TRENDS IN SECURITY 2015

Maat: px
Weergave met pagina beginnen:

Download "TRENDS IN SECURITY 2015"

Transcriptie

1 JAARGANG 13 - DECEMBER infosecurity MAGAZINE ONVEILIGHEID NEEMT TOE CYBERCRIME VOOR IT-SECURITY BELANGRIJKSTE THEMA VOOR 2015 RONDE TAFEL CYBER SECURITY NIEUW MINISTERIE VAN DIGITALISERING MOET NEDERLAND DIGITAAL VEILIG MAKEN TRENDS IN SECURITY 2015 TWINTIG SECURITY-SPECIALISTEN AAN HET WOORD SECURITY IS (OOK) EEN KWESTIE VAN GEWOON BEGINNEN - SECURITY AWARENESS IN VIJF STAPPEN - LANDSGRENZEN ZIJN PLOTSELING WEER VAN GROOT BELANG IN IT-SECURITY - BIG DATA-TECHNIEKEN VERSTERKEN SECURITY-AANPAK AANZIENLIJK - LOS ZAND BIEDT GEEN BESCHERMING - EUROPESE DATABESCHERMINGSREGELS STELLEN BEDRIJFSLEVEN VOOR NIEUWE UITDAGING - MEER DIEPGANG IN SECURITY-TRAININGEN GEWENST - DATA-ENCRYPTIE: HET NIEUWE WAPEN TEGEN CYBERCRIME

2 As Network Growth g Colofon - Editorial Explodes Will Your Security Solution Keep Up? Watchguard Firebox M400 and M500 appliances are up to 61% percent faster than competing solutions with all layers of security turned on. And when chewing through capacity-intensive HTTPS traffic up to 149% faster. Infosecurity Magazine is het enige onafhankelijke vakblad in de Benelux dat zich expliciet bezighoudt met informatiebeveiliging. Het blad beweegt zich op het snijvlak van technologie en beleid. Vanaf het hekwerk tot in de boardroom. Toezending van Infosecurity Magazine vindt plaats op basis van abonnementen en controlled circulation. Vraag uw abonnement aan via Uitgever Jos Raaphorst twitter.com/raaphorstjos nl.linkedin.com/pub/dir/jos/raaphorst Hoofdredacteur Robbert Hoeffnagel twitter.com/rhoeffnagel nl.linkedin.com/in/robberthoeffnagel Advertentie-exploitatie Will Manusiwa Eindredactie/traffic Ab Muilwijk Vormgeving Media Service Uitgeest Druk Control Media OneName Het is weer die tijd van het jaar. De periode waarin we allemaal lijstjes maken of lijstjes lezen. De meest schadelijke malware, de grootste cyber crimes uitgedrukt in geld, welke CEO s of IT-managers moesten het veld ruimen vanwege verlies aan klantgegevens? De mooiste vond ik overigens een lijstje met meest ingrijpende ( disruptive heet dat tegenwoordig in goed Nederlands) nieuwe ontwikkelingen. Interessant genoeg stond bitcoin op de eerste plaats. Voor veel mensen staan bitcoins gelijk aan een licht onbegrijpelijke nieuwe manier van betalen. Maar - helaas - denken veel mensen ook direct aan underground marketplaces waar wapens, drugs en illegaal verkregen persoonsgegevens verhandeld worden. Ik denk dat in dat lijstje disruptive technologies een foutje is gemaakt. Niet bitcoin had op plaats één moeten staan, maar blockchain. We hebben niet de ruimte om hier precies uit te leggen wat titeiten behoeft te worden vastgelegd. Het onderliggende protocol regelt dat we allemaal een unieke identiteit kunnen aanmaken en kunnen gebruiken zonder dat een bedrijf of overheidsinstelling hier een register van bijhoudt. Sommige venture capitalists zijn er van overtuigd dat we aan de vooravond staan van een totaal nieuwe manier van applicaties bouwen. Zij spreken in dit opzicht van een Blockchain Application Stack. De eerste apps zijn er al. Denk aan Lazooz, een op blockchain-technologie gebaseerde Android-app die carpoolen mogelijk maakt. En alweer: zonder dat er een centrale server is waar iedereen op inlogt of gebruik van maakt. OpenBazaar Niet bitcoin had op plaats één moeten staan, maar blockchain Don t compromise security for performance. Infosecurity magazine is een uitgave van FenceWorks BV Beatrixstraat CK Zoetermeer Niets uit deze uitgave mag op enigerlei wijze worden overgenomen zonder uitdrukkelijke toestemming van de uitgever. Meer informatie: de blockchain precies is, maar laten we volstaan met te zeggen dat dit het onderliggende mechanisme (zeg maar: de wiskundige formule) is waar ook bij bitcoins gebruik van wordt gemaakt. Maar wie venture capitalists als Andreessen Horowitz of Union Square Ventures volgt, ontdekt al snel dat zij razend enthousiast zijn over de mogelijkheden die blockchains te bieden hebben. Opmerkelijk genoeg ook voor security-toepassingen. Een mooi voorbeeld daarvan is OneName. Dit is een startup die identity en access management op basis van blockchain-technologie ontwikkelt. Met deze technologie kunnen gebruikers een unieke identiteit aanmaken. Dat is op zich niet zo bijzonder. Wat deze technologie - en blockchains in het algemeen - zo innovatief maakt, is het feit dat er nergens een centrale lijst met al die unieke iden- is een ander voorbeeld. Hier worden open marktplaatsen ontwikkeld die volgens dit peer-to-peer principe werken. Opmerkelijk - en voor veel mensen ongetwijfeld eng - is het feit dat Lazooz of OpenBazaar eigenlijk helemaal geen bedrijven zijn. Het zijn een soort extreme varianten op open source. De technologie is inmiddels al heel ver. Maar de acceptatie nog niet. Toch is dit razend interessante technologie. Misschien weten we over tien jaar niet beter dan dat dit de nieuwe manier van applicaties bouwen of transacties doen is. Wellicht is het iets voor een goed voornemen voor het nieuwe jaar: ga eens naar onename.io en duik in deze nieuwe wereld. Geloof me, het is zeer fascinerend. Robbert Hoeffnagel Hoofdredacteur Infosecurity Magazine 2 Contact us today at: or call +31(0) INFOSECURITY MAGAZINE - NR. 5 - DECEMBER

3 INHOUD Kahuna Henry Dunantstraat 36a 3822 XE Amersfoort 4 kahuna managing security managing security Next Generation Firewalls Security Information & Event Management Policy Compliance & Vulnerability Management Virtual & Cloud Security Managed Security Services T : +31 (0) F : +31 (0) E : aangesloten bij THE SIEM ALLIANCE FOUNDER MEMBER 12 Normcommissie voor alle security-normen en uniforme certificatie voor veiligheidsproducten 14 Nieuw Ministerie van Digitalisering moet Nederland digitaal veilig maken Hoewel de samenleving en vrijwel alle beroepen direct of indirect afhankelijk zijn van ITsystemen, is die nadrukkelijke aanwezigheid van IT en bijbehorende digitale veiligheid niet terug te vinden in het Nederlandse onderwijs. Sterker nog, het blinkt uit in afwezigheid. Dat signaleren de deelnemers aan de Ronde Tafel Cyber Security. Zij willen dat dit gaat veranderen in het belang van de BV Nederland. 16 Security is (ook) een kwestie van gewoon beginnen 18 Betrouwbare netwerken dankzij proprietary software 22 Cloud & Security 24 Virtualisatie van FortiGate geeft ROC van Twente veiligheid en vrijheid 26 Landsgrenzen zijn plotseling weer van groot belang in IT-security 30 MKB en corporate databeveiliging anno 2015 vraagt om de inzet van professionals 32 Vijf cybercrimeverwachtingen voor IT-managers zijn niet voorbereid op Europese privacyregels voor datawissen 81 procent van de IT-managers in Europa is nog niet op de hoogte van de nieuwe EU-verordening op het gebied van gegevensbescherming, de EU General Data Protection Regulation (GDPR). Dit blijkt uit onderzoek van Kroll Ontrack. 36 Los zand biedt geen bescherming 38 Nieuwe NEN NPR 5313 normering dwingt tot datacenter-beveiliging op lager niveau 40 New Channel 42 Beheer, creëer en monitor endpoint protection in de cloud 44 Sogeti 46 Europese databeschermingsregels stellen bedrijfsleven voor nieuwe uitdaging Europa is flink gevorderd met zijn voorstellen voor nieuwe databeschermingsregels die Europawijd geïmplementeerd zullen gaan worden. Het zijn maatregelen die ook voor het bedrijfsleven de nodige gevolgen hebben. Wat is er precies in de maak en hoe kunnen bedrijven zich daar nu al op voorbereiden? 48 Hyperconnectiviteit leidt tot grotere kwetsbaarheid Binnen de cybersecurity-branche is dit jaar veel gebeurd. Veel nieuwe ontwikkelingen - zowel in tools als in hacktechnieken en van individuele strategieën tot internationale samenwerkingen om cybercrime tegen te gaan. Patrick de Goede van Eijk, Solution Expert Security & Enterprise Architect bij T-Systems Nederland, bespreekt welke van zijn eerdere voorspellingen over 2014 uit zijn gekomen en kijkt vervolgens vooruit naar het komende jaar. Wat kunnen we verwachten en hoe beïnvloedt dit onze verdediging in 2015? 50 Cybercrime in 2015: dit kan uw organisatie volgend jaar verwachten 52 Meer diepgang in security-trainingen gewenst 56 Script met hash codes maakt gerommel in software herkenbaar 58 Legal Look CYBERCRIME VOOR IT-SECURITY BELANGRIJKSTE THEMA VOOR De wereld wil er maar niet veiliger op worden. Sinds de Tweede Wereldoorlog werd er niet zoveel gevochten als nu. Volgens de website warsintheworld.com werd er in november 2014 in 64 landen gevochten door 592 opstandige groepen. De Arabische lente is inmiddels omgeslagen tot een gruwelijk conflict van de halve wereld met IS, waarbij terugkerende jihadisten voor een nieuwe dreiging zorgen. Tegelijk zijn de conflicten heel dichtbij gekomen door de spanningen in de Oekraïne en met Rusland, wat tot een triest dieptepunt kwam met het neerhalen van vlucht MH-17. Ook in de digitale wereld laaien de conflicten op. SECURITY AWARENESS IN VIJF STAPPEN BIG DATA-TECHNIEKEN VERSTERKEN SECURITY-AANPAK AANZIENLIJK Het aantal Distributed Denial of Service (DDoS) aanvallen groeit niet alleen, maar ook de intensiteit en de lengte van de aanvallen neemt sterk toe. Dat vereist security-maatregelen waarin veel intelligentie is opgenomen. Huawei heeft daarom een Anti-DDoS oplossing ontwikkeld die nadrukkelijk gebruikmaakt van technieken op het gebied van Big Data. Stelt u zich eens voor: een voor u onbekend persoon staat voor de deur. In haar ene hand een zware tas, in de andere hand een telefoon waarmee ze druk aan het bellen is. Bedankt, ik weet de weg hoor, mompelt ze terwijl u de deur open doet en ze u voorbij loopt de gang op. Wat doet u? DATA-ENCRYPTIE: HET NIEUWE WAPEN TEGEN CYBERCRIME 54 De veiligheid van bedrijfsnetwerken staat onder grotere druk dan ooit. Hackers zijn gewiekste criminelen uit op geld (lees: data) en met hun zeer geavanceerde breekijzers lopen zij altijd een stap voor op de reguliere security-oplossingen. Bovendien zijn niet alleen de enterprise-organisaties, maar ook mid-sized bedrijven steeds vaker het slachtoffer. Data-encryptie is vrijwel de enige duurzame manier om diefstal van bedrijfsgegevens tegen te gaan. Maar dan moet de infrastructuur daar wel op berekend zijn. INFOSECURITY MAGAZINE - NR. 5 - DECEMBER

4 NIEUWSGIERIG NAAR DE LAATSTE DIGITALE INNOVATIES VOOR DE ZORG? Neem dan nu een (gratis) abonnement op het magazine van Digitalezorg.nl De zorgsector ontwikkelt zich in razend tempo. Nieuwe digitale werkprocessen, nieuwe applicaties, het gebruik van de cloud, de opkomst van mobiele apparaten, Big Data, privacy-issues, de almaar voortgaande integratie van informatie - het is maar een greep uit de vele digitale ontwikkelingen waar zorgprofessionals, bestuurders en innovaties dagelijks mee te maken hebben. Hoe houdt u overzicht? En hoe krijgt u inzicht in de gevolgen voor uw organisatie? Het internetplatform Digitalezorg.nl helpt al jaren om bij te blijven rond alle relevante ontwikkelingen. Om de zorgsector hierbij nog beter te kunnen helpen, hebben de stichting Digitalezorg.nl en uitgeverij FenceWorks het Digitalezorg.nl Magazine gelanceerd. Hierin vindt u visies, achtergronden, productbesprekingen, columns, interviews en nog veel meer. 6 Magazine ehealth-monitor 2014: Nederland scoort goed Nieuwe jeugdhulp vraagt om innovatieve oplossingen en actie Magazine over innovatie en ICT in de zorg Proefproject levert snel uitslagen en gevalideerde data Flexibele capaciteit voor Erasmus MC Jaargang 1 Nr. 3 Interesse in een gratis abonnement? Ga naar Cybercrime voor IT-security belangrijkste thema voor 2015 De wereld wil er maar niet veiliger op worden. Sinds de Tweede Wereldoorlog werd er niet zoveel gevochten als nu. Volgens de website warsintheworld.com werd er in november 2014 in 64 landen gevochten door 592 opstandige groepen. De Arabische lente is inmiddels omgeslagen tot een gruwelijk conflict van de halve wereld met IS, waarbij terugkerende jihadisten voor een nieuwe dreiging zorgen. Tegelijk zijn de conflicten heel dichtbij gekomen door de spanningen in de Oekraïne en met Rusland, wat tot een triest dieptepunt kwam met het neerhalen van vlucht MH-17. Ook in de digitale wereld laaien de conflicten op. IS schijnt zich voor te bereiden op grote cyberaanvallen en kaapt intussen grote aantallen websites om hun propaganda te verspreiden. Maar ook gevestigde staten laten hun digitale spierballen rollen: de complexiteit van de Regin-malware, die recent ontdekt is, laat zien dat de Verenigde Staten en Figuur: IT-security thema s voor Nederlandse organisaties in 2015 Q14: Welke van de volgende thema s zijn voor u de komende 12 maanden het belangrijkst op het gebied van IT-security? ONVEILIGHEID NEEMT TOE Groot-Brittannië niet stil hebben gezeten en hun digitale spionageactiviteiten, ook in West-Europa eerder opvoeren dan dat ze ineens rekening houden met de privacy gevoeligheid van veel West-Europese burgers. De tegenstanders van de VS, zoals Iran en Noord-Korea, zitten ook niet stil en slaan digitaal steeds sterker terug. Intussen nemen op het vlak van particuliere cybercriminaliteit de dreigingen en de complexiteit daarvan alleen maar toe. Het blijft een aantrekkelijke, snel groeiende markt met zeer hoge marges en beperkte risico s. Voor een criminele organisatie met winstoogmerk is de business case dan wel heel erg snel gemaakt, zelfs in Nederland, waar we volgens Kaspersky Lab tenslotte de beste cybercops uit de hele wereld zouden hebben. Het is dan ook niet zo vreemd dat cybercrime voor IT-security binnen Nederlandse bedrijven het belangrijkste thema voor 2015 is. PRIORITEIT 1: CYBERCRIME Cybercrime staat nooit stil. Aan het eind van ieder jaar, ook nu, wordt door menig securityprofeet de cyberapocalyps voorspeld. De manier waarop bedrijven security inrichten moet radicaal anders om het grote onheil nog af te kunnen wenden. Hoewel het wat zwaar wordt aangezet, weten we allemaal dat we de strijd allerminst aan het winnen zijn. Net zoals retailers een bepaalde mate van winkeldiefstal bereid zijn te accepteren, zijn er steeds meer bedrijven die zich neerleggen bij een bepaalde mate van datadiefstal of andere digitale criminele schadeposten. Maar nu aanvallen steeds complexer worden en zich bijvoorbeeld op zero-day exploits richten, neemt de kans dat de firewall gepenetreerd wordt aanzienlijk toe, alsook de bijbehorende schade. Niet iedere organisatie is even goed voorbereid op complexe aanvallen. Van de organisaties (50 of meer medewerkers) die we ondervroegen in de Nationale IT- Security Monitor, gaf meer dan de helft aan gebruik te maken van detectie-oplossingen waarbij verdachte gebeurtenissen worden gemeld. Maar zowel op INFOSECURITY MAGAZINE - NR. 5 - DECEMBER

5 bruiken. Een datagoudzoeker is, wat de overheid betreft, niet te vertrouwen. De regelgeving die voor de meeste aandacht zorgt, komt uit Europa in de vorm van de Algemene Data Protectie Verordening, waar iedere organisatie met 250 of meer medewerkers aan dient te gaan voldoen. Als we naar de gereedheid van Nederlandse organisaties kijken, is vrijwel niemand geheel voorbereid. In 2015 zal er nog flink aan getrokken moeten worden om op tijd klaar te zijn. Figuur: Advanced Threat Protection maatregelen Q26: Welke van de volgende beveiligingsmaatregelen heeft uw organisatie ingericht, specifiek met het oog op het beschermen van uw organisatie tegen complexe aanvallen? Figuur: Klaar voor de Data Protectie Verordening? Q20: In welke mate is uw organisatie voorbereid op de volgende eisen van de Data Protectie Verordening? [Alleen organisaties met 250 of meer medewerkers] PRIORITEIT 5: CLOUD SECURITY Hoewel er weinig in cloud security training wordt geïnvesteerd, geeft 49% van de onderzochte bedrijven aan onvolproactief als reactief vlak, ontbreekt het vaak aan afdoende maatregelen. Ook het permanente monitoren wordt door een beperkt aantal organisaties gedaan en dan met name binnen de financiële dienstverlening, terwijl vooral de zorg achterblijft. PRIORITEIT 2: PRIVACY Met stip op de tweede plaats staat het thema privacy. Er zijn nogal wat redenen waarom dit zo hoog op de agenda is komen te staan. Het onderwerp is vooral populair geworden door de onthullingen van Edward Snowden, die alle geruststellingen van Amerikaanse cloud leveranciers met betrekking tot de Patriot Act van tafel veegden. Waar de impact in de publieke sector groot was - de politiek zit immers om de hoek, zagen de meeste bedrijven de risico s aanzienlijk genuanceerder. Dat privacy toch zo hoog op de agenda staat, komt door de regelgeving vanuit de overheid. De regelgeving is deels een reactie op vooral het Amerikaanse datagraaien, maar in essentie vooral een reactie op de digitalisering van privacygevoelige gegevens en de wens van organisaties om die data op allerlei manieren te combineren en te ge- PRIORITEIT 3: WEB SECURITY En dan was er ook nog het nieuws dat veiligheidscertificaten van websites het hackers vooral makkelijk maken: dan weten ze meteen hoe ze niet binnen moeten komen en waar de mogelijke gaten dus wel zitten. Web security en cybercrime hebben natuurlijk veel met elkaar te maken. De grote uitdaging is dat werknemers steeds meer en vooral op steeds meer apparaten zich toegang tot het Internet verschaffen en zo ook nog eens toegang tot bedrijfsapplicaties en data willen verschaffen. Momenteel valt op dat er veel moeite is om enige grip te krijgen op het gebruik van mobiele apparaten. Meer dan de helft van de respondenten in de Nationale IT-Security Monitor bevestigde dat men onvoldoende kennis in huis heeft om te garanderen dat mobiele toegang (via bijvoorbeeld smartphones of tablets) veilig plaatsvindt. De belangrijkste maatregelen om het in goede banen leiden, zijn dan ook vooral gericht op het beperken van de toegang tot bedrijfsapplicaties en data. Het bewustzijn dat dit geen duurzame strategie is, is echter sterk, waardoor ook dit punt hoog op de security-agenda staat. PRIORITEIT 4: TRAINING IT is een zeer veranderlijk vak, waarbij het noodzakelijk is om vaardigheden met grote regelmaat aan te scherpen en uit te breiden. Voor IT-beveiliging is een cursus op zijn tijd onvoldoende. De uitdaging om bij te blijven bij alles wat echt noodzakelijk is om te weten, is enorm. Sterker nog, het is onmogelijk. Niet voor niets zijn er geen organisaties die hun IT-beveiliging geheel runnen zonder hulp van buitenaf. Vrijwel iedere organisatie maakt daarom van enige vorm van managed security gebruik. Desalniettemin staat security training in 2015 hoog op de agenda van de Nederlandse CISO. Nederlandse organisaties denken vooral in training op het gebied van DLP te gaan investeren, op de voet gevolgd door netwerkbeveiliging. De trainingen zijn vooral van technische aard, maar er is ook veel aandacht voor awareness training onder gebruikers. Opvallend is dat de aandacht voor privacy en cloud security onderaan bungelen, terwijl beide onderwerpen wel top-5 security thema s zijn voor Met de nadruk op vooral technische training is het niet zo vreemd dat 64% van de onderzochte organisaties aangeeft, dat er te weinig in security training wordt geïnvesteerd. Figuur: IT-security training in 2015 Q20: In welke mate is uw organisatie voorbereid op de volgende eisen van de Data Protectie Verordening? [Alleen organisaties met 250 of meer medewerkers] 8 INFOSECURITY MAGAZINE - NR. 5 - DECEMBER

6 doende kennis in huis te hebben om te garanderen dat cloudoplossingen veilig gebruikt worden. Organisaties maken zich vooral zorgen over het gebrek aan controle over de beveiliging van data. Welke leveranciers zijn te vertrouwen en hoe kunnen we nagaan of ze de beveiliging van onze data wel op orde hebben? Opslag kan immers wel uitbesteed worden, maar de verantwoordelijkheid voor data niet. Ook maken veel organisaties zich zorgen over de opkomst van schaduw-it. Cloudoplossingen komen niet via de traditionele IT-kanalen de organisatie binnen, maar worden vaak al gebruikt voordat IT ervan op de hoogte is. Als het mis gaat, kan je de business of medewerker wel de schuld geven, maar weet je ook wie de rommel mag opruimen. Ook voor cloud geldt dat de afgelopen jaren de nadruk vaak op beperken en verbieden lag, maar dat deze zal moeten verschuiven naar faciliteren. Hoe zorg je ervoor dat je op tijd aan tafel zit om veilig gebruik te garanderen? Eén van de interessantere mogelijkheden die nu nog beperkt benut wordt, maar in 2015 verder zal opkomen, is die van het sleutelbeheer. Amazon biedt bijvoorbeeld de mogelijkheid om sterke encryptie te combineren met het zelf beheren van de sleutels. Amazon heeft dan simpelweg de sleutel niet en is dus ook niet in staat om data op verzoek van Amerikaanse diensten te ontsleutelen. SECURITY IS PROACTIEF IN 2015 Bedrijven en instellingen zijn in een snel tempo verder aan het digitaliseren. Het succes van een organisatie wordt daardoor steeds meer afhankelijk van een succesvolle beveiliging. Teveel innovatieve producten en diensten worden nooit in de markt gezet, omdat men er niet in slaagt om de beveiliging rond te krijgen. Figuur: Cloud security uitdagingen Q28: Wat zijn wat u betreft de belangrijkste uitdagingen op het gebied van cloud security? Door proactief vroegtijdig aan te schuiven bij de ontwikkeling van deze producten en diensten, versterkt security het concurrerend vermogen. Dat geldt zeker ook voor mobiele werkoplossingen, bijvoorbeeld uit de cloud. Ook in de manier waarop IT-security werkt, staat proactief in 2015 voorop. Dreigingen worden steeds complexer en uitdagender. Zo houdt een virusscanner misschien veel malware tegen, maar meestal niet de gevaarlijkste. Het wordt steeds belangrijker om op zoek te gaan naar afwijkend gedrag en eventuele dreigingen te neutraliseren voordat ze geïdentificeerd zijn. Hoewel veel security professionals zich daar prima van bewust zijn, loopt de praktijk meestal daar een heel eind achteraan. Tenslotte willen we graag afsluiten met een voorspelling voor 2015: de kans dat IT-security saaier wordt in 2015 is kleiner dan 10%. Peter Vermeulen is directeur van Pb7 Research Meer weten over business, innovatie & IT? Lees De Nationale IT-Security Monitor is mogelijk dankzij de medewerking van: Business & IT publiceert artikelen en blog posts over de relatie tussen IT, business en innovatie. Ook publiceren? Kijk op 10 INFOSECURITY MAGAZINE - NR. 5 - DECEMBER

7 SECURITY Normcommissie voor alle security-normen en uniforme certificatie voor veiligheidsproducten Jolien van Zetten is consultant Milieu & Maatschappij bij NEN en verantwoordelijk voor alles dat met security te maken heeft. Op dit moment speelt er veel, vertelt ze. Zo zijn we bezig met het opstarten van een normcommissie Security en coördineren we als NEN het FP7-project CRISP dat moet zorgen dat er Europees gezien uniformiteit komt in de certificatie van veiligheidsproducten. De Technical Management Board van ISO (ISO/TMB) heeft besloten om per 1 januari 2015 een aantal commissies op het gebied van security samen te voegen. Hierdoor moet een beter overzicht en een betere structuur ontstaan. Voor NEN was dit aanleiding om ook één normcommissie voor security op te richten. NEN voert al enige tijd een CEN/TC-secretariaat en een ISO-werkgroep op het gebied van maatschappelijke veiligheid, maar nationaal is dit nooit goed van de grond gekomen. In september was er een eerste informatiebijeenkomst. Zo n 80 belangstellenden woonden de bijeenkomst bij. Op 27 november is de normcommissie met ruim 20 leden opgericht. VEEL ONDERWERPEN De normcommissie moet een aantal besluiten gaan nemen. Onder security vallen veel onderwerpen, zoals Business Continuity Management, Bescherming Vitale Infrastructuur ; Security Management en Security Dienstverlening, Crisis Management en Emergency Management. Gaat de normcommissie al deze onderwerpen behandelen of worden er subcommissies en werkgroepen opgericht? Niet alle onderwerpen zijn voor alle normcommissieleden even relevant. Zo hebben retailers veel interesse in supply chain management, maar minder in crisis management. In de ISO Technische Commissie (ISO/ TC) 292 Security worden normen opgesteld, beheerd en verbeterd om de veiligheid van organisaties, infrastructuur en samenleving te borgen. De NEN-normcommissie Security zal op Europees en internationaal niveau voor de Nederlandse belangen in dit vakgebied opkomen door bij te dragen aan concept-normproducten, deel te nemen aan nationale, Europese of internationale projecten en werkgroepen, zelf voorstellen te doen voor nieuwe normen en feedback te geven op bestaande normen. Recent is bij NEN de Normcommissie Business Continuity Management opgericht. Hoe deze commissie zich tot de Normcommissie Security zal verhouden, wordt nog besproken. Van Zetten: Het belang van een Nederlandse normcommissie Security is groot. ISO-richtlijnen zijn niet verplicht, maar veel van deze richtlijnen worden Europees als EN-ISO overgenomen. In dat geval gaan ze ook voor Nederland gelden. Het is belangrijk dat we weten wat er speelt én dat we onze belangen kunnen inbrengen. Maatschappelijke veiligheid, sinds kort noemen we dit ook security omdat dit zowel internationaal als in Nederland makkelijker communiceert, omvat veel. Om een voorbeeld te noemen. Stel dat er een ontploffing plaatsvindt bij een bedrijf dat met gevaarlijke stoffen werkt, zoals Chemie-Pack of Shell, dan spelen er direct een aantal zaken: Welke impact heeft het op de omgeving?; Wat wordt er verwacht van de verschillende hulpverleningsdiensten zoals politie, brandweer en ambulances?; Hoe communiceren ze met elkaar en wie heeft de leiding? Hoewel de normcommissie nu formeel is opgericht, kan iedereen met een belang nog aansluiten. Zo zijn de lagere overheden, de veiligheidsregio s, nog ondervertegenwoordigd terwijl zij juist bij incidenten een coördinerende rol hebben. UNIFORME CERTIFICATIE VEILIGHEIDSPRODUCTEN De Europese Commissie wil komen tot een uniforme certificatie van veiligheidsproducten in heel Europa. Hierdoor moet het voor de fabrikant van een product of een leverancier van diensten makkelijker worden van het vrije verkeer van goederen en diensten gebruik te maken. Voor de eindgebruiker worden de producten goedkoper en is er meer keus. Om dit te onderzoeken, aanbevelingen te doen en een tool of product te leveren, is het FP7-project CRISP in het leven geroepen. NEN leidt dit project. Voor dit FP7-project staat een periode van drie jaar; in april 2014 is het project gestart. VEILIGHEIDSPRODUCTEN Van Zetten: Het terrein veiligheidsproducten is heel breed. Het betreft namelijk niet alleen producten, maar ook systemen én diensten. Voorbeelden van producten zijn de CCTV-camera s bij bedrijven of in de binnenstad en bewegingssensoren. Bij systemen kun je denken aan bijvoorbeeld alarmcentrales en onder diensten valt bijvoorbeeld het personeel. Eigenlijk alles wat met veiligheid te maken heeft. Een systeem klinkt misschien nog het vaagst, maar denk aan een sensor. Een enkele sensor kan gecertificeerd zijn, maar het gaat ook om hoe meerdere sensoren - een systeem - geïnstalleerd worden. Hangen ze voldoende ver van elkaar af en wat voor range hebben de sensoren? Een sensor met of zonder camera kun je certificeren op zijn bereik van bijvoorbeeld 10 meter, maar het werkt pas als je ze maximaal 20 meter uit elkaar hangt. Dat is het systeem. De mensen, de diensten, horen hier ook bij. Als bedrijf of overheid huur je vaak een dienst in en daar hoort een product automatisch bij. Je huurt het volledige veiligheidssysteem met diensten en apparaten in. VAN NATIONAAL NAAR EUROPEES Op dit moment heeft elk land zijn eigen nationale certificaten voor een product. Als je als producent bijvoorbeeld je alarmsysteem op de markt brengt, dan heb je het in Nederland laten certificeren. Maar als je het in Frankrijk wilt verkopen, dan moet je het daar weer opnieuw laten certificeren. En dat geldt voor alle systemen en diensten. Erg onhandig. De vraag is of je het wel Europees kunt certificeren. Of dat het beter is een basis-set te maken. Ieder land kan dan nog aanvullingen hebben. Of misschien een Europees systeem waar elk land zijn eigen eisen in kan schuiven, maar waar er in ieder geval wel op dezelfde manier wordt gecertificeerd. Dat zou ook al winst zijn. Studies moeten uitwijzen wat het gewenste eindresultaat moet zijn. EERSTE STAPPEN GEZET De eerste stap voor de projectgroep was duidelijk in beeld krijgen wat er nu al bestaat aan normen en certificatiesystemen. Er zijn namelijk heel veel normen voor veiligheidsproducten en ook veel certificatiemogelijkheden, maar die zijn erg versnipperd. Er zijn veel bedrijven en instituten die hun eigen certificatieschema hebben geschreven en dat maakt het geheel erg ondoorzichtig. Om die security-normalisatiewereld in beeld te krijgen, zijn interviews afgenomen met een groot aantal voorzitters en secretarissen van technische commissies (TC s). Eerst op Europees niveau (CEN en CENELEC) en nu op internationaal niveau (ISO en IEC). Dat levert al een lijst van 40 commissies op die iets doen op het gebied van veiligheid. Sommige onderwerpen zijn heel duidelijk, zoals alarmsystemen. Maar de commissie die zich bezighoudt met zeetransport en supply chain security wordt al een stuk lastiger. Het totale veld is gigantisch veelomvattend. Binnen CRISP is een consortium met vooral sociologen en juristen, bijna geen techneuten. Er wordt sterk gekeken naar Jolien van Zetten, consultant Milieu & Maatschappij bij NEN de sociologische en de ethische kant van de veiligheidsproducten, bijvoorbeeld de privacy van de mensen die gefilmd worden en hoe die data wordt bewaard. Een lastige discussie. Zelfs binnen Europa heb je namelijk te maken met verschillende culturen en gewoontes. MEER INFORMATIE OF MEEDOEN? U kunt op de hoogte blijven door de nieuwsbrief CRISP te ontvangen, maar u kunt ook actief meedoen aan workshops. Bent u fabrikant, leverancier, een certificerende instelling, gebruiker of consumentenorganisatie? Neem dan een gratis abonnement op de nieuwsbrief of meld u aan voor een workshop: nen.nl/security 12 INFOSECURITY MAGAZINE - NR. 5 - DECEMBER

8 RONDE TAFEL CYBER SECURITY Nieuw Ministerie van Digitalisering moet Nederland digitaal veilig maken afspraken kunnen maken over deelname aan cyberspace. Waarom wel een rijbewijs, maar geen cyber-rijbewijs? Waarom wel verkeersregels om ieders veiligheid te waarborgen en geen cyberregels? Net als in het verkeer hebben deelnemers aan cyberspace invloed op elkaars veiligheid. Mensen moeten zich daar meer bewust van zijn en daarin worden opgevoed en opgeleid. Hoewel de samenleving en vrijwel alle beroepen direct of indirect afhankelijk zijn van IT-systemen, is die nadrukkelijke aanwezigheid van IT en bijbehorende digitale veiligheid niet terug te vinden in het Nederlandse onderwijs. Sterker nog, het blinkt uit in afwezigheid. Dat signaleren de deelnemers aan de Ronde Tafel Cyber Security. Zij willen dat dit gaat veranderen in het belang van de BV Nederland. Cyber security moet volgens hen verweven worden in alle opleidingen, op alle niveaus. En een Ministerie van Digitalisering moet er voor zorgen dat dit thema door de hele samenleving verweven raakt. De Ronde Tafel Cyber Security is een initiatief van de Cyber Security Raad. Dit adviesorgaan van de regering signaleert een nijpend gebrek aan bewustzijn rondom digitale veiligheid in de samenleving en de noodzaak die er is om via onderwijs dit tij te keren. Ook baart het de Raad zorgen dat er te weinig professionals worden opgeleid op het gebied van cyber security en dat het Nederlandse onderwijs op dit vlak dreigt stil te vallen. Daarom heeft de Cyber Security Raad onderwijsorganisaties, ondernemers, brancheverenigingen en -platformen, wetenschappelijke instellingen, politici en beleidsambtenaren bij elkaar gebracht om gezamenlijk het probleem te definiëren en een oplossingsrichting te formuleren. De Cyber Security Raad zal zijn advies aan het kabinet over dit thema mede baseren op de resultaten van deze Ronde Tafel Cyber Security. VERANDERINGEN NODIG De manier van denken over digitale veiligheid in Nederland moet veranderen, stellen de deelnemers. Het ligt nu vaak op het bordje van specialisten. Meestal gaat het dan om informatiebeveiliging. Maar dat is niet langer voldoende. Vrijwel alle producten en diensten in de samenleving zijn afhankelijk van IT. We hebben als samenleving een vijfde domein gecreëerd cyberspace, naast lucht, land, water en ruimte waar we grip op moeten zien te krijgen. Alle systemen zijn in cyberspace met elkaar verbonden, met alle risico s van dien. Daarom is het belangrijk niet te focussen op IT, maar er boven te hangen en vast te stellen waar IT de business en de samenleving raakt. Want uiteindelijk gaat het om de continuering daarvan. De start van het nieuwe denken zou daarom social tech risk management moeten zijn. In dit denken gaat het om de risico s die veroorzaakt worden doordat technologie mensen, maatschappij en business raakt. Als die in beeld zijn, kan een discussie plaatsvinden over wat we als samenleving acceptabele risico s vinden en wat niet. Daar kunnen overheden, bedrijven en burgers dan hun maatregelen op nemen. Dit gaat veel verder dan de klassieke informatiebeveiliging door specialisten. In dit nieuwe denken heeft iedereen een rol. Het richt zich op het grotere geheel van een genetwerkte samenleving. COLLECTIEVE VERANTWOORDELIJKHEID In die genetwerkte samenleving is het een collectieve verantwoordelijkheid om digitaal veilig te zijn. Net zoals we afspraken hebben gemaakt over het deelnemen aan het verkeer, zouden we ook Ook bedrijven zouden een actievere rol moeten vervullen in het cyber secure aanbieden van producten en diensten. Vaak staan nu de processen centraal. Proces engineers ontwerpen een fabriek en voegen processen kosteneffectief samen. Maar is dat ook veilig? De deelnemers aan de Ronde Tafel Cyber Security vinden dat bedrijven hun procesontwerp, maar ook hun producten en diensten, verplicht moeten laten toetsen op digitale veiligheid. Vanaf het begin moet veiligheid mee-ontworpen worden. De overheid zou hierin een sturende rol kunnen vervullen, via regelgeving en aanbestedingsregels. Ook zien de deelnemers een rol weggelegd voor verzekeraars. Als zij eisen stellen voor deelname aan een cyber-verzekering, gaan bedrijven nadenken over de risico s van hun producten en diensten. De overheid zou zo n verzekering vervolgens verplicht kunnen stellen voor al haar leveranciers. IN ONDERWIJS INTEGREREN De deelnemers aan de Ronde Tafel Cyber Security stellen dat Nederland nog niet digitaal veilig is. Dat is ons als samenleving overkomen. Iedereen ziet de voordelen in van de digitale wereld en maakt er dankbaar gebruik van. De risico s zijn lange tijd niet onderkend. Het is nu tijd om daar aandacht aan te geven en de samenleving in te richten op cyber secure handelen. Het onderwijs speelt daarin een belangrijke rol. Van basisschool tot universiteit moet basiskennis over cyber security worden aangeleerd. Dat kan als module ingericht worden, maar zeker bij beroepsopleidingen moet het een geïntegreerd onderdeel gaan vormen van het curriculum. Net als statistiek moet cyber security een vast onderdeel zijn van iedere opleiding. Want iedereen heeft in zijn beroep direct of indirect te maken met IT-systemen of producten en diensten die gebruik maken van IT. Die koppeling tussen de beroepspraktijk, IT en cyber security wordt door de deelnemers node gemist. Probleem daarbij is dat het onderwijssysteem in Nederland lastig te veranderen is. Het Ministerie van Onderwijs, Cultuur en Wetenschappen laat het aan scholen en de beroepspraktijk over wat de inhoud van het onderwijsaanbod moet zijn. Daarom adviseren de deelnemers om als overheid te gaan sturen op kern- en leerdoelen op het gebied van cyber security, waar alle scholen op alle niveaus aan moeten voldoen. SEXY MAKEN Cyber security maakt het mogelijk IT weer sexy te maken. Als het gaat om hacken en het tegengaan van cyberaanvallen, reageren studenten enthousiast: een dergelijke opleidingsrichting is cool. Dat wordt nog eens versterkt als bedrijven en onderwijsinstellingen samen een curriculum ontwikkelen en bedrijven gastlessen verzorgen. De praktijk trekt studenten over de streep. De onderwijsrichting cyber security moet dan wel aansluiten op de nog gezamenlijk te ontwikkelen competentieprofielen voor cyber security-specialisten. Door in publiek-private samenwerking onderwijs te ontwikkelen, sluit de inhoud aan op de beroepspraktijk en is het mogelijk toekomstgericht onderwijs te geven. Door het huidige gebrek aan kennis over dit thema in het onderwijs, lopen onderwijsinstellingen het risico dat zij gaan opleiden voor problemen van gisteren of vandaag, terwijl er behoefte is aan opleidingen die de problemen van morgen aanpakken. Dat kan volgens de deelnemers gerealiseerd worden door als onderwijsinstellingen en bedrijfsleven nauw op te trekken en samen inhoud te geven aan opleidingen. Daarnaast zou de overheid een overkoepelende visie voor cyber security onderwijs moeten formuleren. Dit biedt de mogelijkheid om als overheid ondersteunende maatregelen te nemen ten behoeve van partijen die actie ondernemen om die nationale visie te verwezenlijken. De herinrichting van de Nederlandse samenleving en het Nederlandse onderwijs biedt grote kansen voor de BV Nederland. Een Ministerie van Digitalisering zou hierin een stimulerende functie kunnen vervullen en ervoor kunnen zorgdragen dat dit thema in de hele samenleving verweven raakt. Martin Bobeldijk is communicatieadviseur bij de Cyber Security Raad 14 INFOSECURITY MAGAZINE - NR. 5 - DECEMBER

9 RONDETAFEL-DISCUSSIE Security is (ook) een kwestie van gewoon beginnen IT-beveiliging is voor veel organisaties een onderwerp dat steeds vaker op de agenda van de directie staat. Maar, zo bleek tijdens een rondetafel-discussie die Sogeti onlangs organiseerde, in de traditionele manier van software ontwikkelen zit onveiligheid als het ware ingebakken. Er is dus een andere manier van werken nodig. Die is er, meent Sogeti, en die levert bovendien een betere kwaliteit IT-projecten op. Security is nog veel te vaak een set van maatregelen die achteraf aan een IT-project wordt toegevoegd. Fout, meent Marinus Kuivenhoven, senior security specialist bij Sogeti. Beveiliging - of beter gezegd: een veilig product opleveren - dient volledig in de manier van werken van de IT-afdeling te zijn verweven. NATIONALE IT-SECURITY MONITOR Kuivenhoven was een van de sprekers tijdens een rondetafelsessie die Sogeti onlangs voor een aantal klanten organiseerde. Andere sprekers waren Bernard Barbier, voormalig topambtenaar bij het Franse Ministerie van Defensie en verantwoordelijk voor alle security-activiteiten van Sogeti en Peter Vermeulen, directeur van Pb7 Research. Dit onderzoeksbureau heeft onlangs in samenwerking met onder andere Sogeti en Infosecurity Magazine de eerste editie van de Nationale IT-Security Monitor uitgevoerd. Waar Barbier een high-level overzicht gaf van de schade die security-incidenten voor maatschappij en bedrijfsleven opleveren, gaf Vermeulen een duidelijk inzicht in de houding van Nederlandse organisaties ten aanzien van IT-security, de maatregelen die zij tot nu toe genomen hebben en de acties die zij voor de komende jaren op de planning hebben staan. ENABLER Natuurlijk heeft security met technologie te maken, maar het is eerst en vooral een houding en een mentaliteit. Kuivenhoven gaf in zijn presentatie aan dat een IT-afdeling die bij een project veilig werkt, al snel zal ontdekken dat de voordelen daarvan veel verder gaan dan - zeg maar - enkel en alleen een betere beveiliging. Security is namelijk ook een enabler om tot een betere kwaliteit programmatuur te komen en dus tot een betere IT-aanpak. SNELLER LEREN Kuivenhoven is een van de auteurs van het boek Staying Ahead in the Cyber Security Game. Hierin wordt uitgelegd dat onveiligheid bij applicaties in de meeste gevallen onvermijdelijk is. Althans, als we software blijven ontwikkelen zoals we dat tot nu toe vaak doen. Voor een adequate security zorgen is namelijk niet een taak die we bij IT moeten neerleggen. Bovendien moeten we af van het idee dat we cybercriminelen kunnen tegenhouden door almaar meer technische maatregelen te nemen. Natuurlijk moeten we maatregelen blijven nemen als firewalls en intrusion detection-systemen implementeren, maar de auteurs stellen in hun boek fijntjes vast dat cybercriminelen sneller blijken te leren dan de IT ers die de beveiligingsmaatregelen nemen. Er is dus meer nodig. VERLOREN STRIJD Security wordt gewonnen of verloren in de ontwerpfase. Dat is op zich geen nieuw gegeven, maar hoe brengen we dit idee nu in de praktijk? Daarover handelt het boek waarvan Kuivenhoven een van de auteurs is. Hij gaf aan dat we al een goede stap zetten door alles wat we bij een IT-project doen in twijfel te trekken, waarbij we zowel naar het te automatiseren proces moeten kijken als naar de techniek waarmee we dat doen. Iedere individuele stap in het te automatiseren proces dient onderzocht te worden op doelmatigheid, efficiëntie en dergelijke en dus ook op de mate waarin met deze processtap wellicht ook andere dingen tot stand gebracht kunnen worden dan de opdrachtgever bedoelde. Anders gezegd: security als integraal onderdeel van het ontwerp van proces én applicatie. BETERE SOFTWARE Een hier logisch uit voortvloeiend advies is dan uiteraard om IT-projecten in veel kleinere deelprojecten op te delen. Daarmee blijft het project overzichtelijk en zien we veel sneller de effecten van onze acties - ook die op het gebied van veiligheid. Dat leidt ook direct tot een 'Security wordt gewonnen of verloren in de ontwerpfase' betere kwaliteit software. We worden immers direct geconfronteerd met de consequenties van de aanpak die we hebben gekozen. Met andere woorden: met onze eigen acties en handelingen nog vers in het geheugen zien we de resultaten daarvan. Herstellen of verbeteren is dan veel makkelijker en leidt tot veel betere resultaten. Een dergelijke aanpak levert dus niet alleen veilig(er) software op, maar ook software van een betere kwaliteit. Robbert Hoeffnagel is hoofdredacteur van Infosecurity Magazine 16 INFOSECURITY MAGAZINE - NR. 5 - DECEMBER

10 IBEACONS EN WIFI IN EEN VEILIGE RETAILOMGEVING 18 Betrouwbare netwerken dankzij proprietary software Gebeurtenissen als de onthullingen van Snowden in de NSA-affaire leiden ertoe dat ondernemingen en organisaties zich meer dan ooit bewust zijn van de kwetsbaarheid van hun data. De Duitse netwerkleverancier Lancom Systems profiteert daarvan, vanwege haar producten zonder backdoor. Met open source-producten blijf je kwetsbaar. Stefan Herrlich, Managing Partner bij Lancom Systems Het gaat Stefan Herrlich, Managing Partner bij Lancom Systems, te ver om te stellen dat zijn onderneming garen spint bij de NSA-affaire, daarvoor is de schade die de onthullingen wereldwijd aanrichtten te groot. Maar hij kan niet ontkennen dat de aandacht voor de praktijken van de NSA ervoor hebben gezorgd dat organisaties zich bewuster zijn van de gevolgen van een datalek of een inbraak door autoriteiten. Lancom bouwt netwerkproducten die in tegenstelling tot de apparatuur die Amerikaanse en Aziatische leveranciers maken niet over een backdoor beschikken. Die kennis wordt in toenemende mate opgepakt in de markt. We zien dat terug in de omzet, die met twintig procent groeide, maar meer nog in de aandacht voor ons beleid. Grote kwaliteitsmedia, van de Frankfurter Allgemeine tot The Times, schrijven over onze visie op security, legt Herrlich uit. Het helpt daarbij dat Lancom als enige fabrikant in Europa de hoogst mogelijke certificering kreeg voor de beveiliging van kritische infrastructuren tegen cyberaanvallen. Het Duitse Federale Kantoor voor Informatiebeveiliging (BSI) verleende die certificering. Steeds vaker kiezen overheden voor producten van Lancom. Wij adviseren onze gebruikers te zorgen voor een aantal save boxes in het netwerk. Leg over de echt kritische systemen een veilige laag met gecertificeerde apparatuur. De Duitse regering heeft security-aspecten geadresseerd met een eigen digitale agenda, die aansluit op de strengere IT-securitywetten. De regering betaalt voor mkb-bedrijven mee aan hun beveiliging, met als argument dat de echt grote bedrijven, zoals Volkswagen of Bayer, het zelf kunnen regelen met hun grote IT-afdelingen. Mkb-bedrijven hebben vaak te weinig kennis om hun apparatuur goed te beveiligen. Het is niet zo dat de staat de aanschaf van apparatuur vergoedt, maar wel security assessments én de helft van de kosten voor services. Duitsland ziet het mkb als de ruggengraat van de economie en wil het beveiligingsniveau bij die bedrijven verhogen. De sleutel naar optimaal veilige netwerkapparatuur is volgens Herrlich proprietary software. Lancom heeft altijd haar eigen OS ontwikkeld. We kennen elke regel code, er is niets in het product dat door derden is samengesteld. Dat lukt je bij open source-omgevingen nooit. Of de aandacht voor security-problemen zoals Heardbleed en NSA ertoe leidt dat open source een terugval zal krijgen durft Stefan Herrlich niet te zeggen. Er zijn volgens de managing partner zeker omgevingen waarin je open source redelijk probleemloos kunt inzetten, maar voor die onderdelen van het netwerk waar je optimale veiligheid wenst, bijvoorbeeld de routers die de connectie vormen tussen het private en het publieke domein, geldt dat beslist niet. Vaak wordt proprietary software als iets onwenselijks beschreven. Wij delen die opvatting niet en werken al sinds de oprichting van Lancom aan en met ons eigen OS. VEILIGE EPAPER-DISPLAYS Lancom concentreert zich in haar aanbod op zes verticalen, waarvan hospitality, healthcare en retail de belangrijkste zijn. In dat laatste domein kondigde de fabrikant onlangs een samenwerking aan met het Oostenrijkse imagotag. Gezamenlijk brengen de leveranciers draadloze epaper-displays op de markt die in retailomgevingen met een specifieke radio aangestuurd worden. Deze radio is toegevoegd aan een wlan Access Point. Tegelijkertijd is ibeacon als derde radio technology toegevoegd. Herrlich: Retailers hebben belang bij zo veel mogelijk informatie over hun klanten. Online shops krijgen die haast automatisch binnen, fysieke winkels hebben het lastiger. Door naast wlan-tracking ook ibeacon-tracking (Bluetooth 4.0) in te zetten kunnen we op tien centimeter nauwkeurig registreren waar een bezoeker zich in een winkel bevindt, hoe zijn routing door het pand is en waar hij blijft staan kijken naar een product. Een onderneming als Mediamarkt monitort continu op internet hoe prijzen van verschillende producten zich ontwikkelen. Door elektronische displays te gebruiken kunnen ze hun prijzen op elk moment van de dag bijstellen. Deze innovatie maakt retailers flexibeler. Ook hier is het echter zaak alle data veilig in het netwerk te houden. Wij denken dat het inzetten van ibeacon-technologie zowel voor consumenten als voor retailers voordelen biedt, maar je zult in elk geval security en privacy goed moeten regelen, legt Herrlich uit. Daarnaast zullen consumenten niet ongevraagd aanbiedingen krijgen, maar is de communicatie geïntegreerd in een app die ze, bijvoorbeeld als vaste klant van een warenhuis, hebben geïnstalleerd. Dankzij wlan en ibeacons weet een retailer dus waar de klanten zijn in een warenhuis, of zien reizigers op hun smartphone hoe ze op een vliegveld het snelst naar een andere gate kunnen lopen. Volgens Herrlich kan de technologie nieuwe winkelervaringen mogelijk maken, met gepersonaliseerde aanbiedingen. En het geeft de retailer inzicht. Mercedes Daimler in Duitsland gebruikt bijvoorbeeld bewegingsdata om klantbewegingen te volgen in een showroom. Ze adverteren op vrijdag in de grote kranten en kijken in het weekend of mensen inderdaad naar dat specifieke model lopen. Herrlich is echter realistisch: Het werkt alleen als het veilig en zeker kan. Data van de retailer moet binnen zijn omgeving blijven, gegevens van klanten mogen niet op straat liggen. En niet alleen dat, het zijn de partners van Lancom Systems die toepassingen moeten ontwikkelen die aansluiten op de wensen van de markt. In zekere zin laten wij het product los en nodigen developers uit om de technologie door te ontwikkelen. INFOSECURITY MAGAZINE - NR. 5 - DECEMBER

11 EXPERTVISIE CENTRIC SECURITY AWARENESS IN VIJF STAPPEN Stelt u zich eens voor: een voor u onbekend persoon staat voor de deur. In haar ene hand een zware tas, in de andere hand een telefoon waarmee ze druk aan het bellen is. Bedankt, ik weet de weg hoor, mompelt ze terwijl u de deur open doet en ze u voorbij loopt de gang op. Wat doet u? Dat het beveiligingsbewustzijn van medewerkers een belangrijke rol speelt bij het beheersen van risico s zal niemand betwisten. Het is een belangrijke verdedigingslinie op gebieden waar techniek ons niet kan helpen. Als wapen tegen social engineering, bijvoorbeeld, maar ook in de naleving van beleid en procedures. Toch blijkt het verhogen van het bewustzijn rondom informatiebeveiliging een van de grootste uitdagingen voor organisaties. Hoe realiseert u een verhoogde security awareness? We zetten de vijf stappen naar een passend bewustzijnsniveau op een rij. EEN TWEEDE NATUUR Diverse aspecten spelen een rol bij het verhogen van het beveiligingsbewustzijn. De cultuur binnen uw organisatie, bijvoorbeeld. Maar ook sociologische aspecten zoals normen en waarden en de kennis en het inzicht van uw medewerkers. Tegelijkertijd biedt de menselijke natuur een tegenkracht. Wij zijn van nature bijvoorbeeld hulpvaardig en doen dus gemakkelijk de deur open voor een vreemde. En omdat we confrontaties graag mijden, zijn we niet snel geneigd deze bezoeker naar zijn of haar bedoelingen te vragen. Toch zou u willen dat medewerkers beter helpen bij het beveiligen van uw organisatie. Hoe groeien zij uit van de zwakste schakel in de beveiligingsketen tot een betrouwbare verbinding die de keten juist versterkt? STAP 1 - DOELSTELLING Het begint allemaal met een goede doelstelling. Wat is het gewenste niveau van beveiligingsbewustzijn? Dataclassificatie en een risicoanalyse geven inzicht in aandachtsgebieden ten aanzien van het gewenste bewustzijnsniveau. Vaak zijn er bijvoorbeeld afdelingen die een verhoogd bewustzijn vragen ten opzichte van de rest van de organisatie. Cultuurverandering: Uiteindelijk wilt u een cultuurverandering teweeg brengen. Veilig omgaan met informatie moet voor al uw medewerkers een tweede natuur worden. Het hoogste doel is het stimuleren van een intrinsiek bewustzijn, een security-onderbewustzijn. Management: Bestuurlijke betrokkenheid en draagvlak bij het management zijn onmisbaar om blijvende security awareness te realiseren. De mensen aan het hoofd van uw organisatie vervullen een voorbeeldfunctie en moeten initiatieven ondersteunen. STAP 2 - INVENTARISATIE Nu u een doel voor ogen heeft, is het de vraag hoe ver u van dat doel verwijderd bent. Dit meet u bijvoorbeeld in interviews met medewerkers of door informatiebeveiliging mee te nemen in de jaarlijkse audit(s). Met behulp van speciale tooling (e-learning) kunt u het actuele kennis- en inzichtniveau vaststellen. Meldingen: Een interessante indicator is het aantal gemelde beveiligingsincidenten. Hou er echter rekening mee dat deze indicator aanvullende inzichten vraagt, bijvoorbeeld over de aard van de incidenten. Want betekent een toename van het aantal gemelde incidenten een verhoogd of juist een verlaagd beveiligingsbewustzijn? Proef op de som: Net als uw netwerk- en applicatiebeveiliging, kunt u de menselijke barrière aan een ethical penetration test onderwerpen. Meet hoelang het duurt tot die onbekende bezoeker wordt aangesproken. En hoeveel medewerkers steken een gevonden USB-stick achteloos in hun laptop? STAP 3 - STRATEGIE Als u een beeld heeft van het verschil tussen het gewenste en het huidige beveiligingsbewustzijn, kunt u de strategie ontwikkelen waarmee u dit awareness gap gaat overbruggen. Richt u op het doorlopen van het leerproces van Maslow: uw medewerkers verhogen hun awareness-niveau van onbewust onbekwaam, via bewust onbekwaam en bewust bekwaam, naar onbewust bekwaam. Besef daarbij dat verschillende (groepen) personen op verschillende manieren benaderd moeten worden. Kennis, houding, gedrag: Richt u in de basis op deze drie gebieden. Goede kennis en een juiste houding zijn de basis voor aanpassingen in het gedrag van medewerkers. Gebruik momentum: Kies slimme momenten om beveiliging bij medewerkers onder de aandacht te brengen. Een logisch startmoment is uiteraard de introductie voor nieuwe medewerkers. Maar haak bijvoorbeeld ook aan op actualiteiten of besteed kort na een migratie, verhuizing of fusie extra aandacht aan informatiebeveiliging. Leg regels uit: Leg regels niet alleen op, leg ze ook uit. Geef inzicht in het waarom van uw securitybeleid. Zo maakt u uw medewerkers deelgenoot van uw uitdaging en geeft u hen het gevoel dat u ze vertrouwt. STAP 4 - ACTIVITEITEN Een goede strategie vertaalt zich gemakkelijk naar de juiste activiteiten. Voer deze niet ad-hoc uit, maar maak een plan van aanpak of een planning en hou daaraan vast. Zo zet u een volwaardig awareness-programma neer. Duidelijke communicatie: Communicatie is uw belangrijkste middel om awareness te vergroten. Goede communicatie over security is concreet, praktisch en relevant. Stem de berichtgeving daarbij af op de doelgroep. Varieer met de vorm: Laat medewerkers bijvoorbeeld eens deelnemen aan een awareness game, organiseer informele bijeenkomsten, geef medewerkers een praktische reminder voor op de werkplek of verzin iets geheel nieuws. Niet vrijblijvend: Bewustwording is een persoonlijk proces, maar dat maakt het niet vrijblijvend. Zorg dat bijeenkomsten of e-learning door iedereen worden bijgewoond. Hierin speelt het management opnieuw een grote rol. Overweeg eventueel beloningen voor positief gedrag of maak het beveiligingsbewustzijn onderdeel van beoordelingen. STAP 5 - EVALUATIE Om te weten of uw activiteiten effect hebben, meet u periodiek de status van het beveiligingsbewustzijn. Hiervoor maakt u onder andere gebruik van de methoden die in de inventarisatiefase (stap 2) al aan bod kwamen. Een belangrijke aanvullende graadmeter is de terugkoppeling die u van diverse afdelingshoofden krijgt. Herhalen, herhalen: Helaas is beveiligingsbewustzijn vluchtig en hebben de effecten van uw inspanningen vaak slechts een tijdelijk effect. Zolang er nog geen sprake is van security-onderbewustzijn, maar ook als dat er wel is, moet u blijven herhalen. Vangnet: Neem de hier genoemde stappen op in een bewustwordingsproces ten aanzien van informatiebeveiliging. Daarmee geeft u continu aandacht aan het onderwerp. Zo ontstaat een natuurlijk vangnet waarop uw organisatie kan terugvallen. Terug naar het gedachte-experiment uit mijn inleiding: de voor u onbekende dame is u al bellend voorbij gelopen. Wat doet u? Gaat u haar achterna om te weten wat haar werkelijke bestemming is? Gerard Stroeve is manager Security & Continuity Services bij Centric CENTRIC ANTWERPSEWEG PB GOUDA T E I 20 INFOSECURITY MAGAZINE - NR. 5 - DECEMBER

12 CLOUD & SECURITY Innovaties volgen elkaar bij de overheid snel op. Veel van deze innovaties zijn ICT-gedreven. Ze creëren datastromen die in toenemende mate in een cloud-omgeving worden opgeslagen. En dat brengt forse beveiligingsuitdagingen met zich mee. De vaak privacygevoelige gegevens hebben een waterdichte security nodig een feit waarop toezichthouders en juristen telkens weer hameren. In dit artikel laten we zien hoe Equinix, wereldmarktleider in datacenters, deze uitdagingen pareert. Datacenters van Equinix vormen perfect beveiligde omgevingen voor uw data. In Nederland staan deze datacenters in Amsterdam, Zwolle en Enschede. Het zijn gebouwen waarin bedrijfskritische ICT-apparatuur veilig is gehuisvest. Elk datacenter heeft uitgebreide fysieke beveiligingsmaatregelen, geavanceerde systemen voor klimaatbeheersing en brandbestrijding plus diverse noodstroomvoorzieningen. Al deze systemen zorgen ervoor dat de ICT-apparatuur in het datacenter ook tijdens calamiteiten goed blijft functioneren. Bedrijfskritische en gevoelige data zijn dus volledig veilig opgeslagen. FYSIEKE SECURITY Alle Nederlandse datacentra van Equinix bieden de hoogst mogelijke fysieke beveiliging. De toegang tot de serverruimten zélf verloopt uitsluitend via sluizen met dubbele deuren. Deze deuren hebben badge readers om bevoegde personen te identificeren. Bezoekers mogen uitsluitend onder begeleiding van een Equinix-medewerker naar binnen. Elk datacenter wordt bovendien via camera s bewaakt. Voor klanten die extra gevoelige informatie verwerken, zoals overheidsdiensten of betalingsproviders, bieden we extra afgeschermde en geblindeerde serverruimten. Deze hebben onder meer een kooi-in-kooi-opzet, extra hekken, beveiliging met infraroodstralen en camera s, extra toegangscontrole en een stofdeeltjesalarm. EQUINIX MANAGED SERVICES In Nederland heeft Equinix een bedrijfin-het-bedrijf: Equinix Managed Services. Het levert een groot aantal aanvullende ICT-infrastructuurdiensten in de Equinix-datacenters, zoals secure cloud, storage en netwerken. Equinix Managed Services biedt vrijwel altijd maatwerkoplossingen. Het zijn oplossingen op basis van actuele industriestandaards en bouwstenen uit de praktijk met een zeer hoge kwaliteit. Deze diensten omvatten twee abstracte infrastructuurlagen op de Equinix Datacenter Services (zie figuur 1). De diensten bevatten zowel hardware voor co-locatie en hosting als diensten voor bijvoorbeeld beheer, security, configuratie, monitoring en onderhoud. CLOUD-DIENSTEN EN MAATWERK Managed cloud-diensten. Voor velen is het een vaag begrip. Toch is het dat niet. Een cloud is niets anders dan computercapaciteit die u via internet, een vaste verbinding of een digitale marktplaats benadert. Het betekent dat u data en rekenkracht elders onderbrengt. Bijvoorbeeld in een datacenter van Equinix. Equinix Managed Services is secure cloud integrator. Het wil zeggen dat we op veilige wijze uw eigen computercapaciteit kunnen integreren met data en rekenkracht die u bij Equinix onderbrengt én met de data die u eventueel onder eigen beheer of bij een andere aanbieder afneemt. U kunt als klant van Equinix ervoor kiezen om uw data in Enschede, Zwolle, of Amsterdam onder te brengen. Ook een verdeling over meer datacenters is mogelijk, Van goud naar de cloud: het datacenter van Equinix in Enschede is gevestigd in het voormalige Nederlandsche Bankgebouw. Waar vroeger het goud veilig lag opgeslagen ligt nu het goud van nu en de toekomst: (big) data bijvoorbeeld om een lagere latency van applicaties te bereiken, of om back-up en uitwijkvoorzieningen (disaster recovery) te creëren. Dit waarborgt de beschikbaarheid van uw data, ook bij calamiteiten, zodat het hart van uw organisatie blijft functioneren. SECURITY EN INFORMATIEBEVEILIGING Bedrijven in Nederland verliezen miljoenen door cybercrime, ofwel het illegaal verkrijgen van data of het verstoren van ICT-systemen, bijvoorbeeld met DDoS-aanvallen. Cybercrime vormt samen met digitale spionage (ook door overheden) een grote bedreiging voor organisaties. Equinix Managed Services heeft een breed palet aan diensten en middelen om deze bedreiging te minimaliseren. DATASECURITY: TRENDANALYSE ALS LEIDRAAD Equinix Managed Services investeert onder andere in anti-ddos-infrastructuur. Het is een systeem dat trends in dataverkeer analyseert en DDoS-aanvallen kan onderscheiden van legitieme pieken in het dataverkeer. De technologie voor trendanalyse biedt meer mogelijkheden om de security-slagkracht te verhogen. Investeringen in dit werkveld nemen de komende jaren verder toe. Trendanalyse-beveiliging (SIEM Security Information & Event Management) vult onze bestaande preventieve securitytechnologie aan. Maar daartoe behoren ook Next Generation Firewalls en trafficfilters. SECURITY IN ONZE ORGANISATIE: CERTIFICERINGEN Security is meer dan techniek alleen. Het vergt robuuste processen in de organisatie en een volledige integriteitsgarantie van medewerkers, bijvoorbeeld via screening, een VOG en geheimhoudingsclausules. Op alle punten voldoet Equinix hierbij aan internationale normen. Het is zelfs ons beleid. We investeren continu om te blijven voldoen aan de meest recente ISO-certificeringen. We voeren de volgende certificeringen: ISO 9001:2008 (beheer en borging van kwaliteit in de organisatie) OHSAS 18001:2007 (Britse norm voor de gezondheid en veiligheid van medewerkers op de werkvloer) Figuur 1. Opbouw Equinix Managed Services infrastructuur ISO/IEC 27001:2013 (de internationale standaard voor informatiebeveiliging) ISO 50001:2011 (de internationale standaard voor de omgang met energie en voor het terugdringen van energieverbruik) ISO (milieubeheer en het in kaart brengen van het risico op schade aan het milieu) PCI-DSS (de norm voor databeveiliging in het betalingsverkeer via creditcards en pinpassen). SSAE16/ISAE3402 (de norm voor serviceorganisaties die aanvullende informatie rapporteren aan accountants over hun interne controle) PATRIOT ACT De Patriot Act geeft de Amerikaanse overheid vergaande juridische bevoegdheden om de gegevens die in datacenters liggen opgeslagen, in te zien. Voor veel Europese klanten is dit een bron van zorg. Equinix Managed Services garandeert dat uw data binnen de Nederlandse landsgrenzen blijft en uitsluitend in Equinix-datacenters in Amsterdam, Zwolle en Enschede is ondergebracht. Een eventueel verzoek tot gegevensvordering uit de USA is juridisch volledig EXPERTVISIE EQUINIX geblokkeerd, aangezien de Nederlandse activiteiten van Equinix buiten deze invloedsfeer vallen. MEER INFORMATIE Cloud & Security vormen de hoofdthema s in het dienstenpakket van Equinix Managed Services. In dit artikel hebben we ons beperkt tot deze thema s. Equinix is al jaren partner van diverse Nederlandse overheidsorganisaties en bedrijven, maar gaat wereldwijd veel verder: Equinix heeft ruim 100 grootschalige datacenters die de hoogste niveaus aan gegevensbeveiliging, beschikbaarheid en kwaliteit bieden. Deze datacenters staan in 32 markten, verspreid over 15 landen in Amerika, EMEA en Azië-Oceanië. De vijf Nederlandse vestigingen zijn verspreid over Amsterdam, Enschede en Zwolle. Wilt u meer weten over Equinix Managed Services? We staan u graag te woord. EQUINIX AUKE VLEERSTRAAT PE ENSCHEDE T E I 22 INFOSECURITY MAGAZINE - NR. 5 - DECEMBER

13 Bij het ROC van Twente verzorgen ruim medewerkers beroepsopleidingen, trainingen en cursussen voor ongeveer studenten en cursisten. Dit gebeurt op circa 20 locaties in de regio s Almelo, Hengelo en Enschede. Met zoveel gebruikers die voor hun dagelijkse werk en studie afhankelijk zijn van de ICT-netwerkinfrastructuur, is het belangrijk dat deze optimaal presteert. De prestaties worden echter continu bedreigd door onder andere virussen en andere malware. In 2008 introduceerde een externe adviseur Fortinet bij ROC van Twente. Zijn enthousiasme overtuigde ons dat Fortinet de juiste partij was om het netwerk te beveiligen, zegt Ruumpol. De keuze viel op een FortiGate 3810A voor de bescherming van de infrastructuur. De belangrijkste overweging daarbij was dat de FortiGate veel meer is dan alleen een firewall. Het voorziet in unified threat management (UTM) en integreert dus allerlei beveiligingsmaatregelen, zoals intrusion prevention en detection (IPS/ IDS), antivirusbescherming en URL-filtering. Dat is allemaal geïntegreerd in één appliance, wat het beheer en onderhoud aanzienlijk vereenvoudigt. 24 VIRTUALISATIE VAN FORTIGATE GEEFT ROC VAN TWENTE VEILIGHEID EN VRIJHEID De infrastructuur van het ROC van Twente is bijna volledig gevirtualiseerd. Hiertoe is besloten omdat virtualisatie minder stroom en hardware nodig heeft, maar ook vanuit het oogpunt van kostenen ruimtebesparing. Het was daarom logisch om ook de firewalls te virtualiseren. Voor het ROC was de FortiGate-VM08 een geweldige uitkomst. Rick Ruumpol, Hoofd ICT van ROC van Twente: De FortiGate biedt ons een secure gateway voor internet en helpt ons bij het beveiligen en bekrachtigen van ons BYOD-beleid. Dankzij virtualisatie kunnen we totale protectie bieden met hoge prestaties, binnen ons streven naar maatschappelijk verantwoord ondernemen. Zes jaar geleden ging men er nog vanuit dat een capaciteit van 350 Mbps voldoende was voor de FortiGate. De nieuwe smartphones en tablets veranderden dat snel, aldus Ruumpol. Daarmee kwamen namelijk ook nieuwe toepassingen, zoals webgebaseerde applicaties, cloudopslagdiensten en digitale leermiddelen. Dat legde een groot beslag op de capaciteit van ons netwerk, vooral van het Rick Ruumpol, Hoofd ICT van ROC van Twente draadloze netwerk. Het aantal simultane gebruikerssessies verdriedubbelde in korte tijd. We probeerden dat binnen de perken te houden, bijvoorbeeld door studenten en medewerkers maar met één apparaat tegelijk gebruik te laten maken van het netwerk, zegt Ruumpol. We beperkten ook de up- en downloadsnelheid tot 5 Mbps om te voorkomen dat iedereen grote databestanden binnenhaalt. Maar al deze begrenzing houdt natuurlijk niet lang stand. Nagenoeg alle studenten, cursisten en medewerkers krijgen tegenwoordig met smartphones en tablets toegang tot het internetnetwerk van ROC van Twente. Zij willen daarbij bovendien zelf kunnen kiezen welke apparaten zij gebruiken. ROC van Twente komt aan die wens tegemoet met het Bring-Your-Own-Device (BYOD)-beleid. In feite stimuleert de onderwijsinstelling daarmee dat nog meer mensen draadloze apparaten gebruiken. Het is belangrijk dat de FortiGate al deze simultane sessies kan verwerken, zegt Ruumpol. De oplossing lag in dezelfde benadering die ROC van Twente hanteert voor andere delen van het netwerk: virtualisatie. Onze infrastructuur is nagenoeg volledig gevirtualiseerd, zegt Ruumpol. Uit het oogpunt van kostenen ruimtebesparing, maar ook omdat virtualisatie minder stroom en hardware nodig heeft. Dat is dus ook beter voor het milieu. Het was daarom een logische keuze om ook een virtuele FortiGate te installeren. We hebben die mogelijkheid zorgvuldig overwogen en dit bleek voor ons de beste keuze. Al het netwerkverkeer naar buiten verloopt via de Forti- Gate, dus als je deze kunt schalen naar behoefte, maakt dit het beheer een stuk eenvoudiger. Het was daarom logisch om ook de firewalls te virtualiseren. Dat is mogelijk met de FortiGate-VM. Na een test met een FortiGate-VM08 bleek dat deze in combinatie met onze eigen hardware ruim voldoende capaciteit bood. DE OPLOSSING ROC van Twente koos voor een virtuele FortiGate op basis van de zwaarste processors in de onderliggende hardware. Ruumpol: We hebben deze bovendien meteen dubbel uitgevoerd, zodat er een terugval beschikbaar is bij calamiteiten of storingen. Zo viel de keuze op een cluster van twee FortiGate-VM08 virtuele appliances, aangevuld met FortiAnalyser-VM64 voor analyses en rapportages. FortiAnalyzer analyseert de gegevens uit de virtuele FortiGate en maakt rapportages voor de ICT-afdeling. Zo hebben we snel inzicht in netwerkverkeer en eventuele afwijkingen of aanvallen. Dat is een verplichting voor Surfnet, maar het loont ook voor onze eigen doeleinden. De combinatie van FortiGate en FortiAnalyzer biedt ons een secure gateway voor internet en helpt ons bij het beveiligen en bekrachtigen van ons BYOD-beleid. Dankzij virtualisatie kunnen we totale protectie bieden met hoge prestaties, We kunnen de virtuele FortiGate schalen naar behoefte, dat maakt het beheer een stuk eenvoudiger binnen ons streven naar maatschappelijk verantwoord ondernemen. Virtualisatie geeft de ICT-afdeling van ROC van Twente bovendien veel meer vrijheid om zelf het beheer en onderhoud uit te voeren. Ruumpol: De Forti- Gate-appliance presteerde goed, maar het was hardware, waardoor er limieten waren aan de mogelijkheden om de capaciteit op te schalen. Nu we een virtuele appliance gebruiken, kunnen we de onderliggende server zelf kiezen, installeren, onderhouden en, indien nodig, vervangen. Het is een groot voordeel dat we de servers daarbij zelf kunnen kiezen. We werken al jaren met servers van HP, dus we hebben daar veel ervaring mee. We installeerden VMware en daarbovenop de virtuele FortiGate. Deze bedient alle lagen daaronder. De FortiGate-appliances zijn weer ingedeeld in meerdere aparte firewalls, zodat er gescheiden paden zijn voor bijvoorbeeld beheerde en onbeheerde systemen. Er zijn bovendien afzonderlijke firewall-functies, zoals voor het draadloze netwerk. Als we dat allemaal moesten regelen met fysieke appliances, waren EXPERTVISIE FORTINET ROC van Twente locatie Hengelo (Fotografie Monique Kerkhof) er behoorlijk omvangrijke en dure dozen nodig geweest, weet Ruumpol. Dankzij de virtuele versies van de FortiGate blijven we gebruikmaken van het grootste voordeel van Fortinet: we hebben alle belangrijke beveiligingsfuncties in één device. De FortiGate-VM08 is erg efficiënt voor een omgeving zoals die van ROC van Twente. We hoeven geen losse oplossingen te kopen en te beheren. De FortiGate doet dat allemaal uitstekend. Voor capaciteitsproblemen vreest Ruumpol niet meer. Het hoge aantal sessies is geen probleem voor de virtuele FortiGate, we hoeven ons geen zorgen meer te maken over piekuren. We kunnen de servers waar de FortiGate-VM op draait eventueel voorzien van zwaardere cpu s, zonder dat we iets hoeven te veranderen aan de FortiGate. Zo kunnen we snel opschalen terwijl de gebruikers daar niets van merken. De FortiGate-VM08 heeft een doorvoersnelheid van 4.0 Gbps, dat is ruim voldoende voor onze 1 Gbps-internetverbinding. Dankzij de licentiestructuur van Fortinet kunnen we bovendien relatief goedkoop capaciteit bijschalen als dat nodig is, want we hoeven daarvoor geen nieuwe apparaten of licenties aan te schaffen. FORTINET NEDERLAND HARDWAREWEG 4 AMERSFOORT 3821 BM INFOSECURITY MAGAZINE - NR. 5 - DECEMBER

14 LANDSGRENZEN ZIJN PLOTSELING WEER VAN GROOT BELANG IN IT-SECURITY Afgelopen september stelde G DATA een nieuwe sales- en marketingdirecteur aan: Walter Schumann. In deze rol is Schumann niet alleen verantwoordelijk voor de internationale sales en marketing, maar maakt hij ook deel uit van de driekoppige Raad van Bestuur van de Duitse securityleverancier. Wat opvalt, is het internationale CV van Schumann. Met Schumann aan het roer lijkt G DATA een nieuwe weg in te slaan. G DATA is een fantastisch bedrijf, dat vooral in Duitsland een grote naamsbekendheid geniet. Dat is ook niet zo vreemd, want volgend jaar bestaat G DATA alweer dertig jaar. In IT-land, en in IT-securityland in het bijzonder, is dat een unicum, begint Schumann. Maar G DATA is, net als de meeste andere Duitse bedrijven in de grote-thuismarktval gelopen. We hebben een beetje de New York, New York - illusie in Duitsland: If we make it there, we can make it anywhere. Dus pakweg de eerste twintig jaar van het bestaan van G DATA, is de volledige focus uitgegaan naar de eigen thuismarkt. En dat ging goed: G DATA veroverde een gunstige marktpositie en was winstgevend. In de afgelopen tien jaar is er gewerkt aan het uitbouwen van het succes in andere landen, maar in die landen heb je niet het thuismarktvoordeel. Het vraagt dus om andere tactieken dan degene die zijn toegepast in Duitsland. Eigenlijk is dat vreemd, omdat in de laatste tien jaar grenzen zijn vervaagd. Zowel in de zakelijke wereld als met name ook op internet. Het internet kent nauwelijks grenzen en het maakt cybercriminelen al helemaal weinig uit op welk stukje van de wereld zijn slachtoffer toevallig woont. Tegen die achtergrond zou je denken dat het niet uitmaakt waar de IT-security die je gebruikt vervaardigd is, als die maar de beste is. Maar aan die logica is zeer abrupt een eind gekomen met het opstaan van Edward Snowden, gaat Schumann verder. Hij doelt hierbij op de onthullingen die Snowden in 2013 deed over het spionagegedrag van de Amerikaanse inlichtingendiensten ten aanzien van niet alleen de eigen burgers en ondernemingen, maar ook die uit andere landen. Het waren vooral de onthullingen over het PRISM-programma die ondernemers over de hele wereld hebben doen schrikken, licht Schumann toe. Laten we eerlijk zijn: de grootste leveranciers op het gebied van software en online services zijn van Amerikaanse origine. Het is nagenoeg onmogelijk om een onderneming te laten draaien zonder Amerikaanse IT. En toen we, dankzij Snowden, ontdekten dat alle Amerikaanse bedrijven door overheidsinstellingen gedwongen kunnen worden om gegevens van en over klanten te delen en dat ze daarover moeten zwijgen als het graf, werd duidelijk hoeveel Amerikaanse inlichtingendiensten over ons en onze ondernemingen kunnen achterhalen. NEDERLANDSE ONVERSCHILLIGHEID Schumann kent de Nederlandse onverschilligheid als het aankomt op privacyvraagstukken. De meeste Nederlandse burgers en een groot deel van de ondernemers in Nederland hebben de instelling ik doe niets fout, dus het maakt mij niet uit als ik in de gaten word gehouden of wat zou de Amerikaanse overheid nou met mijn gegevens moeten? Dat interesseert ze toch niets?. Dit raakt aan een fundamentele discussie waar we in ons gesprek vandaag niet uitkomen. Maar laten we, ook heel Nederlands, puur pragmatisch naar de implicaties van die Amerikaanse Patriot Act kijken. Versleuteling mag alleen sterk zijn, als die door middel van een achterdeur kan worden ontlopen. Bestanden in de cloud moeten toegankelijk zijn voor de Amerikaanse overheid. Amerikaanse securitybedrijven kunnen worden gevraagd om staatsspyware niet te detecteren. De kennis over achterdeuren en staatsmalware kunnen in verkeerde handen terechtkomen. Een cybercrimineel die weet hoe Walter Schumann, sales- en marketingdirecteur G DATA hij in de cloud aan bedrijfsgegevens kan komen, zal het niet nalaten om iets met die kennis te doen, legt Schumann uit. En daarmee is het plotseling zeer relevant geworden uit welk land je software komt. En welke rol kan G DATA hier dan in spelen? Wij merken dat, zelfs in het nuchtere Nederland, steeds meer bedrijven doordrongen raken van het gevaar van onveilige beveiliging. Het is aan ons om organisaties ervan te overtuigen dat zij het beste kunnen kiezen van securitysoftware uit Duitsland. Duitsland kent de strengste privacywetgeving van de wereld en staat het niet toe dat onnodige gegevens van klanten worden verzameld. German Sicherheit op de kaart zetten bij alle bedrijven ter wereld EXPERTVISIE G DATA Bovendien kan een Duits bedrijf er nooit toe verplicht worden om klantgegevens prijs te geven aan de overheid en worden IT-bedrijven juist geprezen als zij zich publiekelijk uitspreken tegen het inbouwen van achterdeuren. Als bedrijven zich gaan verdiepen in Duitse IT-securityaanbieders, zullen zij al snel tot de conclusie komen dat de oplossingen van G DATA al jarenlang tot de allerbeste ter wereld behoren. En welke rol ziet Schumann zichzelf vervullen hierin? De doelstelling van mijn teams, nationaal en internationaal, is om dit besef in alle landen door te laten dringen en zo German Sicherheit op de kaart te zetten bij alle bedrijven ter wereld. G DATA SOFTWARE BENELUX SLOTERWEG 303A 1171 VC BADHOEVEDORP T +31 (0) E I 26 INFOSECURITY MAGAZINE - NR. 5 - DECEMBER

15 EXPERTVISIE HUAWEI BIG DATA-TECHNIEKEN VERSTERKEN SECURITY- AANPAK AANZIENLIJK Het aantal Distributed Denial of Service (DDoS) aanvallen groeit niet alleen, maar ook de intensiteit en de lengte van de aanvallen neemt sterk toe. Dat vereist security-maatregelen waarin veel intelligentie is opgenomen. Huawei heeft daarom een Anti-DDoS oplossing ontwikkeld die nadrukkelijk gebruikmaakt van technieken op het gebied van Big Data. De tijden dat DDoS-aanvallen vooral werden toegepast om de websites van bedrijven tijdelijk onbereikbaar te maken, ligt inmiddels ver achter ons. Cybercriminelen zijn tot de ontdekking gekomen dat DDoS-attacks voor veel meer doeleinden nuttig kunnen zijn. MILJOENEN Eerder dit jaar werd dit fenomeen bijvoorbeeld toegepast om een middelgrote firma tijdelijk los te koppelen van de site voor internetbankieren van zijn bank. Daarbij combineerden de aanvallers een aantal hulpmiddelen. Zo had men DDOS IN CIJFERS 29 procent van de DDoS-aanvallen veroorzaakt netwerkcongestie 35 procent veroorzaakt fouten in legacy-maatregelen op het gebied van security 36 procent van de Denial of Service-aanvallen veroorzaakt storingen op het gebied van IT-services en gegevensverwerking aan de client-kant 29,81 procent meer DDoS-aanvallen in 2013 ten opzichte van ,74 procent meer aanvallen tegen http applicatieprotocollen 72,91 procent van de aanvallen gebruikt meer dan 1 Gbps aan data 349 uur, 36 minuten en 42 seconden is de duur van de langst gemeten DDoS-aanval tot nu toe Bron: Huawei 2013 Security Research Report de webpagina s die deze onderneming gebruikt voor het doen van betalingen nagebouwd. Op die manier had men ook inloggegevens te pakken gekregen. Door via een denial of service-aanval de echte pagina s voor internetbankieren onbereikbaar te maken, terwijl de nagebouwde pagina s wel beschikbaar waren, hadden de cybercriminelen een slimme aanpak bedacht. De administratie van het bedrijf dacht normale betalingen te doen, maar had in werkelijkheid te maken met de fake-site. Op dat moment konden de criminelen op de reguliere pagina s voor internetbankieren inloggen en betalingen verrichten. De DDoS-aanval was hierbij in feite een voorzorgsmaatregel. Mocht een medewerker van het bedrijf onraad ruiken en ontdekken dat de betaalsite nagebouwd was, dan was er nog geen man overboord. Want het bedrijf kon niet bij de echte betaalsite en kon daarmee dus ook deze illegale betalingen niet terugdraaien. Op deze manier werd het bedrijf voor enkele miljoenen benadeeld. SESSIES EN APPLICATIES DDoS-aanvallen veranderen daarmee van karakter. Dat blijkt ook uit onderzoek dat Huawei naar dit fenomeen heeft gedaan. Het concern heeft ontdekt dat met name ecommerce- en gaming-sites gevoelig zijn voor dit soort aanvallen. Datzelfde geldt voor de webpagina s van financiële instellingen. Daarnaast staan overheidsorganisaties steeds meer in de belangstelling van cybercriminelen. Interessant is ook om te zien welke technische componenten bij een DDoS-aanval worden aangepakt. In 31 procent van de gevallen worden servers aangevallen, in 29 procent gaat het juist om het netwerk zelf. Maar ook load balancers (20 procent), firewalls en systemen voor intrusion prevention (15 procent) worden op de korrel genomen. Het is ook niet meer zo dat bij iedere aanval massale hoeveelheden datapakketjes worden verstuurd. De attacks richten zich steeds vaker op de sessie- en applicatie-lagen, waardoor bepaalde IT-services met een relatief beperkte hoeveelheid data lam gelegd kunnen worden. In andere gevallen wordt echter juist weer wel voor een massale aanval gekozen. Zo kreeg Spamhaus, een Europese anti-spam organisatie, in 2013 bijvoorbeeld een aanval te verduren waarbij 300 Gbps werd verzonden. Dat was de grootste aanval ooit. HIGH-PERFORMANCE HARDWARE Er zijn vier componenten die samen een goede verdediging tegen DDoS-aanvallen opleveren. Deze dienen permanent in gebruik te zijn. Dat is allereerst het gebruik van high-performance hardware. Wanneer bij een aanval de hoeveelheid inkomend dataverkeer plotsklaps enorm toeneemt, is het belangrijk dat de verdedigingsmechanismen gebaseerd zijn op krachtige hardware, zodat zeer snel data die gebruikt wordt voor de aanval gescheiden kan worden van regulier dataverkeer. Daarnaast is behoefte aan een goed IP-reputatiesysteem. Hiermee kan worden vastgesteld wat de reputatie is van de verzender(s) van de grote hoeveelheid data die plotsklaps binnenkomt. Aanvallers maken echter ook gebruik van zogeheten slow attacks. Dan lijkt de DDoS-aanval in eerste instantie helemaal niet op een denial of service attack. Dan is het van cruciaal belang dat kan worden vastgesteld wat de bron van de binnenkomende data is. Zijn de karakteristieken van de bronsystemen waarmee normaal dataverkeer plaatsvindt in kaart gebracht, dan kunnen ook afwijkingen hierop worden geconstateerd. Dit is van cruciaal belang, zoals het voorbeeld hiervoor wel laat zien. Een DDoS-aanval kan immers ook bedoeld zijn om gebruikers naar een andere site te dwingen. Tenslotte is behoefte aan een mechanisme om het gedrag van applicaties goed te volgen. Normaal gebruik van applicaties kent hele andere patronen dan softwaretoepassingen die worden misbruikt voor een aanval. MEER NODIG Wat direct zal opvallen, is dat het bij anti-ddos om veel meer gaat dan enkel en alleen het tegenhouden van niet-gewenst dataverkeer. Het is heel goed mogelijk om ook massale DDoS-aanvallen te neutraliseren. Daarvoor is het echter wel van belang dat we kunnen vaststellen welke binnenkomende data afkomstig is van gecompromitteerde IP-adressen en wat legitiem dataverkeer is. Dit vereist een grote mate van intelligentie die bovendien razendsnel toegepast moet kunnen worden. Zeker nu DDoS-aanvallen steeds vaker onderdeel uitmaken van een breder aanvalsplan van cybercriminelen, is het van groot belang dat het normale dataverkeer ook tijdens een aanval normaal het netwerk in en uit kan. Dan had het bedrijf in het eerder genoemde voorbeeld wellicht toch toegang tot de betaalsite van zijn bank kunnen verkrijgen. Maar zoals datzelfde voorbeeld ook aangeeft, dient een goede security-aanpak uit een goed op elkaar afgestemde reeks van maatregelen te bestaan. Dan was wellicht ook in een vroegtijdig stadium ontdekt dat de site voor internetbankieren niet in orde was. Op die manier had het betrokken bedrijf zichzelf veel (financiële) problemen kunnen besparen. Hans Vandam is journalist HUAWEI KRIJGSMAN DM AMSTELVEEN T +31 (0) E I 28 INFOSECURITY MAGAZINE - NR. 5 - DECEMBER

16 EXPERTVISIE ITB2 DATACENTERS CORPORATE DATABEVEILIGING ANNO 2015 VRAAGT OM DE INZET VAN PROFESSIONALS De laatste tijd worden we in toenemende mate geconfronteerd met nieuwsberichten over data die is ontvreemd of stiekem wordt ingekeken, zoals creditcard data, bedrijfsdata of persoonlijke data. Volgens ITB2 Datacenters, een Nederlandse aanbieder van datacenter services in de regio, zouden MKB en corporate bedrijven hieruit de conclusie kunnen trekken dat echte professionals nodig zijn voor bescherming van hun bedrijfskritische organisatiegegevens. Een groep hackers heeft een jaar lang zakelijke accounts aangevallen, op zoek naar vertrouwelijke aandeleninformatie en marktgegevens. Zeker 100 bedrijven zijn doelwit geworden van Sandd en Reesink Support (facilitaire dienstverlener binnen het beursgenoteerde Koninklijke Reesink NV) zijn voorbeelden van corporate organisaties die hun IT huisvesting hebben ondergebracht in het nieuwste, Tier III/IV gekwalificeerde datacenter van ITB2 in Apeldoorn. de hackers, aldus een nieuwsbericht in december op Infosecuritymagazine.nl. En allerlei persoonlijke gegevens van Nederlandse kinderen zijn wekenlang beschikbaar geweest voor kwaadwillenden, omdat de server van Basispoort, een stichting van vier educatieve uitgevers en drie leveranciers van schoolartikelen, een lek bevatte. Zo meldt een nieuwsbericht een dag eerder, eveneens op Infosecuritymagazine.nl. BEVEILIGINGSMODEL, SECURITY SCANS, RISICOANALYSES Databeveiliging en het huisvesten van data is inmiddels topsport geworden zegt Niels Hensen, directeur en eigenaar van ITB2 Datacenters, die het bedrijf oorspronkelijk oprichtte als dienstverlenende ICT specialist op het gebied van informatiebeveiliging en ICT beheer. Gaandeweg is de focus van ITB2 verschoven en is het aanbieden van professionele datacenter diensten in de regio de hoofdfocus van de organisatie geworden. Informatiebeveiliging wordt echter nog steeds in verschillende vormen als value-added datacenter service aangeboden. Om organisatiedata tegenwoordig goed te beveiligen, is een gedegen beveiligingsarchitectuur noodzakelijk, zegt Hensen. Dat vraagt om het beschrijven MKB EN en evalueren van een informatiebeveiligingsbeleid, om het ontwerpen en beoordelen van een informatiebeveiligingsmodel, om het uitvoeren van security scans en risicoanalyses, om kennis rond het inrichten van firewalls, noem maar op. Ook moet je gedegen kennis en ervaring meebrengen met betrekking tot virtualisering, technologie die de meeste MKB en corporate organisaties inmiddels in hun IT infrastructuren hebben geïntegreerd. Een dergelijke diepgaande kennisbehoefte op het gebied van informatiebeveiliging vraagt om de expertise van professionals. Veel corporate organisaties en zeker MKB bedrijven hebben die expertise vaak niet zelf in huis. Het professioneel beveiligen van data begint bij de basis, het veilig huisvesten van apparatuur, software en data in een professionele datacenteromgeving. Enkele corporate organisaties richten om specifieke redenen nog wel eens een serverruimte in binnen de eigen kantoorruimte, zegt Hensen. Steeds vaker kiezen organisaties er evenwel voor om dit aan professionals over te laten en te profiteren van kennis, beveiliging, connectiviteit, schaalgrootte en daarmee ook kostenvoordelen bij colocatie aanbieders. Dat het gebruik van colocatie, oftewel outsourcing naar carrier-neutrale datacenters inmiddels voor veel gebruikers een absolute noodzaak is geworden, blijkt ook uit recente colocatie groeicijfers van Synergy Research Group. De Europese colocatie markt blijkt in Q1 van 2014 maar liefst 11 procent te zijn gegroeid, waarbij UK, Duitsland, Frankrijk en Nederland de koplopers zijn en 65 procent van de Europese colocatie omzet voor hun rekening nemen. Professionele databeveiliging vraagt ook om value-added services die colocatie klanten op het gebied van informatiebeveiliging kunnen ontzorgen, aldus Niels Hensen, directeur en eigenaar van ITB2 Datacenters SANDD, REESINK SUPPORT, TIMING UITZENDTEAM Postbedrijf Sandd, Reesink Support (facilitaire dienstverlener binnen het beursgenoteerde Koninklijke Reesink NV) en uitzendbureau Timing Uitzendteam, zijn voorbeelden van corporate organisaties die hebben gekozen voor outsourcing van hun IT-huisvesting naar een professionele colocatie dienstverlener, zoals in dit geval ITB2 Datacenters. Timing Uitzendteam heeft gekozen voor het datacenter van ITB2 in Deventer, terwijl Sandd en Koninklijke Reesink hun IT huisvesting bij het datacenter van ITB2 in Apeldoorn hebben ondergebracht. Afhankelijk van de aanwezige eigen kennis en ervaring met informatiebeveiliging, vragen dergelijke klanten om puur de colocatie dienst of eventueel aanvullende value-added services op het gebied van informatiebeveiliging. Voor Sandd heeft ITB2 bijvoorbeeld de firewall technologie geleverd en ingericht en ook een netwerkplan ontworpen. Reesink Support heeft er echter voor gekozen om alleen de IT huisvesting bij ITB2 onder te brengen. Hensen: Het geeft aan dat bedrijven de noodzaak van een professionele datacenter inrichting en beheer onderkennen. Afhankelijk van de aanwezigheid van IT specialismen binnen de eigen organisatie, kiezen klanten ervoor Corporate organisaties profiteren van kennis, beveiliging, connectiviteit, schaalgrootte en kostenvoordelen bij de colocatie aanbieders in welke mate zij al dan niet gebruik willen maken van die value-added services op het gebied van informatiebeveiliging. Om aan de groeiende value-added services behoeften van verschillende klanten met betrekking tot dataopslag en -beveiliging tegemoet te komen, heeft ITB2 Datacenters het afgelopen jaar verschillende nieuwe datacenter services met enterprise level technologie en beveiliging geïntroduceerd. Waaronder een high-end managed datasecurity oplossing voor veeleisende gebruikers, zoals financials en defensie gerelateerde organisaties. Ook heeft ITB2 een partnership gesloten met AnylinQ (tevens de grootse Huawei partner op het gebied DE COLOCATIE DATACENTERS VAN ITB2 Datacenter Apeldoorn - Het nieuwste, Tier III/IV gekwalificeerde datacenter van ITB2 in Apeldoorn, heeft in 2013 de deuren geopend. Het datacenter is ontworpen door architect Mike Klerks, maakt voor 100% gebruik van windenergie en is voorzien van de meest innovatieve en energie-efficiënte technologieën. Dit datacenter heeft in de eerste ontwikkelingsfase een netto vloeroppervlakte van (3x500) m 2 beschikbaar. De colocatie faciliteit heeft momenteel een energiezuinige Power Usage Effectiveness (PUE) waarde van 1,25, en een gecalculeerde PUE eindwaarde van 1,07, wat ultra-energiezuinig is. Sandd en Reesink Support zijn voorbeelden van corporate organisaties die hier hun IT huisvesting hebben ondergebracht. Datacenter Deventer - Het eerste, Tier II datacenter van ITB2 staat in Deventer en is in 2007 gestart. Timing Uitzendteam is een voorbeeld van een corporate organisatie die hier zijn IT infrastructuur heeft ondergebracht. van storage dienstverlening) om aanvullende storage diensten aan klanten te leveren. Daarnaast heeft ITB2 in 2014 op basis van SuperMicro hardware en IASO cloud technologie het product ITB2 Backup gelanceerd, een cloud gebaseerde back-up dienst die een beveiligd en kostenefficiënt, shared alternatief biedt voor het inrichten van een eigen individuele back-up omgeving. Professionele databeveiliging bij corporate en MKB organisaties is anno 2015 meer dan alleen het outsourcen naar colocatie dienstverleners, zegt Hensen. Dat vraagt ook om value-added services die colocatie klanten op het gebied van informatiebeveiliging kunnen ontzorgen. ITB2 wil hen daar graag bij helpen. ITB2 DATACENTERS GROTE WOUDHUIS WM APELDOORN T I 30 INFOSECURITY MAGAZINE - NR. 5 - DECEMBER

17 EXPERTVISIE KASPERSKY LAB VIJF CYBERCRIME- VERWACHTINGEN VOOR 2015 Terwijl financiële instellingen wel goede beveiliging in huis hebben, blijft de mens de zwakke schakel. De mens die in phishingmails trapt, die attachments blind opent en daarmee de security kan schaden. Van der Wiel noemt het recente incident van een grote Westerse bank die enkele dagen na een interne awareness-training als test een phishingmail had gestuurd. Maar liefst 85 procent van de bankmedewerkers klikte op de payload van die testmail. Eenmaal binnen bij een financiële instantie hebben cybercriminelen vele lucratieve mogelijkheden. Wat een nieuw jaar gaat brengen, valt vaak op te maken uit tekenen van het afgelopen jaar. Zo ook voor security. Jornt van der Wiel, beveiligingsonderzoeker van Kaspersky Labs Global Research & Analysis Team (GReAT), schotelt vijf verwachtingen voor. PINKRAKEN MET ANALOGE COMPONENT In 2014 zagen we al een nieuw soort aanval op pinautomaten opduiken, vertelt Van der Wiel. Niet skimmen maar fysiek openbreken van pinautomaten, om zo direct op de machine malware te plaatsen. Dat openbreken gebeurt door het slot te kraken of door simpelweg op een online-forum een pinautomaatsleutel te kopen, legt de security-expert uit. Veel pinautomaten draaien nog op Windows XP. Dat is wel de embeddedvariant die officieel nog updates krijgt, maar vaak ontbreekt het aan geïnstalleerde patches. De geplaatste malware kan dus zó zijn slag slaan. In Nederland zijn er overigens niet zo veel pinautomaten met XP, nuanceert de security-onderzoeker. Het fysieke element van deze cybercrime wordt verder doorgezet doordat de gekraakte pinautomaat van zijn geld wordt ontdaan. Een katvanger in dienst van de bende gaat midden in de nacht langs, toetst een bepaalde code in en krijgt van de automaat een challenge-code te zien. Die belt hij of zij door naar de cybercriminelen die dan de response-code doorgeven waarna de katvanger kan kiezen welke geldlade er nu geopend moet worden. Alleen dan niet voor navullen waar deze voorziening voor is bedoeld, maar voor leeghalen. Het is wat analoog, ja. Maar het geeft de daders een grotere zekerheid van hun buit. Inmiddels is deze vorm van pinkraken meer opgedoken. Een voorbode voor BANKKLUIZEN DIRECT OP DE KORREL NEMEN De tweede securityverwachting voor 2015 is dat geldrovers hun misdadige inspanningen verschuiven van individuele bankrekeningen bij consumenten en (kleine) bedrijven naar de financiële instellingen zelf. Banken hebben in de regel hun security beter op orde dan de gewone burger of klant, maar daar valt in de praktijk toch wel wat aan te morrelen. Cybercriminelen mikken ook meer op de bankkluizen zelf doordat de transacties voor en door bankklanten steeds beter gemonitord worden door die instanties. MINDER MALWARE VOOR DE MASSA De verschuiving naar bankkluizen betekent niet dat individuen en bedrijven opgelucht adem kunnen halen. Er speelt namelijk nog een andere, in 2015 doorzettende verschuiving in het cybercrimelandschap. Minder massieve malware, waarmee Van der Wiel doelt op de generieke malware die op een breed massapubliek is gericht. In plaats daarvan komen er meer en meer gerichte aanvallen: malware die op maat is gemaakt voor een bepaald soort slachtoffer. Ja, ook cybercriminelen doen steeds meer aan doelgroepdenken. Zo worden bijvoorbeeld Macs populairder bij malwaregebruikende dieven, weet Van der Wiel. De aanvallen daarop stijgen gestaag. Hoewel het overigens niks is vergeleken met de Windows-malware. Daarnaast wijst hij op het gebruik van tablets voor internetbankieren, waarmee die apparaten een aantrekkelijk doelwit zijn voor cybercriminelen. Deze malwarespecialisatie voor specifieke platformen en groepen slachtoffers is niet alleen vanwege de marktmogelijkheden maar ook vanwege de benodigde inspanning. Het maken van massamalware die op vele verschillende systemen werkt, is veel werk, weet Van der Wiel. Lichtpuntje is dat de malwaredreiging voor consumenten relatief afneemt, omdat het voor organisaties juist toeneemt. APT-VERSPLINTERING EN VERVEELVOUDIGING De afgelopen tijd hebben diverse autoriteiten enkele grote groepen achter APT s (advanced persistent threats) ontmaskerd, vertelt de expert van Kaspersky Lab. Het uitvoeren van geavanceerde aanvallen die lange tijd onopgemerkt blijven, wordt hierdoor bemoeilijkt. De Jornt van der Wiel verwachting is dat in 2015 APT-groepen uit elkaar vallen. Hetzij door arrestaties, hetzij om minder goed op te sporen te zijn. Hierdoor ontstaan er wel meer kleinere groepen die APT s uitvoeren. Dit leidt dan ook tot meerdere aanvallen, waarschuwt Van der Wiel. MEER FOUTEN IN OPEN SOURCE Zowel geavanceerde cyberinbraken en spionagecampagnes als relatief gewone malware maakt gebruik van menselijke én softwarefouten. De verwachting voor 2015 is dat er meer fouten in open source-software worden ontdekt, vertelt de onderzoeker. Niet dat die vorm van software nou meer fouten bevat, maar er wordt tegenwoordig kritisch naar die veelgebruikte software gekeken. Enerzijds door ethische hackers die gaten zoeken om ze te (laten) dichten, anderzijds door cybercriminelen die er hun slag mee willen slaan. Naast de aanwezigheid van fouten in software - of dat nou open of closed source is - speelt er nog de kwestie van fouten in software die in gebruik is. Het ontbreekt in de praktijk nog altijd vaak aan goed patchbeleid, waardoor bekende beveiligingsgaten gewoon open staan. Sommige APT s gebruiken zero-day gaten [waar nog geen patches voor beschikbaar zijn - red.], maar veel APT s niet; die gebruiken oude gaten. Van der Wiel noemt de in 2014 onthulde Crouching Yeti-malware die industriële systemen op de korrel neemt en daarvoor exploits uit 2012 en 2013 benut. Cybercriminelen hebben open deuren nodig. Update dus je software, luidt het advies van Kaspersky Labs onderzoeker Van der Wiel. Hij erkent dat updates ook voor problemen kunnen zorgen, maar dat moet patchen niet in de weg staan. Je moet het omdraaien: de kans dat je wordt aangevallen, is veel groter dan dat een patch je schade berokkent. Auteur: Jasper Bakker KASPERSKY LAB PAPENDORPSEWEG BJ UTRECHT T I 32 INFOSECURITY MAGAZINE - NR. 5 - DECEMBER

18 EXPERTVISIE KROLL ONTRACK HOE GAAT U OM MET GEVOELIGE DATA? IT-MANAGERS ZIJN NIET VOORBEREID OP EUROPESE PRIVACYREGELS VOOR DATAWISSEN 81 procent van de IT-managers in Europa is nog niet op de hoogte van de nieuwe EU-verordening op het gebied van gegevensbescherming, de EU General Data Protection Regulation (GDPR). Dit blijkt uit onderzoek van Kroll Ontrack, specialist op het gebied van respectievelijk gegevensherstel en gegevensverwijdering. Op grond van de verordening kunnen bedrijven en instellingen worden verplicht om opgeslagen data in laptops, flash media, mobiele apparaten, servers en in de cloud, permanent te wissen. Maar hoe doe je dat op een veilige en gecontroleerde manier? Jaap-Jan Visser, country manager Kroll Ontrack Nederland De GDPR heeft tot doel de wetgeving op het gebied van gegevensbescherming samen te voegen. Niet alleen om de uitdagingen van het digitale tijdperk het hoofd te kunnen bieden, maar ook om online opgeslagen persoonlijke gegevens beter te kunnen beschermen. Zo worden Europese bedrijven verplicht persoonlijke data op verzoek, of als deze niet meer wordt gebruikt, te wissen. De GDPR is een verordening en geen richtlijn, zoals de Richtlijn bescherming persoonsgegevens van De nieuwe Europese wet heeft extraterritoriale werking, waardoor Amerikaanse ondernemingen die naar Europa exporteren ook aan de regels moeten voldoen. Verder maakt in de grotere bedrijven de Data Protection Officer zijn opwachting. Hij of zij moet zorgen dat de onderneming of instelling compliant blijft. In de pers kreeg het omstreden right to be forgotten tot nog toe de meeste aandacht. Terecht, maar in het kader van de totale levenscyclus van bedrijfsgegevens zijn er meer aspecten die om aandacht vragen. Uit het bovengenoemde onderzoek blijkt namelijk dat 61 procent van de IT-managers geen maatregelen heeft getroffen voor het naleven van de op handen zijnde verordening. Daarvan heeft meer dan de helft (55 procent) het nagelaten het beleid voor gegevensvernietiging te herzien en aan te passen en daarvan heeft weer een kwart toegegeven geen operationeel proces te hebben voor gegevensvernietiging. Opmerkelijk, omdat uit hetzelfde onderzoek blijkt dat 57 procent van de 660 ondervraagde ITmanagers wel verwacht dat de nieuwe wetgeving gevolgen voor hen zal hebben. Wellicht dat de aangekondigde sancties, tot 100 miljoen euro boete, of een boete van respectievelijk 0,5 en 5 procent van de jaarlijkse wereldwijde omzet, managers alsnog aan het denken zet. SPOOKDATA Iedereen kent ze wel: verhalen over mensen die hun afgedankte computer bij het grof vuil zetten, maar die later geconfronteerd worden met gevoelige informatie die nog op de harde schijf van het apparaat stond. Het mag ondertussen ook bekend worden verondersteld dat DEL en SHIFT+DEL of het verwijderen uit de prullenbak niet afdoende is. Het DEL-commando haalt alleen een referentie weg uit de tabel. Hierdoor denkt het operating system dat het document verdwenen is, maar alle data staat nog op de harde schijf, totdat het bestand wordt overschreven. Het format-commando wijzigt slechts de tabel, zodat het lijkt dat alle bestanden en bibliotheken zijn gewist. Maar de onderliggende data staat nog steeds op de disk. Er zijn manieren om data écht voorgoed te wissen. OVERSCHRIJVEN Overschrijven van data is een goede methode om data te vernietigen. Het is daarbij belangrijk om zeker te weten dat alle gegevens daadwerkelijk zijn overschreven. Gebruikers zijn vaak niet op de hoogte waar en hoe op de harde schijf de data wordt opgeslagen. Zo worden er door verschillende programma s veel reservekopieën aangehouden op temporary sites, maar staan ook veel gegevens in allerlei log files. Maar ook zijn er gebieden waar je normaal niet bij komt, zoals bij SSD s. Het is met name van belang dat een onafhankelijke instantie de software heeft getest op werking. SHREDDING EN FYSIEKE VERNIETIGING Fysiek beschadigen of harde schijf shredden, ook wel de sledgehammer-methode genoemd. Kan effectief zijn, zeker omdat de kosten voor het terughalen van zwaar beschadigde schijven heel erg hoog zijn en in sommige gevallen onmogelijk. Op een klein stukje van 5 bij 5 millimeter kunnen nog meer dan A4 tjes met data staan, een stapel van wel 75 meter hoog. De European Association for Data Media Security publiceert de DMS 2008 Standaard voor fysieke HDD-vernietiging. DEGAUSSEN OF DEMAGNETISEREN Een degausser vernietigt alle magnetisch geregistreerde gegevens, zoals op tape drives of harde schijven, met behulp van een sterk magnetisch veld. Degaussen is snel, effectief en milieuvriendelijk. Belangrijk is wel om na te gaan of het gebruikte magnetisch veld sterk genoeg is en hoe lang een specifieke hard disk daaraan moet worden blootgesteld. De hoeveelheid energie die nodig is om een opgenomen signaal volledig te wissen noemen we coërciviteit. Met de huidige schijven bedraagt deze 10K Gauss. SOFTWAREMATIG Uit onderzoek blijkt dat 54 procent van de tweedehands mobiele telefoons nog persoonlijke gegevens bevat, denk aan vertrouwelijke rapporten, s en bankdetails. Zogenoemde wipe-standaarden zijn er in overvloed. Wat te denken van Air Force System Security Instructions 5020, Bruce Schneier s algorithm, The National Computer Security Centre (NCSC-TG-025), de German Standard BSI enzovoorts. Meestal wordt echter gebruikgemaakt van gecertificeerde software die de hele schijf overschrijft volgens de zogenoemde Amerikaanse DoD M-standaard. Volgens deze norm wordt de harde schijf drie maal overschreven en geverifieerd. Momenteel is speciale verwijderingssoftware beschikbaar voor servers, laptops en pc s. Daarnaast is er voor smartphones en tablets een aparte oplossing en komen specifieke bestanden en LUN s voor selectieve dataverwijdering in aanmerking. AUDIT Dataverwijdering is moeilijk aan te tonen, zeker als er geen bewijs kan worden overlegd, zoals wel vereist is volgens de EU-regelgeving. Verwijdering van data is belangrijk, maar het bewijs van de verwijdering is nóg belangrijker. Idealiter kan het proces centraal worden beheerd via een management console. Hierdoor ontstaat een compleet, controleerbaar gegevensverwijderingsproces (data erasure). Gecertificeerde dienstverleners op het terrein van verwijderingssoftware verstrekken gedetailleerde rapporten aan het einde van elk verwijderingsproces. Daarmee kunnen managers met het volste vertrouwen een volledige audit tegemoet zien. Digitaal ondertekende rapportages geven cruciale informatie over wanneer, hoe en door wie de gegevens zijn verwijderd, evenals het serienummer van het apparaat en de conditie van de hardware. CONCLUSIE Datawissen is een vak apart. Het is een klus voor specialisten. Schakel daarom een aanbieder in met gecertificeerde methodes voor gegevensvernietiging. Deze specialisten bieden de benodigde tools, diensten en certificaten om data veilig te verwijderen van bedrijfsservers en andere apparaten, zoals mobiele telefoons en tablets. Hiermee voorkomt u dat data in verkeerde handen valt en uw bedrijf reputatie- en financiële schade lijdt door torenhoge boetes. Jaap-Jan Visser is country manager van Kroll Ontrack Nederland KROLL ONTRACK NEDERLAND KRUISWEG 825C 2132 NG HOOFDDORP T E I 34 INFOSECURITY MAGAZINE - NR. 5 - DECEMBER

19 EXPERTVISIE MCAFEE LOS ZAND BIEDT GEEN BESCHERMING LAPPENDEKEN Een Russische bende gaf onlangs een lesje hacken. In totaal wist de rücksichtslose hackersgroepering Cybervor zo n 1,2 miljard gebruiksgegevens te verdonkeremanen van zo n schrik niet 5600 websites. Hostingproviders stonden erbij en keken ernaar. Het Nationaal Cyber Security Center (NCSC) spreekt van de grootste hack uit de Nederlandse geschiedenis. Niet alleen hostingproviders krijgen het steeds moeilijker. Organisaties over de gehele breedte krijgen maar met moeite de beveiliging aan elkaar geknoopt. Dat is niet zozeer een kwestie van onkunde of desinteresse: het gevaar uit de digitale hoek neemt hand over hand toe. Het is lastig wapenen tegen hackers die wat professionalisering en organisatie betreft inmiddels niet meer onderdoen voor de Italiaanse maffia. Hun methoden worden steeds uitgekiender. Ze zijn heer en meester in het opsporen van lekken, het misbruiken VAN SECURITY- OPLOSSINGEN ZORGT VOOR RISICO S van zwakke plekken in beveiligingssystemen en het handig manipuleren van nietsvermoedende werknemers. Het bedrijfsleven probeert zich kranig stand te houden tegen dat groeiende en steeds uitgebreidere wapenarsenaal. Het resultaat is steeds vaker een lappendeken aan beveiligingsoplossingen. De firewall, spamfilter, VPN-tunnel, MDM-oplossing en encryptiesoftware; voor ieder soort bedreiging zoeken organisaties naar een passend antwoord. Uit onderzoek van Pb7 blijkt dat 70 procent van de organisaties 4 of meer security-oplossingen naast elkaar gebruikt. Maar slechts 26 procent 'Voor het afslaan van geavanceerde aanvallen moeten de beveiligingscomponenten naadloos informatie kunnen uitwisselen' geeft aan dat deze oplossingen vanuit een centrale plek te beheren zijn. Nederlandse organisaties hebben in de loop van de tijd een lappendeken aan security-oplossingen gecreëerd om zich zo goed mogelijk tegen het toenemende aantal dreigingen te wapenen. Het is echter vaak lastig een dergelijke omgeving integraal te beheren, zegt Peter Vermeulen, directeur van Pb7.. ONMOGELIJK Die lappendeken maakt een sluitende, adequate beveiliging zo goed als onmogelijk, zo blijkt uit hetzelfde onderzoek. De functionaliteit van al die oplossingen is doorgaans niet of nauwelijks op elkaar afgestemd. Het doen van regelmatige updates - een absoluut noodzakelijke voorwaarde voor veiligheidsoplossingen is met tig oplossingen een haast onoverzienbare klus. Sowieso is het beheer van meerdere oplossingen tegelijkertijd tijdrovend en foutgevoelig. AFWIJKINGEN Organisaties ervaren dat dan ook als dusdanig. Maar liefst 44 procent geeft aan dat door de matig met elkaar communicerende en lastig beheersbare security-oplossingen dreigingen daardoor over het hoofd worden gezien. En nog eens 43 procent zegt dat die warboel de oorzaak is dat ze die dreigingen niet altijd onschadelijk kunnen maken. STEEDS COMPLEXER Die dreigingen nemen niet alleen in aantal, maar ook in complexiteit toe. Steeds vaker gebruiken hackers stealth-technieken om ongezien langs de firewall te glippen. Ook zijn DDoS-aanvallen een steeds populairdere methode. Die complexe aanvallen zijn niet of nauwelijks te ondervangen als alle gebruikte security-middelen als los zand in het netwerk hangen en wanneer deze niet centraal te managen zijn. Oplossingen die niet integraal kunnen samenwerken kunnen nooit hun beveiliging op elkaar afstemmen. En dat is hard nodig, wil het dit soort aanvallen buiten de deur houden. Bovendien mist de security-verantwoordelijke het benodigde overzicht en kunnen afwijkende zaken daardoor gemakkelijker buiten de radar blijven. Dat heeft ook een menselijke oorzaak: wanneer iemand tien verschillende logs moet controleren, dan is een foutje eerder gemaakt. Bovendien zijn verbanden en afwijkingen lastiger op te sporen. Dreigingen worden zo niet altijd doorgegeven naar daar waar ze onschadelijk gemaakt kunnen worden. Dat beaamt ook Vermeulen. Aanvallen worden steeds geavanceerder en raken ook steeds meer organisaties. Om deze aanvallen te weerstaan moet enerzijds het reactievermogen geoptimaliseerd worden en moeten anderzijds pro-actiever anomalieën realtime opgespoord kunnen worden, licht hij toe. Hiervoor moet alle security-informatie op een integrale manier bij elkaar kunnen komen. Maar weinig organisaties blijken op dit moment hiertoe in staat. 'Het inzetten van allerlei losse beveiligingsproducten is kansloos tegen de real-time dreigingen waar organisaties nu mee te maken kunnen krijgen' Volgens Pb7 is het vertrouwen in de eigen security weinig hoog. Dat is helaas nauwelijks een verrassing, maar desalniettemin baart dat zorgen. Meer dan een kwart van de ondervraagden (26%) is niet geheel zeker dat het hang- en sluitwerk een geavanceerde aanval kan weerstaan. Voor 18% hangt de vlag daadwerkelijk halfstok: zij hebben niet de illusie dat hun systemen zo n aanval de baas kunnen. Dat 42% een redelijk vertrouwen heeft stelt daarbij niet erg gerust, echt zeker van zijn zaak is slechts 10%. Er is eigenlijk maar één manier om de cybermaffia te voorzien van duchtige repliek: een beveiligingsoplossing die verschillende disciplines combineert en centraal beheersbaar maakt. Alleen dan kan een organisatie een aanval tijdig lokaliseren en neutraliseren. In een IT-landschap dat alleen maar complexer wordt, is het gebruik van onsamenhangende beveiligingsoplossingen nauwelijks een optie. Een solide verdediging is noodzakelijk en dat vereist een integraal beheer, duidelijke samenhang en fijnmazige afstemming van de verschillende componenten. Mischa Deden, Sales Systems Engineer voor Noord- en Oost-Europa, McAfee onderdeel van Intel Security MCAFEE INTERNATIONAL B.V. BOEINGAVENUE PE SCHIPHOL-RIJK T +31 (0) I 36 INFOSECURITY MAGAZINE - NR. 5 - DECEMBER

20 EXPERTVISIE MINKELS NIEUWE NEN NPR 5313 NORMERING DWINGT TOT DATACENTER- BEVEILIGING OP LAGER NIVEAU Datacenter fabrikant Minkels heeft in 2014 een enorme toename geconstateerd in de vraag naar beveiligingsoplossingen binnen datacenters, zowel in de Nederlandse thuismarkt als Europa-breed. Volgens Minkels is dit te verklaren door het soort klanten dat in toenemende mate IT-infrastructuren onderbrengt bij carrier-neutrale datacenters, maar ook door nieuwe wet- en regelgeving op zowel Nederlands als Europees niveau. Bij de gevraagde security oplossingen gaat het niet alleen om cilindersloten op de racks, maar bijvoorbeeld ook om elektronische beveiliging met passystemen. En om intelligente systemen met RFID-technologie voor het autoriseren, registreren en loggen van handelingen, zodat een gebruiker achteraf kan controleren wie op welk moment bij een specifiek rack is geweest. Er is ook veel vraag naar beveiligingssensoren (om te checken of zijpanelen worden weggenomen), zijpaneelvergrendeling van binnen af, deurcontacten (om te controleren of een deur dicht is) en noodstroomvoeding voor sloten. OVER MINKELS Minkels (www.minkels.com) is een wereldwijde leverancier van hoogwaardige totaaloplossingen voor datacenter infrastructuur, onderdeel van de beursgenoteerde organisatie Legrand (aanwezig in 180 landen; 4,5 miljard euro omzet). Kernprincipes: modulariteit en energie-efficiëntie Productportfolio: datacenter racks (Varicon); datacenter koeling, waaronder DX-koeling voor kleine serverruimtes en Cold Corridor aisle containment oplossingen (VariCondition); datacenter stroomverdeling (VariconPower); datacenter monitoring (VariControl); en een breed assortiment aan datacenter accessoires. De groeiende belangstelling voor security oplossingen op rackniveau is voor een belangrijk deel te verklaren door het soort klanten dat nu hun IT-infrastructuur bij carrier-neutrale datacenters onderbrengt, zegt Vincent Liebe, Marketing Manager van Minkels. Vooral overheidsorganisaties en financials, organisaties dus met hoge eisen ten aanzien van beveiliging, nemen nu massaal de beslissing om hun infrastructuren extern in carrier-neutrale datacenters te huisvesten. SECURITY EISEN EN RISK ASSESSMENT Een andere ontwikkeling die volgens Minkels bijdraagt aan de vraaggroei op het gebied van security oplossingen, is de recent vastgestelde Nederlandse Praktijk Richtlijn Computerruimtes en Datacenters (NPR 5313). Deze nieuwe normering - waar datacenter beveiliging en een zogenoemd schillenmodel voor beveiliging een belangrijk onderdeel van is - zal binnenkort tevens de basis vormen voor de nieuwe richtlijn NEN EN50600, de nieuwe Europese standaard voor inrichting van datacenters en computerruimtes. Niek van der Pas, Strategic Product Designer Data Centres bij Minkels, is als lid van de NEN-commisssie medeverantwoordelijk voor de totstandkoming van de Nederlandse Praktijk Richtlijn Computerruimtes en Datacenters (NPR 5313). Beveiliging heeft veel aandacht gekregen in de nieuwe NPR 5313 normering, zegt datacenternormering expert Van der Pas. In de nieuwe standaard zijn fysieke security eisen opgenomen en bijvoorbeeld ook een risk assessment. Dit Vooral overheidsorganisaties en financials stellen op dit moment steeds hogere eisen aan de beveiliging van hun IT-infrastructuren, aldus Vincent Liebe, marketing manager van Minkels. De Minkels Free Standing Cold Corridor is een ultramodulair aisle containment ontwerp met enkel wandpanelen, dakpanelen en deuren, wat een flexibele pay-as-you-grow oplossing biedt, inclusief een modulaire beveiligingsmodule om aan de nieuwe NEN NPR 5313 normering te kunnen voldoen. biedt de garantie dat het beveiligingsniveau van een datacenter aansluit bij het businessmodel van de gebruikers en dat de dataveiligheid tot op het laagst gewenste niveau is gegarandeerd, op het niveau van aisle containment en racks. MODULAIRE BEVEILIGINGSOPLOSSINGEN Minkels is de ontwikkeling van de nieuwe standaarden een stap voor geweest en heeft begin 2013 zijn Next Generation Cold Corridor op de markt gebracht, een aisle containment oplossing met verschillende optionele modules waaronder ook een module met uitgebreide functionaliteit voor toegang en beveiliging. Een modulair en dus flexibel uit te breiden en te wijzigen beveiligingsoplossing, op een lager beveiligingsniveau in het datacenter zoals vastgelegd in de nieuwe NEN NPR 5313 normering. Het oorspronkelijke Cold Corridor aisle containment concept werd door Minkels - als eerste fabrikant in Europa - overigens al in 2006 commercieel op de markt bracht, tijdens de CeBIT in dat jaar. De Next Generation Cold Corridor is een flexibele aisle containment oplossing die dynamisch kan meebewegen met evoluerende gebruikersbehoeften en waar beveiliging dus ook een belangrijk rol in speelt. De Minkels Free Standing Cold Corridor, een product dat Minkels in 2014 op de markt bracht, heeft eveneens de mogelijkheid om een beveiligingsmodule op aisle containment niveau toe te voegen. Dit ultramodulaire ontwerp is nog flexibeler dan de Next Generation Cold Corridor. Met enkel wandpanelen, dakpanelen en deuren, biedt de oplossing corporate en commerciële datacenters een kostenefficiënt pay-as-you-grow model om luchtstroomoptimalisatie en dus energie-efficiëntie te creëren tegen lage opstartkosten (CAPEX). Op een later tijdstip kunnen alsnog beveiligingsmodules worden toegevoegd of aangepast. De toegang- en beveiligingsmodule die Minkels bij de twee Cold Corridor oplossingen aanbiedt, naast bijvoorbeeld keuzemodules zoals brandbeveiliging, airtightness en monitoring, geeft onder andere de mogelijkheid om een Cold Corridor af te sluiten middels automatische schuifdeuren, of door een mechanische zelfsluitmodule, al is een handmatige deurafsluiting ook nog steeds een optie - al dan niet synchroon. Dergelijke oplossingen kunnen gecombineerd worden met bijvoorbeeld een module voor een pincodesysteem of een kaartleessysteem. Op rackniveau praat je over een ander soort beveiliging als bij de toegang tot een datacenter, aldus Niek van der Pas, datacenter normering expert Minkels. HET SCHILLENMODEL In het schillenmodel binnen de nieuwe NEN NPR 5313 normering is vastgelegd dat de beveiliging in verschillende lagen - oftewel schillen - van het datacenter aan specifieke eisen moet voldoen, zegt Van der Pas. Op rackniveau praat je over een ander soort beveiliging als bij de buitenkant van het terrein of bij de toegang tot het gebouw. Op dat niveau moet je bijvoorbeeld denken aan het monitoren of iemand, en zo ja wie, toegang heeft gehad tot een rack. Ook wil je misschien voorkomen dat iemand een zijpaneel kan wegnemen om zich onopgemerkt toegang tot een rack te verschaffen. Als datacenter fabrikant willen wij graag vooroplopen als het gaat om invulling van evoluerende klantbehoeften in het datacenter, zegt marketing manager Vincent Liebe. Beveiliging is daarin een belangrijk onderdeel. Ook in de toekomst zullen we onze oplossingen vroegtijdig op nieuwe marktontwikkelingen blijven afstemmen. MINKELS EISENHOWERWEG AC VEGHEL T +31 (0) E I 38 INFOSECURITY MAGAZINE - NR. 5 - DECEMBER

Nationale IT Security Monitor 2015. Peter Vermeulen Pb7 Research

Nationale IT Security Monitor 2015. Peter Vermeulen Pb7 Research Nationale IT Security Monitor 2015 Peter Vermeulen Over het Onderzoek Jaarlijks terugkerende vragen Organisatie en beleid Investeringen en groei 2015 Thema s Databeveiliging (incl. Algemene Data Protectie

Nadere informatie

Factsheet DATALEKKEN COMPLIANT Managed Services

Factsheet DATALEKKEN COMPLIANT Managed Services Factsheet DATALEKKEN COMPLIANT Managed Services DATALEKKEN COMPLIANT Managed Services We ontwerpen en implementeren security maatregelen om datalekken te detecteren en het risico daarop te minimaliseren.

Nadere informatie

Factsheet SECURITY CONSULTANCY Managed Services

Factsheet SECURITY CONSULTANCY Managed Services Factsheet SECURITY CONSULTANCY Managed Services SECURITY CONSULTANCY Managed Services We adviseren u over passende security-maatregelen voor uw digitale platform. Zo helpen we u incidenten als datadiefstal

Nadere informatie

We helpen u security-incidenten te voorkomen

We helpen u security-incidenten te voorkomen Managed Services Managed Services We adviseren u over passende security-maatregelen voor uw digitale platform. Zo helpen we u incidenten als datadiefstal te voorkomen en behoeden we u voor imagoschade.

Nadere informatie

Factsheet SECURITY SCANNING Managed Services

Factsheet SECURITY SCANNING Managed Services Factsheet SECURITY SCANNING Managed Services SECURITY SCANNING Managed Services We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren. Met onze Security

Nadere informatie

Factsheet SECURITY DESIGN Managed Services

Factsheet SECURITY DESIGN Managed Services Factsheet SECURITY DESIGN Managed Services SECURITY DESIGN Managed Services We ontwerpen solide security-maatregelen voor de bouw en het gebruik van digitale platformen. Met onze Security Management diensten

Nadere informatie

We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren.

We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren. Managed Services Managed Services We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren. Met onze Security Management diensten bewaken we de continuïteit

Nadere informatie

Factsheet SECURITY SCANNING Managed Services

Factsheet SECURITY SCANNING Managed Services Factsheet SECURITY SCANNING Managed Services SECURITY SCANNING Managed Services We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren. Met onze Security

Nadere informatie

BEVEILIGINGSARCHITECTUUR

BEVEILIGINGSARCHITECTUUR BEVEILIGINGSARCHITECTUUR Risico s onder controle Versie 1.0 Door: drs. Ir. Maikel J. Mardjan MBM - Architect 2011 cc Organisatieontwerp.nl AGENDA Is een beveiligingsarchitectuur wel nodig? Oorzaken beveiligingsincidenten

Nadere informatie

Informatiebeveiliging voor gemeenten: een helder stappenplan

Informatiebeveiliging voor gemeenten: een helder stappenplan Informatiebeveiliging voor gemeenten: een helder stappenplan Bewustwording (Klik hier) Structureren en borgen (Klik hier) Aanscherping en maatwerk (Klik hier) Continu verbeteren (Klik hier) Solviteers

Nadere informatie

INFORMATIEBEVEILIGING: WAAR STAAT U NU?

INFORMATIEBEVEILIGING: WAAR STAAT U NU? INFORMATIEBEVEILIGING: WAAR STAAT U NU? HANDIGE CHECKLISTS VOOR DE OVERHEIDSSECTOR In deze whitepaper bieden we u handvatten en checklists voor hoe u om kunt gaan met de nieuwe meldplicht datalekken. Steeds

Nadere informatie

De Uitdagingen van Mobiele Apparaten Managen

De Uitdagingen van Mobiele Apparaten Managen Kaseya Onderzoek De Uitdagingen van Mobiele Apparaten Managen 2011 www.kaseya.nl Over dit rapport In dit rapport worden de resultaten gepresenteerd van een onderzoek dat door Kaseya is geïnitieerd en uitgevoerd

Nadere informatie

IT-security bij kleine ondernemingen 10-2013

IT-security bij kleine ondernemingen 10-2013 IT-security bij kleine ondernemingen 10-2013 Analyse Peter Vermeulen, Directeur Pb7 Research: Het onderzoek laat zien dat kleinzakelijke ondernemingen zich vooral baseren op resultaten die in het verleden

Nadere informatie

Unified Enterprise Security wordt geleverd door onze strategische partner Masergy, de wereldspeler in global communications en security.

Unified Enterprise Security wordt geleverd door onze strategische partner Masergy, de wereldspeler in global communications en security. Het verlengstuk van uw IT security operations: altijd (24x7) de beste expertise en meest actuele kennis, geïntegreerd zicht op wat er gebeurt in uw datacenter en eerder en Security as a Service Het verlengstuk

Nadere informatie

Bescherming tegen de gevolgen van cyber risico s. Bedrijfsverzekeringen. CyberEdge van AIG

Bescherming tegen de gevolgen van cyber risico s. Bedrijfsverzekeringen. CyberEdge van AIG Bescherming tegen de gevolgen van cyber risico s Bedrijfsverzekeringen CyberEdge van AIG Wat zijn cyber risico s? Cyber risico s zijn een vaststaand gegeven in een wereld van informatie, informatiesystemen

Nadere informatie

HOE OMGAAN MET DE MELDPLICHT DATALEKKEN?

HOE OMGAAN MET DE MELDPLICHT DATALEKKEN? HOE OMGAAN MET DE MELDPLICHT DATALEKKEN? EEN HANDIGE CHECKLIST In deze whitepaper bieden we u handvatten die u kunnen helpen bij de implementatie van de meldplicht datalekken binnen uw organisatie. We

Nadere informatie

Factsheet CLOUD DESIGN Managed Services

Factsheet CLOUD DESIGN Managed Services Factsheet CLOUD DESIGN Managed Services CLOUD DESIGN Managed Services We ontwerpen flexibele en kosteneffectieve cloud-architecturen als fundament voor uw digitale platform(en). De ontwikkelingen binnen

Nadere informatie

IT Security in de industrie

IT Security in de industrie IT Security in de industrie Praktische ervaringen met cyber security in de Energiesector en Procesindustrie Henk Spelt Henk.Spelt@kema.com Experience you can trust. Onderwerpen Waarom is (cyber) security

Nadere informatie

Verras uw business-collega s met een IT-sixpack

Verras uw business-collega s met een IT-sixpack Hybride-cloudaanpak Verras uw business-collega s met een IT-sixpack De CIO staat steeds meer onder druk: enerzijds vragen uw businesscollega s een s nellere en meer flexibele dienstverlening, anderzijds

Nadere informatie

De kracht van een sociale organisatie

De kracht van een sociale organisatie De kracht van een sociale organisatie De toegevoegde waarde van zakelijke sociale oplossingen Maarten Verstraeten. www.netvlies.nl Prinsenkade 7 T 076 530 25 25 E mverstraeten@netvlies.nl 4811 VB Breda

Nadere informatie

Sim as a Service. Veilig en betrouwbaar beheer op afstand van systemen via M2M datacommunicatie

Sim as a Service. Veilig en betrouwbaar beheer op afstand van systemen via M2M datacommunicatie Sim as a Service Veilig en betrouwbaar beheer op afstand van systemen via M2M datacommunicatie RAM Mobile Data Sim as a Service Veilig en betrouwbaar beheer op afstand van systemen via M2M datacommunicatie

Nadere informatie

Customer Case CED. Feiten in het kort:

Customer Case CED. Feiten in het kort: Feiten in het kort: Bedrijf: European Claim Experts Branche: Verzekeringen Werknemers: 1.150 Activiteiten: Internationale Claims management en Expertise Oplossing: Opbouw Mendix-platform voor het flexibel

Nadere informatie

IBM; dataopslag; storage; infrastructuur; analytics; architectuur; big data

IBM; dataopslag; storage; infrastructuur; analytics; architectuur; big data Asset 1 van 10 Big Data Analytics voor Dummies Gepubliceerd op 30 june 2014 Gelimiteerde editie van de populaire Dummies-reeks, speciaal voor managers. Het boek legt uit waarom Big Data Analytics van cruciaal

Nadere informatie

Het Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV

Het Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV Het Sebyde aanbod Secure By Design AUG 2012 Sebyde BV Wat bieden wij aan? 1. Web Applicatie Security Audit 2. Secure Development 3. Security Awareness Training 4. Security Quick Scan 1. Web Applicatie

Nadere informatie

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1. www.traxion.com

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1. www.traxion.com Veilig de cloud in Whitepaper over het gebruik van Cloud-diensten deel 1 www.traxion.com Introductie Deze whitepaper beschrijft de integratie aspecten van clouddiensten. Wat wij merken is dat veel organisaties

Nadere informatie

Factsheet BEHEER CONSULTANCY Managed Services

Factsheet BEHEER CONSULTANCY Managed Services Factsheet BEHEER CONSULTANCY Managed Services BEHEER CONSULTANCY Managed Services We geven gedegen advies om de beschikbaarheid van uw platform en daarmee de user experience te verbeteren. Inclusief concrete

Nadere informatie

Berry Kok. Navara Risk Advisory

Berry Kok. Navara Risk Advisory Berry Kok Navara Risk Advisory Topics Informatiebeveiliging in het nieuws Annual Benchmark on Patient Privacy & Data Security Informatiebeveiliging in de zorg Extra uitdaging: mobiel Informatiebeveiliging

Nadere informatie

De impact van Edward Snowden s onthullingen over de NSA

De impact van Edward Snowden s onthullingen over de NSA cloud innovation by Macaw De impact van Edward Snowden s onthullingen over de NSA Rumoer in de cloud, of toch niet... De onthullingen van Edward Snowden hebben een zeer gevoelige snaar geraakt bij Nederlandse

Nadere informatie

Kijken, kiezen, maar wat te kopen?

Kijken, kiezen, maar wat te kopen? Kijken, kiezen, maar wat te kopen? 15 aandachtspunten bij overgang naar de cloud Cloud biedt voor veel organisaties de mogelijkheid om te innoveren zonder hoge investeringen. Zowel Telecom providers als

Nadere informatie

Welkom op dit symposium met de pakkende titel Cybercrime, de digitale vijand voor ons allen.

Welkom op dit symposium met de pakkende titel Cybercrime, de digitale vijand voor ons allen. Speech Erik Akerboom, Secretaris-generaal Ministerie van Defensie Symposium KVNRO Cybercrime, de digitale vijand voor ons allen Donderdag 20 november, KMA te Breda Dames en heren, Welkom op dit symposium

Nadere informatie

Asset 1 van 4. Data Recovery as a Service. Gepubliceerd op 9 november 2015

Asset 1 van 4. Data Recovery as a Service. Gepubliceerd op 9 november 2015 Asset 1 van 4 Data Recovery as a Service Data herstellen na een calamiteit is lastiger dan het lijkt. Dit is geen kernactiviteit van ondernemingen, zeker niet van mkb-bedrijven. Zonder data loopt de continuïteit

Nadere informatie

NORTHWAVE Intelligent Security Operations

NORTHWAVE Intelligent Security Operations Intelligent Security Operations UW BUSINESS BETER BESCHERMD DOOR GEDREVEN EXPERTS Northwave (2006) helpt u bij het realiseren van een slim en integraal proces van informatiebeveiliging. Dat biedt u betere

Nadere informatie

Banken en verzekeraars zijn niet onderscheidend genoeg

Banken en verzekeraars zijn niet onderscheidend genoeg Banken en verzekeraars zijn niet onderscheidend genoeg Werk aan de winkel wat betreft openheid, onderscheidingsvermogen en communicatiekanalen from Accenture and Microsoft 1 Werk aan de winkel wat betreft

Nadere informatie

Beveiliging en bescherming privacy

Beveiliging en bescherming privacy Beveiliging en bescherming privacy Beveiliging en bescherming privacy Duobus B.V. Nieuwe Boteringestraat 82a 9712PR Groningen E info@duobus.nl I www.duobus.nl September 2014 2 Voorwoord Als organisatie

Nadere informatie

Informatie is overal: Heeft u er grip op?

Informatie is overal: Heeft u er grip op? Informatie is overal: Heeft u er grip op? Zowel implementatie als certificering Omdat onze auditors geregistreerd zijn bij de Nederlandse Orde van Register EDP-auditors (NOREA), kan Koenen en Co zowel

Nadere informatie

Tags: online; websites; automatisering; infrastructuur; cloud; infrastructure; Mirabeau; 626; automation; guidelines

Tags: online; websites; automatisering; infrastructuur; cloud; infrastructure; Mirabeau; 626; automation; guidelines Asset 1 van 4 Effectief in de cloud Gepubliceerd op 7 october 2013 Cloud technologie speelt een steeds grotere rol binnen de exploitatie van web omgevingen. De voordelen van cloud zijn inmiddels breeduit

Nadere informatie

Qsuite in een mobiele applicatie. Geschikt voor telefoon en tablet

Qsuite in een mobiele applicatie. Geschikt voor telefoon en tablet Qsuite in een mobiele applicatie Geschikt voor telefoon en tablet Er is geen stoppen meer aan Het internetgebruik in de wereld neemt iedere dag toe. IT is overal,. Internet is steeds meer, vaker en sneller

Nadere informatie

Visie op co-sourcing

Visie op co-sourcing Visie op co-sourcing Ed Holtzer Manager Managed Services Meerdere functies bij diverse IT- en adviesorganisaties. O.a. sales manager, (business) consultant, projectleider en programmamanager in profit

Nadere informatie

Canon s visie op digitale transformatie van organisaties. you can

Canon s visie op digitale transformatie van organisaties. you can Canon s visie op digitale transformatie van organisaties you can Digitale transformatie van organisaties Als we kijken naar de belangrijkste ontwikkelingen op het gebied van communicatie in de afgelopen

Nadere informatie

Cyber Security: hoe verder?

Cyber Security: hoe verder? Cyber Security: hoe verder? Pensioenbestuurders Rotterdam, 11 maart 2014 Generaal (bd.) Dick Berlijn 2 Wat is Cyber, wat is Cyber Security? Cyber is: Overal Raakt alles Energie, transport, infrastructuur,

Nadere informatie

GOEDE ZORG VOOR ONDERZOEKSDATA.

GOEDE ZORG VOOR ONDERZOEKSDATA. GOEDE ZORG VOOR ONDERZOEKSDATA. Ziekenhuislaboratorium LabWest vertrouwt IT-infrastructuur toe aan Sentia Sinds 2011 werken verschillende ziekenhuizen in en rondom Den Haag met een gezamenlijke laboratoriumorganisatie.

Nadere informatie

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging Seminar Trends in Business & IT bij woningcorporaties Informatiebeveiliging Agenda Rondje verwachtingen Even voorstellen.. Informatiebeveiliging waarom? Stand van zaken bij corporaties Informatiebeveiliging

Nadere informatie

Cloud computing Helena Verhagen & Gert-Jan Kroese

Cloud computing Helena Verhagen & Gert-Jan Kroese Cloud computing Helena Verhagen & Gert-Jan Kroese Privacy Better business through better privacy Juridisch kader cloud computing Meldplicht datalekken Tips & Tricks Vragen? 2 Privacy https://www.youtube.com/watch?v=xyzthipktqg

Nadere informatie

Security Starts With Awareness

Security Starts With Awareness Security Starts With Awareness Think Secure Think Secure is in 2003 opgericht met het doel organisaties te ondersteunen met kennis en diensten die: 1.Het bewustzijn m.b.t. informatie- en ICT beveiliging

Nadere informatie

CMS Ronde Tafel. Cloud Continuity. Ir. Jurian Hermeler Principal Consultant

CMS Ronde Tafel. Cloud Continuity. Ir. Jurian Hermeler Principal Consultant CMS Ronde Tafel Cloud Continuity Ir. Jurian Hermeler Principal Consultant Introductie Quint Wellington Redwood Onafhankelijk Management Adviesbureau Opgericht in 1992 in Nederland Ruim 20 jaar ervaring

Nadere informatie

Uw bedrijf beschermd tegen cybercriminaliteit

Uw bedrijf beschermd tegen cybercriminaliteit Uw bedrijf beschermd tegen cybercriminaliteit MKB is gemakkelijke prooi voor cybercriminelen Welke ondernemer realiseert zich niet af en toe hoe vervelend het zou zijn als er bij zijn bedrijf wordt ingebroken?

Nadere informatie

Factsheet CLOUD CONSULTANCY Managed Services

Factsheet CLOUD CONSULTANCY Managed Services Factsheet CLOUD CONSULTANCY Managed Services CLOUD CONSULTANCY Managed Services We geven gedegen advies over ontwerp, integratie, bouw en beheer van schaalbare platformen op basis van cloud-technologie.

Nadere informatie

Bring it Secure. Whitepaper

Bring it Secure. Whitepaper Whitepaper Imtech ICT Communication Solutions, Rivium Boulevard 41 2909 LK Capelle a/d IJssel T +31 88 988 96 00, info.cs@imtech.nl, www.imtech.nl/cs Imtech Vandaag de dag moet security een standaard

Nadere informatie

Op zoek naar gemoedsrust?

Op zoek naar gemoedsrust? Op zoek naar gemoedsrust? Proximus beveiligt uw ICT omgeving. Christophe Crous - Head Of Security Solutions 13 May 2016 Sensitivity: Unrestricted 1 Toenemende uitdagingen en cybergevaren Gevaren Phishing

Nadere informatie

BeheerVisie ondersteunt StUF-ZKN 3.10

BeheerVisie ondersteunt StUF-ZKN 3.10 Nieuwsbrief BeheerVisie Nieuwsbrief BeheerVisie 2015, Editie 2 Nieuws BeheerVisie ondersteunt StUF-ZKN 3.10 BeheerVisie geeft advies MeldDesk App Message Router MeldDesk Gebruikers Forum Nieuwe MeldDesk

Nadere informatie

Factsheet COOKIE COMPLIANT Managed Services

Factsheet COOKIE COMPLIANT Managed Services Factsheet COOKIE COMPLIANT Managed Services COOKIE COMPLIANT Managed Services Mirabeau helpt u de cookiewetgeving op de juiste manier te implementeren. Zo geven we uw online omgeving een betrouwbare uitstraling

Nadere informatie

HOE EENVOUDIG IS HET OM GEBRUIK TE MAKEN VAN CLOUD COMPUTING?

HOE EENVOUDIG IS HET OM GEBRUIK TE MAKEN VAN CLOUD COMPUTING? Innervate: Januari 2011 WHITEPAPER CLOUD COMPUTING HOE EENVOUDIG IS HET OM GEBRUIK TE MAKEN VAN CLOUD COMPUTING? Lees hier in het kort hoe u zich het best kunt bewegen in de wereld van cloud computing

Nadere informatie

Factsheet CLOUD MANAGEMENT Managed Services

Factsheet CLOUD MANAGEMENT Managed Services Factsheet CLOUD MANAGEMENT Managed Services CLOUD MANAGEMENT Managed Services Met Cloud Management beheren we uw cloud-omgeving en ontzorgen we u 24x7. De ontwikkelingen binnen cloud computing volgen elkaar

Nadere informatie

Sebyde Security in een organisatie A3 Management Workshop. 7 Januari 2014

Sebyde Security in een organisatie A3 Management Workshop. 7 Januari 2014 Sebyde Security in een organisatie A3 Management Workshop 7 Januari 2014 Even voorstellen Sebyde BV is Certified IBM Business Partner voor security systems, gespecialiseerd in applicatie security en security

Nadere informatie

IT security in de mobiele MKB-wereld

IT security in de mobiele MKB-wereld IT security in de mobiele MKB-wereld Onderzoek onder o.a. Nederlandse MKB-bedrijven 14 maart 2013 Martijn van Lom General Manager Kaspersky Lab Benelux and Nordic PAGE 1 Onderzoek onder MKB-bedrijven in

Nadere informatie

Asset 1 van 17. Mobile Application Management en security. Gepubliceerd op 18 april 2015

Asset 1 van 17. Mobile Application Management en security. Gepubliceerd op 18 april 2015 Asset 1 van 17 Mobile Application Management en security Gepubliceerd op 18 april 2015 Veel organisaties hebben de afgelopen jaren hun eigen mobiele enterprise apps ontwikkeld. De data hierin is potentieel

Nadere informatie

Security Management Trendonderzoek. Chloë Hezemans

Security Management Trendonderzoek. Chloë Hezemans Security Management Trendonderzoek Chloë Hezemans Security Management Survey (5 e editie) Agenda Voorstellen Methode Trends Opvallende resultaten deze editie Security Management 2020? Voorstellen Chloë

Nadere informatie

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Informatiebeveiliging the next level!

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Informatiebeveiliging the next level! Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Informatiebeveiliging the next level! 1! 1. Introductie Agenda! 2. Stand van zaken in de Cyber Security wereld 3. Verschillende soorten

Nadere informatie

De Enterprise Security Architectuur

De Enterprise Security Architectuur De Enterprise Security Architectuur Martijn Doedens Security Consultant Peter Mesker CTO IT SECURITY IS TOPSPORT! Wat is de definitie?! Een enterprise security architectuur omvat alle noodzakelijke elementen

Nadere informatie

vakbladen - websites - e-mailnieuwsbrieven - congressen - PR - research - persberichten - marketingcommunicatie

vakbladen - websites - e-mailnieuwsbrieven - congressen - PR - research - persberichten - marketingcommunicatie vakbladen - websites - e-mailnieuwsbrieven - congressen - PR - research - persberichten - marketingcommunicatie Recht op uw doel af FenceWorks heeft dankzij de combinatie van haar printtitels, mediacontacten

Nadere informatie

Introduceert KASPERSKY ENDPOINT SECURITY FOR BUSINESS

Introduceert KASPERSKY ENDPOINT SECURITY FOR BUSINESS Introduceert KASPERSKY ENDPOINT SECURITY FOR BUSINESS 1 Business strategieën en de impact voor de IT FLEXIBILITEIT Snel handelen met wendbaarheid en flexibiliteit Voor 66% van de organisaties staat flexibiliteit

Nadere informatie

Datadiefstal: Gone in 60 Seconds!

Datadiefstal: Gone in 60 Seconds! Datadiefstal: Gone in 60 Seconds! Didacticum Solutions Datadiefstal en ontwikkelingen Het komt regelmatig voor: klantgegevens of intellectuele eigendommen van bedrijven worden door hackers gestolen. Denk

Nadere informatie

Azure in de praktijk o.a. case van Heineken en Talpa

Azure in de praktijk o.a. case van Heineken en Talpa consulting - sourcing - solutions Azure in de praktijk o.a. case van Heineken en Talpa Marcel van Rijn Marco van Veen 9 januari 2014 Marcel van Rijn Mede oprichter Connect2Crowd Meer dan 15 jaar corporate

Nadere informatie

2012 2011 Onderzoek naar voorbereiding op noodgevallen BEVINDINGEN IN EMEA

2012 2011 Onderzoek naar voorbereiding op noodgevallen BEVINDINGEN IN EMEA 2012 2011 Onderzoek naar voorbereiding op noodgevallen BEVINDINGEN IN EMEA INHOUD Inleiding........................................................................ 3 Methodologie....................................................................

Nadere informatie

Een veilige draadloze internet-en netwerkverbinding in uw gemeente, voor u en uw burgers. Hoe pakt u dit aan? impakt.be

Een veilige draadloze internet-en netwerkverbinding in uw gemeente, voor u en uw burgers. Hoe pakt u dit aan? impakt.be Een veilige draadloze internet-en netwerkverbinding in uw gemeente, voor u en uw burgers. Hoe pakt u dit aan? IMPAKT Secure ICT IMPAKT is meer dan 25 jaar actief in België en Luxemburg als ICT beveiliging

Nadere informatie

Brochure ISO 27002 Foundation

Brochure ISO 27002 Foundation Brochure ISO 27002 Foundation Over Pink Elephant Bedrijfshistorie Pink Elephant is een Nederlandse IT onderneming die rond 1980 is ontstaan als bijverdienste van een drietal studenten aan de Technische

Nadere informatie

Brochure ISO 27002 Advanced

Brochure ISO 27002 Advanced Brochure ISO 27002 Advanced Over Pink Elephant Bedrijfshistorie Pink Elephant is een Nederlandse IT onderneming die rond 1980 is ontstaan als bijverdienste van een drietal studenten aan de Technische Universiteit

Nadere informatie

HOE EEN ACCOUNTANT ZIJN DNA VERANDERT

HOE EEN ACCOUNTANT ZIJN DNA VERANDERT Exact Online CASE STUDY HOE EEN ACCOUNTANT ZIJN DNA VERANDERT www.exactonline.nl 2 EXACT ONLINE CASE STUDY ACCOUNTANCY HOE EEN ACCOUNTANT ZIJN DNA VERANDERT En daarna dat van ondernemers Onze branche staat

Nadere informatie

Optimale ICT-beveiliging. Van advies en ontwikkeling tot implementatie en beheer

Optimale ICT-beveiliging. Van advies en ontwikkeling tot implementatie en beheer Optimale ICT-beveiliging Van advies en ontwikkeling tot implementatie en beheer 1 Inhoud Deze brochure geeft u meer uitleg over de manier waarop Telenet de ICT van uw bedrijf kan beveiligen. Ervaring,

Nadere informatie

Beveiligingsmaatregelen voor een doeltreffende Cyber verdediging

Beveiligingsmaatregelen voor een doeltreffende Cyber verdediging Beveiligingsmaatregelen voor een doeltreffende Cyber verdediging ivo.depoorter@v-ict-or.be V-ICT-OR Vlaamse ICT organisatie Ons overkomt dit niet.of toch? Inschatting Risico Kans X Schade Zijn wij een

Nadere informatie

Samenvatting Meldplicht Datalekken. Michael van der Vaart Head of Technology ESET Nederland

Samenvatting Meldplicht Datalekken. Michael van der Vaart Head of Technology ESET Nederland Samenvatting Meldplicht Datalekken & Michael van der Vaart Head of Technology ESET Nederland DISCLAIMER LET OP: Het gaat hier om een interpretatie van de omtrent de meldplicht datalekken. Deze interpretatie

Nadere informatie

Wat is Cyber Security Management? 3 oktober 2014. ISA / Hudson Cybertec Arjan Meijer Security Consultant

Wat is Cyber Security Management? 3 oktober 2014. ISA / Hudson Cybertec Arjan Meijer Security Consultant Wat is Cyber Security Management? 3 oktober 2014 ISA / Hudson Cybertec Arjan Meijer Security Consultant 1 Agenda Introductie spreker / ISA 3 pijlers van security IT versus OT Cyber Security Management

Nadere informatie

Hoe fysiek is informatiebeveiliging?

Hoe fysiek is informatiebeveiliging? Hoe fysiek is informatiebeveiliging? Johan de Wit Siemens Nederland NV Hoe fysiek is informatiebeveiliging? Informatie is voor organisaties van onschatbare waarde, het beschermen ervan heeft binnen organisaties

Nadere informatie

vakbladen - websites - e-mailnieuwsbrieven - congressen - PR - research - persberichten - marketingcommunicatie

vakbladen - websites - e-mailnieuwsbrieven - congressen - PR - research - persberichten - marketingcommunicatie vakbladen - websites - e-mailnieuwsbrieven - congressen - PR - research - persberichten - marketingcommunicatie Recht op uw doel af FenceWorks heeft dankzij de combinatie van haar printtitels, mediacontacten

Nadere informatie

VERZEGEL UW DIGITALE NETWERK. BELANGRIJKE INFORMATIE ALTIJD, OVERAL EN VEILIG TOEGANKELIJK

VERZEGEL UW DIGITALE NETWERK. BELANGRIJKE INFORMATIE ALTIJD, OVERAL EN VEILIG TOEGANKELIJK VERZEGEL UW DIGITALE NETWERK. BELANGRIJKE INFORMATIE ALTIJD, OVERAL EN VEILIG TOEGANKELIJK Uw organisatie staat bekend als open en toegankelijk. Dat is goed, maar die openheid geldt niet voor de informatie

Nadere informatie

Canon s visie op digitale transformatie van organisaties. you can

Canon s visie op digitale transformatie van organisaties. you can Canon s visie op digitale transformatie van organisaties you can Digitale transformatie van organisaties Als we kijken naar de belangrijkste ontwikkelingen op het gebied van communicatie in de afgelopen

Nadere informatie

5 CLOUD MYTHES ONTKRACHT

5 CLOUD MYTHES ONTKRACHT 5 CLOUD MYTHES ONTKRACHT Na enkele jaren ervaring met de cloud, realiseren zowel gebruikers als leveranciers zich dat enkele van de vaakst gehoorde mythes over cloud computing eenvoudigweg... niet waar

Nadere informatie

Staat u wel eens stil bij de datarisico s die u loopt? verzekering bedrijfsrisico hypotheek pensioen

Staat u wel eens stil bij de datarisico s die u loopt? verzekering bedrijfsrisico hypotheek pensioen Staat u wel eens stil bij de datarisico s die u loopt? verzekering bedrijfsrisico hypotheek pensioen Kinderen van een jaar weten tegenwoordig al de weg op een tablet. De computer en het internet zijn niet

Nadere informatie

Behoud de controle over uw eigen data

Behoud de controle over uw eigen data BEDRIJFSBROCHURE Behoud de controle over uw eigen data Outpost24 is toonaangevend op het gebied van Vulnerability Management en biedt geavanceerde producten en diensten aan om bedrijven preventief te beveiligen

Nadere informatie

Beacons. Dichterbij de consument

Beacons. Dichterbij de consument Beacons Dichterbij de consument Inhoud Beacons: waarom? 3 Wat is het? Hoe werkt het? Toepassingen 5 Pushberichten op locatie Indoor navigatie De toekomst 7 www.qanda.nl 2 Beacons: waarom? www.qanda.nl

Nadere informatie

HOE EEN BEDRIJF 180 GRADEN DRAAIT

HOE EEN BEDRIJF 180 GRADEN DRAAIT Exact Online CASE STUDY HOE EEN BEDRIJF 180 GRADEN DRAAIT www.exactonline.nl 2 EXACT ONLINE CASE STUDY ACCOUNTANCY HOE TENSING BINNEN 1 JAAR 180 GRADEN DRAAIDE Tensing, een mobility en Geo- ICT software

Nadere informatie

Partners in Information Security. Partners in Information Security. Peter Rietveld. DDoS in perspectief

Partners in Information Security. Partners in Information Security. Peter Rietveld. DDoS in perspectief Partners in Information Security Partners in Information Security Peter Rietveld DDoS in perspectief Peter Rietveld Security Adviseur Traxion Even voorstellen Domein Manager Situational Awareness Competence

Nadere informatie

voor al uw maatwerk trainingen

voor al uw maatwerk trainingen voor al uw maatwerk trainingen voor al uw maatwerk trainingen Als u wilt dat uw medewerkers weten hoe te handelen bij calamiteiten of dat u uw medewerkers handvatten aan wilt reiken waardoor zij waardevoller

Nadere informatie

Factsheet CLOUD MIGRATIE Managed Services

Factsheet CLOUD MIGRATIE Managed Services Factsheet CLOUD MIGRATIE Managed Services CLOUD MIGRATIE Managed Services We regelen een snelle en zorgeloze overstap naar een flexibele, veilige en stabiele cloud-omgeving. Een succesvol digitaal platform

Nadere informatie

Impact Cloud computing

Impact Cloud computing Impact Cloud computing op de Nederlandse zakelijke markt De impact van Cloud Computing op de Nederlandse zakelijke markt De economische omstandigheden zijn uitdagend. Nederland is en bedrijven informatietechnologie

Nadere informatie

Partneren met een Cloud broker

Partneren met een Cloud broker Partneren met een Cloud broker Vijf redenen om als reseller te partneren met een Cloud broker Introductie Cloud broker, een term die je tegenwoordig vaak voorbij hoort komen. Maar wat is dat nu precies?

Nadere informatie

Meer Business mogelijk maken met Identity Management

Meer Business mogelijk maken met Identity Management Meer Business mogelijk maken met Identity Management De weg naar een succesvolle Identity & Access Management (IAM) implementatie David Kalff OGh 14 september 2010 't Oude Tolhuys, Utrecht Agenda Herkent

Nadere informatie

Digital Independence. Plan Today to be ready for Tomorrow. Grip op uw continuïteit! Information Security and Continuity Services

Digital Independence. Plan Today to be ready for Tomorrow. Grip op uw continuïteit! Information Security and Continuity Services Digital Independence Grip op uw continuïteit! Plan Today to be ready for Tomorrow Information Security and Continuity Services Digital Independence Grip op uw continuïteit! Weet u welke risico s uw bedrijf

Nadere informatie

Werken zonder zorgen met uw ICT bij u op locatie

Werken zonder zorgen met uw ICT bij u op locatie Werken zonder zorgen met uw ICT bij u op locatie Naast de mogelijkheden om uw programmatuur en gegevens bij Drie-O via Evy 2.0 in de cloud te hosten hebt u ook de mogelijkheid om uw ICT omgeving bij u

Nadere informatie

De Exact MKB Cloud Barometer: Kansen in de Cloud voor het MKB. Peter Vermeulen Pb7 Research i.o.v. Exact

De Exact MKB Cloud Barometer: Kansen in de Cloud voor het MKB. Peter Vermeulen Pb7 Research i.o.v. Exact De Exact MKB Cloud Barometer: Kansen in de Cloud voor het MKB Peter Vermeulen Pb7 Research i.o.v. Exact Veldwerk Doel van de Exact MKB Cloud Barometer Hoeveel waarde haalt het MKB uit de cloud? Hoe kunnen

Nadere informatie

vakbladen - websites - e-mailnieuwsbrieven - congressen - PR - research - persberichten - marketingcommunicatie

vakbladen - websites - e-mailnieuwsbrieven - congressen - PR - research - persberichten - marketingcommunicatie vakbladen - websites - e-mailnieuwsbrieven - congressen - PR - research - persberichten - marketingcommunicatie Recht op uw doel af FenceWorks heeft dankzij de combinatie van haar printtitels, contacten

Nadere informatie

NS in beweging, Security als business enabler september 2008

NS in beweging, Security als business enabler september 2008 NS in beweging, Security als business enabler september 2008 Rien Dijkstra Enterprise IT Architect Informatiemangement & Technologie .. de noodzaak en uitdagingen van een topvervoerder, onder eigen regie,

Nadere informatie

BESCHERM UW BEDRIJF, WAAR U OOK GAAT. Protection Service for Business

BESCHERM UW BEDRIJF, WAAR U OOK GAAT. Protection Service for Business BESCHERM UW BEDRIJF, WAAR U OOK GAAT Protection Service for Business WE LEVEN IN EEN MOBIELE WERELD WiFi Voetganger We maken tegenwoordig gebruik van meer apparaten via meer verbindingen dan ooit tevoren.

Nadere informatie

Beveiligingsbeleid Stichting Kennisnet

Beveiligingsbeleid Stichting Kennisnet Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek

Nadere informatie

Datacenter Netwerk Trends in Nederland. Peter Vermeulen Pb7 Research

Datacenter Netwerk Trends in Nederland. Peter Vermeulen Pb7 Research Datacenter Netwerk Trends in Nederland Peter Vermeulen Pb7 Research Agenda Over het onderzoek Impact van IT trends op het datacenter Investeren in het datacentrum van morgen Visie en draagvlak Conclusies

Nadere informatie

hoogwaardige IaaS Cloudoplossingen

hoogwaardige IaaS Cloudoplossingen hoogwaardige IaaS Cloudoplossingen Exclusieve partnership Cloudleverancier NaviSite is als onderdeel van mediaconglomeraat Time Warner Cable één van de grootste wereldwijde providers van enterprise class

Nadere informatie

Wees in control over uw digitale landschap

Wees in control over uw digitale landschap Managed Services Managed Services We zorgen ervoor dat uw complete beheerketen soepel functioneert, zodat uw eindgebruikers optimaal worden bediend. Zorgenvrij beheer is cruciaal voor de continuïteit van

Nadere informatie