologische aspecten: kennis, houding en gedrag. Door mensen kennis bij te brengen over de securityrisico s van de organsatie en de maatregelen die daar tegen genomen zijn wordt het besef gekweekt dat security belangrijk is. Deze kennis en het toegenomen bewustzijn moet resulteren in een positieve houding ten opzichte van de securitymaatregelen waardoor uiteindelijk het gewenste gedrag wordt uitgevoerd. In de praktijk van security betekent dat het correct uitvoeren van de security maatregelen en het alert zijn op mogelijke risico s. Na het uitvoeren van interviews met een aantal betrokkenen bij het beveiligingsbewustzijn binnen TNO is vastgesteld welke aspecten van Security Awareness op deze vestiging belangrijk zijn. Deze aspecten hebben geleid tot indicatoren die in een surveyonderzoek zijn onderzocht. Alle medewerkers van deze locatie hebben een enquête ontvangen. Ongeveer de helft heeft deze uiteindelijk ingevuld. In de enquete werden de verschillende indicatoren getoetst aan de hand van de aspecten kennis, houding en gedrag. Door de resultaten in SPSS te analyseren met frequentie-analyses werd inzichtelijk wat het niveau van deze aspecten was. Vervolgens is aan de hand van de vier leerstadia van Maslow het volwassenheidsniveau van de Security Awareness op deze vestiging vastgesteld. Op basis van dit verkregen inzicht zijn vervolgens aanbevelingen gedaan om het niveau te verbeteren door gericht beleidsinstrumenten in te zetten. Joey Post Beveiligingsbewustzijn van medewerkers Op één van de Nederlandse vestigingen van TNO heb ik een onderzoek uitgevoerd naar Security Awareness, zodat inzichtelijk werd hoe het gesteld is met het beveiligingsbewustzijn van de medewerkers op deze locatie. Door het uitzetten van een survey onder het personeel is de mate van kennis, houding en gedrag ten opzichte van security in kaart gebracht. TNO is een onderzoeksinstituut dat voor de Nederlandse overheid en het bedrijfsleven onderzoek doet naar wetenschappelijke innovaties. Een goede beveiliging van haar eigendommen is van groot belang. Beveiligingsbewustzijn speelt een grote rol in de effectiviteit van die beveiliging. Het interne beleid en regelgeving van opdrachtgevers vereisen dan ook dat dit in orde is. 8 Afstudeerprojecten

6 Achtergrond De ILT bewaakt en stimuleert de naleving van wet- en regelgeving voor een veilige en duurzame leefomgeving en transport. Dit doet zij door middel van een goede dienstverlening, rechtvaardig toezicht/handhaving en adequate opsporing. De onderzoeken van de ILT-IOD zijn gericht op personen en bedrijven die de regelgeving op het gebied van milieu en woningcorporaties stelselmatig en op een ernstige manier overtreden. Voorbeelden hiervan zijn: onderzoek naar diverse illegale afvalstromen (Europese verordening overbrenging afvalstoffen), bodemvervuiling en het mengen van schoon met vervuilde grond. Daarnaast wordt er, onder andere, onderzoek verricht naar integriteitschendingen bij woningcorporaties en fraude met subsidies. Resultaten De gevonden resultaten, zoals de verschillen uit de GAP analyse en de enquête, zijn overzichtelijk uitgewerkt en hebben tot reële en praktische aanbevelingen geleidt. Hiermee kan de ILT-IOD een verbeterplan opstellen om nog beter beveiligd te worden. De ontwikkelde GAP analyse is als beroepsproduct opgevoerd en kan door de ILT-IOD gebruikt worden voor toekomstige periodieke beveiligingscontroles en audits. Aanleiding De samenleving verlangt van de politiediensten, bijzondere opsporingsdiensten, Rijksrecherche en het Openbaar Ministerie dat deze op doelmatige en doeltreffende wijze zorgdraagt voor de handhaving van de rechtsorde. Daar hoort bij dat de veredelde en verwerkte opsporingsgegevens adequaat technisch en organisatorisch beveiligd moeten worden tegen ongeautoriseerde kennisname, wat kan leiden tot schade aan de belangen van personen, de opsporingsdienst, het ministerie en haar bondgenoten. Inspectie Leefomgeving en Transport, Inlichtingen- en Opsporingsdienst (ILT-IOD), Utrecht Zonder inzicht, geen uitzicht Ramon Verbrügge De Inspectie Leefomgeving en Transport (ILT) heeft voor de adequate opsporing een eigen Inlichtingen- en Opsporingsdienst (IOD). De ILT-IOD maakt deel uit van de vier Bijzondere Opsporingsdiensten (BOD- en) in Nederland. Voorwaarde voor een goede taakuitvoering door de politiediensten, bijzondere opsporingsdiensten en Rijksrecherche, is dat de daarvoor noodzakelijke gegevens kunnen worden vastgelegd en op een efficiënte en effectieve manier kunnen worden verwerkt. Deze gegevens moeten adequaat beveiligd worden tegen informatie compromitterende bedreigingen. De opdracht is om onderzoek te doen naar getroffen beveiligingsmaatregelen van ILT-IOD. Het onderzoek Met dit onderzoek zijn de actuele wet- en regelgeving voor het beveiligen van (bijzondere) informatie in beeld gebracht. Met deze bevindingen is het wettelijk kader opgesteld, waaraan de ILT-IOD aan moet voldoen voor het beveiligen van (bijzondere) informatie. De richtlijnen hebben, onder andere, tot doel het aantal medewerkers en derden dat met bijzondere informatie in aanraking komt, zo klein mogelijk te houden. Daarnaast worden er aanvullende regels gesteld voor de opslag, verwerking en het uitwisselen (transporteren) van bijzondere informatie. Het wettelijk kader is vervolgens gebruik om een GAP analyse uit te voeren. De GAP analyse laat het verschil zien tussen het wettelijk kader (vereiste) en de huidige getroffen beveiligingsmaatregelen. Informatiebeveiliging is primair een lijnverantwoordelijkheid. Maar dat ontslaat de medewerker niet van zijn/haar verantwoordelijkheid op het gebied van informatiebeveiliging. Medewerkers dragen een gedeelde verantwoordelijkheid waar het gaat om het beveiligen van informatie. Uit een onderzoek van het computerbeveiligingsbedrijf Kaspersky is gebleken, dat de mens de zwakste schakel is in de beveiligingsprocessen. De noodzaak van informatiebeveiliging moet daarom bij de medewerkers tussen de oren komen. Het is belangrijk dat medewerkers in de organisatie secuur omgaan met (bijzondere) informatie. Binnen de ILT-IOD is onderzocht wat het huidige kennisniveau is over de getroffen informatiebeveiligingsmaatregelen. Voor het meten van het kennisniveau, is een enquête uitgezet onder de medewerkers. Er zijn, onder andere, vragen gesteld over de onderwerpen: informatiebeveiligingsbeleid, informatiebeveiligingsmaatregelen en incidenten. De resultaten van de enquête zijn afgezet tegen het gewenste kennisniveau. Hierdoor is een indicatie ontstaan over het kennisniveau van de medewerkers. 10 Afstudeerprojecten

7 Enschede M.H. Tromplaan 28 Postbus KB Enschede Tel. (053) Deventer Handelskade 75 Postbus AM Deventer Tel. (0570) Apeldoorn Kerklaan 21 Postbus GC Apeldoorn Tel. (055) saxion.nl