Beveiliging van telewerken: een praktische aanpak
|
|
- Rebecca de Ridder
- 8 jaren geleden
- Aantal bezoeken:
Transcriptie
1 Beveiliging van telewerken: een praktische aanpak Nederland heeft wereldwijd één van de hoogste percentages telewerkers en het aantal groeit nog steeds. Informatiebeveiliging bij telewerken is echter niet altijd goed geregeld. Uit onderzoek blijkt dat het merendeel van de thuiswerkplekken onveilig is en dat met regelmaat apparatuur met gevoelige gegevens verdwijnt. In dit artikel wordt een praktische aanpak beschreven waarmee organisaties adequate informatiebeveiliging bij telewerken kunnen realiseren. Om deze aanpak goed toe te passen, is inzicht nodig in de belangrijkste beveiligingsrisico s en -maatregelen met betrekking tot telewerken. Deze worden in dit artikel gestructureerd uiteengezet. LARS HOOGENDIJK EN JEROEN VAN SCHAJIK Het concept telewerken is niet nieuw. Al in de jaren vijftig van de vorige eeuw ontstond het idee dat werk ook buiten kantoor gedaan kon worden door gebruik van telecommunicatieen computertechnologie. Brede interesse begon in de jaren zeventig toen de oliecrisis westerse landen ertoe dwong het energieverbruik drastisch te reduceren. Telewerken werd toen gezien als een middel om het autogebruik te verminderen. Technologische ontwikkelingen en een snel groeiende dienstensector leidden ertoe dat telewerken in de jaren tachtig en negentig doorbrak. TELEWERKEN IN NEDERLAND Nederland heeft in Europa een leidende positie op het gebied van telewerken. Volgens onderzoek van de EU werkte in 2005 twaalf procent van de Nederlandse werknemers meer dan een kwart van de werktijd buiten kantoor. Hiermee stond Nederland in de top 5 van de 28 onderzochte Europese landen [EURO10]. Het CBS meldt dat eind 2007 bijna de helft van de bedrijven waar tien of meer personen werken, telewerkers in dienst had. Dit aantal is ten opzichte van 2003 verdubbeld [CBS09]. De groei van telewerken wordt mede mogelijk gemaakt door technologische ontwikkelingen die ervoor zorgen dat telewerken voortdurend toegankelijker en goedkoper wordt. Voorbeelden hiervan zijn snel mobiel internet en de inburgering van smartphones [IDC11]. Daarnaast heeft telewerken een aantal belangrijke voordelen: het biedt werknemers een betere balans tussen werk en privé, flexibele werkuren en besparingen op reistijd en -kosten. Voor werkgevers levert het productiviteitstijging van medewerkers en besparing van kantoorruimte op. De maatschappij als geheel ten slotte, profiteert van de verdunning van de files, verlaging van CO 2 -uitstoot, betere kansen voor arbeidsgehandicapten en kostenbesparingen op het gebied van infrastructuur en energie [HARP02]. WAT IS TELEWERKEN? Er zijn verschillende definities van telewerken in omloop en er worden termen met vergelijkbare betekenissen door elkaar gebruikt. Voorbeelden hiervan zijn het nieuwe werken, e-werken en flexwerken. De definities uit de literatuur en praktijk zijn echter vaak afgeleid de IT-Auditor nummer
2 van de volgende abstracte definitie [SULL03]: Telewerken is tijd- en plaatsonafhankelijk werken met behulp van informatie- en communicatietechnologie (ICT). In deze algemene definitie liggen drie dimensies besloten: tijd, plaats en ICT. Tijd is de proportie van de werktijd waarin wordt getelewerkt. Vaak wordt onderscheid gemaakt tussen structureel (bijvoorbeeld één of meer volledige werkdagen) en incidenteel telewerken (bijvoorbeeld overwerk). Plaats is de locatie waarop gewerkt wordt, zoals een satellietkantoor, het huis van de telewerker of onderweg. ICT is de technologie die gebruikt wordt. Deze kan per situatie behoorlijk verschillen. Voorbeelden zijn laptops, tablets, smartphones, internet en USB-sticks. HET BELANG VAN INFORMATIEBEVEILIGING BIJ TELEWERKEN Voor het uitvoeren van werkzaamheden hebben telewerkers toegang tot informatie die toebehoort aan de organisatie waarvoor zij werkzaam zijn. Het ontsluiten van deze informatie buiten de beheersbare bedrijfsomgeving leidt tot extra beveiligingsrisico s. Deze risico s kunnen organisaties verkleinen door beveiligingsmaatregelen te treffen. Onderzoek wijst op kwetsbaarheden Een onderzoek onder ruim 500 thuiswerkplekken in Nederland wijst uit dat driekwart hiervan onveilig is. In veel gevallen zijn het de medewerkers zelf die bewust of onbewust de veiligheid van de informatiesystemen in gevaar brengen. Ook laat de implementatie van technische maatregelen op de thuiswerkplek te wensen over. [DIGI08] Een aan mobiel telewerken gerelateerd incident dat vaak voorkomt, is diefstal van laptops of andere mobiele computerapparatuur. Uit onderzoek in Groot-Brittannië is gebleken dat dit tweevijfde van de grote en ééntiende van de kleine Britse organisaties overkomt. De laatste twee jaar is het gebruik van hard disk versleuteling wel flink toegenomen, met name op laptops. Inmiddels heeft driekwart van de grote en drievijfde van de kleine Britse organisaties deze maatregel getroffen. [DTI10] Brits onderzoek toont verder aan dat organisaties die werknemers de mogelijkheid bieden om zich vanaf een externe locatie toegang te verschaffen tot het bedrijfsnetwerk, twee keer zoveel risico lopen op ongeautoriseerde derden die proberen in te breken op het netwerk, dan organisaties die deze mogelijkheid niet bieden. Tweederde van de Britse organisaties die toegang op afstand toestaan, hebben een vorm van extra authenticatie geïmplementeerd. Aan het afluisteren van datacommunicatie wordt, vooral door kleinere organisaties, minder aandacht besteed. Slechts de helft van de onderzochte bedrijven gebruikt VPN [DTI08]. BEVEILIGINGSRISICO S EN MAATREGELEN ROND TELEWERKEN Er is een risico (R) dat de betrouwbaarheid 1 van informatie wordt geschaad door beveiligingsincidenten. Deze incidenten zijn het gevolg van kwetsbaarheden van objecten voor bedreigingen. De impact van de incidenten is afhankelijk van de mate waarin de betreffende informatie bedrijfskritisch en gevoelig is. De algemene definitie van telewerken bevat twee objecten: plaats en ICT. In deze paragraaf worden de bedreigingen die inwerken op deze objecten, alsmede de kwetsbaarheden daarvoor in relatie tot werken op kantoor, zo volledig mogelijk uiteengezet. Ook worden voor beide dimensies voorbeelden genoemd van maatregelen (M) die de organisatie kan treffen om de risico s rond telewerken te verminderen. De dimensie tijd is niet tastbaar en daarom geen object van bedreigingen. Wel heeft deze dimensie enkele aandachtspunten voor beveiliging. Deze worden eerst behandeld. De dimensie tijd Telewerken is volgens de algemene definitie tijdsonafhankelijk. Dit impliceert dat er ook buiten de reguliere kantoortijden getelewerkt kan worden. Hierdoor hebben telewerkers mogelijk geen toegang tot een helpdesk op het moment dat ze deze nodig hebben en meer last van gepland onderhoud. Ook kan het zijn dat capaciteit, beschikbaarheid en beveiligingsincidenten buiten kantooruren niet actief gemonitord worden, waardoor pas laat geacteerd wordt op incidenten. De organisatie kan overwegen om bepaalde ITbeheerdiensten, zoals eerstelijnssupport ook buiten kantooruren te leveren als het aantal telewerkers dat dan werkt groot is. Het alternatief is om telewerkers goed te informeren over de service windows en gepland onderhoud. De dimensie plaats Hoewel telewerken volgens de definitie locatieonafhankelijk is en daarom ook op kantoor plaats kan vinden, wordt de dimensie plaats meestal beperkt tot locaties buiten kantoor. In het laatste geval bevinden de telewerker en ten minste een deel van de ICT die hij gebruikt zich fysiek op externe locaties. R De betrouwbaarheid van gegevens en de ICT waarmee deze worden verwerkt, staat bloot aan bedreigingen die inwerken op externe locaties. Deze zijn ongeautoriseerde fysieke toegang, fysieke onheilen en ontoereikende basisvoorzieningen. 2 De kwetsbaarheid van de locatie voor deze bedreigingen hangt af van de intrinsieke vei- 8 de IT-Auditor nummer
3 ligheid van de locatie en de invloed die de organisatie heeft op het beheer ervan. Gesloten ruimtes zijn intrinsiek veiliger en bieden de organisatie meer invloed op het beheer dan publieke ruimtes. Of de betrouwbaarheid van gegevens wordt geschaad door deze bedreigingen is ook afhankelijk van de wijze waarop ICT wordt ingezet en de risico s die daarmee samenhangen. Deze worden behandeld bij de dimensie ICT. Er wordt vaak onderscheid gemaakt in de reizende telewerker, de thuiswerkplek en het satellietkantoor. [HADD05][KURL99] Hierna wordt per variant in meer detail ingaan op de intrinsieke veiligheid en de invloed van de organisatie op het beheer. De reizende telewerker De reizende telewerker komt vaak in publieke ruimten zoals hotels, vliegvelden en stations. Hier bevinden zich derden. Deze kunnen meekijken terwijl de telewerker zijn wachtwoord invoert of andere vertrouwelijke informatie verwerkt. Er is een verhoogde kans op diefstal en verlies van ICT. Publieke ruimten beschikken niet altijd over goede stroomvoorziening of een betrouwbaar en snel computernetwerk waardoor de telewerker mogelijk geen gebruik kan maken van zijn ICT. De organisatie heeft geen invloed op het beheer van publieke ruimten. De thuiswerkplek Het huis van de telewerker is een gesloten ruimte. In dit huis bevindt zich een beperkt aantal personen die de telewerker meestal kent en vertrouwt. Hoewel deze personen normaliter niet kwaadwillend zijn, kunnen ze door onwetendheid of onvoorzichtigheid ICT beschadigen. Denk bijvoorbeeld aan bewoners die het werkstation gebruiken voor online gaming of social media. De organisatie heeft enige invloed op het beheer van de thuiswerkplek, maar kan de effectiviteit hiervan alleen controleren als de telewerker hier vrijwillig aan meewerkt. 3 Het satellietkantoor Het satellietkantoor is een gesloten ruimte. In dit kantoor bevinden zich naast collega s van de telewerker eventueel ook derden. De invloed die de organisatie heeft op het beheer van het satellietkantoor is doorgaans groter dan op de thuiswerkplek maar kleiner dan op het (hoofd)kantoor. De mate van invloed hangt af van het type satellietkantoor. De invloed is op een privé kantoor het grootst, op een gedeeld kantoor minder groot en op een klantlocatie het kleinst. M Beveiligingsmaatregelen op een satellietkantoor zijn niet wezenlijk anders dan op het hoofdkantoor en worden hier daarom niet verder uitgewerkt. De organisatie kan de beveiliging van de thuiswerkplek verbeteren door daarvoor middelen ter beschikking te stellen, zoals (geld voor) inbraak- en brandbeveiliging en een kluis voor het opbergen van ICT. Publieke ruimtes kunnen niet door de organisatie beveiligd worden. Daarom is de beveiliging van de ICT en de beïnvloeding van het gedrag van de reizende telewerker extra belangrijk. Het gedrag van de telewerker kan de organisatie verbeteren door hem te wijzen op de beveiligingsrisico s die verbonden zijn aan externe locaties en de maatregelen die hij zelf kan nemen. Voorbeelden zijn ICT onopvallend dragen en niet onbeheerd achterlaten. Eventueel kan de organisatie werken vanaf intrinsiek onveilige locaties ontmoedigen of verbieden. Fysieke en logische beveiliging van ICT wordt behandeld bij de dimensie ICT. De dimensie ICT Het begrip ICT is abstract en veelomvattend, maar kan voor het domein telewerken als volgt worden geconcretiseerd. Een telewerker maakt gebruik van een werkstation zoals een desktop, tablet of smartphone. Dit werkstation kan via een computernetwerk in verbinding staan met een centrale informatievoorziening c.q. serveromgeving van de organisatie. In dat geval is er sprake van een client-serverrelatie tussen werkstation en serveromgeving. Het werkstation kan ook gebruikt worden zonder in verbinding te staan met de serveromgeving. Dit wordt stand-alone genoemd. De organisatie heeft een bepalende invloed op het beheer van de serveromgeving, maar niet per se op het beheer van het werkstation en het netwerk. Aan client-server computing zijn drie typen computerarchitecturen verbonden, te weten: Server Based Computin (SBC), File Sharing en Client/Server [SEI97]. Op basis van de plek waar gegevensverwerking en -opslag plaatsvindt, zijn deze computerarchitecturen samen met stand-alone ingedeeld in een matrix (zie figuur 1). Hierna volgt een beschrijving van de risico s en maatregelen rond gegevensopslag en -verwerking op respectievelijk (1) de serveromgeving, (2) het werkstation en (3) gegevensuitwisseling bij toepassing van de client-servercomputerarchitectuur. Bedrijfsinformatie kan niet alleen via computernetwerken, maar ook via mobiele gegevensdragers worden uitgewisseld. Risico s en maatregelen hierbij zijn niet verder uitgewerkt. Meer informatie is te vinden in ondermeer [GORG05] en [MEAR06]. Gegevensverwerking en -opslag op de serveromgeving Bij alle computerarchitecturen, behalve stand-alone, is er sprake van centrale gegevensverwerking en/of -opslag. Hiertoe wordt de serveromgeving van de organisatie beschikbaar gesteld via externe computernetwerken waarop ook de telewerkers aangesloten zijn. de IT-Auditor nummer
4 Gegevensverwerking Serveromgeving Werkstation Serveromgeving SBC Gegevensopslag Serveromgeving Werkstation Client/ Server File Sharing Stand Alone Het gebruik van netwerkinfrastructuren die minder publiek zijn dan het internet, zoals een leased line, kan het aantal potentiële aanvallers verminderen, maar is met name voor mobiele telewerkers te duur en onpraktisch. Gegevensverwerking en -opslag op het werkstation Gegevensverwerking of -opslag op het werkstation vindt plaats op een externe locatie. Hierdoor staan deze opslag en verwerking directer bloot aan risico s die samenhangen met de werklocatie en eventuele kwetsbaarheden op het werkstation dan centrale opslag en verwerking. Figuur 1: Computerarchitecturen Meestal wordt hiervoor het internet gebruikt. R Het extern beschikbaar stellen van de serveromgeving via een computernetwerk brengt met zich mee dat deze vanaf alle computers die met dit netwerk verbonden zijn, benaderd kan worden. Hierdoor wordt de betrouwbaarheid van gegevens op de serveromgeving bedreigd door ongeautoriseerde toegang en Denial of Service (DoS) aanvallen. Naarmate het computernetwerk meer publiek is, neemt de kwetsbaarheid voor ongeautoriseerde toegang en DoS toe. De impact van deze bedreigingen is groot in relatie tot die rond werkstation en datacommunicatie, omdat gegevens zich vaak in bulk op de serveromgeving bevinden en onbeschikbaarheid daarvan veel telewerkers treft. Ongeautoriseerde toegang tot de serveromgeving kan bijvoorbeeld worden veroorzaakt door hacking of via slecht beveiligde werkstations van telewerkers. 4 Ook kan het zijn dat telewerkers onzorgvuldig omgaan met hun identificatie- en authenticatiemiddelen of derden bewust of onbewust van hun werkstation gebruik laten maken. M Toegang tot de serveromgeving moet plaatsvinden na identificatie en authenticatie van de telewerker en/of zijn werkstation. Authenticatie op basis van kennis alleen is meestal niet acceptabel, omdat verlies van gebruikersnaam en wachtwoord dan direct tot ongeautoriseerde toegang kan leiden. Als onderdeel van authenticatie van het werkstation kan het beveiligingsniveau 5 worden gecontroleerd. Het aantal toegestane foutieve aanmeldpogingen moet gemaximeerd zijn. Door middel van zonering en hardening kan de serveromgeving worden afgeschermd van het externe netwerk. Ook kan telewerken om extra aandacht voor monitoring van toegang tot de serveromgeving vragen. Het is mogelijk om de autorisaties van een medewerker te beperken wanneer hij telewerkt. De hoeveelheid autorisaties van een telewerker kan gerelateerd worden aan het beveiligingsniveau van zijn werkstation. Extra aandacht moet uitgaan naar het tijdig en volledig intrekken van autorisaties bij uitdiensttreding van telewerkers. Zij hoeven immers geen toegang tot het kantoor te hebben om gebruik te maken van de serveromgeving. Gegevensopslag R De betrouwbaarheid van gegevens die zijn opgeslagen op het werkstation wordt bedreigd door ongeautoriseerde toegang tot of technische storingen op het werkstation. Ongeautoriseerde toegang tot het werkstation kan lokaal, in de fysieke nabijheid ervan, of op afstand, via een computernetwerk, plaatsvinden. Met name in het eerste geval spelen ook de risico s rondom de werklocatie een rol. De kwetsbaarheid van het werkstation voor deze bedreigingen hangt af van de intrinsieke veiligheid van het werkstation en de invloed die de organisatie heeft op het beheer ervan. Intrinsiek onveilige werkstations hebben relatief weinig beveiligingsopties 6 en veel kwetsbaarheden in systeemsoftware. Dit geldt momenteel voor veel smartphones. De invloed van de organisatie op het werkstationbeheer is groot bij werkstations die zij zelf heeft uitgegeven, beperkt bij werkstations van telewerkers en nihil bij werkstations van derden. Naarmate gegevensopslag meer lokaal plaatsvindt, is de impact van de bovengenoemde bedreigingen groter. Deze is dus relatief groot bij stand-alone en file sharing en klein bij SBC en client/server. Dit laatste 10 de IT-Auditor nummer
5 geldt echter niet wanneer identificatie- en authenticatiemiddelen voor toegang tot de serveromgeving, zoals gebruikersnamen wachtwoorden en certificaten, ook op het werkstation zijn opgeslagen. In dat geval kan ongeautoriseerde toegang tot het werkstation leiden tot ongeautoriseerde toegang tot de serveromgeving. Gegevensverwerking R De betrouwbaarheid van gegevens die worden verwerkt op het werkstation wordt primair bedreigd door het onjuist of onvolledig doorvoeren van wijzigingen in applicaties. Met onjuist wordt in dit verband het ongeautoriseerd, onvoldoende getest of te laat doorvoeren van wijzigingen bedoeld. Onvolledig betekent dat onbedoeld niet alle wijzigingen op het werkstation zijn uitgerold. De kwetsbaarheid voor onjuiste of onvolledige implementatie van wijzigingen neemt toe naarmate de organisatie minder invloed heeft op het beheer van het werkstation. Als gegevensverwerking meer lokaal plaatsvindt, is de impact hiervan op de effectiviteit van application controls 7 en eventuele logische toegangsbeveiliging in die applicaties groter. De impact is dus relatief groot bij stand-alone en file sharing en klein bij SBC. Bij client/ server varieert de impact naargelang de applicatie in meer of mindere mate op het werkstation is geïnstalleerd. M De logische en fysieke beveiliging van werkstations is het best gewaarborgd als de organisatie deze zelf verstrekt en beheert. De organisatie kan dan rechten van gebruikers beperken, waardoor het bijvoorbeeld mogelijk is om applicatiebestanden af te schermen of om onvertrouwde websites te blokkeren. Sofware kan beheerst worden uitgerold met behulp van software deployment tooling. Andere voorbeelden van logische maatregelen zijn versleuteling van gegevens en het automatisch locken bij inactiviteit. Verder kan het werkstation worden voorzien van betrouwbare anti-malware software en een firewall, waar nodig aangevuld met andere security software zoals device lock software en URL-filters. Fysieke beveiliging van het werkstation varieert van een onopvallende tas met toebehoren (kabels, sloten, mobiel internet) tot bewegingssensoren met een alarmsysteem. Deze maatregelen zijn makkelijker te treffen voor grotere devices, zoals laptops en tablets, dan voor handheld devices, zoals smartphones. Het verstrekken en beheren van werkstations is duur. Als alternatief kan de organisatie kosteloos security software verstrekken en meer doen om het gedrag van telewerkers te verbeteren. Dat kan door telewerkers te wijzen op het belang van veilige werkstations en hen daar eventueel formeel verantwoordelijk voor te maken. Eventueel kan de organisatie het gebruik van intrinsiek onveilige devices ontmoedigen of verbieden. Datacommunicatie tussen werkstation en serveromgeving Een telewerker bevindt zich op een externe locatie. Om gegevens uit te wisselen met de serveromgeving maakt hij gebruik van een computernetwerk dat zich deels buiten het bedrijfskantoor bevindt. Gegevensuitwisseling met de serveromgeving vindt plaats bij alle computerarchitecturen, behalve bij stand-alone. R De betrouwbaarheid van datacommunicatie tussen het werkstation van de telewerker en de serveromgeving wordt bedreigd door ongeautoriseerde inzage en manipulatie en door de kwaliteit 8 van het netwerk. Een specifieke bedreiging die samenhangt met ongeautoriseerde inzage en manipulatie is de man-in-the-middle attack. De kwetsbaarheid voor deze bedreigingen is afhankelijk van de intrinsieke veiligheid van het netwerk en de invloed die de organisatie heeft op de beveiliging ervan. Een eigen netwerkinfrastructuur, zoals een leased line, is intrinsiek veiliger dan een publieke netwerkinfrastructuur, zoals het internet. Dankzij cryptografie kan de organisatie echter ook veel invloed uitoefenen op de betrouwbaarheid van gegevens die over een publieke infrastructuur verzonden worden. De impact is afhankelijk van de hoeveelheid en aard van de gegevens die via het netwerk worden verzonden. Onderschepping van schermweergaven is bijvoorbeeld minder risicovol dan van gebruikersnamen en wachtwoorden. M Door middel van cryptografie kan de datacommunicatie tussen het werkstation en de serveromgeving (end-to-end) worden versleuteld. Daarnaast kan hiermee sterke wederzijdse authenticatie worden toegepast. Eventueel kan de organisatie toegang tot de serveromgeving via verschillende infrastructuren (bijvoorbeeld internet en inbellen) ondersteunen om complete beschikbaarheid te bereiken. Ongebruikte verbindingen met de serveromgeving moeten na verloop van tijd automatisch worden beëindigd. Netwerkprotocollen kunnen de integriteit van gegevens bij het wegvallen van een verbinding waarborgen. AANPAK VOOR HET BEVEILIGEN VAN TELEWERKEN Het model van Krabbenbos & Tulp [TELE11] maakt meetbaar of functies c.q. afdelingen geschikt zijn voor telewerken. Het model bestaat uit twee fasen. In fase 1 wordt de telewerkbaarheid van een functie gescoord op de drie aspecten die links in figuur 2 zijn weergegeven. Hiervoor worden standaard vragenlijsten gebruikt. Alleen als in fase 1 de telewerkbaarheid is aangetoond, wordt fase 2 uitgevoerd. In deze fase worden de drie criteria rechts in figuur 2 getoetst. Dit leidt tot een gefundeerd besluit over de de IT-Auditor nummer
6 FASE 1 FASE 2 Functie-gerelateerde aspecten 1. zelfstandigheid 2. meetbaarheid van resultaten 3. lokatie-onafhankelijkheid Afdelingsaspecten 1. resultaatgerichtheid 2. collegialiteit 3. innovatief vermogen Leiderschapsaspecten 1. vertrouwen in de medewerker 2. resultaatgericht leidinggeven 3. veranderingsbereidheid indicatie telewerkbaarheid selective van medewerkers betrouwbaarheidseisen kosten/batenanalyse informatiebeveiliging gefundeerd besluit Figuur 2: Het model van Krabbenbos & Tulp geschiktheid van een functie voor telewerken. Uitwerking van het criterium informatiebeveiliging Eén van de criteria uit fase 2 is informatiebeveiliging. Het criterium houdt in dat een voldoende niveau van beveiliging bij telewerken wordt gerealiseerd. In dit hoofdstuk wordt een aanpak beschreven waarmee dit voor de telewerkbare functies binnen een organisatie kan worden vastgesteld. Het vertrekpunt van deze aanpak is het algemene beveiligingsbeleid waaraan ook de voorzieningen voor telewerken moeten voldoen. Het beleid is kaderstellend voor de risicoanalyse die voor alle functies die telewerkbaar zijn, afzonderlijk moet worden uitgevoerd. De risicoanalyse bestaat uit een afhankelijkheids- en kwetsbaarheidsanalyse. De uitkomst hiervan leidt tot een beveiligingsplan voor alle functies die geschikt zijn voor telewerken. Dit is gevisualiseerd in figuur 3. De blauw gekleurde onderdelen uit deze figuur zijn specifiek voor telewerken en worden hierna verder uitgewerkt. het gaat. Vervolgens wordt het gewenste beveiligingsniveau (GBN) bepaald. De afhankelijkheidsanalyse van SPRINT [ISF97] is hiervoor een praktisch hulpmiddel. Het GBN komt tot uitdrukking in de betrouwbaarheidseisen die aangeven welke mate van beschikbaarheid, integriteit en vertrouwelijkheid voor deze informatie gewenst is. Organisaties die al een classificatieschema voor informatie hebben, kunnen dit schema gebruiken en hoeven het beveiligingsniveau niet opnieuw te bepalen. afhankelijkheidsanalyse voor telewerken kwetsbaarheidsanalyse voor telewerken Kwetsbaarheidsanalyse voor telewerken De risico s van telewerken hangen samen met werklocaties en ICT. In de kwetsbaarheidsanalyse wordt daarom eerst bepaald vanaf welke locaties de functie uitgevoerd wordt en welke ICT daarvoor nodig is. Vervolgens wordt vastgesteld hoe kwetsbaar deze locaties en ICT zijn voor de bedreigingen die hierop inwerken. Hiervoor kan gebruik gemaakt worden van de generieke kwetsbaarheidsanalyse van SPRINT [ISF97] in combinatie met de specifieke informatiebeveiligingsbeleid maatregelen Afhankelijkheidsanalyse voor telewerken Een functie bestaat uit taken. Voor het uitvoeren van deze taken hebben telewerkers informatie nodig. In de afhankelijkheidsanalyse wordt eerst geïnventariseerd om welke informatie informatiebeveiligingsplan voor telewerken risicoanalyse per telewerkbare functie of afdeling Figuur 3: Aanpak voor het beveiligen van telewerken 12 de IT-Auditor nummer
7 GBN H L H H M KN beschrijving van bedreigingen en kwetsbaarheden uit vorige paragrafen. Uit deze analyse volgt een algeheel kwetsbaarheidsniveau (KN) per betrouwbaarheidsaspect. L M L GMN Tabel 1: Relatie tussen GBN, KN en GMN De omvang en aard van de te treffen beveiligingsmaatregelen, ofwel het gewenste maatregelenniveau (GMN), volgt uit het GBN enerzijds en het KN anderzijds. Tabel 1 geeft per combinatie van GBN en KN weer wat het GMN is. De tabel is een vereenvoudigde weergave. Voor GBN en KN wordt uitgegaan van twee niveaus (Hoog en Laag) en voor GMN van drie niveaus (Hoog, Midden, Laag). Bij een GMN dat varieert van nihil tot laag hoeft de organisatie geen aanvullende maatregelen te treffen. Als het GMN laag tot midden is dan kunnen maatregelen ter bevordering van het beveiligingsgedrag van de telewerker volstaan. Hulpmiddelen hierbij zijn telewerkovereenkomsten 9, waarin ondermeer verantwoordelijkheden voor beveiliging worden belegd, beveiligingsrichtlijnen per onderwerp 10 en security awareness campagnes. Bij een hoger GMN moet de organisatie zorgen dat zij zelf meer invloed krijgt op de beveiliging en het beheer van de locatie en/of de ICT. Voor ICT kan de organisatie dit doen door gegevensopslag en -verwerking meer te centraliseren of zelf werkstations te verstrekken en beheren. Als het GMN zo hoog is dat het niet realiseerbaar is, dan is de functie niet geschikt voor telewerken. Hetzelfde geldt voor de situatie waarin de te treffen beveiligingsmaatregelen zo duur zijn, dat telewerken bedrijfseconomisch niet meer interessant is. Dit hangt samen met het criterium kostenbatenanalyse. Beveiligingsplan voor telewerken Het opstellen van een specifiek beveiligingsplan voor telewerken helpt voorkomen dat bepaalde telewerkmiddelen en -locaties buiten de reikwijdte van het proces informatiebeveiliging vallen. Organisaties hebben in de praktijk met name weinig grip op het gebruik van smartphones en tablets, terwijl de toepassingen hierop steeds vaker ingezet worden voor zakelijk gebruik. Het beveiligingsplan voor telewerken beschrijft per functie die geschikt is voor telewerken, welke beveiligingsmaatregelen moeten worden getroffen. Om redenen van effectiviteit en efficiency worden de maatregelen die volgen uit de kwetsbaarheidsanalyse niet een-op-een overgenomen, maar eerst zoveel mogelijk gebundeld in standaardoplossingen. Voorbeelden hiervan zijn het aanbieden van veelgebruikte applicaties via SBC en het verstrekken van standaard werkstations met toebehoren. Deze standaardoplossingen worden vervolgens gekoppeld aan de functies. Voor functies waarbij de standaardoplossing het GMN onvoldoende afdekt, worden aanvullende maatregelen toegevoegd die zijn geïdentificeerd in de kwetsbaarheidsanalyse. De risicoanalyses en het beveiligingsplan dienen periodiek te worden geëvalueerd en afgestemd op nieuwe telewerkfuncties, -locaties en -middelen. CONCLUSIE Telewerken brengt, in vergelijking tot werken op kantoor, extra beveiligingsrisico s met zich mee. Deze worden vooral veroorzaakt doordat telewerken plaats kan vinden vanaf locaties en met ICT die intrinsiek onveilig zijn of niet door de organisatie beheerd worden. In dit artikel zijn de bedreigingen en kwetsbaarheden rond de locatie en ICT gestructureerd uiteengezet. Ook zijn maatregelen beschreven die de organisatie kan treffen om beveiligingsrisico s bij telewerken te reduceren. In het model van Krabbenbos & Tulp is een voldoende niveau van beveiliging één van de criteria waaraan moet zijn voldaan voordat een afdeling C.H. (Lars) Hoogendijk MSc CISA is sinds 2007 werkzaam als IT-auditor bij BDO Consultants, afdeling Information Technology en heeft onderzoek gedaan naar informatiebeveiliging bij telewerken binnen de rijksoverheid [HOOG07]. Het artikel is geschreven op persoonlijke titel. J. (Jeroen) van Schajik RE CISA is sinds 2003 werkzaam als IT-auditor bij BDO Consultants, afdeling Information Technology en lid van de commissie Young Professionals van de NOREA. Het artikel is geschreven op persoonlijke titel. de IT-Auditor nummer
8 of functie geschikt is voor telewerken. Dit criterium is in dit artikel verder uitgewerkt. Door middel van risicoanalyse wordt per telewerkbare afdeling of functie bepaald welke beveiligingsmaatregelen de organisatie kan treffen om een adequaat niveau van beveiliging bij telewerken te realiseren. Als informatie die telewerkers gebruiken bedrijfskritisch of gevoelig is, moet de organisatie gegevensverwerking en -opslag meer centraliseren of werkstations in eigen beheer uitgeven. Als de restrisico s van telewerken te groot of de maatregelen te duur zijn, is de uitkomst van het model dat de functie of afdeling niet geschikt is voor telewerken. Noten 1. Betrouwbaarheid bestaat uit de aspecten integriteit, beschikbaarheid en vertrouwelijkheid. 2. Met name beschikbaarheid stroomvoorziening en veilig en snel computernetwerk. 3. Ook als er vooraf afspraken gemaakt zijn is de telewerker juridisch niet verplicht om mee te werken aan een inspectie. 4. Denk aan uitlekken wachtwoorden via Trojaanse paarden of door lokale opslag en op afstand overnemen werkstations. 5. Bijvoorbeeld onvertrouwde processen, updates en patches etc. 6. Firewall, anti-virus logische toegangsbeveiliging, encryptie etc. 7. Autorisaties, invoercontroles, verbandcontroles, uitvoercontroles et cetera. 8. Met name ten aanzien van capaciteit en beschikbaarheid. 9. Dit is een aanvulling op een arbeidsovereenkomst en bevat meestal afspraken over het aantal telewerkuren, bereikbaarheid, communicatie met de afdeling etc. 10. Preventie van laptopdiefstal, virusbescherming, veilig gebruik van internet, privégebruik van bedrijfscomputers, zakelijk gebruik van smartphones etc. Literatuurlijst [CBS09] Webmagazine: Aandeel bedrijven met telewerkers in vier jaar verdubbeld. Centraal Bureau voor de Statistiek, [DIGI08] DigiProfs: Driekwart thuiswerkplekken onveilig. Amsterdam, Digiprofs, [DTI08] Department of Trade and Industry: information security breaches survey Department of Trade and Industry (UK), [DTI10] Department of Trade and Industry: information security breaches survey Department of Trade and Industry (UK), [EURO10] Euroform: Telework in the European Union. Dublin, European Foundation for the Improvement of Living and Working Conditions, [GORG05] Gorge, M.: USB & other portable storage device usage / Be aware of the risks to your corporate data in order to take pre-emptive and/or corrective action, in: Computer Fraud & Security, augustus 2005, pp [HADD05] Haddon, L. and M. Brynin: The character of telework and the characteristics of teleworkers, in: New Technology, Work and Employment, Jaargang 20, Nummer 1 (2005), pp [HARP02] Harpaz, I.: Advantages and disadvantages of telecommuting for the individual, the organization and society, in: Work Study, Volume 51, Nummer 2 (2002), pp [HOOG07] Hoogendijk, L., Berg Van Den, J. en Groen, P.: Beveiliging van telewerken: het identificeren van risico s en maatregelen, in: Informatiebeveiliging, september (2007) pp [IDC11] IDC Press Release: Mobile Phone Market Grow s 17.9% in Fourth Quarter, According to IDC. IDC, [ISF97] Information Security Forum: SPRINT User Guide. Information Security Forum, [KURL99] Kurland, N.B. en Bailey, D.E.: The Advantages and Challenges of Working, Here, There, Anywhere, and Anytime, in: Organizational Dynamics, autumn (1999), pp [MEAR06] Mearian, L.: Portable Storage Devices Pose IT Security Risk, in: Computerworld, Volume 40, Nummer 13, pp. 1 en 57. [SEI97] SEI: Client/Server Software Architectures--An Overview. Software Engineering Institute, [SULL03] Sullivan, C.: What s in a name? Definitions and conceptualisations of teleworking and homeworking, in: New Technology, Work and Employment, Jaargang 18, Nummer 3 (2003), pp [TELE11] Telewerkforum: Welke functies/ beroepen zijn telewerkbaar? Online beschikbaar via telewerkforum.nl. Geraadpleegd op 19 januari S 14 de IT-Auditor nummer
Beveiligingsbeleid Stichting Kennisnet
Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek
Nadere informatie0.1 Opzet Marijn van Schoote 4 januari 2016
Vragenlijst Cyber ISPS Versie Revisiebeschrijving Auteur Datum 0.1 Opzet Marijn van Schoote 4 januari 2016 0.99 Finale concept versie Marijn van Schoote 11 februari 2016 Doelstelling: De doelstelling van
Nadere informatieWerkplekbeveiliging in de praktijk
Werkplekbeveiliging in de praktijk M.E.M. Spruit Geautomatiseerde werkplekken vormen een belangrijke schakel in de informatievoorziening van organisaties. Toch wordt aan de beveiliging van werkplekken
Nadere informatiePrivacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers
Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Noordhoff Uitgevers is een educatieve uitgeverij die verschillende
Nadere informatiehet identificeren van risico s en maatregelen
Een case study binnen de rijksoverheid Beveiliging van telewerken: het identificeren van risico s en maatregelen Auteurs: Lars Hoogendijk MSc, Dr. Ir. Jan van den Berg, Ing. Peter Groen MBA RE CISA. 1.
Nadere informatieIn jouw schoenen. Een praktische invulling van informatiebeveiliging
In jouw schoenen Een praktische invulling van informatiebeveiliging Informatiebeveiliging hot topic Hoeveel weet jij eigenlijk van informatiebeveiliging? veel voldoende te weinig Vooraf.. Wat vind jij
Nadere informatieChecklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument
Checklist NEN7510 Eén van de eerste stappen van het gestructureerd verbeteren van informatiebeveiliging en het implementeren van de NEN7510 omvat het bepalen van de status van de naleving van de NEN7510.
Nadere informatieInformatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours
Informatiebeveiligingsbeleid Stichting Pensioenfonds Chemours Versiebeheer Versie Datum Van Verspreid aan 0.1 J.W. Kinders W. Smouter Vroklage Goedkeuring Versie Goedgekeurd door Datum 2 INHOUD Algemeen
Nadere informatieInformatiebeveiliging En terugblik op informatiebeveiliging 2016
Informatiebeveiliging 2017 En terugblik op informatiebeveiliging 2016 Missie Waken over betrouwbaarheid, integriteit en beschikbaarheid van de gegevens waarvoor de gemeente verantwoordelijk is. Voldoen
Nadere informatieGemeente Alphen aan den Rijn
Informatiebeveiligingsbeleid (t.b.v. ICT Forum Lokale Overheid) Van een Informatiebeveiligingsbeleid naar de dagelijkse praktijk Maart 2016, afdeling I&A Informatiebeveiligingsbeleid Informatiebeveiligingsbeleid
Nadere informatieMobile device management:
Jacco Bezemer Mobile device management: Grip op smartphones en tablets Even voorstellen Jacco Bezemer, Adviseur sinds 2008 Begonnen als Technisch Consultant bij Ictivity in 2000 jacco.bezemer@ictivity.nl
Nadere informatieSim as a Service. Veilig en betrouwbaar beheer op afstand van systemen via M2M datacommunicatie
Sim as a Service Veilig en betrouwbaar beheer op afstand van systemen via M2M datacommunicatie RAM Mobile Data Sim as a Service Veilig en betrouwbaar beheer op afstand van systemen via M2M datacommunicatie
Nadere informatieBLAD GEMEENSCHAPPELIJKE REGELING
BLAD GEMEENSCHAPPELIJKE REGELING Officiële uitgave van de gemeenschappelijke regeling Werkorganisatie Duivenvoorde Nr. 1057 20 juli 2018 Regeling mobile device management en mobiel werken Inhoudsopgave
Nadere informatieVOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.
Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten
Nadere informatieAgenda. De Cyberwereld. - Cybercrime en Cyber Security - Veilig Zakelijk Internetten. Allianz Cyber
Cyber Security Agenda De Cyberwereld - Cybercrime en Cyber Security - Veilig Zakelijk Internetten Allianz Cyber - Allianz Cyber Risicoscan - Allianz Cyberverzekering - Allianz Cyber Hulpdienst - Cyber
Nadere informatieDatabeveiligingsmaatregelen voor verenigingen
Databeveiligingsmaatregelen voor verenigingen Fysieke toegang... 2 Toegangsrechten/autorisatie... 2 Netwerkbeveiliging... 2 Verenigingswifi-netwerk... 2 Beheer van IT-middelen... 2 Toegang tot IT... 3
Nadere informatieBeschrijving maatregelen Informatie beveiliging centrale omgeving
Beschrijving maatregelen Informatie beveiliging centrale omgeving Versie: 2.1 Datum: november 2017 Status: Concept Inhoud Inleiding... 3 Doelstelling... 3 Informatiebeveiliging... 3 Algemene verordening
Nadere informatieVerwerkersovereenkomst Openworx
Verwerkersovereenkomst Openworx Partijen Openworx, gevestigd te Weert en ingeschreven bij de Kamer van Koophandel onder nummer 14129365, hierna te noemen: Verwerker ; En De klant met wie de Hoofdovereenkomst
Nadere informatieRichtlijn mobiele apparatuur. BYOD en CYOD. Februari 2015 auteur: J.W. H. Brock, H.M. Damen en A.F. Erdman versie: 0.9. Universiteit Leiden
Universiteit Leiden Richtlijn mobiele apparatuur BYOD en CYOD Februari 2015 auteur: J.W. H. Brock, H.M. Damen en A.F. Erdman versie: 0.9 1 Inhoudsopgave Inleiding... 3 Visie... 3 Impact... 3 BYOD... 4
Nadere informatieIntroductie. Dit zijn de privacy voorwaarden die van toepassing zijn op de verwerking van persoonsgegevens door Netvia B.V. (hierna samen: wij ).
Introductie Dit zijn de privacy voorwaarden die van toepassing zijn op de verwerking van persoonsgegevens door Netvia B.V. (hierna samen: wij ). zijn alle gegevens over een geïdentificeerd of identificeerbaar
Nadere informatie2.1 Borgen van rechten van betrokkenen Betrokkenen hebben het recht op inzage, correctie en dataportabiliteit van persoonsgegevens.
Protocol AVG Buro Noorderlingen 1. Inleiding Dit protocol beschrijft het beleid dat door Buro Noorderlingen wordt gevoerd in het kader van de Algemene verordening gegevensbescherming (AVG). De verordening
Nadere informatieProtocol Thuis- en telewerken
Protocol Thuis- en telewerken Versie 1.1 Datum 18 juni 2009 Pagina 2 / 8 Inhoudsopgave 1 Algemeen 4 2 Toestemming 4 3 Transport van vertrouwelijke informatie 4 4 Thuissituatie 5 4.1 Spelregels voor het
Nadere informatieAanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA. Arjan Dekker
Aanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA Arjan Dekker 25 mei 2005 Inhoudsopgave 1 Inleiding 2 2 Analysemethoden 2 2.1 Kwalitatieve risicoanalyse......................
Nadere informatieInformatiebeveiliging ZorgMail
Informatiebeveiliging ZorgMail Verklaring voor klanten VANAD Enovation is een handelsnaam van ENOVATION B.V. Alle rechten voorbehouden. Niets uit deze uitgave mag worden openbaar gemaakt of verveelvoudigd,
Nadere informatieFactsheet Penetratietest Informatievoorziening
Factsheet Penetratietest Informatievoorziening Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl
Nadere informatieTelewerkregeling CIZ 1
Telewerkregeling CIZ 1 Inleiding Telewerken komt in Nederland steeds vaker voor. Uit het oogpunt van zowel aantrekkelijk werkgeversschap als efficiëntie en kostenbeheersing wil het CIZ haar medewerkers
Nadere informatieSamenvatting Meldplicht Datalekken. Michael van der Vaart Head of Technology ESET Nederland
Samenvatting Meldplicht Datalekken & Michael van der Vaart Head of Technology ESET Nederland DISCLAIMER LET OP: Het gaat hier om een interpretatie van de omtrent de meldplicht datalekken. Deze interpretatie
Nadere informatieBEWERKERSOVEREENKOMST
BEWERKERSOVEREENKOMST tussen [naam opdrachtgever] & [naam opdrachtnemer] Behoort bij overeenkomst: Versie document: Status document: Datum [ ] [ ] [concept/definitief] [dd/mm/jj] Alle tussen haken geplaatste
Nadere informatieDe alles-in-1 Zorgapp
De alles-in-1 Zorgapp Tevreden cliënten en medewerkers Impact van zorgapps op de zorgverlening Meerwaarde van zorgapps in het zorgproces De rol van de zorgverlener verandert in rap tempo door nieuwe technologie
Nadere informatieProcess Control Netwerk Security bij Lyondell. Dave Chong European IT Project Manager Lyondell Chemie Nederland B.V.
Process Control Netwerk Security bij Lyondell Dave Chong European IT Project Manager Lyondell Chemie Nederland B.V. Agenda Introductie Korte feiten over Lyondell Chemie Wat doet Lyondell Chemie aan PCN
Nadere informatieInformatiebeveiligingsbeleid
Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...
Nadere informatieTechnische data. Versie dec
Technische data Versie dec.2016 www.mobilea.nl Mobiléa Infrastructuur: Pagina 1 Pagina 2 Specificaties: Het platform van Mobiléa valt op te splitsen in een aantal technische componenten, te weten: De webapplicatie
Nadere informatieVerwerkersovereenkomst, versie Mei 2018
Verwerkersovereenkomst, versie Mei 2018 Deze verwerkersovereenkomst is van toepassing op alle vormen van verwerking van persoonsgegevens die Verwerker uitvoert ten behoeve van verwerkingsverantwoordelijke.
Nadere informatieVerbeter je cybersecurity
Verbeter je cybersecurity Cybercrime Cybercrime, computercriminaliteit, digitale criminaliteit: verschillende termen voor misdaad die zich richt op computers of andere systemen zoals mobiele telefoons
Nadere informatieInformatiebeveiligings- en privacy beleid. Haagsche Schoolvereeniging
Informatiebeveiligings- en privacy beleid Haagsche Schoolvereeniging 1 INLEIDING... 3 1.1 INFORMATIEBEVEILIGING EN PRIVACY... 3 2 DOEL EN REIKWIJDTE... 3 3 UITGANGSPUNTEN... 4 3.1 ALGEMENE BELEIDSUITGANGSPUNTEN...
Nadere informatieZonder voorafgaande schriftelijke toestemming van Bronsvast is het niet toegestaan links naar onze website te plaatsen.
Gegevens op onze website Bronsvast besteedt de grootst mogelijke zorg aan de betrouwbaarheid en actualiteit van de gegevens op haar website. Echter kan Bronsvast niet verantwoordelijk worden gehouden voor
Nadere informatieInformatiebeveiligingsplan
Voorwoord Het, de en de vallen elk onder een verschillend bevoegd gezag. Op het niveau van bestuur en intern toezicht is er sprake van een zogeheten personele unie: de directeur-bestuurder van het is tevens
Nadere informatieStrategisch Informatiebeveiligingsbeleid Hefpunt
Strategisch Informatiebeveiligingsbeleid Hefpunt Groningen, 24-5-2016 Classificatie: intern Wijzigingshistorie Release Datum Auteur(s) Aanpassing 2016 0.1 24-05- 2016 2016 0.2 01-06- 2016 L. Winters J.
Nadere informatiePRIVACYSTATEMENT MODEL WORKOUT B.V.
PRIVACYSTATEMENT MODEL WORKOUT B.V. Wanneer u member wordt van Model Workout vertrouwt u ons met uw gegevens. Om gebruik te kunnen maken van Model Workout dient u diverse persoonsgegevens aan Model Workout
Nadere informatieGegevensverzameling en gegevensverwerking
Gegevensverzameling en gegevensverwerking DefDocGeg: Definitie en documentatie van gegevensverzamelingen en gegevensverwerking binnen Helperzorg, opgesteld binnen de context van de AVG Dit document geeft
Nadere informatieManagementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C
Managementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C Versie 01, februari 2017 Pagina 1 van 5 A.1 Opdrachtverstrekking Dit informatiebeveiligingsbeleid wordt in opdracht
Nadere informatiePrivacyverklaring loyaliteitsprogramma
Privacyverklaring loyaliteitsprogramma Bij het gebruik van ons loyaliteitsprogramma kunnen er persoonsgegevens van u verzameld worden. Deze persoonsgegevens worden gebruikt door. 25-05-2018 Ons loyaliteitsprogramma
Nadere informatieWerkplekvisie. Hans van Zonneveld Senior Consultant Winvision
Werkplekvisie Hans van Zonneveld Senior Consultant Winvision De essentie De gebruiker centraal Verschillende doelgroepen Verschillende toepassingen Verschillende locaties Het beschikbaar
Nadere informatieKeynote: Gevaren van zowel het GSM als het Wi-Fi netwerk
Keynote: Gevaren van zowel het GSM als het Wi-Fi netwerk Roel Bierens Pieter Westein Roel Bierens Roel Bierens is een cyber security professional die gespecialiseerd is op het gebied van mobile security
Nadere informatieHardening. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)
Hardening Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst
Nadere informatieimagine. change. Omdat WerkPlek voor u werkt Ricoh WerkPlek De beste zorg voor uw werkplek
imagine. change. Omdat WerkPlek voor u werkt Ricoh WerkPlek De beste zorg voor uw werkplek Een complete werkplek inclusief hard- en software zonder zorgen? Laat WerkPlek voor u werken Thuis, op kantoor
Nadere informatieISMS BELEIDSVERKLARING. +31(0) Versie 1.0: 3/7/18
ISMS BELEIDSVERKLARING info@thepeoplegroup.nl +31(0) 73 523 67 78 www.thepeoplegroup.nl Versie 1.0: 3/7/18 INTRODUCTIE De directie van The People Group zal bij het voorbereiden en uitvoeren van het algemeen
Nadere informatieEnterprise SSO Manager (E-SSOM) Security Model
Enterprise SSO Manager (E-SSOM) Security Model INHOUD Over Tools4ever...3 Enterprise Single Sign On Manager (E-SSOM)...3 Security Architectuur E-SSOM...4 OVER TOOLS4EVER Tools4ever biedt sinds 2004 een
Nadere informatieWhitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1. www.traxion.com
Veilig de cloud in Whitepaper over het gebruik van Cloud-diensten deel 1 www.traxion.com Introductie Deze whitepaper beschrijft de integratie aspecten van clouddiensten. Wat wij merken is dat veel organisaties
Nadere informatieWelkom bij parallellijn 1 On the Move 14.20 15.10 uur
Welkom bij parallellijn 1 On the Move 14.20 15.10 uur Stap 4 van de BIG Hoe stel ik vast of de informatiebeveiligingsmaatregelen van mijn gemeente effectief zijn en hoe rapporteer ik hierover? 1 IBD-Praktijkdag
Nadere informatieManagement special. BYOD hulpmiddelen Door: Bram Semeijn
Management special BYOD hulpmiddelen Door: Bram Semeijn BYOD hulpmiddelen IT-managers grijpen betrekkelijk makkelijk naar technische hulpmiddelen om BYOD-apparatuur onder controle te krijgen. Dat kan echter
Nadere informatieInformatiebeveiligingsbeleid
2-Control B.V. +31 (0)76 50 194 70 Haagse Markt 1 www.2-control.nl 4813 BA Breda info@2-control.nl The Netherlands Informatiebeveiligingsbeleid Concept Datum Versiebeheer Versie Datum Status Naam Toelichting
Nadere informatieBIJLAGE behorende bij ISO/IEC 27002: 2013 Grafimedia
BIJLAGE behorende bij ISO/IEC 27002: 2013 Grafimedia Onderdeel van de Certificatienorm Informatiebeveiliging Uitgave van de Stichting Certificatie Creatieve Industrie (SCCI) Noodzaak Bijlagen behorende
Nadere informatieInhoudsopgave Voorwoord... 1 Doel van registratie Doel van de registratie van ouders / verzorgers Doel van de registratie van
Privacy beleid Versie 2018 Voorwoord Kinderopvang de Voetstapjes hecht veel waarde aan de bescherming van uw persoonsgegevens. Uw privacy vinden wij belangrijk en wij handelen dan ook in lijn met de Algemene
Nadere informatieBeveiliging en bescherming privacy
Beveiliging en bescherming privacy Beveiliging en bescherming privacy Duobus B.V. Nieuwe Boteringestraat 82a 9712PR Groningen E info@duobus.nl I www.duobus.nl September 2014 2 Voorwoord Als organisatie
Nadere informatieTELEWERKBELEID. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)
TELEWERKBELEID Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Telewerkbeleid Versienummer 1.0 Versiedatum April
Nadere informatieTelewerken met de BRP. Telewerken met de BRP. Zero Footprint en Jailbreak?
Telewerken met de BRP Telewerken met de BRP Zero Footprint en Jailbreak? Sandra Lentjes, BZK Ger Lütter, Informatiebeveiligingsdienst Het is toegestaan om voor eigen gebruik foto s te maken tijdens deze
Nadere informatieOpen source en open standaarden, hfdst. 1 & 2 p. 3-34. Puntenverdeling: Juiste omschrijving Open Source Juiste omschrijving Open Standaarden
Antwoordmodel Aan dit antwoordmodel kunnen geen rechten worden ontleend. Het antwoordmodel dient als indicatie voor de corrector. Studiemateriaal Hameeteman, R., Kuiken, B. en Vink, G. (2009). Klein receptenboek
Nadere informatieManagement van mobiele apparaten. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)
Management van mobiele apparaten Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging
Nadere informatieRemcoh Mobile Device beheer. Remcoh legt uit
Remcoh Mobile Device beheer Remcoh legt uit White Paper Middels deze white paper informeert en adviseert Remcoh u over slim beheer van mobiele apparaten en toegang daarmee tot uw bedrijfsgegevens. Waarom
Nadere informatieWindows Server 2008 helpt museum met het veilig delen van informatie
Windows Server 2008 helpt museum met het veilig delen van informatie Het Rijksmuseum Amsterdam beschikt over een collectie Nederlandse kunstwerken vanaf de Middeleeuwen tot en met de twintigste eeuw. Het
Nadere informatieSr. Security Specialist bij SecureLabs
Wie ben ik? Ronald Kingma, CISSP ronald@securelabs.nl Sr. Security Specialist bij SecureLabs Introductie SecureLabs Voorheen ISSX Code of Conduct Real Penetration Testing Vulnerability Management Veiligheidsincidenten
Nadere informatieBijlage 2: Communicatie beveiligingsincidenten
Bijlage 2: Communicatie beveiligingsincidenten Veel beveiligingsincidenten zijn in te delen in één van onderstaande vijf categorieën. Openbaarmaking van niet-openbare informatie Het expres of onbedoeld
Nadere informatieComsave Privacy voorwaarden. Laatste update: 16 mei 2018
Comsave Privacy voorwaarden Laatste update: 16 mei 2018 Introductie Dit zijn de privacy voorwaarden die van toepassing zijn op de verwerking van persoonsgegevens door Comsave B.V. Persoonsgegevens Persoonsgegevens
Nadere informatieDefinitieve bevindingen Rijnland ziekenhuis
POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Juliana van Stolberglaan 4-10 TEL 070-88 88 500 FAX 070-88 88 501 E-MAIL info@cbpweb.nl INTERNET www.cbpweb.nl Definitieve bevindingen Rijnland ziekenhuis
Nadere informatieBijlage Risicoanalyse steekproeftrekking
Bijlage Risicoanalyse steekproeftrekking Versie: 2.0 Datum: 15-09-2013 Code: BIJ 02.01 Eigenaar: KI 1. Risicoanalyse voor de steekproeftrekking De eerste stap in de uitvoering van de steekproeftrekking
Nadere informatieInformatiebeveiliging
Informatiebeveiliging HKZ, november 2016 Wie ik ben: adviseur/trainer/qarebase begeleiden bij kwaliteitsmanagement en certificering Lead Auditor Kiwa, o.a. HKZ, ISO 9001, ZKN, VMS, NEN 7510 en NEN-ISO
Nadere informatieVERSIE 1.0 WOLFMEISTER VOF SERVICE LEVEL AGREEMENT UITGEREIKT DOOR: WOLFMEISTER IT. Graafseweg AL - s-hertogenbosch KVK
VERSIE 1.0 WOLFMEISTER VOF SERVICE LEVEL AGREEMENT UITGEREIKT DOOR: WOLFMEISTER IT Graafseweg 10 5213 AL - s-hertogenbosch KVK 71055657 SERVICE LEVEL AGREEMENT 1. PARTIJEN Deze Service Level Agreement
Nadere informatiePrivacy Compliance in een Cloud Omgeving
Privacy and Trust in the Digital Society Privacy Compliance in een Cloud Omgeving Jeroen Terstegge NVvIR Amsterdam, 17 juni 2010 Even voorstellen mr.drs. Jeroen Terstegge, CIPP Directeur Privacyadviesbureau
Nadere informatieSecurity Testing. Omdat elk systeem anderis
Security Omdat elk systeem anderis Security U bent gebaat bij een veilig netwerk en beveiligde applicaties. Wij maken met een aantal diensten inzichtelijk hoe we uw security kunnen optimaliseren. Security
Nadere informatieGEDRAGSCODE DIGITALE MEDIA WOONSTAD ROTTERDAM
GEDRAGSCODE DIGITALE MEDIA WOONSTAD ROTTERDAM 30-07-2018 1 INHOUD Inleiding 3 1 Gedragsregels 4 2 Naleving van de code 6 2 INLEIDING Wat zijn digitale media? Onder digitale media verstaat Woonstad Rotterdam
Nadere informatieINFORMATIEBEVEILIGING: WAAR STAAT U NU?
INFORMATIEBEVEILIGING: WAAR STAAT U NU? HANDIGE CHECKLISTS VOOR DE OVERHEIDSSECTOR In deze whitepaper bieden we u handvatten en checklists voor hoe u om kunt gaan met de nieuwe meldplicht datalekken. Steeds
Nadere informatiePrivacy Bijsluiter (digitale) leermiddelen en educatieve diensten voor het primair onderwijs van Blink
Bijlage 1 Privacy Bijsluiter (digitale) leermiddelen en educatieve diensten voor het primair onderwijs van Blink Blink is een educatieve uitgeverij die verschillende (digitale) producten en diensten (
Nadere informatieBeleid inzake belangenconflicten Brand New Day Bank N.V. BND.VW.PRB
Beleid inzake belangenconflicten Bank N.V. BND.VW.PRB.19122017 Versie 5 december 2017 Inhoud 1 Inleiding... 3 2 Taken en verantwoordelijkheden... 3 3 Identificatie van (potentiële) belangenconflicten...
Nadere informatieInformation security officer: Where to start?
1 Information security officer: Where to start? The information security policy process is a continuous and cyclic process 2 1. PLAN: establish ISMS CREATE Information Security Policy (ISP) Inventarise
Nadere informatieWHO NEEDS ENEMIES WAAR DIENT U OP TE LETTEN? De BrainCheck is o.a.
WHO NEEDS ENEMIES Onze IT-omgeving staat bloot aan een groot aantal dreigingen. DDoS aanvallen zijn aan de orde van de dag en hackers proberen hun slag te slaan. Maar de grootste dreiging voor onze digitale
Nadere informatieDE 5 VERBETERPUNTEN VAN UW SECURITY
WHITEPAPER: DE 5 VERBETERPUNTEN VAN UW SECURITY Moderne organisaties zijn een belangrijk doelwit van cybercriminelen. Dat is geen verrassing, want zij hebben veel gevoelige data in huis en daarmee veel
Nadere informatiePrivacy Verklaring Definities Toegang tot Innerview
Privacy Verklaring Dit is de Privacy Verklaring van Pearson Assessment and Information B.V. (hierna te noemen: Pearson of wij ) te Amsterdam (Postbus 78, 1000 AB). In deze verklaring wordt uiteengezet
Nadere informatieMeer informatie over de werking van govroam en deelnemende organisaties binnen Nederland kun je vinden via deze hyperlink:
Privacynotice govroam Stichting govroam Versie: 1.0 In deze privacynotice kun je lezen hoe wij als Stichting govroam omgaan met je persoonsgegevens in het kader van je gebruik van de govroam dienst. +
Nadere informatieBerry Kok. Navara Risk Advisory
Berry Kok Navara Risk Advisory Topics Informatiebeveiliging in het nieuws Annual Benchmark on Patient Privacy & Data Security Informatiebeveiliging in de zorg Extra uitdaging: mobiel Informatiebeveiliging
Nadere informatieIP Services. De grenzeloze mogelijkheden van een All IP -netwerk
IP Services De grenzeloze mogelijkheden van een All IP -netwerk Voor wie opgroeit in deze tijd is het de grootste vanzelfsprekendheid. Je zet de computer aan en je kunt mailen, chatten, elkaar spreken
Nadere informatie1. Beveiligingsbijlage
Bijlage 2 1. Beveiligingsbijlage 1.1 Omschrijving van de maatregelen zoals bedoeld in artikel 7 Verwerkersovereenkomst I. Omschrijving van de maatregelen om te waarborgen dat enkel bevoegd personeel toegang
Nadere informatieBIJLAGE 6: VASTSTELLINGEN IN CIJFERS
BIJLAGE 6: VASTSTELLINGEN IN CIJFERS In deze bijlage worden enkele vaststellingen cijfermatig weergegeven. Deze cijfers hebben enkel betrekking op de geauditeerde organisaties (zie bijlage 2). Elke audit
Nadere informatieDigiNotar certificaten
DigiNotar certificaten Onlangs is duidelijk geworden dat er digitaal is ingebroken bij het bedrijf Diginotar. Daarmee worden alle DigiNotar certificaten niet meer als veilig geaccepteerd. Certificaten
Nadere informatieDIT DOCUMENT BEVAT: - ALLE VAN TOEPASSING ZIJNDE SERVICE LEVEL AGREEMENT (SLA) PER DIENST OF PRODUCT
DIT DOCUMENT BEVAT: - ALLE VAN TOEPASSING ZIJNDE SERVICE LEVEL AGREEMENT (SLA) PER DIENST OF PRODUCT Service Level Agreement (SLA) - BC Online Boekhouden Artikel 1. Definities Leverancier: BusinessCompleet.nl
Nadere informatieBE READY FOR WHAT S NEXT! Kaspersky Open Space Security
BE READY FOR WHAT S NEXT! Open Space Security Internetaanvallen zijn reëel. Alleen vandaag al, heeft de Lab-technologie bijna 3 miljoen aanvallen voorkomen die waren gericht tegen onze wereldwijde klanten.
Nadere informatie,,i,i,,,i,.,i i,i ii. 09 mrt 2016/0010. Datum O 6HAART 2015 Betreft Onderzoek Veilig gebruik Suwinet 2014; definitief Verslag van bevindingen Bunnik
Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid > Retouradres Postbus 90801 2509 LV Den Haag De Gemeenteraad van Bunnik Postbus 5 3980 CA BUNNIK,,i,i,,,i,.,i i,i ii 09 mrt 2016/0010 Postbus
Nadere informatieGedragsregels. Correct omgaan met informatie over patiënten en medewerkers en eigendommen van het Maasstad Ziekenhuis
Correct omgaan met informatie over patiënten en medewerkers en eigendommen van het Maasstad Ziekenhuis. Maasstad Ziekenhuis 1 Hoe gaan we om met informatie over patiënten en medewerkers, en met eigendommen
Nadere informatieBoels Zanders. Privacy. De kracht van ambitie. Implementatie van de AVG. Rens Jan Kramer
Boels Zanders De kracht van ambitie Privacy Implementatie van de AVG Rens Jan Kramer Rens Jan Kramer Advocaat Intellectuele eigendom, ICT, Media- en Reclamerecht +31 (0)88 30 40 149 +31 (0)6 46 18 67 23
Nadere informatieMeest mobiele organisatie van Nederland
Resultaten onderzoek Meest mobiele organisatie van Nederland Juni 2013 Uitkomsten onderzoek onder top organisaties in Nederland Uitgevoerd door Keala Research & Consultancy in de periode mei tot en met
Nadere informatieWerken zonder zorgen met uw ICT bij u op locatie
Werken zonder zorgen met uw ICT bij u op locatie Naast de mogelijkheden om uw programmatuur en gegevens bij Drie-O via Evy 2.0 in de cloud te hosten hebt u ook de mogelijkheid om uw ICT omgeving bij u
Nadere informatiee-token Authenticatie
e-token Authenticatie Bescherm uw netwerk met de Aladdin e-token authenticatie oplossingen Aladdin is een marktleider op het gebied van sterke authenticatie en identiteit management. De behoefte aan het
Nadere informatieHelp, mijn datacenter is gehackt! KPN Security Services / Han Pieterse
Help, mijn datacenter is gehackt! KPN Security Services / Han Pieterse Cyber Security betreft het reduceren van gevaar of schade veroorzaakt door introductie van nieuwe technologie, storing of uitval van
Nadere informatieBeleid Informatiebeveiliging InfinitCare
Beleid Informatiebeveiliging InfinitCare Wijzigingshistorie Versie Wie Wanneer Wat 2019-V001 Han Laarhuis 2019-03-04 Aanpassen aan nieuwe ISMS 2019 V096 Han Laarhuis 2016-03-21 Toevoegen Wijzigingshistorie
Nadere informatieEen checklist voor informatiebeveiliging
Door: De IT-Jurist Versie: 1.0 Datum: juli 2015 Hoewel bij de totstandkoming van deze uitgave de uiterste zorg is betracht, kan De IT-Jurist niet aansprakelijk worden gehouden voor de gevolgen van eventuele
Nadere informatieMobile Device Management Ger Lütter, adviseur IBD
Mobile Device Management Ger Lütter, adviseur IBD Het is toegestaan om voor eigen gebruik foto s te maken tijdens deze bijeenkomst. Foto s mogen niet zonder toestemming van de afgebeelde deelnemers gepubliceerd
Nadere informatieDicht het security gat - Microsoft SharePoint, OCS, en Exchange met Secure File Sharing Heeft uw organisatie ook een Dropbox probleem?
Dicht het security gat - Microsoft SharePoint, OCS, en Exchange met Secure File Sharing Heeft uw organisatie ook een Dropbox probleem? Executive summary Organisaties maken meer en meer gebruik van online
Nadere informatie