VAN PERIODIEKE SCANS NAAR CONTINUE MONITORING

Maat: px
Weergave met pagina beginnen:

Download "VAN PERIODIEKE SCANS NAAR CONTINUE MONITORING"

Transcriptie

1 JAARGANG 13 - OKTOBER infosecurity MAGAZINE VAN PERIODIEKE SCANS NAAR CONTINUE MONITORING MELDPLICHT NOODZAAKT TOT BETER INZICHT IN DATALEKKEN ALTIJD EN OVERAL INFORMATIEBEVEILIGING ALS BUSINESS ENABLER BEURSSPECIAL INFOSECURITY STORAGE EXPO TOOLING EVENT INDUSTRIE HEEFT BETERE BESCHERMING TEGEN CYBERAANVALLEN NODIG - NEDERLAND IN TOP 3 LANDEN HOSTING MALAFIDE URL S - SECURITY BEGINT BIJ MENSEN - PAS OP: IOT IN UITVOERING! - 14 MYTHES OVER MOBILITY EN SECURITY - TIEN ONMISBARE FUNCTIES VOOR UW NEXT- GENERATION FIREWALL-AANKOOP - ENCRYPTIE IS SLEUTEL TOT BEWAKEN VAN UW REPUTATIE - VEILIG IMPLEMENTEREN VAN MOBIELE APPS - NORMEN VOOR IT-BEVEILIGING EN RISICOMANAGEMENT EEN ABSOLUTE MUST - FLEXIBELER INSPELEN OP RISICO S DOOR PROGRAMMEERBARE NETWERKEN

2 g Colofon - Editorial THE POWER OF PEOPLECENTRICITY IN INFORMATIE- BEVEILIGING Informatiebeveiligingsbewustzijn bij medewerkers is essentieel GERARD STROEVE I MANAGER SECURITY & CONTINUITY SERVICES Infosecurity Magazine is het enige onafhankelijke vakblad in de Benelux dat zich expliciet bezighoudt met informatiebeveiliging. Het blad beweegt zich op het snijvlak van technologie en beleid. Vanaf het hekwerk tot in de boardroom. Toezending van Infosecurity Magazine vindt plaats op basis van abonnementen en controlled circulation. Vraag uw abonnement aan via Uitgever Jos Raaphorst twitter.com/raaphorstjos nl.linkedin.com/pub/dir/jos/raaphorst Hoofdredacteur Robbert Hoeffnagel twitter.com/rhoeffnagel nl.linkedin.com/in/robberthoeffnagel Advertentie-exploitatie Will Manusiwa Eindredactie/traffic Ab Muilwijk Firewall van de zaak Nederland moet een Digitale Delta worden. Daarover lijken politiek en belangenbehartigers van ICT- en datacenterbedrijven het inmiddels wel eens. Hoewel niet altijd precies duidelijk is wat men daarmee bedoelt, lijkt men elkaar te vinden in een aanpak die tot een herhaling van het succes van dit land als vestigingsplaats voor datacenters moet leiden. In feite hebben we het hier over een radicale digitalisering van de economie en de maatschappij. Door het consequent en maximaal toepassen van IT zijn enorme voordelen te behalen. Werkprocessen in het bedrijfsleven kunnen nog veel efficiënter, de samenwerking tussen overheid en bedrijven wordt er veel beter door, maatschappelijke organisaties en burgers kunnen veel sneller en goedkoper tot samenwerking komen, terwijl ook de - zeg maar - kwaliteit van de Nederlandse werknemer hierdoor nog flink omhoog kan. de gevaren. Hierdoor kwam spontaan het idee op van een - zeg maar - Firewall Privé-regeling. Net als we jaren geleden PC Privé-projecten kenden. Het idee is eigenlijk heel simpel. Destijds zagen we met z n allen in dat Nederlanders betere computervaardigheden moesten krijgen. Via een fiscale regeling hebben we dat in no-time voor elkaar gebokst. Het woord PC moeten we inmiddels vervangen door online. We moeten online gaan leven en denken. Maar dat moet wel op een veilige manier gebeu- Vormgeving Media Service Uitgeest Druk Control Media Door het consequent en maximaal toepassen van IT zijn enorme voordelen te behalen Informatiebeveiliging gaat verder dan IT alleen Centric kan u ondersteunen bij het succesvol opstellen, implementeren en uitvoeren van een informatiebeveiligingsbeleid conform de ISO norm, ISO 27002, Baseline Informatiebeveiliging voor Nederlandse Gemeenten en de NEN Het team van Security & Continuity Services is onder meer gespecialiseerd in het uitvoeren van Gap-analyses en risicoanalyses, het opstellen van beveiligingsplannen en het formuleren van passende beveiligingsmaatregelen. Kenmerkend voor onze aanpak is dat we breder kijken dan de ICT-component alleen. We nemen ook onderwerpen mee als fysieke beveiliging, security awareness en continuïteitsmanagement. Kunt u hulp gebruiken bij de informatiebeveiliging binnen uw organisatie? Ga naar of mail ons via SOFTWARE SOLUTIONS IT OUTSOURCING BPO STAFFING SERVICES Infosecurity magazine is een uitgave van FenceWorks BV Beatrixstraat CK Zoetermeer Niets uit deze uitgave mag op enigerlei wijze worden overgenomen zonder uitdrukkelijke toestemming van de uitgever. Meer informatie: Kernbegrip is wat mij betreft: digital literacy. Anders gezegd: Nederlanders moeten extreem goed worden in digitaal denken en doen. Daarmee bedoel ik niet dat ze allemaal een cursus Word of Excel hebben gevolgd, maar dat digitaal werken in hun DNA gaat zitten. Dat we niet alleen online formulieren kunnen invullen of mails kunnen versturen, maar dat we ook - zeg maar: als tweede natuur - met digitale tools samenwerken. Dat social media niet meer (alleen) voor foto s van de katten of van een optreden van Pearl Jam worden gebruikt, maar dat we op een social-achtige manier gaan leven en werken. Ik moest hier aan denken tijdens het TDI-symposium (trusted digital identity) van Vasco. Daar werden de voordelen van digitaal werken benoemd, maar ook ren. Bij bedrijven met een eigen IT-afdeling is dat al een uitdaging, laat staan bij mensen thuis. Security is echter wel van cruciaal belang willen we de Nederlandse werknemer digital literate maken en Nederland omvormen tot Digitale Delta. Enkel en alleen een firewall is dan uiteraard niet voldoende. Zie het eerder als een metafoor voor het drastisch vergroten van het bewustzijn van Nederland op het gebied van infosecurity. Daar hebben we tools als firewalls voor nodig, maar wellicht ook cursussen en opleidingen. Online denken en doen moet, maar secure online denken en doen nog meer. Tijd voor een Firewall Privé-project dus. Robbert Hoeffnagel Hoofdredacteur Infosecurity Magazine 2 INFOSECURITY MAGAZINE - NR. 4 - OKTOBER

3 INHOUD Nee heb je, Ja kun je krijgen! Neem geen genoegen met de beperkingen van EMC Als u EMC gebruikt voor uw dataopslag, neemt u te vaak genoegen met nee. Nee voor het ontbreken van een gezamenlijk operating system voor mid range, high-end en all-flash. Geen 8x snellere provisioning - en zeker nee, als u het vergelijkt met de garanties die HP u kan bieden. Zoals dat u 50% van uw benodigde capaciteit kunt reduceren als u gebruik maakt van HP3PAR StoreServ Storage. Of dat u in staat bent de VM density op uw servers te verdubbelen.* Bekijk wat een overstap naar HP3PAR StoreServ Storage voor u kan doen - en zeg JA tegen HP. 4 Benefit EMC HP Tier-1voorzieningen voor een midrange prijs Nee Ja 8x snellere provisioning Nee Ja Get Thin Guarantee: Reduceer Capaciteitseisen met 50% Nee Ja Get Virtual Guarantee: Verdubbel VM density Nee Ja All-flash array met enterprise data services Nee Ja The power of HP Converged Infrastructure is here. Download nu het Adoption Profile van Forrester Technology en de ESG White Paper op hp.nl/storage-oplossingen of scan de QR code. HP 3PAR StoreServ Storage powered by Intel Xeon processors Meer informatie? Informeer bij onderstaande platinum partners: 2014 Hewlett-Packard Development Company, L.P. Alle rechten voorbehouden. Producten zijn afhankelijk van beschikbaarheid. Het is mogelijk dat de gefotografeerde producten niet overeen komen met de omschrijving. Prijs-, druk- en zetfouten voorbehouden. Intel, het logo van Intel, Xeon en Xeon Inside zijn handelsmerken van Intel Corporation in de Verenigde Staten en andere landen. Normen voor IT-beveiliging en risicomanagement een absolute must 6 Met dagelijks nieuws over hackers en informatielekken in het achterhoofd is het van essentieel belang dat organisaties hun informatiebeveiliging op orde hebben. Om de bedrijfsvoering veilig te stellen, moet de informatie goed beveiligd zijn. Bovendien verwachten klanten dat privacygevoelige informatie zorgvuldig behandeld wordt. De betrouwbaarheid staat ter discussie 12 In 2017 moet het contact tussen burger en overheid volledig digitaal zijn ingericht, zo is in ieder geval de ambitie van het huidige kabinet Rutte II. Ondertussen maakt diezelfde burger zich steeds grotere zorgen of zijn digitale identiteit wel veilig is. Identiteitsfraude is een serieus probleem, aldus Wilma van Dijk, directeur Cyber Security bij de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV). Nederland in top 3 landen hosting malafide URL s 18 Uit onderzoek van Trend Micro, specialist op het gebied van beveiligingssoftware, blijkt dat Nederland in het tweede kwartaal van 2014 populair is als het gaat om het hosten van malafide URL s. Ons land staat daarmee op een gedeelde tweede plek met onder andere China en Rusland. Pas op: IoT in uitvoering! 28 Het Internet of Things is groot, groter, groots. Het is Big Data gepasseerd op de hype cycle van Gartner en zit nu op de piek van die bekende curve. Tijd voor relativering dus. Een security-expert ontdekt zijn eigen hackbare huis. Flexibeler inspelen op risico s door programmeerbare netwerken 32 IT-beslissers zien steeds vaker af van nieuwe IT-projecten uit angst voor cyberdreigingen. Het feit dat aanvallen veelvuldiger voorkomen en complexer van aard zijn, schrikt af. Onnodig, aldus Gert Jan Wolfis van F5. Door het netwerk programmeerbaar te maken, sta je juist veel sterker en kun je sneller inspelen op acute dreigingen als Heartbleed en Shellshock en geavanceerde DDoS-aanvallen. 14 mythes over mobility en security 34 Vroeger was het beveiligen van mobiele bedrijfsdevices nog gemakkelijk. De IT-afdeling stelde volledig dichtgetimmerde laptops en Blackberries ter beschikking aan medewerkers. Heel wat security professionals kijken met weemoed terug naar die tijd, want de komst van de smartphones heeft een hoop verandert. Maar ook anno 2014 is security goed aan te pakken. Zolang we de focus maar leggen op de data en niet op de apparaten. Veertien mythes over mobility en beveiliging. Tien onmisbare functies voor uw Next- Generation Firewall-aankoop 64 De behoefte aan supersterke netwerkbescherming is misschien de voornaamste reden om te investeren in een next-generation firewal (NGFW), maar er komt meer bij kijken. Uw bedrijf heeft nog andere vereisten om in overweging te nemen. Van guessing naar knowing bij gebruik van cloud-apps 80 Wanneer wij een groter bedrijf vragen hoeveel cloud-apps de medewerkers in totaal gebruiken, houden de meesten het op een stuk of twintig. Wanneer wij dan met onze tools gaan zoeken, komen we regelmatig uit op vijfhonderd. Dat zegt Sanjay Beri van het Amerikaanse Netskope, dat onlangs van start ging in de EMEA-regio. 39 Programma, beursplattegrond, standhoudersopverzicht en alle informatie over Infosecurity.nl, Storage Expo en The Tooling Event BALANS ZOEKEN TUSSEN SNELLE EN VEILIGE NETWERKEN 16 Beveiligingsoplossingen ontwikkelen zich continu. Gebruikers zijn zich bewust van de risico s en willen gewoon door kunnen werken. Tegelijkertijd werken cybercriminelen continu aan nieuwe aanvalstechnieken. De maatregelen daartegen moeten effectief zijn, maar mogen de snelheid van het netwerk niet vertragen. Hoe komen we tot een aanpak die deze (schijnbare) tegengestelde eisen voldoet? SECURITY BEGINT BIJ MENSEN GEBRUIKSGEMAK GAAT CLOUDBEVEILIGING VERBETEREN Het snelgroeiend gebruik van cloud computing en mobiele apparatuur vraagt om betere beveiliging dan de combinatie van gebruikersnaam en wachtwoord. Ook om identiteitsdiefstal te voorkomen. De oplossing daarvoor is al jarenlang beschikbaar, namelijk onze vingerafdruk, stem, iris, gezicht en andere biometrische kenmerken. Volgens ixsmartmobile staat het biometrisch beveiligen van informatie, apps en cloudservices op het punt van doorbreken en wordt gebruiksgemak de aanjager. Zowel in de business- als consumentenmarkt. VEILIG IMPLEMENTEREN VAN MOBIELE APPS Wie een rondje over de jaarlijkse Infosecurity-beurs wandelt en niet beter zou weten, zou zomaar tot de conclusie kunnen komen dat een effectieve bescherming tegen cybercrime te koop is per doos. Even (laten) configureren, lampjes controleren en u en uw directie kunnen weer rustig slapen. De werkelijkheid is echter anders. 72 De uitkomsten van de Nationale IT-Security Monitor 2014 laten zien dat de helft van de respondenten aangeeft dat er onvoldoende kennis aanwezig is om cloud oplossingen veilig te gebruiken. En dat er onvoldoende kennis is om mobiele apparaten veilig te implementeren. Vest beschrijft in dit artikel een methodiek voor risicoanalyses op cloud computing projecten, alsmede een strategie voor het veilig implementeren van mobiele apparaten. INFOSECURITY MAGAZINE - NR. 4 - OKTOBER

4 IDENTITEITSDIEFSTAL DOOR JAN RIETVELD Normen voor IT-beveiliging en risicomanagement: EEN ABSOLUTE MUST gingstechnieken namens Dekra: Certificaten tegen de oude norm uit 2005 vervallen ná 1 oktober Vanaf dat moment worden er dan ook geen audits meer uitgevoerd tegen die verouderde norm. De schatting is dat momenteel 20% van de Nederlandse bedrijven over is op de nieuwe norm, maar velen stellen het uit. Met dagelijks nieuws over hackers en informatielekken in het achterhoofd is het van essentieel belang dat organisaties hun informatiebeveiliging op orde hebben. Om de bedrijfsvoering veilig te stellen, moet de informatie goed beveiligd zijn. Bovendien verwachten klanten dat privacygevoelige informatie zorgvuldig behandeld wordt. NEN, het Nederlands Normalisatie-instituut, organiseerde onlangs een informatiebijeenkomst over diverse ontwikkelingen rondom de normen op het brede gebied van IT-beveiligingstechnieken. Hoe wordt de nieuwe versie van de internationale normen voor informatiebeveiliging, NEN-ISO/IEC en NEN-ISO/ IEC 27002, gebruikt? Welke gevolgen heeft de nieuwe structuur van deze normen voor het implementeren ervan? Wat is de nieuwe manier van werken bij risicobeoordeling, en wat zijn de ontwikkelingen rond normen voor privacy en cyber security? INFORMATIEBEVEILIGING NEN-ISO/IEC specificeert eisen voor de implementatie van beveiligingsmaatregelen die zijn aangepast aan de behoeften van afzonderlijke organisaties. NEN-ISO/IEC geeft richtlijnen en principes voor het initiëren, het implementeren, het onderhouden en het verbeteren van informatiebeveiliging binnen een organisatie. Internationaal is vastgesteld dat IT-audits per 1 oktober 2014 plaatsvinden tegen NEN-ISO/IEC 27001:2013. Henk Keijzer, commissielid IT Beveili- RISICOMANAGEMENT EN PRIVACY-EFFECTBEOORDELING De internationale norm voor risicomanagement is NEN-ISO/IEC Rieks Joosten van TNO geeft aan dat deze norm in lijn wordt gebracht met ISO De klassieke risicoanalyse aanpak, gebaseerd op bedrijfsmiddelen, dreigingen en kwetsbaarheden, wordt aangevuld met andere bruikbare methoden. TNO en NEN hebben daarvoor de risk-owner centric Advanced Risk Management aanpak voorgesteld, die geschikt is voor genetwerkte omgevingen. Organisaties moeten privacy risico s beheersen en dit ook kunnen aantonen. Eén van de hulpmiddelen daarbij is het Privacy Impact Assessment (PIA), oftewel de privacy-effectbeoordeling. De normenreeks voor privacy van de ISO-commissie IT Security techniques begint vorm te krijgen. Momenteel is er al een norm voor privacy kaders. Er wordt gewerkt aan een Code of practice for personally identifiable information (PII) protection en de publicatie van NEN-ISO/IEC Privacy Impact Assessment (PIA) wordt verwacht in mei Deze laatste norm geeft richtlijnen voor een proces voor privacy-effectbeoordeling en specificeert de structuur en content van een PIA-rapport. CYBER SECURITY Op Europees niveau houdt de Cyber Security Coordination Group (CSCG) zich bezig met de coördinatie van standaardisatie rond cyber security. De Europese Commissie heeft gevraagd om technische richtlijnen en aanbevelingen te ontwikkelen voor normen en best practices op het gebied van NIB in de publieke en private sector. Piet Donga, Information Risk Manager bij ING en voorzitter NEN-commissie IT Beveiligingstechnieken, vertelt dat beveiligingsnormen en technische normen ervoor moeten zorgen dat nieuwe generaties software en hardware beschikken over sterkere geïntegreerde en gebruiksvriendelijke beveiligingskenmerken. Bovendien dient de branche normen op te stellen voor de prestaties van bedrijven op het gebied van cyberbeveiliging. Ook moet de voor het publiek beschikbare informatie verbeterd worden door beveiligingslabels of keurmerken te ontwikkelen, waarmee de consument zich beter op de markt kan oriënteren. De taken van CSCG zijn: Analyse van bestaande cyber security standaarden. Coördinatie van een gezamenlijke cyber security strategie van de Europese standaardisatie-organisaties. Trans-Atlantische samenwerking met NIST (National Institute of Standards and Technology). Contactpunt voor de Europese Commissie voor alle vragen over cyber security en normalisatie. DE BETROKKEN NEN- COMMISSIE Op nationaal niveau is de NEN-commissie IT Beveiligingstechnieken een onafhankelijke commissie die meewerkt aan de internationale ISO/IEC-normen voor IT-beveiligingstechnieken en aan de Europese CSCG. De normcommissie houdt zich onder andere bezig met: Het bepalen van het Nederlandse standpunt en het commentaar vaststellen voor wat betreft de internationale en Europese normen in ontwikkeling. Mondiale normen in Nederland implementeren. Nationale normen op het gebied van informatiebeveiliging en cryptografie vaststellen. Het stimuleren van nationale normalisatie-activiteiten op het informatiebeveiligingsgebied en het verstrekken van strategische informatie & advies. Advies geven binnen het werkgebied van de commissie. MEER INFORMATIE Wilt u meer weten over normen voor IT-beveiliging, of meer informatie over deelname in de normcommissie? Neem dan contact op met Jan Rietveld, Consultant E&ICT bij NEN, telefoon (015) of 6 INFOSECURITY MAGAZINE - NR. 4 - OKTOBER

5 VAN PERIODIEKE SCANS NAAR CONTINUE MONITORING De Nederlandse verzekeraar VGZ kwam in juli van dit jaar pijnlijk in het nieuws toen bleek dat de declaratiegegevens van ongeveer verzekerden twee jaar lang op de privécomputer van een VGZ-medewerker hadden gestaan. De blunderende medewerker had de gegevens op de privéserver gezet om nieuwe software te testen, maar was vervolgens vergeten om ze daar ook weer te verwijderen. De schade van dit incident, dat eind 2013 door VGZ werd opgemerkt, bleef voor zover bekend redelijk beperkt. We hebben geen aanwijzingen dat de gegevens door kwaadwillenden zijn ingezien, zo MELDPLICHT NOODZAAKT TOT BETER INZICHT IN DATALEKKEN Een systeem dat door een Distributed Denial of Service (DDoS)-aanval omvalt, blijft niet lang onopgemerkt. Dat kan helaas niet worden gezegd over datalekken ; die blijven soms jaren onder de radar. Gelet op de enorme impact die een datalek kan hebben, is dat onacceptabel. Met een combinatie van een continue monitoring van de beveiliging, het creëren van user awareness en technische maatregelen zoals Data Loss Prevention kan de periode dat een datalek onopgemerkt blijft tot een minimum worden beperkt. liet de verzekeraar in een persverklaring geruststellend weten. Mede door de brief die VGZ (vanzelfsprekend) stuurde aan de gedupeerde verzekerden was de reputatieschade echter een feit. Dat het veel erger kan aflopen, bewees de Amerikaanse winkelketen Target begin dit jaar. Criminelen waren erin geslaagd om de gegevens van 40 miljoen crediten debetcards en de persoonsgegevens van 70 miljoen klanten te ontvreemden. Binnen enkele weken waren de kosten van deze inbraak al opgelopen tot 61 miljoen dollar. Het nieuws over deze diefstal werd extra pijnlijk toen naar buiten kwam dat het securityteam van Target in Minneapolis meerdere meldingen van zowel het detectiesysteem als van collega s in India in de wind had geslagen. HOGE BOETE Bedrijven hebben kortom redenen genoeg om alert te zijn op het weglekken van bedrijfsgevoelige gegevens. Met de invoering van de nieuwe Meldplicht datalekken die momenteel als wetsvoorstel in behandeling is bij de Tweede Kamer krijgen bedrijven er nog een extra reden bij. Zowel private als publieke organisaties die persoonsgegevens verwerken, worden straks verplicht om inbreuken op de beveiliging die leiden tot diefstal, verlies of misbruik van persoonsgegevens te melden bij het College bescherming persoonsgegevens (CBP). Daarnaast ontvangt in veel gevallen ook de eigenaar van de persoonsgegevens een melding als de inbreuk ongunstige gevolgen heeft voor zijn of haar persoonlijke levenssfeer. Is er sprake van nalatigheid om te melden, dan kan het CBP een boete opleggen van maximaal euro (zie ook het kader). Dit bedrag komt bovenop de reputatieschade die door de melding wordt geleden. Helaas leert de praktijk dat het overgrote deel van de organisaties geen idee heeft of er data weglekken, welke data lekken en waar die dan naartoe lekken. De meeste bedrijven en instanties hebben een prima inzicht in de aanvallen waar ze mee te maken hebben, maar hebben heel weinig zicht op het verkeer dat de organisatie verlaat op het moment dat ze zijn gecompromitteerd. Dat inzicht is echter wel nodig om te voorkomen dat gevoelige gegevens in verkeerde handen vallen en om te kunnen voldoen aan de Meldplicht datalekken die in 2015 van kracht moet worden. INZICHT IN DATALEKKEN Een eerste stap om te komen tot meer inzicht in (uitgaande) datastromen is het periodiek uitvoeren van een scan van de beveiliging. Daarbij is het wel belangrijk om te kijken naar de scope van de scan. Heel vaak gaan bedrijven niet verder dan het controleren of alle patches zijn geïnstalleerd. Een patch kan echter ook zijn geïnstalleerd door een hacker nadat hij gebruik heeft gemaakt van een kwetsbaarheid om een systeem binnen te dringen. Door de kwetsbaarheid in dit gecompromitteerde systeem te patchen, voorkomt de hacker dat collega-hackers op dezelfde wijze de controle kunnen overnemen. Daarom moet de beveiligingsscan ook gericht zijn op het detecteren van verdacht verkeer, zoals bots die informatie sturen naar een Command and Control-server of de uitwisseling van grote hoeveelheden gegevens via diensten zoals Dropbox en OneDrive. Dit laatste is zeker verdacht als de bedrijfspolicy s het gebruik van dergelijke opslagdiensten verbieden. Naast de scope van de scan moet ook worden gekeken naar de frequentie. Een scan jaarlijks uitvoeren heeft eigenlijk weinig zin. Als er enkele maanden na het uitvoeren van de jaarlijkse scan een kwetsbaarheid in de beveiliging ontstaat bijvoorbeeld door een gemiste patch hebben hackers alsnog maanden de tijd om deze kwetsbaarheid uit te buiten. Beter is het om bijvoorbeeld maandelijks de beveiliging te scannen, of zelfs continu. Dan komt een lek of een aanval op een systeem zo snel mogelijk op de radar. Een continue monitoring van de beveiliging kan worden gerealiseerd door het Security Information and Event Management (SIEM) 24/7 te beleggen binnen een eigen Security Operations Center, of door SIEM als een beheerde dienst af te nemen. Voor veel organisaties zal een volledige SIEM-dienst echter nog een stap te ver zijn. Een goed alternatief is dan om een analysetool zoals RiskVision van Websense of de Check Point Security CheckUp permanent naar de verkeersstromen te laten kijken. Drie vormen van Data Loss Prevention DATA LOSS PREVENTION Uiteraard is het ook zaak om maatregelen te treffen waarmee kan worden voorkomen dat data al dan niet opzettelijk buiten de organisatie terechtkomen. Een goed voorbeeld daarvan is Data Loss Prevention. Hiermee kan bijvoorbeeld worden voorkomen dat een document door een tikfout in het adres bij de verkeerde geadresseerde terechtkomt, of dat als vertrouwelijk geadresseerde documenten in een file sharing-omgeving zoals DOOR RÉMON VERKERK Dropbox of Google Drive worden geplaatst. Globaal kunnen we drie vormen van DLP onderscheiden: Data-in-Motion Network-based DLP, waarbij wordt gekeken welke gegevens er van het bedrijfsnetwerk naar het internet gaan. Detectie en het afdwingen van policy s waarin bijvoorbeeld staat welke bestandtypes het bedrijfsnetwerk mogen verlaten vinden op een centraal punt plaats. Het overgrote deel van de organisaties heeft geen idee of er data weglekken, welke data lekken en waar naartoe 8 INFOSECURITY MAGAZINE - NR. 4 - OKTOBER

6 VAN PERIODIEKE SCANS NAAR CONTINUE MONITORING Data-in-Use Endpoint DLP, waarbij er wordt gekeken welke data tussen de endpoint van zowel de interne als de remote gebruikers worden uitgewisseld. Detectie en policy enforcement vinden op meerdere punten plaats. Data-at-Rest DLP, waarbij de detectie zich richt op de statische data in bijvoorbeeld databases en op endpoints. Hoewel de productcategorie DLP al heel wat jaren oud is, staat het bij de meeste organisaties nog niet heel hoog op de agenda. Met name aan Data-at-Rest DLP de variant die zich richt op de statische data wordt nog weinig waarde gehecht. Toch is het echter wel degelijk van belang om inzicht te krijgen in waar bedrijfsgevoelige informatie wordt opgeslagen en wie er toegang toe heeft. Op die manier wordt de kans verkleind dat data met behulp van een usb-stick buiten de organisatie worden gebracht. MELDPLICHT DATALEKKEN De meldplicht datalekken - die na behandeling door de Tweede en later Eerste Kamer vermoedelijk in 2015 van kracht zal worden - is een toevoeging op de Wet bescherming persoonsgegevens (Wbp). De meldplicht legt verantwoordelijken voor de verwerking van persoonsgegevens - zowel in de publieke als private sector - de verplichting op om doorbrekingen van de getroffen maatregelen ter beveiliging van persoonsgegevens te melden bij het College bescherming persoonsgegevens (CBP). In de meeste gevallen moet naast het CBP ook de betrokkene worden ingelicht als de inbreuk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. Als aan deze verplichtingen niet wordt voldaan, kan een bestuurlijke boete worden opgelegd van maximaal euro. 10 Rémon Verkerk. SECURITY-AWARENESS Om onopzettelijk lekken tegen te gaan, is het ook van belang om de security-awareness van de gebruikers te verhogen. Zo is er bij het verkeerd adresseren van een doorgaans ook geen kwade opzet in het spel. Ook worden documenten doorgaans niet uit kwade wil in een file sharing-omgeving zoals Dropbox of OneDrive geplaatst. De meeste gebruikers zijn zich simpelweg niet bewust van de risico s. Afgelopen zomer - toen bekend werd dat talloze naaktfoto s van diverse Hollywood-beroemdheden vermoedelijk van Apple s icloud waren gejat - werd helaas maar weer eens duidelijk dat de beveiliging van dergelijke omgevingen nog wel eens te wensen overlaat. Van een doorbreking kan sprake zijn als technische en organisatorische beveiligingsmaatregelen niet hebben gefunctioneerd, maar ook als bijvoorbeeld een laptop of smartphone met gevoelige gegevens wordt gestolen uit een afgesloten locker. De meldplicht zelf zegt niets over de maatregelen die een verantwoordelijke moet treffen voor de beveiliging van persoonsgegevens. Daarvoor wordt verwezen naar de beveiligingsverplichting zoals die staat omschreven in artikel 13 van de Wbp. Deze bepaling verplicht de verantwoordelijke om passende technische en organisatorische maatregelen ten uitvoer te leggen om persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. EUROPESE MELDPLICHT Overigens is het nog maar de vraag hoe Gebruikers die met vertrouwelijke data werken, moeten bewust worden gemaakt van de risico s zodat er twee keer wordt nagedacht voordat er een document naar buiten wordt gestuurd. Een DLP-oplossing kan helpen bij het creëren van dat bewustzijn, bijvoorbeeld door het sturen van een melding naar de gebruiker. Weet u zeker dat u dit wilt versturen? Het voorkomen van opzettelijk lekken van data zal in alle situaties lastig blijven, zelfs als er sprake is van een continue monitoring van de beveiliging en de noodzakelijk maatregelen zijn geïmplementeerd. Zo is het niet (of nauwelijks) te voorkomen dat iemand met zijn mobiele telefoon een foto maakt van zijn scherm en de afbeelding verstuurt. Een dergelijke vorm van diefstal zal de organisatie echter niet op een boete van euro komen te staan, aangezien het hier niet gaat om een inbreuk op de getroffen beveiligingsmaatregelen. Rémon Verkerk is Product Manager bij Motiv Het voorkomen van opzettelijk lekken van data zal in alle situaties lastig blijven lang de Nederlandse meldplicht datalekken van kracht zal zijn. Op 25 januari 2012 heeft de Europese Commissie een voorstel gepresenteerd voor een Algemene verordening gegevensbescherming die de richtlijn 95/46/EG en daarmee ook de Wbp zal vervangen. De beoogde verordening legt strengere privacyregels op aan organisaties en bedrijven die gegevens van Europeanen verwerken. Verder komt er een strengere toestemmingseis voor het gebruik van persoonsgegevens. Gegevens mogen alleen worden gebruikt voor het doel waarvoor ze verzameld zijn en worden opgeslagen gedurende de toegestane bewaartermijn. De nieuwe verordening die naar verwachting niet eerder dan in 2016 in werking zal treden zal ook een nieuwe meldplicht voor datalekken bevatten. Thru side panel for Microsoft Outlook MFT: more than File Sharing File-based Automation Non-Repudiation Experts in Managed Ad Hoc MFT PCI Compliant Integrated Global File exchange with Salesforce Seamless Enterprise Integration Transport Encryption ( Data-in-Transit ) Automate, Integrate and Control Secure File Transfer Experts in Managed File Transfer Software and Solutions! OpenPGP Mobile File Transfer OWASP Comprehensive File Transfer for the Enterprise VIACLOUD BV BEECH AVENUE PW SCHIPHOL-RIJK THE NETHERLANDS INFOSECURITY MAGAZINE - NR. 4 - OKTOBER (0) B2B MFT File Transfer Software and Solutions for the Enterprise! Secure Managed File Transfer Integration and Programmatic File Transfer

7 TRUSTED DIGITAL IDENTITY SYMPOSIUM 2014 DE BETROUWBAARHEID STAAT TER DISCUSSIE In 2017 moet het contact tussen burger en overheid volledig digitaal zijn ingericht, zo is in ieder geval de ambitie van het huidige kabinet Rutte II. Ondertussen maakt diezelfde burger zich steeds grotere zorgen of zijn digitale identiteit wel veilig is. Identiteitsfraude is een serieus probleem, aldus Wilma van Dijk, directeur Cyber Security bij de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV). Van Dijk deed deze uitspraak tijdens het Trusted Digital Identity Symposium 2014, een door Vasco Data Security georganiseerd evenement dat op 11 september plaatsvond in Maarssen. Om aan te tonen wat de gevolgen kunnen zijn van identiteitsfraude, toonde de directeur Cyber Security een filmpje van Safe internetbanking.be. Hierin wordt de identiteit van hoofdrolspeler Tom Degroote middels phishingmails, neptelefoontjes en het vergaren van informatie op social media overgenomen door een hacker. Aan het einde van het filmpje slaagt deze hacker erin om bij onze Tom een kostbare harp af te laten leveren die hij nooit heeft besteld. Van Dijk haalde ook het voorbeeld aan van Ted Kennedy - tot aan zijn dood in 2009 senator van de staat Massachusetts - die in 2004 tot vijf keer toe de toegang tot een vliegtuig werd ontzegd omdat zijn naam voor zou komen op een lijst met terreurverdachten. Achteraf bleek dat iemand anders zich bediende van zijn identiteit. GEZAMENLIJKE AMBITIE De betrouwbaarheid van de digitale identiteit is een zeer heikel onderwerp, zo constateerde keynotespreker Robbert Hoeffnagel, hoofdredacteur van Infosecurity Magazine. Na een hele reeks aan beveiligingsincidenten maken burgers zich zorgen. Dan kan minister Opstelten wel met zijn zware basstem zeggen dat het allemaal veilig is, maar iedereen merkt dat het anders zit. De betrouwbaarheid staat ter discussie. Als het aan Van Dijk ligt, komt daar snel verandering in. Onze ambitie is om leidend te zijn op het gebied van cybersecurity. Volgens Van Dijk hebben burgers, private partijen en overheid een gezamenlijke verantwoordelijkheid om die ambitie, die is neergelegd in het Actieprogramma , te realiseren. Burgers moeten weten wat cyberhygiëne is, private partijen hebben een zorgplicht en de overheid moet faciliteren. NEDERLANDSE EID Een voorbeeld van de faciliterende rol van de overheid is het goed inrichten van de elektronische ID. De eid is de opvolger van de DigiD die niet sterk genoeg was, zo vertelde cryptograaf Eric Verheul die betrokken is bij het Nederlandse eid-programma. Doel is om iets neer te zetten waar niet alleen de overheid maar ook de private sector iets aan heeft. Bij het publiek is het besef doorgedrongen dat een inlog met gebruikersnaam en wachtwoord niet meer afdoende is; situaties zoals naaktfoto s die uitlekken kunnen niet blijven bestaan. Een organisatie als Thuiswinkel.org heeft weer behoefte aan een stelsel waarmee niet alleen de identiteit kan worden vastgesteld, maar ook of personen wel of geen 18 jaar oud zijn. In deze visie kon beleidsmedewerker Elaine Oldhoff van Thuiswinkel.org zich helemaal vinden. Volgens Oldhoff zijn klanten eerder geneigd om informatie te delen als ze zelf de controle hebben over hun privacy. Het eid-stelsel is een goede manier om transparantie en controle te bieden. Ook hopen we dat de leeftijdsverificatie (bijvoorbeeld bij de aanschaf van alcoholhoudende dranken, red.) wordt opgelost met de eid. PRIVACY EN CONTROLE Binnen eid worden er meerdere maatregelen genomen om de gebruiker de privacy en controle te bieden waar Oldhoff het over had. Om te voorkomen dat bijvoorbeeld een webwinkel teveel informatie ontvangt over de bezoeker - en kan gaan profilen - geeft eid een met cryptografie gegenereerde pseudoid door. Optioneel kun je attributen toevoegen, zoals een geboortedatum als dat nodig is voor de aanschaf van een product, aldus Verheul. De webwinkel krijgt niet de exacte leeftijd door maar alleen of iemand wel of geen 18 jaar oud is bijvoorbeeld. Ook zijn het niet langer de organisaties die bepalen hoe een gebruiker zich aanmeldt, maar de gebruiker zelf. Het nieuwe eid gaat uit van multi-token support en de gebruiker bepaalt van welk token hij gebruikmaakt, aldus Verheul. Welk token je ook gebruikt, je komt altijd op dezelfde plaats uit. Organisaties profiteren zo van elkaars sterke middelen. Een belangrijk uitgangspunt daarbij is dat eid zoveel mogelijk de bestaande authenticatiemiddelen hergebruikt. Het is nooit ons idee geweest om een DigiD-kaart in te voeren als enige authenticatiemiddel. BELGISCHE EID Tijdens het TDI-symposium passeerden meerdere tokens de revue die mogelijk kunnen worden gebruikt voor eid-authenticatie. Zo presenteerde George Poel, bij Rabobank Nederland Adviseur Information Security & Risk Management, de nieuwe Rabo Scanner voor internetbankieren die in 2015 naar alle klanten wordt uitgerold. Op een vraag uit de zaal of het nieuwe apparaatje in de toekomst mogelijk ook kan worden gebruikt om via eid in te loggen op de dienstverlening van derde partijen, moest Poel echter het antwoord schuldig blijven. Het eid-stelsel is een goede manier om transparantie en controle te bieden Door de aansluiting op het Europese eidas - Electronic Identification and Signature (Electronic Trust Services) - moet het in ieder geval wel mogelijk zijn om het Nederlandse eid-stelsel te gebruiken in combinatie met bijvoorbeeld de Belgische eid-kaart. Deze elektronische identiteitskaart is al sinds 2003 in gebruik. Al in 2002 hebben wij de wagen genomen naar Nederland, want daar liep toen een project over eid, merkte Frank Leyman van de Federale Overheidsdienst Informatie- en Communicatietechnologie (Fedict) bijna vilein op. Wij zijn toen maar begonnen want jullie hadden blijkbaar iets langer de tijd nodig. In tegenstelling tot in Nederland doen wij het wel met één systeem en één kaart, constateerde Leyman. Het is een sleutel om deuren te openen, maar ook om toegang te krijgen tot de plaatselijke milieustraat, de disco, de bibliotheek of de drankautomaat met bier. In online modus kun je er bijvoorbeeld aangiftes mee doen of bedrijfsinformatie mee opvragen. Ik gebruik mijn eid vooral voor het ondertekenen van documenten, vertelde Jos Dumortier, die als professor ICT-recht is verbonden aan de Katholieke Universiteit Leuven. Dumortier raakte daarmee een actueel onderwerp aan: het Europese wettelijke kader voor elektronische handtekeningen dat stelt dat een gekwalificeerde elektronische handtekening gelijkstaat aan een geschreven handtekening op papier. Dit kader bestond in DOOR FERRY WATERKAMP de vorm van een richtlijn maar heeft nu in gewijzigde (ruimere) vorm de status gekregen van een verordening die in september in werking is getreden. Ik vraag me echter af of we nu niet regelgeving bedenken voor iets wat al lang achterhaald is. Een handtekening behoort toch vooral toe aan de wereld van papier en haal je te voorschijn bij een dispuut. In de digitale wereld gaat het erom dat we systemen bouwen waarmee het makkelijk is om te achterhalen wat er is gebeurd. ONTNUCHTEREND Na de verschillende presentaties over eid-stelsels en tokens borrelde tijdens de discussies de vraag op of er niet teveel nadruk ligt op de burger die zijn identiteit moet bewijzen. Maar hoe weet je als burger dat je ook echt tegen een overheidssite zit te praten, zo vroeg een van de aanwezigen zich af. Het meest ontnuchterende antwoord op die vraag kwam misschien wel van Maria Genova, columniste en auteur van het boek Komt een vrouw bij de Er is geen enkel veilig systeem, dat wordt keer op keer bewezen. En wie denkt dat de burger wel voor zijn eigen veiligheid zorgt, is naïef. Ferry Waterkamp is freelance journalist 12 INFOSECURITY MAGAZINE - NR. 4 - OKTOBER

8 IT SECURITY IS GEEN IT-FEESTJE MEER, MAAR SERIEUZE BOARDROOMDISCUSSIE DOOR HANS VANDAM Managing director Pieter Lacroix van Sophos kondigde hem enthousiast aan: James Lyne, niet zomaar een spreker, maar een fenomeen. Volgens eigen zeggen een geek die bezeten is van technologie. Met branie legt Lyne elke kwetsbaarheid in de digitale wereld bloot. Hij is een hacker met een nobel motief: I take the security threat as a direct affront to the purpose of the web. Het publiek hing dan ook direct ademloos aan zijn lippen, toen Lyne vertelde over Warbiking, zijn persoonlijke kruistocht tegen de onveilige draadloze wereld. Op een speciaal geprepareerde racefiets met wifi-scanners, accesspoints en GPS-ontvangers toerde Lyne onlangs door Londen en San Francisco om aan te tonen hoe onveilig open wifi-netwerken zijn. Binnenkort is Amsterdam aan de beurt. JAMES LYNE STEELT DE SHOW TIJDENS SOPHOS DAY Toeval of niet, de timing van Sophos Day was perfect. Terwijl James Lyne, Global Head of Security Research bij Sophos, in DeFabrique in Utrecht moeiteloos de aandacht vasthield met een aantal live hacks, gaf minister Hennis-Plasschaert elders het startschot voor het Defensie Cyber Commando. De Nederlandse krijgsmacht gaat infiltreren in digitale systemen van derden. Kortom: de cyberoorlog woedt op alle fronten. In zijn openingsspeech ruimde Lyne een wijdverbreid misverstand uit de weg. Bij een geïnfecteerde computer wijst men al snel met een beschuldigende vinger naar de gebruiker. Je zult wel pornosites hebben bezocht. In werkelijkheid wordt 86 procent van de malware verspreid door bonafide websites van bonafide bedrijven. Spectaculair waren de live hacks die Lyne aan het eind van de middag gaf. Lyne liet zien hoe kwetsbaar de microfoonfunctie op een Android mobiele telefoon is. Als je eenmaal de controle over het apparaat hebt, kun je vertrouwelijke gesprekken op afstand afluisteren. Ook BitCoins-tegoeden zijn niet veilig voor cybercriminelen, zo demonstreerde Lyne. Goedkope, maar ook dure, slecht beveiligde CCTV-camera s in de openbare ruimte kunnen een dankbare inkomstenbron zijn voor cybercriminelen. Door een dergelijke camera te hacken, kun je bijvoorbeeld op afstand inzoomen op een persoon die binnen in een benzinestation net op het punt staat zijn pincode in te toetsen. IOT Met de komst van The Internet of Things (IoT) ontstaat volgens Lyne een nieuwe goudmijn voor cybercriminelen. If you can connect to it you can own it, met andere woorden: elk apparaat is dan in principe te hacken. Zo zijn er al honderdduizenden spammails verstuurd via de inlogggevens van bijvoorbeeld smart televisies en een met het internet verbonden koelkast. De huidige computervirussen en trojaanse paarden zijn ontworpen om data te stelen, je te bespieden via je eigen webcam, of miljoenen euro s te stelen. Sommige kwaadaardige scripts richten zich zelfs op energievoorziening, nutsbedrijven en infrastructuur. Niet voor niets staat Infosecurity dit jaar in het teken van The Internet of Things. Netwerkbeveiliging is daarom essentieel om bijvoorbeeld te voorkomen dat cybercriminelen de communicatie tussen het apparaat en de server kunnen onderscheppen en op die manier data stelen. SOPHOS CLOUD Harm van Koppen, channel account executive bij Sophos, ging uitgebreid in op Sophos Cloud, een nieuwe dienst van Sophos die net zijn eerste verjaardag heeft gevierd. Logisch dus dat er vanuit de zaal de nodige vragen werden gesteld. Sophos Cloud is de nieuwe securitydienst die gebruikers essentiële bescherming biedt tegen hedendaagse bedreigingen. De dienst is vooral gericht op organisaties die een simpeler aanpak van IT-beveiliging zoeken. Security made simple. Gebruikers kunnen veilig werken, ongeacht de plaats waar ze zich bevinden, via de cloudgebaseerde dienst. Klanten die naar de cloud overstappen hebben geheel eigen wensen. Om aan die wensen te voldoen heeft Sophos ervoor gekozen om juist niet de bekende on-premise oplossing naar de cloud te verhuizen maar juist een frisse nieuwe omgeving op te zetten. Daarnaast blijft Sophos investeren in zijn on-premise security software, zo benadrukte Van Koppen. SECURITYMANAGEMENT 3.0 We leven in een wereld waar grootmachten, terroristen, beroepscriminelen, cybervandalen, hackers en gefrustreerde ex-werknemers uit zijn op uw kroonjuwelen, zo waarschuwde Ernst-Jan Zwijnenberg, unitmanager ICT Security bij Hoffmann Bedrijfsrecherche. Onder het motto Securitymanagement 3.0 presenteerde hij enkele cijfers. De totale schade als gevolg van cybercrime wordt alleen in Europa al geschat op jaarlijks 290 miljard euro, meer dan er in de wereldwijde drugshandel om gaat. In Nederland verdampt 1,5 procent van het bruto nationaal product als gevolg van cybercrime. Dat is onnodig, want het merendeel van de incidenten kan volgens Zwijnenberg eenvoudig worden voorkomen indien hard- en software bijgewerkt zijn met de laatste upgrades. Bij Hoffmann Bedrijfsrecherche, die een tevreden klant is van Sophos, weten ze al jaren dat medewerkers zowel de zwakste als de sterkste schakel zijn in de strijd tegen cybercrime. SYNOLOCKER De praktijkvoorbeelden liggen voor het oprapen. De diefstal van 56 miljoen creditcards bij het Amerikaanse Home Depot is nog vers, net als de nieuwste kwetsbaarheid Shellshock in Linux en OS X. Cybercriminelen trekken zich niets aan van grenzen. Ook Nederlandse ondernemers en particulieren werden onlangs slachtoffer van Synolocker, een vorm van ransomware. NAS-systemen met een internetkoppeling werden gegijzeld en pas weer vrijgegeven als losgeld werd betaald. De malware versleutelt de bestanden op de NAS en eist een betaling van 200 BitCoins om de sleutel te verkrijgen waarmee de bestanden weer ontsleuteld kunnen worden. Er rest vaak niets anders dan de criminelen te betalen. Om geen slachtoffer te worden van Synolocker adviseert Hoffmann om de Synology NAS niet met het internet te laten verbinden, steeds de laatste versie firmware op de NAS te installeren en regelmatig een goede back-up te maken en deze offline te bewaren. KROONJUWELEN Zwijnenberg constateerde verder dat IT-security gelukkig steeds meer een serieuze boardroomdiscussie wordt in plaats van een IT-feestje. Het is zaak om de kroonjuwelen van het bedrijf te benoemen en te beschermen, of het nu gaat om klantenbestanden of om intellectuele eigendommen. Security by design en privacy by design zijn volgens hem randvoorwaarden om de bedreigingen vanuit cyberspace in de toekomst het hoofd te kunnen bieden. Hij sloot af met enkele tips. Ga ervan uit dat uw organisatie wordt gehackt, het is slechts nog de vraag wanneer. Richt een incident respons proces in. Laat regelmatig een risk assessment uitvoeren. Maak gebruik van actieve monitoring en adequate logging. Tot slot: laat de IT-infrastructuur periodiek toetsen en testen door specialisten zoals Sophos. Managing director van Sophos, Pieter Lacroix, sloot de bijzonder geslaagde Sophos Day af met een oproep om toch vooral Infosecurity 2014 te bezoeken op 29 en 30 oktober aanstaande in de Utrechtse Jaarbeurs, waar James Lyne een keynote zal verzorgen voor degenen die Sophos Day helaas hebben gemist en waar hij tevens de resultaten van Warbiking Amsterdam presenteert. Tevens nam hij al een voorschot op de dertigste verjaardag van Sophos die volgend jaar gevierd zal worden. 14 INFOSECURITY MAGAZINE - NR. 4 - OKTOBER

9 INTERVIEW MET THEO SCHUTTE, COUNTRY MANAGER FORTINET NEDERLAND BALANS ZOEKEN TUSSEN SNELLE EN VEILIGE NETWERKEN Beveiligingsoplossingen ontwikkelen zich continu. Gebruikers zijn zich bewust van de risico s en willen gewoon door kunnen werken. Tegelijkertijd werken cybercriminelen continu aan nieuwe aanvalstechnieken. De maatregelen daartegen moeten effectief zijn, maar mogen de snelheid van het netwerk niet vertragen. Hoe komen we tot een aanpak die aan deze (schijnbare) tegengestelde eisen voldoet? Interview met Theo Schutte, country manager Fortinet Nederland. In het kat-en-muisspel tussen cybercriminelen en leveranciers van beveiligingsoplossingen worden elk uur nieuwe stappen gezet, zegt Theo Schutte, country manager van Fortinet Nederland. Cybercriminelen introduceren steeds geavanceerdere manieren om de verdedigingslinies van bedrijfsnetwerken te omzeilen of ongezien te doorbreken. De leveranciers zetten alle middelen en kennis in om de nieuwste aanvallen af te weren, het liefst nog voordat zij plaatsvinden. UNIFIED THREAT MANAGEMENT Een netwerkbeheerder die beveiliging serieus neemt, moet tegenwoordig heel wat maatregelen nemen, vervolgt Schutte. Een firewall en een antivirus-oplossing zijn al lang niet meer genoeg. Tegenwoordig is tenminste een unified threat management (UTM)-oplossing nodig. UTM staat voor multifunctionele beveiligingsapparaten die meerdere, geïntegreerde beveiligingsdiensten uitvoeren. De UTM-oplossing van Fortinet heet FortiGate en is niet alleen een firewall, maar voorziet ook in maatregelen als URL-filtering, applicatiebeheer, intrusion prevention (IPS), antimalware, advanced threat protection (ATP), data loss prevention (DLP) en scanning van kwetsbaarheden. De FortiGate is verkrijgbaar als fysiek apparaat en in virtuele vorm. De functies in een UTM-appliance werpen echter niet alleen een barrière op voor allerlei kwaadaardige code en mensen, aldus Schutte. Ze creëren ook een knelpunt in het netwerkverkeer. De heilige graal van netwerkbeveiliging is dan ook een oplossing die de systeemen gegevensbeveiliging optimaal houdt, maar waarbij tegelijkertijd de netwerkverbinding snel blijft. De oplossing voor dit vraagstuk ligt in de integratie en consolidatie van zoveel mogelijk processen en machines die voor het netwerk staan. Hoe minder hordes het netwerkverkeer hoeft te nemen, hoe sneller het loopt. Dat realiseren we met UTM, maar ook door de geïntegreerde switchingtechnologie die het netwerkverkeer regelt in de FortiGate op te nemen. Dat maakt het netwerk snel, maar ook voordeliger en vele malen beter te beheren dan allerlei verschillende oplossingen op een rij. NETWERKPROCESSOR FortiGate integreert bescherming in het netwerkverkeer, maar is dat voldoende om de snelheid te leveren die gebruikers willen? Schutte: De 5000-serie van de FortiGate maakt gebruik van de nieuwe NP6-ASIC netwerkprocessor die de firewall een zeer hoge doorvoersnelheid geeft. Binnen de nieuwe FortiGate 5000-serie zijn meerdere van deze ASICs tegelijkertijd actief, waardoor de doorvoersnelheid oploopt tot ruim 1 Tbps. Hiermee kunnen we grote datacenters een zeer snelle firewall bieden voor het verdedigen van platformen voor Big Data, de cloud, Infrastructuur- en Software as a Service. Aanvankelijk lanceerde Fortinet deze aanpak voor het beschermen en versnellen van netwerkverkeer in de grootzakelijke markt. Inmiddels is deze technologie echter ook beschikbaar voor middelgrote bedrijven en in het MKB. Deze technologie is geschikt voor gebruik in alle bedrijfsomvangen, zegt Schutte. Of het nu gaat om kleine en middelgrote bedrijven of om organisaties met heel veel vestigingen, ISPs en multinationals. Tegenwoordig betekent beveiliging vooral het toevoegen van maatregelen voor draadloze netwerken. Schutte: Draadloze netwerken zijn een verhaal apart. Er zijn meerdere wireless access points, die bestuurd worden. Al het verkeer gaat als één verkeersstroom naar een firewall om daar geïnspecteerd te worden. Met onze oplossing, de FortiAP Thin Wireless Access Points, is het access point ook de firewall, omdat de volledige toegangscontrole en de beveiliging plaatsvindt door de centrale beheeromgeving. SOFTWARE-DEFINED NETWORKING Welke trends ziet Schutte op het gebied van netwerkbeveiligjng de komende tijd doorbreken? Daar hoeft hij niet lang over na te denken: Advanced Threat Protection (ATP) en Software-defined networking (SDN). SDN is een virtualisatielaag die ervoor zorgt dat je de netwerkcapaciteit kunt regelen naar behoefte. Je kunt dus opschalen op piekmomenten door meer virtuele machines in te schakelen. Die moeten dan echter wel beveiligd zijn. Fortinet heeft daarom de virtuele Forti- Gate ontwikkeld die het netwerkverkeer binnen virtuele netwerken beveiligt. Dit maakt het ook mogelijk om beveiligingscontroles in te voegen voordat het netwerkverkeer de virtuele netwerklaag bereikt. De virtuele appliances van Fortinet zijn beschikbaar om te functioneren op nagenoeg alle populaire virtualisatieplatformen. Als technologiepartner van VMware haken wij ook in op het NXS-platform voor netwerkvirtualisatie. Onze integratie met VMware staat voor een ontwerp dat dynamische controles van de beleidsregels voor beveiliging mogelijk maakt, zegt Schutte. Dit concept versterkt ons aanbod van UTM-oplossingen voor virtuele machines. Het geeft onze klanten nog een keuze voor het toepassen van beveiliging voor de cloud en softwarematige datacenters. Nu klanten de cloud beginnen te virtualiseren, voorzien wij hen van de juiste beveiligingsoplossingen voor zowel virtuele als fysieke omgevingen. Zo kunnen ISPs de functionaliteit van duizenden next-generation firewalls aanbieden aan hun klanten. ADVANCED THREAT PROTECTION De tweede trend die Fortinet waarneemt is Advanced Threat Protection (ATP): het ontdekken, aanpakken en tegenhouden van de meest recente en verfijnde bedreigingen. Schutte: Een manier om dat te doen is door onbekende programma s te inspecteren en te testen in een sandbox, een afzonderlijke ruimte. Met FortiSandbox ontdekken netwerkbeheerders ATPs die op maat zijn gemaakt voor een specifiek doel. FortiSandbox doet dit op twee niveaus, legt Schutte uit. Het inspecteert de protocollen en functies in een appliance en biedt de optie voor integratie met de bestaande Forti- Gate-infrastructuur. Het levert zodoende een bijzonder effectieve bescherming tegen deze opkomende klasse van bedreigingen. Hoewel sandboxes heel effectief zijn, maken zij slechts deel uit van een gecoördineerde beveiligingsaanpak om de steeds slimmere aanvallen af te wenden. Schutte: Wij adviseren dat bedrijven zich richten op vijf aspecten van een ATP-raamwerk: toegangscontrole, voorkomen van bedreigingen, ontdekken van bedreigingen, reageren op incidenten en continue controle. Dat is beter dan verwachten dat welk nieuw product dan ook het probleem zal oplossen. De oplossing voor het beveiligen van supersnel netwerkverkeer is niet alleen een kwestie van UTM en next-generation firewalls, de combinatie van firewalls, URL-filtering, antispam, ATP en IPS. Dat moet nog verder gaan: de oplossing moet ook het switchen van meerdere netwerkfuncties in een unit afhandelen. Security moet van alles blokkeren, maar niet de snelheid. Dat is de onderliggende gedachte van de nieuwe generatie FortiGate-platformen van Fortinet. Deze maakt door integratie en consolidatie veilige en snelle netwerken mogelijk. Hans Vandam is journalist DOOR HANS VANDAM NIEUWE APPLICATIES WORDEN UITGESTELD UIT ANGST VOOR CYBERCRIME In augustus 2014 heeft Fortinet een wereldwijd onderzoek laten uitvoeren onder CIO s, CTO s, IT-directeuren en hoofden van IT-afdelingen. Uit dit onderzoek ( Internet Security Census 2014 geheten) blijkt dat de angst voor cybercriminelen en andere IT-bedreigingen er bij IT-beslissers goed in zit. Meer dan de helft van alle respondenten (53 procent) zegt hierdoor zelfs de implementatie van nieuwe applicaties, diensten of andere IT-initiatieven uit te stellen of te beëindigen. Vooral mobiele applicaties en strategieën zijn hete hangijzers, maar de cloud scoort ook hoog. Uit het onderzoek blijkt dat maar liefst 90 procent van de ondervraagde CIO s en CTO s de taak om hun organisaties te beschermen steeds lastiger vindt. Dat komt vooral door de druk vanuit de directiekamer om het bedrijf veilig te houden. Van de IT-beslissers die de grootste druk vanuit de directie ervaren, geeft 63 procent toe dat tenminste één nieuw IT-initiatief uitgesteld of geannuleerd werd uit angst voor cyberbedreigingen. De ondervraagde IT-beslissers noemen daarnaast ook de toename in de frequentie en complexiteit van de bedreigingen (88 procent) en de nieuwe eisen die opkomende technologieën stellen aan beveiliging, zoals het Internet of Things (IoT) en biometrie (88 procent) als de grootste uitdagingen om hun organisatie veilig te houden. Kijk voor meer informatie over dit onderzoek op 16 INFOSECURITY MAGAZINE - NR. 4 - OKTOBER

10 ONDERZOEK VAN TREND MICRO: NEDERLAND IN TOP 3 LANDEN HOSTING MALAFIDE URL S WAT BETEKENT HET INTERNET OF EVERYTHING VOOR UW ORGANISATIE? DOOR TONNY ROELOFS Uit onderzoek van Trend Micro, specialist op het gebied van beveiligingssoftware, blijkt dat Nederland in het tweede kwartaal van 2014 populair is als het gaat om het hosten van malafide URL s. Ons land staat daarmee op een gedeelde tweede plek met onder andere China en Rusland. Het onderzoeksrapport laat daarnaast zien dat Nederland ook behoort tot de tien landen wereldwijd met het hoogste aantal Botnet C&C-servers en Botnet-connecties. Het aantal malafide URL s dat werd gehost in Nederland groeide van 24 miljoen in het eerste kwartaal van 2014, naar 31 miljoen in het tweede kwartaal. Dat is een groei van bijna 30 procent. In april verdubbelde het aantal gehoste malafide URL s zelfs. Hiermee staat Nederland op een gedeelde tweede plaats van landen die malafide URL s hosten. GROOTSTE AANTAL C&C- SERVERS Naast dat Nederland in het rapport wordt genoemd als een van de landen met de meeste botnet-connecties, staat Nederland ook in deze top 5 als het gaat om het grootste aantal Botnet Command and Control (C&C)-servers. De meerderheid van deze C&C-domeinen zijn verbonden met ofwel ZeuS banking malware of Cryptoplocker ransomware. Zeus-Servers staan er om bekend gecompromitteerde servers te gebruiken als C&C-server. Cryptolocker-varianten daarentegen gebruiken juist elke dag nieuwe C&C-domeinen om zo te voorkomen dat ze worden geblokkeerd. Tonny Roelofs, country manager Trend Micro Nederland: We zien de afgelopen tijd een groot aantal DDOS-aanvallen bij Nederlandse banken. Deze aanvallen worden uitgevoerd door middel van botnets. We kunnen in onze bevindingen echter geen direct verband zien tussen het grote aantal botnet-connecties en botnet C&C-servers in Nederland en deze DDOS-aanvallen. De botnets die worden gehost in Nederland zijn namelijk vooral gerelateerd aan ZeuS en Cryptolocker en die zijn beide niet verantwoordelijk voor DDOS-aanvallen. Het zou dus zelfs zo kunnen zijn dat je op basis van onze feiten en cijfers kunt concluderen dat de aanvallen van buiten Nederland komen, maar dit zijn echter in deze fase nog speculaties. DRIE KEER ZO VEEL ADWARE Er is meer adware, dan malware aanwezig in Nederland. Het aantal soorten adware in Nederland is drie keer zo groot dan het aantal malware-detecties in het tweede kwartaal van dit jaar. Opvallend is dat er minder DOWNAD-infecties waren in Nederland, dit komt mede door het feit dat Microsoft is gestopt met de support van Windows XP. Het feit dat deze malware echter nog steeds in de top 10 van meest voorkomende malware staat, geeft aan dat er nog steeds veel verouderde systemen, zoals Windows XP, worden gebruikt door veel Nederlandse organisaties. OVERHEID BELANGRIJK DOELWIT De overheid blijft ook in het tweede kwartaal van 2014 veruit het belangrijkste doelwit van cybercriminelen. Ruim 81 procent van de gerichte aanvallen richtte zich op overheidsinstanties in het tweede kwartaal van dit jaar. Dit is een stijging ten opzichte van het eerste kwartaal van dit jaar waarin 76 procent van de geavanceerde gerichte aanvallen (APT s) was gericht op de overheid. TIPS EN CYBERCRIME- ACHTERGRONDEN Meer weten over cybercrime, beveiliging van de cloud en mobile security? Bezoek dan de blog van Trend Micro, speciaal voor Nederlandse IT-specialisten en andere geïnteresseerden in cybercrime en security. Op de blog geeft het lezers tips, handvatten en achtergronden, bijvoorbeeld over hoe om te gaan met het einde van de ondersteuning van Windows XP. Blog. trendmicro.nl publiceert wekelijks interessante blogs en houd je op de hoogte van al het security-nieuws. Voor velen van ons is het Internet of everything (IoE) een soort wereld van de toekomst waarin allerlei soorten connected devices ons leven veilig, gemakkelijker en productiever maken. Niet voor niets hebben veel CIO s deze signalen opgepakt en bekijken ze op dit moment de mogelijkheden voor hun bedrijf. Er is alleen een belangrijk probleem dat we eerst ook kenden met smartphones. Veel van deze apparaten zijn namelijk niet ontworpen voor gebruik in het bedrijfsleven. Vaak zijn de apparaten niet stevig genoeg en al helemaal niet getest volgens de security-standaarden van de betreffende organisatie. Toch zullen deze apparaten ongetwijfeld ook hun weg vinden naar een bedrijf. U kunt en wilt immers niet al uw medewerkers controleren op deze gadgets voordat ze het bedrijf binnenlopen en waarschijnlijk ook nog eens verbinding gaan maken met het bedrijfsnetwerk. SECURITY GEEN PRIORITEIT Bedrijven die IoE-apparaten maken, ontwikkelen deze producten vaak voor commerciële doeleinden en dus om zoveel mogelijk te verkopen. En geef ze eens ongelijk, dat is het bestaansrecht van alle commerciële organisaties. Er zijn maar weinig fabrikanten die veel aandacht geven aan security omdat nog weinig consumenten hier echt om vragen. Recentelijk werd Nest, een smart device-producent die onlangs werd overgenomen door Google, gedwongen rookmelders terug te roepen nadat er een bug werd ontdekt waardoor mensen hun rookmelder per ongeluk uit konden zetten. En vanuit security-oogpunt wordt dit nog interessanter als u zich bedenkt dat Google ook de leverancier is van het meest onveilige mobiele ecosysteem dat er is, namelijk Android. WAAR BLIJFT DE INFORMATIE? Een bijkomend probleem is namelijk dat bijna alle informatie op de smart devices wordt doorgestuurd naar het hoofdkantoor van de leverancier. En dat het vaak heel onduidelijk is wat daar precies wordt opgeslagen en hoe deze informatie wordt beveiligd. Weet u bijvoorbeeld welke informatie er vanaf uw slimme printer wordt teruggestuurd naar het hoofdkantoor van de leverancier in de Verenigde Staten? En hoe zit dat met de videoconferencing apparatuur in de verschillende kantoren? Klokkenluider Edward Snowden maakte menig organisatie nerveus met zijn onthullingen van de NSA, en niet voor niets want er zijn gewoon genoeg redenen om waakzaam te zijn. TIPS OM VOORBEREID TE ZIJN Maar wat kunnen CIO s doen om deze potentiële risico s voor de waardevolle bedrijfsdata te minimaliseren? Ten eerste is het belangrijk te weten dat de risico s op dit moment nog redelijk klein zijn. Daarentegen groeit het aantal slimme internet-connected apparaten snel en zijn er waarschijnlijk al wel een aantal te vinden in uw organisatie. Het is belangrijk dat een weloverwogen en goed uitgedacht plan wordt gemaakt als het gaat om deze nieuwe apparaten in uw organisatie. En wees daarbij nu al bijzonder kritisch op de zaken die wellicht in de nieuwe EU-wetgeving over databescherming komen te staan. Dan is het nog zaak te gaan zitten met alle facilitaire teams om te bespreken dat alle nieuwe en ook huidige apparaten moeten voldoen aan de opgestelde eisen. Dat kost inderdaad tijd, en dat terwijl elke CIO een enorme lijst van to do s heeft. Echter is dit er wel één om op de prioriteitenlijst te zetten. Als u nu geen actie onderneemt zult u zich binnenkort waarschijnlijk zelf ineens realiseren dat de effectiviteit van uw organisatie grotendeels bepaald wordt door bedrijfskritische, maar helaas vaak ongeteste consumenten gadgets. Deze dan pas verwijderen en vervangen kost veel te veel capaciteit, geld en ergernis. Tonny Roelofs is Country Manager van Trend Micro Nederland 18 INFOSECURITY MAGAZINE - NR. 4 - OKTOBER

11 TSTC BRENGT LIVE SEMINARS OP INFOSECURITY 2014: Opleider TSTC - voluit Tshukudu Technology College - is een Nederlandse specialist in compacte (IT) security trainingen. Op de Infosecurity-beurs communiceert het bedrijf een heldere, maar vooral ook andere boodschap: security start bij mensen. SECURITY BEGINT BIJ MENSEN Wie een rondje over de jaarlijkse Infosecurity-beurs wandelt en niet beter zou weten, zou zomaar tot de conclusie kunnen komen dat een effectieve bescherming tegen cybercrime te koop is per doos. Even (laten) configureren, lampjes controleren en u en uw directie kunnen weer rustig slapen. De werkelijkheid is echter anders. Het aantal incidenten op het gebied van IT-security neemt sterk toe. Criminelen, maar ook vijandige overheden bedenken steeds weer nieuwe technieken om duurbetaalde appliances ongemerkt te omzeilen. Het gevolg is een wapenwedloop waarin u als verdedigende partij waarschijnlijk aan het kortste eind trekt. Volgens TSTC moet security anders worden aangepakt. Deze boodschap betekent niet dat er bij informatiebeveiliging geen technische oplossingen nodig zijn. Waar het echter om gaat is dat organisaties prioriteit zouden moeten geven aan het verhogen van het kennisniveau van de individuele medewerker als het om security gaat. De kern is dat het uiteindelijk mensen zijn die beleid bedenken en controleren. Het zijn mensen die techniek implementeren en monitoren. Net als het mensen zijn die vatbaar zijn voor bijvoorbeeld social engineering. De ervaring leert dat consequent investeren in training en opleiding er voor zorgt dat de kosten die gemaakt moeten worden voor het beveiligen van de organisatie per saldo omlaag gaan, terwijl de effectiviteit van de security-aanpak juist omhoog gaat. SECURITY- EN PRIVACY- TRAININGEN TSTC is dit jaar voor de negende keer op rij aanwezig op Infosecurity. Niet met 150 vierkante meter standruimte vol uiterlijk vertoon, maar met ruimte en tijd voor een goed gesprek over opleiden, certificeren en persoonlijke ontwikkeling. Of u nu zelf op zoek bent naar een training of de kennis van uw medewerkers naar een hoger plan wilt tillen, er zijn namelijk tal van mogelijkheden. Het volledige security- en (sinds dit jaar) privacy-opleidingsprogramma van TSTC bevat vandaag de dag veertig, meest vendor-onafhankelijke, titels - met of zonder certificering. In veel gevallen zijn cursisten niet langer dan drie tot vijf dagen van hun werkplek afwezig en wordt de training indien van toepassing afgesloten met het bijbehorende examen. Maatwerk behoort eveneens tot de mogelijkheden, bijvoorbeeld in gevallen waarin behoefte bestaat aan meer diepgang op een specifiek terrein of een op de eigen situatie toegespitste, verkorte training. SEMINARS OP DE BEURS Ook wanneer u niet direct van plan bent een training te volgen is het dit jaar de moeite waard om de TSTC stand te bezoeken. Internationale topsprekers praten u gedurende de dag in aantrekkelijke, informele presentaties bij over diverse, actuele security thema s. HET PROGRAMMA OP DE STAND (D153) IS BEIDE EXPO DAGEN ALS VOLGT: Duane Anderson Heartbleed vs vsphere Wayne Burke New Hacking Technologies - incl. Google Glass demo Martin Knobloch Pentester gezocht? - the Do s and Don ts Duane Anderson Heartbleed vs vsphere Wayne Burke Evil is here - New technologies in evil hands! Martin Knobloch Pentester gezocht? - the Do s and Don ts Op vindt u meer uitgebreide informatie over de presentaties en sprekers. OVER TSTC Al in 2005 onderkende TSTC dat security-training niet voorbehouden zou moeten zijn aan technische vendors als Cisco, Microsoft of Checkpoint. Sinds die tijd is de opleider uitgegroeid tot dé Nederlandse specialist in onafhankelijke trainingen op de terreinen informatiebeveiliging, IT-security en privacy. Een training bij TSTC voldoet altijd aan de volgende eisen: een klassikale kwaliteitstraining van een praktijkervaren didactisch vaardige trainer een huiselijke maar ook professionele sfeer een duidelijke meerwaarde boven zelfstudie. Dit uit zich bij de technisch georiënteerde trainingen in uitdagende hands-on praktijklabs waar in tactische en strategische titels veel aandacht is voor discussie en interactie. Het belangrijkste doel van een training is dat professionals met direct toepasbare, nieuwe kennis terugkeren op hun werkplek. Toch is voor veel deelnemers en organisaties het behalen van een certificering ook van belang. Zonder er een examentraining van te maken, worden cursisten bij TSTC zodanig opgeleid dat de kans van slagen voor het examen (indien van toepassing) zeer groot is. Dankzij de slagingsgarantie is men er van verzekerd dat bij onverhoopt zakken voor een examen men kosteloos opnieuw aan een training mag deelnemen of zelfs zonder kosten opnieuw examen mag doen. U vindt TSTC 29 en 30 oktober op Infosecurity-beurs, stand D INFOSECURITY MAGAZINE - NR. 4 - OKTOBER

12 INFORMATIE: ALTIJD EN OVERAL DOOR GERARD STROEVE INFORMATIEBEVEILIGING ALS BUSINESS ENABLER In een wereld waarin alles en iedereen met elkaar in verbinding staat, groeit het besef dat het beveiligen van gegevens essentieel is. Snelle, door technologie gedreven, ontwikkelingen als consumerization of IT, mobiele devices, the Internet of Things en cloud computing vragen om gerichte aandacht voor de bescherming van informatie. Daarnaast zorgen de beveiligingsincidenten van de afgelopen jaren ervoor dat het onderwerp zich bij veel organisaties aandient. De behoefte aan een gedegen beleid en bewustzijn rondom het beveiligen van gegevens wordt bovendien gesterkt door toenemende wet- en regelgeving. In dit artikel schetst Centric security-expert Gerard Stroeve zijn visie op informatiebeveiliging en de waardevolle rol die security kan vervullen binnen organisaties. Niet alleen op technologisch, maar ook op sociaal niveau lijkt de waardebeleving rond informatie te veranderen. Door het gemak en de snelheid waarmee we in ons dagelijks leven gegevens met elkaar kunnen uitwisselen, realiseren we ons niet altijd waar en onder welke voorwaarden we onze informatie opslaan en wie er toegang toe heeft. Kleine lettertjes van gratis clouddiensten worden niet door iedereen gelezen. Deze IT-gemakken zien we echter ook steeds vaker terug in het bedrijfsleven. Het eens zo stevige IT-fort kan zich niet in hetzelfde tempo weren tegen de toenemende dreigingen. In deze nieuwe, open wereld moet er daarom meer expliciete aandacht komen voor informatiebeveiliging. BREDER DAN IT Het bewustzijn neemt toe dat de nieuwe technologieën niet altijd in lijn zijn met hoe veilig wij onze gegevens willen opslaan. Hierin is een tweetal nuances belangrijk. In de eerste plaats moeten we beseffen dat, hoewel het bewustzijn groeit, de noodzaak omtrent informatiebeveiliging zelf in de basis niet is veranderd. Tien of zelfs honderd jaar geleden gold al: we zijn zelf verantwoordelijk voor het waarborgen van informatie, in alle vormen. Dat is ook meteen de tweede kanttekening die we plaatsen bij dit onderwerp: hoewel de aandacht voor security vooral het gevolg is van de snelle, IT-gerelateerde ontwikkelingen, is informatiebeveiliging op zichzelf veel breder dan IT. Een succesvolle informatiebeveiligingsstrategie omvat alle vormen van informatie. Van de digitale gegevens op servers, apparaten en andere dragers tot de analoge informatie in boeken en papieren en de specifieke kennis in de hoofden van individuele medewerkers. VOLWASSENHEID Het resultaat van de verhoogde aandacht voor informatiebeveiliging is dat organisaties gedwongen worden kritischer naar hun eigen informatiebeveiligingsstrategie te kijken. De meeste organisaties zijn onbewust al wel actief op het vlak van security, maar vaak ontbreekt een beleid dat richting geeft aan het besluitvormingsproces. Veel organisaties zullen de volgende stap naar volwassenheid moeten zetten en een doordachte en praktisch toepasbare strategie voor informatiebeveiliging moeten ontwikkelen en uitdragen. RISICOMANAGEMENT De kracht van een goede informatiebeveiliging is dat zij aansluit bij het karakter en de waarde van de gegevens, in relatie tot de risico s. Passende informatiebeveiliging doet nooit te weinig, maar ook niet te veel. De organisatiedoelstellingen komen immers op de eerste plaats; de balans tussen risicomanagement en kostenefficiëntie is daarin essentieel. Om tot een passende strategie te komen, zal de organisatie eerst uit moeten zoomen en zich de vraag stellen: Waar willen we naartoe?. Op basis van die vraag een duidelijke beleidsnotitie schrijven, werkt vaak al bijzonder verhelderend. Aan de hand van het grotere plaatje wordt het risicobeheersproces dat volgt een stuk gestructureerder. De beveiligingseisen van de informatie waarmee gewerkt wordt, vormen binnen dat beveiligingsproces de basis voor de keuzes die gemaakt worden. Typisch vallen die eisen in de categorieën vertrouwelijkheid, integriteit en beschikbaarheid. Daarnaast is een risicoanalyse een belangrijk onderdeel van het informatiebeveiligingsproces. Met behulp van die analyse wordt niet alleen vastgesteld welke dreigingen er bestaan, maar ook wat de gevolgen zijn als die dreigingen werkelijkheid worden. Gezamenlijk leggen het beveiligingsbeleid, de beveiligingseisen en de risicoanalyse het fundament voor een passende informatiebeveiligingsstrategie. Idealiter gebeurt dit vanuit een integrale benadering met aandacht voor het hele speelveld van informatiebeveiliging. Dit speelveld wordt beschreven in de Beveiligingskubus (zie kader). BUSINESS ENABLER Gebruikers en het management zagen informatiebeveiliging vroeger wellicht als tijdrovend of vertragend op de processen. Tegenwoordig wordt echter steeds beter duidelijk dat informatiebeveiliging organisaties toegevoegde waarde biedt. Security is de noodzakelijke voorwaarde om nieuwe technologieën in te kunnen zetten. Neem bijvoorbeeld mobility en thuiswerkfaciliteiten; het zijn voorbeelden van voorzieningen die de productiviteit, creativiteit en flexibiliteit van organisaties en hun medewerkers flink kunnen bevorderen. Door de juiste beveiligingsvoorzieningen te treffen, kunnen ze veilig worden ingezet en groeit het vertrouwen in het gebruik ervan. Bovendien biedt een helder informatiebeveiligingsbeleid medewerkers een houvast in hun dagelijkse werkzaamheden. Duidelijke afspraken over hoe er op kantoor wordt omgegaan met (gevoelige) informatie, zowel digitaal als analoog als in kennisvorm, geeft medewerkers een gevoel van structuur en laat zien dat veiligheid belangrijk wordt gevonden. Voor de beeldvorming naar buiten is een strategie op informatiebeveiliging eveneens van toegevoegde waarde, omdat het zorgt voor een betrouwbaar imago. Sterker nog, omdat ook wij als consumenten bewuster worden van de noodzaak van informatiebeveiliging, verwachten we van onze leveranciers een proactieve en professionele houding ten aanzien van het onderwerp. CONTINUE AANDACHT Ook als de strategie is bepaald en het proces is ingericht, dan blijft informatiebeveiliging uw continue aandacht vragen. De wereld staat namelijk geen moment stil en roept steeds weer nieuwe vragen op. Bijvoorbeeld: hoe gaat u om Een succesvolle informatiebeveiligingsstrategie omvat alle vormen van informatie met de beveiliging van data op mobiele devices en welke eisen stelt u aan de opslag van gegevens in de cloud? Jarenlang heeft de IT-afdeling er zorgvuldig voor gezorgd dat informatie veilig binnen de muren van uw organisatie bleef, maar dat is tegenwoordig niet zo eenvoudig meer. 22 INFOSECURITY MAGAZINE - NR. 4 - OKTOBER

13 INFORMATIE: ALTIJD EN OVERAL Niet alleen nieuwe technologische ontwikkelingen vragen uw aandacht, maar ook de steeds verder aangescherpte wet- en regelgeving. In Europa wordt de Europese Privacy Verordening voorbereid, die grote impact heeft op de wijze waarop u privacygevoelige gegevens dient te behandelen en te bewaren. Dan hebben we nog niet gesproken over de enorme creativiteit van cybercriminelen, die met onder meer DDoS-aanvallen organisaties weten plat te leggen. Met andere woorden, informatiebeveiliging is een continu proces. Door het goed in te richten en er voldoende aandacht aan te schenken, wordt informatiebeveiliging DE BEVEILIGINGSKUBUS Informatiebeveiliging is voor velen een complexe puzzel die bovendien heel mooi in de vorm van een van de meeste complexe puzzels, de Rubiks kubus, is weer te geven. Daarvoor plaatsten we op elk van de kubusassen één dimensie van informatiebeveiliging. DE VORM Steeds meer informatie is tegenwoordig digitaal. Toch is veel informatie ook nog op andere wijze beschikbaar. Op de zijden van de eerste as projecteren we de diverse vormen van de informatie: digitaal, analoog en kennis. Security is de noodzakelijke voorwaarde om nieuwe technologieën in te kunnen zetten daadwerkelijk een business enabler voor uw organisatie en bent u klaar voor (toekomstige) dreigingen. blokje vertegenwoordigt een combinatie van vorm, aspect en maatregel en speelt zijn eigen rol in het informatiebeveiligingslandschap. Om de puzzel op te lossen, moeten ze allemaal op de juiste plek zitten. Dat vraagt om een integrale aanpak. Door van tevoren al uw informatiestromen te bestuderen en te classificeren, Gerard Stroeve is Manager Security & Continuity Services bij Centric legt u de basis voor een succesvolle informatiebeveiligingsstrategie. Een strategie die rekening houdt met de verschillende behoeften van alle vormen van informatie en daaraan de juiste maatregelen koppelt. Alleen als u alle puzzelstukjes de aandacht geeft die zij verdienen, kunt u de puzzel als geheel oplossen. Het meest complete event van computerruimtes en datacenters IT ROOM INFRA Donderdag 6 november 2014 Congrescentrum 1931 Brabanthallen Den Bosch DE KERNASPECTEN Op de zijden van de tweede as zetten we de kernaspecten van informatiebeveiliging: vertrouwelijkheid, integriteit en beschikbaarheid (VIB). DE BEHEERSMAATREGELEN De VIB-kernaspecten van uw informatiestromen bepalen mede welke beheersmaatregelen u moet treffen. Die maatregelen plaatsen we op de zijden van de derde as. Deze vallen typisch binnen drie categorieën: techniek, mens en organisatie. Met het invullen van deze drie dimensies van informatiebeveiliging is een complete beveiligingskubus gevormd. Deze beslaat in feite het hele speelveld van informatiebeveiliging voor elke afzonderlijke informatiestroom - een speelveld met 27 unieke aandachtsgebieden. Elk Registreer u met onderstaande code voor een bezoek aan het event op Registratiecode: ITR3850 Bekijk de deelnamevoorwaarden op de website BOUWEN & MANAGEN DATA- & ENERGIETRANSPORT INSTALLATIES & VEILIGHEID KOUDE & WARMTE DATACENTERTALK 24 INFOSECURITY MAGAZINE - NR. 4 - OKTOBER

14 EFFECTIEF OMGAAN MET INFORMATIEBEVEILIGING DOOR MARINUS KUIVENHOVEN Mensen kunnen risico s goed inschatten als het gaat om dagelijkse en concrete zaken. Voor abstracte dingen, of zaken waar we niet dagelijks mee te maken hebt (zoals baby s) gaat dit niet meer op. Bruce Schneier omschreef dit mooi: More people are killed every year by pigs than by RISICO S INSCHATTEN BLIJKT LASTIG Onlangs las ik een onderzoek waarin wordt gesteld dat ouders die veel boeken bezitten over bevallen en opvoeden, de beste ouders zijn. Dan kijk ik naar mijn boekenkast en denk ik: Kijk, de beste pappa van de wereld! Uit de conclusie van het onderzoek blijkt echter dat het helemaal niet uitmaakt welke boeken je hebt of hoeveel. Het gaat om het feit dat je vooraf tijd investeert in de baby die op komst is. Om zo mogelijke risico s bij de bevalling en opvoeding zo laag mogelijk te houden. Volgens het onderzoek is de kans dan groot dat ouders dezelfde inspanning voortzetten na de geboorte. sharks, which shows you how good we are at evaluating risk. En omdat we hier zo slecht in zijn, spelen fabrikanten van baby-producten hier handig op in. Die weten dat namelijk maar al te goed. Iedereen die ooit negenmaandenbeurzen heeft bezocht, kan dit beamen. BEERTJESMOTIEF Zo n beurs is onderverdeeld in voeding, gebruiksgemak en veiligheid. Met andere woorden: om de drie stands vind je wel een verkoper met de meest geniale uitvinding om jouw toekomstige spruit te beschermen van al het kwaad. Van klittenbandstraps om de onfortuinlijke beweging te voorkomen, tot complete valhelmen mét oorkleppen waar een bergbeklimmer jaloers op zou zijn. En allemaal laten ze je geloven dat je een slechte ouder bent als je de veiligheidsbril met beertjesmotief niet neemt. Het bizarre is dat de security-wereld net zo in elkaar steekt. Maak mensen bang en ze nemen je product wel af. Er bestaat zelfs een marketingterm voor: FUD. Dit staat voor Fear, Uncertainty en Doubt. Kortweg, angst, onzekerheid en twijfel helpen klanten te motiveren producten en diensten aan te schaffen. Probeer maar eens een website, boek of beursstand te vinden waar geen gemaskerde man achter een laptop op staat, zonder plaatjes met sloten, donkere schermen met onleesbare code of teksten als Zoveel euro schade bij duizenden bedrijven door hackers of bent u wel veilig?. Allemaal bedoeld om een angstreactie uit te lokken en mensen te laten reageren met emotie. SUCCESVOLLE TACTIEK Dat dit soort tactieken werken, staat dus buiten kijf. Echter, dit is alles behalve de goede manier om effectief om te gaan met informatiebeveiliging. Security gaat juist over ratio in plaats van emotie. Hoe wij de wereld ervaren, wijkt af van hoe deze daadwerkelijk is. Alleen daar waar ons gevoel overlapt met de realiteit bestaat zekerheid. Waar gevoel en realiteit niet overlappen, hebben we enerzijds iets wat we niet verwachten. Of anderzijds verwachten we iets wat er niet is. Zekerheid is ook gewoon de letterlijke vertaling van security. Security is niet een kwestie van zoveel mogelijk maatregelen implementeren. Het is juist investeren waar het nuttig is om zekerheid te realiseren. Dat kunnen we alleen maar doen door met ratio te handelen. NADEEL Want de angstconstructie heeft nog een nadeel. Als dreigingen uitblijven of ver in de toekomst liggen, worden mensen ongevoelig voor eindeloos angst zaaien. Dit zag je destijds gebeuren met klimaatverandering. Tien jaar geleden kondigde Al Gore een groot doemscenario aan. Hoe goed de bedoelingen ook zijn, zonder rechtstreekse impact, zijn mensen niet geïnteresseerd. Tenzij de verhalen nog heftiger worden. Hoe krijgen we dan zekerheid? Dit kan door vooraf goed na te denken over het proces zelf. We introduceren feedback om de mate van security en de afwijking op de gewenste security te bepalen. Dat is ook waarom de investering in boeken bij kinderen wel werkt. In tegenstelling tot digitale gegevens, geven kinderen wel feedback waardoor wij kunnen bijsturen. En we leren het ouderschapsproces te verbeteren. PROCES VERBETEREN Overal waar we feedback introduceren, zien we dat het proces wordt verbeterd. Kijk bijvoorbeeld naar fotografie. Vroeger was iedereen een slechte fotograaf. Waarom? Foto s werden alleen gemaakt op vakantie, verjaardagen en feestdagen. Als het rolletje vol was, werden de foto s pas ontwikkeld. Je had geen idee wat je had gedaan om de foto zo mooi of lelijk te maken. Met de komst van de digitale camera is dit veranderd. Door feedback zijn de slechtste fotografen nu beter dan de professionals van vroeger. Het gaat zelfs zo ver dat we zulke mooie foto s maken dat we er achteraf allemaal filters overheen gaan leggen om ze weer lelijk te maken en daarmee weer natuurlijk. RATIO GEBRUIKEN Kortom, de techniek ondersteunt alleen maar een proces, waardoor het proces kan worden verbeterd. Door ratio te gebruiken en feedback te introduceren kunnen gegevens groeien, relaties worden gelegd. En uiteindelijk kunnen we zo veilig volwassen worden. Marinus Kuivenhoven is security specialist bij Sogeti 26 INFOSECURITY MAGAZINE - NR. 4 - OKTOBER

15 HOE EEN SECURITY-EXPERT ZIJN EIGEN HUIS HACKT DOOR MARTIJN VAN LOM PAS OP: IOT IN UITVOERING! Het Internet of Things is groot, groter, groots. Het is Big Data gepasseerd op de hype cycle van Gartner en zit nu op de piek van die bekende curve. Tijd voor relativering dus. Een security-expert ontdekt zijn eigen hackbare huis. Tijdens het updaten ontdekte Jacoby ook dat niet alle apparaten zelf automatisch konden controleren of er nog updates waren voor hun firmware. Erger nog: de updates waren zelfs handmatig niet altijd gemakkelijk te vinden op de websites van de fabrikanten. Dat maakte het hele proces nogal tijdrovend, geeft onze securityspecialist aan. Daarnaast bleken veel van de betreffende producten te zijn afgeschreven door de makers, dus niet langer ondersteund met nieuwe updates. Hebben deze producten voor thuiskantoren en entertainment maar ongeveer een jaar te leven voordat ze discontinued worden?, vraagt Jacoby zich af. Het IoT (Internet of Things) zit volgens de marktkenners van Gartner nu op het toppunt van de hype, op de zogeheten piek van opgeblazen verwachtingen. Het duurt naar schatting van het onderzoeksbureau nog een jaar of vijf à tien na het bereiken van die piek voordat een technologie is gestabiliseerd en geaccepteerd. Eerst volgt traditioneel een snelle instorting van de hype. WIE HET VERLEDEN NIET KENT... De voorspelde dip in de IoT-hype valt mede te wijten aan security. Of eigenlijk: gebrek aan security. De diverse apparaten die het Internet of Things vormen, lijken eerder geleerde IT-beveiligingslessen te zijn vergeten. Dat gebrek betreft niet alleen toekomstige smart devices, maar ook de things die nu al connected zijn in ons werk en leven. Zoals de doodgewone consumentenelektronica die onze senior securityspecialist David Jacoby in zijn eigen huis heeft. Hardware als NAS-systemen (network attached storage), waarvan Jacoby er twee heeft van twee verschillende leveranciers. Maar ook apparaten als een smart-tv, een satellietontvanger, een internetrouter, en een printer. Systemen die qua mogelijkheden en rekenvermogen menig oude pc voorbijstreven. HET INTERNET OF THINGS IS AL IN HUIS Onze security-onderzoeker besloot die doodgewone apparatuur eens kritisch te bekijken, om het gehypte IoT tastbaarder te maken. We kunnen veel artikelen vinden over hoe hackers en onderzoekers kwetsbaarheden vinden in bijvoorbeeld auto s, koelkasten, hotels en residentiële alarmsystemen, leidt Jacoby zijn eigen onderzoek in. Hij stelt echter dat veel van dergelijk beveiligingsonderzoek te ver van de lezer afstaat. Die heeft immers geen smart car, geen connected koelkast, geen volledig digitaal huis. Tenminste, niet in de vorm zoals die doorgaans wordt gezien voor het Internet of Things. In de praktijk hebben veel mensen al behoorlijk wat connected systemen in huis en thuiskantoor. Een gemiddeld modern huishouden kan zo n vijf apparaten hebben die zijn aangesloten op het lokale netwerk, waarbij dat geen computers, tablets of mobiele telefoons zijn. Jacoby heeft het over tv-toestellen, printers, gameconsoles, netwerkopslagsystemen, mediaspelers en satellietontvangers. Apparaten die hij zelf ook heeft en die hij als security-expert natuurlijk goed onderhoudt. Jacoby onderwierp zijn eigen huis aan een onderzoek, waarbij hij de gebruikelijke doelwitten van pc s, tablets en smartphones links liet liggen. Zijn verwachting was dat zijn huis behoorlijk veilig zou zijn. Ik werk al meer dan vijftien jaar in de security-industrie, en ik ben nogal paranoïde als het aankomt op het toepassen van security-patches. APPARATUUR TE VONDELING GELEGD Jacoby kwam van een koude kermis thuis. Hij ontdekte flink wat connected apparaten op zijn thuisnetwerk, de meeste voor home entertainment. Voordat hij zijn onderzoek begon, had hij alle apparaten voorzien van de nieuwste firmwareversies. Dat is een securitymaatregel die veel consumenten niet of niet geregeld nemen. Deels uit laksheid, deels uit onwetendheid. Want wie is zich er goed van bewust dat een Blu-Ray speler of een opslagapparaat in wezen een computer is, die ook onderhoud nodig heeft? INGANGEN GENOEG Na alle voorbereidingen kon Jacoby beginnen aan het echte onderzoek: het aanvallen van zijn eigen elektronica. Als een buitenstaander, dus zonder bestaande inlogrechten te benutten. De twee NAS-apparaten waren als eerste aan de beurt, omdat daar kostbare gebruikersdata staan en omdat daar relatief complexe omgevingen draaien. Een Linux-versie, met webserver, beheeromgeving en meer mogelijke ingangen voor een kwaadwillende. Beide NAS-systemen gingen al gauw voor de bijl. Jacoby wist diepgaande toegang te krijgen, voorbij de beheeromgeving en op niveau van het besturingssysteem. Daarmee had hij een ingang in het thuisnetwerk. Een blijvende ingang. Want een volledige reset door een eindgebruiker zou dit hackprobleem niet wegnemen. Hetzelfde bleek te gelden voor de verborgen functies die de huishacker aantrof op de router die bij zijn internetabonnement hoort. Ook zijn digitale tv-ontvanger Dreambox sneuvelde, via de default beheer-login. Het beheeraccount gaf bovendien root-rechten op het onderliggende Linux-systeem. OPSTAPJES NAAR MEER Kortom, voor cybercriminelen zijn er genoeg interessante mogelijkheden om alternatieve, kwaadaardige firmware te installeren op die handige, met internet verbonden apparaten in huis. Software die weer kan dienen als opstapje naar bijvoorbeeld de smart-tv, die content vanaf een mogelijk gecompromitteerde NAS haalt en die ook online-aankoopmogelijkheden biedt. Of beter gezegd: fraudemogelijkheden. 'Waar het IoT verbonden wordt, vallen securityspaanders' Overigens, wie slim denkt te zijn door een smart-tv niet aan het thuisnetwerk te koppelen, is niet per definitie veilig. Dit blijkt uit de verschillende kwetsbaarheden in het HbbTV-protocol, dat ervoor zorgt dat smart-tv s extra content kunnen tonen die van internet gehaald wordt. Inloggegevens voor bijvoorbeeld social media op smart-tv s zijn buit te maken, en toestellen zelf zijn te kapen voor malafide doeleinden zoals het minen (delven) van de virtuele valuta Bitcoin voor een kwaadwillende. Kortom, waar het IoT verbonden wordt, vallen security-spaanders. Wees alert. Martijn van Lom is General Manager Benelux and Nordic bij Kaspersky Lab 28 INFOSECURITY MAGAZINE - NR. 4 - OKTOBER

16 IDENTITEITSDIEFSTAL DOOR HANS VANDAM GEBRUIKSGEMAK GAAT CLOUDBEVEILIGING VERBETEREN Het snelgroeiend gebruik van cloud computing en mobiele apparatuur vraagt om betere beveiliging dan de combinatie van gebruikersnaam en wachtwoord. Ook om identiteitsdiefstal te voorkomen. De oplossing daarvoor is al jarenlang beschikbaar, namelijk onze vingerafdruk, stem, iris, gezicht en andere biometrische kenmerken. Volgens ixsmartmobile staat het biometrisch beveiligen van informatie, apps en cloudservices op het punt van doorbreken en wordt gebruiksgemak de aanjager. Zowel in de business- als consumentenmarkt. Identiteitsdiefstal is een misdrijf waar steeds meer mensen mee te maken krijgen. Bij volwassenen om de bankrekeningen leeg te roven, of criminele transacties uit te voeren en bij minderjarigen om hun identiteit op sociale netwerken te misbruiken. Verder zijn er ook nog criminelen die specifieke interesse hebben in vertrouwelijke bedrijfsinformatie en de cijfers liegen er niet om. Enkele recente publicaties daarover variëren van miljoenen patiëntgegevens die gestolen zijn bij een Amerikaanse ziekenhuisgroep, tot zelfs 375 miljoen gehackte klantgegevens in de eerste helft van Welke feiten correct zijn is minder relevant, de oplossing natuurlijk wel, namelijk biometrisch beveiligen. Net als andere persoonsgegevens worden de gebruikersnamen en wachtwoorden van mensen in databases opgeslagen die te hacken zijn, vertelt Joseph Kakisina product marketing director van ixsmartmobile. Daarom is deze beveiligingsmethode in het tijdperk van cloud en mobile computing structureel onvoldoende veilig. Veel mensen gebruiken verschillende gebruikersnamen en wachtwoorden voor verschillende cloudservices, alleen zijn die combinaties moeilijk te onthouden. Door onze unieke biometrische kenmerken te gaan gebruiken voor identificatie en authenticatie, zijn zowel het beveiligingsniveau als gebruiksgemak te verhogen. Die kenmerken vergeten we nooit en heeft iedereen altijd bij zich. Waarom wordt biometrische beveiliging dan niet allang door iedereen gebruikt? Omdat de technologie daarvoor zo betrouwbaar en nauwkeurig mogelijk moet zijn en tegelijkertijd eenvoudig toepasbaar. Dat lijkt strijdig, omdat beveiliging altijd vanuit de techniek is ingevuld en een hoger niveau daarom wordt geassocieerd met moeilijker toepasbaar. ixsmartmobile stelt echter de mens centraal en maakt biometrische beveiliging zo eenvoudig dat iedereen het kan gebruiken. GEBRUIKSGEMAK Als beveiliging moeilijk is, proberen mensen de toepassing te vermijden, of een work-around te bedenken. Dan worden zij ineens de zwakste schakel in de totale oplossing. ixsmartmobile heeft een biometrische oplossing ontwikkeld waarin mensen zowel de sterkste schakel als sleutel zijn. Iedereen is er inmiddels al aan gewend geraakt dat onze vingerafdruk en gezichtskenmerken op een chip in het paspoort staan. Verder worden steeds meer smartphones en tablets uitgerust met een vingerafdruklezer, terwijl ze standaard al een camera, microfoon en touchscherm hebben. Oftewel, alle benodigde componenten voor biometrische identificatie. Mede daarom is volgens ixsmartmobile de tijd nu rijp om biometrische beveiliging op brede schaal te gaan toepassen. Wij hebben een cloudoplossing ontwikkeld die mensen de mogelijkheid biedt om zich via een app met een intuïtieve interface biometrisch te identificeren, vervolgt Kakisina. Met hun vingerafdruk, stem of gezicht, maar ook een digitale handtekening, of combinatie van twee technieken. Gewoon door de gewenste methode met één klik te selecteren en te gebruiken via onze natural user interface. Makkelijker is het niet te maken. De app van ixsmartmobile draait al op alle smartphones en tablets met Android en ios en aan de Windows versie wordt gewerkt. Het veelgehoorde gevaar dat de biometrische kenmerken van mensen te stelen en te misbruiken zijn, voorkomt het bedrijf met de zogenaamde BioHASH-technologie. Die zorgt ervoor dat met het gekozen biometrische kenmerk en een random key een eenmalig te gebruiken certificaat wordt gegenereerd voor identificatie of autorisatie. Omdat zowel het biometrische kenmerk als de eenmalige key direct worden weggegooid, is de privacy gewaarborgd en de gebruikersidentiteit nooit te stelen. BETERE BEVEILIGING TEGEN LAGERE KOSTEN Voor zowel hosting en cloudservice providers als grote bedrijven, is het grootste voordeel van ixsmartmobile s multi-biometrische oplossing de betere beveiliging van informatie en applicaties. Verder worden de beheerkosten voor alle gebruikersnamen en wachtwoordencombinaties fors lager en kan men eenvoudiger voldoen aan compliancy richtlijnen. Tenslotte verhoogt het gebruiksgemak ook de productiviteit van elke mobiele medewerker. Dus betere beveiliging tegen lagere kosten. Onze ixsmartmobile suite bestaat uit de al genoemde combinatie van een app en cloudservice, legt Kakisina uit. Afhankelijk van de klantwensen is het authentiseren daarmee als een stand-alone of client-server proces te configureren. Bij stand-alone gebruik worden alle biometrische taken op het mobiele apparaat verwerkt en in de client-server situatie merendeels op een centrale server. Voor de veilige communicatie tussen het mobiele apparaat en de cloudservices waarmee mensen willen werken, worden eenmalige certificaten gebruikt op basis van de X.509v3-standaard. MobbID is onze gebruikersapp voor multi-biometrische identificatie en authenticatie, vanaf vrijwel alle mobiele apparatuur. De grafische selectiemethode om je daarmee te identificeren, benadrukt de ontwikkeling in beveiliging dat gebruiksgemak een vereiste is. Door het zo eenvoudig te maken, is er niemand die het gebruik van MobbID niet meteen begrijpt. Optioneel kan de app met 2SSL een extra beveiligde verbinding maken met de meest gangbare cloudservices. Cloudservices als Amazon, Google Apps, Office365, Salesforce, Webex en Active Directory Fed Services die SAML 2.0 ondersteunen, kunnen namelijk op eenvoudige wijze gebruikmaken van onze authenticatie services. Meer informatie hierover is te vinden op: Hans Vandam is journalist 30 INFOSECURITY MAGAZINE - NR. 4 - OKTOBER

17 SECURITY DOOR GERT JAN WOLFIS FLEXIBELER INSPELEN OP RISICO S DOOR PROGRAMMEERBARE NETWERKEN IT-beslissers zien steeds vaker af van nieuwe IT-projecten uit angst voor cyberdreigingen. Het feit dat aanvallen veelvuldiger voorkomen en complexer van aard zijn, schrikt af. Onnodig, aldus Gert Jan Wolfis van F5. Door het netwerk programmeerbaar te maken, sta je juist veel sterker en kun je sneller inspelen op acute dreigingen als Heartbleed en Shellshock en geavanceerde DDoS-aanvallen. Bij het groeiende internet of things richten we ons vaak op de gevolgen voor de architecturen van datacenters. Dat komt omdat de behoefte aan verificatie, toegangscontrole, beveiliging en levering van toepassingen toeneemt naarmate het aantal mogelijke endpoints toeneemt. Slechts drie jaar geleden was de uitkomst van een onderzoek dat 81 procent van de respondenten security-functionaliteit uitzetten ten gunste van de performance, zelfs al gaven ze de prioriteit aan security. Je zou deze overweging helemaal niet moeten maken, natuurlijk. En inmiddels hoeft dat ook niet, met name door security-maatregelen zelf veel sneller en efficiënter te maken. Dat betekent dat het datacenter schaalbaar moet zijn, en met name het netwerk programmeerbaar. De huidige status van het internet en de manier waarop we het gebruiken, vereisen een nieuwe, snelle manier van bescherming. Kwetsbaarheden en aanvallen kunnen met een programmeerbaar netwerk efficiënter worden geweerd. Vandaag de dag wordt programmeerbaarheid vooral gebruikt in het controle-pad om automation en orchestratie mogelijk te maken. Programmeerbaarheid is echter niet alleen geschikt als controlemiddel om datatransport per applicatie te optimaliseren, maar ook om het daadwerkelijke transport van data door het netwerk te manipuleren. Je kunt daardoor veel sneller inspelen op actuele gebeurtenissen, of ze nu kwaadwillend zijn of niet. BESCHERMING VOORDAT ER PATCHES ZIJN Programmeerbaarheid is een krachtig middel om aanvallen als Shellshock en Heartbleed, maar ook minder aansprekende kwetsbaarheden en aanvallen te detecteren en onschadelijk te maken. Patches worden snel ontwikkeld en uitgedeeld, maar tot die tijd loop je nog wel steeds risico. Die patches om lekken te dichten verschijnen relatief snel, maar lang niet altijd snel genoeg. Daarnaast kost het tijd om al die patches door te voeren in alle getroffen systemen. Tot die tijd is het van belang toch beschermd te zijn. Bedrijven moeten met de kwetsbaarheid omgaan terwijl ze een lange termijn oplossing regelen. Bij Shellshock gaat het om kwetsbaarheden verborgen in HTTP-headers. De meeste netwerkinfrastructuren zullen dit niet herkennen. Door infrastructuren programmeerbaar te maken middels bijvoorbeeld F5 s BigIP/Viprion proxy of LineRate proxy wordt snelle bescherming geboden tegen deze aanvallen op applicatieniveau. Het BIG-IP platform gebruikt hiervoor onder andere irules, een Tcl-gebaseerde scripting-taal die op maat te gebruiken is om netwerkverkeer te inspecteren, analyseren, sturen, om te leiden, manipuleren, onbeschouwd laten, spiegelen en veel meer. Het biedt flexibiliteit en beheer om veel meer mogelijkheden uit bestaande apparatuur te halen. Het voegt business-logica toe aan de netwerklaag. Maar bovendien biedt het directe bescherming voor back-end servers, voordat patches zijn getest en toegepast. MANIPULEER NETWERKVERKEER Het concept van programmeerbaarheid van het datatransport is dus interessant. Wanneer de weg die data bewandelt door middel van programmeerbaarheid gemanipuleerd kan worden, krijgen organisaties de kans direct maatregelen te nemen tegen kwalijke requests en verdere risico op misbruik te voorkomen. En het geeft bedrijven de tijd om een permanente oplossing te vinden. Dit is nu al te doen met application delivery controllers (ADC). Een ADC functioneert op laag 4-7 van het OSI-model. En is in staat om te participeren in traditionele infrastructuren en Software Defined Networking (SDN) omgevingen en kan functioneren als gateway met application delivery als extra toevoeging. Een volwaardige ADC biedt naast een full-proxy architectuur, hoge performance en SSL-offloading, programmeerbaarheid van management, data en controle paden. Deze ingrediënten zorgen ervoor dat je een sterke basis hebt voor totale controle over hoe applicaties worden aangesproken door gebruikers en bieden de mogelijkheid om kwetsbaarheden in een aantal uren te patchen in plaats van te wachten totdat de softwareproducent een patch levert. SAMENWERKING ANDERE SYSTEMEN De software defined application services (SDAS) bieden de programmeerbaarheid van data en control plane en maken daarmee ook integratie met andere (beveiligings)toepassingen mogelijk. Zelfs als die van andere leveranciers zijn. F5 s high performances services fabric zit dankzij de centrale locatie op een strategisch punt in het netwerk en biedt daardoor een uitstekend uitgangspunt voor het controleren van datatransport per applicatie. Alle applicatie-requests worden beïnvloed door de SDAS, zoals beschikbaarheid, security en identiteitsen toegangscontrole. Zodra een request binnenkomt, kan deze eerst worden gescreend op kenmerken van DDoS-aanvallen. Vervolgens wordt het request afhankelijk van het beleid gestuurd naar een geïntegreerde security-toepassing (bijvoorbeeld Sourcefire-sensors). Zodra deze het groene licht geeft, wordt het request teruggestuurd via SDAS richting de bedoelde applicatie. De gebruikte regels hiervoor kunnen uiteenlopen van heel simpel tot krachtiger en complexer met meerdere condities en criteria. Acties die erop volgen kunnen betrekking hebben op een automatische configuratie voor security services, zoals het blokkeren van een apparaat dat aan de basis van een aanval lijkt te staan. Wanneer security-toepassingen een probleem detecteren, kunnen ze actie ondernemen door een irule aan het datapad toe te voegen dat het IP-adres van de afzender kan blokkeren. Dankzij programmeerbaarheid kunnen security-services sneller reageren, waardoor het hele datacenter-ecosysteem beter beschermd is, zonder concessies te doen qua performance. PROGRAMMEERBAARHEID ALS KEUZECRITERIA Het aanbod security-toepassingen en netwerk(ondersteunende) apparatuur is groot. Bij de keuze voor een leverancier speelt uiteraard prijs en functionaliteit een belangrijke rol. Daarnaast kijken eindgebruikers naar intercompatibilieit en naar minder technische kenmerken zoals imago van een bedrijf. Maar programmeerbaarheid wordt nog te weinig meegenomen als criteria in het keuzetraject, terwijl het juist van invloed is op vrijwel alle aspecten hier net genoemd. Dankzij programmeerbaarheid is flexibel om te gaan met bestaande resources (bescherming van investeringen), is sneller in te spelen op risico s (functionaliteit) en zijn verschillende systemen beter op elkaar af te stemmen (compatibiliteit). En met die kenmerken krijg je vanzelf een goed imago. Gert Jan Wolfis is Senior Field Services Engineerbij F5 Networks 32 INFOSECURITY MAGAZINE - NR. 4 - OKTOBER

18 DATALEKKEN VOORKOMEN SIEM: EEN PREVENTIEF MEDICIJN VOOR DE ZORG Vanaf 1 januari 2016 zijn ziekenhuizen en zorginstellingen verplicht om maatregelen te treffen ter voorkoming van datalekken. Zijn er op die datum nog geen afdoende maatregelen getroffen, dan kunnen forse boetes worden opgelegd die variëren van minimaal euro volgens de Nederlandse wetgeving, tot maximaal 4% van de jaaromzet volgens de Europese wetgeving. Frank Voogel, Account Executive bij Unisys, pleit voor de invoering van Security Information and Event Management (SIEM) in de zorg, om instellingen te helpen aan de regelgeving te voldoen en tot 19% van het totale financiële risico van datalekken te voorkomen. Ziekenhuizen krijgen net als andere organisaties in toenemende mate te maken met datastromen die buiten het eigen netwerk om gaan. Denk bijvoorbeeld aan het gebruik van cloudapplicaties en cloudstorage, het ontsluiten van de mobiele apparatuur van de werknemers (BYOD), of het gebruik van applicaties als Whatsapp en Dropbox voor werkgerelateerde zaken. Deze nieuwe, open omgeving brengt natuurlijk de nodige beveiligingsrisico s met zich mee. Gezien de vaak privacygevoelige informatie waarmee men in de zorg werkt, zoals het Elektronisch Patiënten Dossier (EPD), is zorginstellingen er veel aan gelegen datalekken te voorkomen. Dat betekent onder meer dat in kaart moet worden gebracht hoe de datastromen in de organisatie lopen en dat de medewerkers moeten worden voorgelicht over wat ze kunnen doen en wat ze moeten laten. Sommige informatie mag niet overal worden opgeslagen. Andere informatie mag niet voor iedere medewerker toegankelijk zijn, zegt Voogel. Het raadplegen van het EDP wil je bijvoorbeeld toestaan voor de behandelende arts, maar verbieden voor personeel dat niets met de patiënt te maken heeft. Je wilt niet dat wanneer Máxima in het ziekenhuis belandt, ieder personeelslid haar gegevens op kan vragen. Daar zal je dus beleid voor in moeten stellen en SIEM kan een enorme bijdrage aan de uitvoering van dat beleid leveren. RUIS ELIMINEREN De hoeveelheid opgeslagen security events groeit exponentieel en handmatige analyse en beoordeling van logbestanden is daarom geen optie. Voogel: Zorginstellingen hebben behoefte aan geautomatiseerde tools om relevante events uit de enorme hoeveelheid van loggegevens te selecteren. SIEM maakt gebruik van gegevens die door verschillende bronnen in logbestanden worden opgeslagen en vormt deze gegevens real-time om tot relevante beveiligingsinformatie. Er wordt gebruikgemaakt van gegevens die worden gelogd door applicaties, databases, besturingssystemen, netwerken en hardware componenten. Hieruit filtert SIEM de relevante events en elimineert eventuele ruis. Zo bereiken organisaties een near real-time beveiliging tegen bedreigingen. Tegelijkertijd wordt er een hogere mate van bewustzijn en een beter begrip van de kwetsbaarheden gerealiseerd. REGELGEVING Vanuit de wetgevende instanties komt er steeds meer aandacht voor het voorkomen van datalekken. Voldoen zorginstellingen per 1 januari 2016 niet aan de eisen die door de overheid worden gesteld ten aanzien van datalekken, dan kunnen er forse boetes worden opgelegd, die kunnen oplopen tot maar liefst 4% van de jaaromzet. Er bestaat nog veel onduidelijkheid over hoe de wetgeving er precies uit zal gaan zien en of de Nederlandse of de Europese wetgeving leidend gaat zijn bij het beoordelen van ziekenhuizen, zegt Voogel. Maar door een SIEM-oplossing te implementeren die rekening houdt met de richtlijnen zoals die geformuleerd zijn in de norm NEN 7510, kunnen organisaties al veel doen om boetes te voorkomen. NU AL GEVOLGEN VOOR ZIEKENHUIZEN Ziekenhuizen kunnen al negatieve gevolgen ondervinden van de nieuwe wetgeving voordat deze van kracht is. Wanneer de risico s die een organisatie loopt onvoldoende belegd zijn, dan kan het gebeuren dat de accountant de jaarrekening niet goedkeurt, stelt Voogel. De accountant zal ook het risico op datalekken mee gaan wegen in zijn eindoordeel en wanneer er onvoldoende maatregelen zijn getroffen, dan moet er geld worden gereserveerd voor de financiële schade en de eventuele boete. Gebeurt dit niet, of onvoldoende, dan kan dat leiden tot het verlaten van de goedkeuring of zelfs het achterwege blijven van de goedkeuring. En dat kan desastreuze gevolgen hebben voor ziekenhuizen. Wil je bijvoorbeeld een nieuwe MRI-scanner aan gaan schaffen en wil je die financieren met een lening van de bank, dan moet je een goedgekeurde jaarrekening kunnen overleggen. Is je jaarrekening niet goedgekeurd, dan zal geen bank in je investeren. DE VOORDELEN VAN SIEM Een belangrijk voordeel van SIEM is dat je beleid proactief in plaats van reactief wordt, zegt Voogel. De respons wordt niet over je afgeroepen, maar je kunt het incident voor zijn, door het systeem automatisch te laten reageren op bepaalde situaties. Als je weet dat een wachtwoord bijvoorbeeld al een jaar lang niet gewijzigd is, dan kun je daar wat mee doen, omdat SIEM dat monitort. Dat levert tegelijkertijd een winst in efficiëntie op, want je kunt heel veel steeds terugkomende handelingen automatiseren, zoals het weigeren van toegang aan gebruikers die tien keer de verkeerde credentials invoeren, of het afsluiten van oneigenlijke apps op basis van vooraf geformuleerde regels. Maar het grootste voordeel voor ziekenhuizen is dat het dataverkeer inzichtelijk wordt gemaakt en men zo veel eenvoudiger kan voldoen aan de regelgeving. SIEM ME UP Uit onderzoek van Verizon blijkt dat organisaties tot 19% van het totale financiële risico dat ze lopen als gevolg van datalekken, kunnen voorkomen met een SIEM implementatie. De meeste SIEM-oplossingen in de markt zijn echter bijzonder prijzig in aanschaf en onderhoud, zegt Voogel. Dat weerhoudt veel ziekenhuizen ervan om nu al een SIEM-oplossing aan te schaffen. Het gaat vaak om investeringen van tonnen. Het kan echter veel goedkoper: een oplossing in een shared omgeving kan bijvoorbeeld voor een behoorlijke kostenreductie zorgen, vergeleken met een maatwerkoplossing. Wanneer die shared oplossing rekening houdt met de naleving van de NEN normen, dan heb je wel voordelen van een implementatie op maat, maar niet de kosten. Frank Voogel 34 INFOSECURITY MAGAZINE - NR. 4 - OKTOBER

19 DEELNEMERSLIJST IT SECURITY STORAGE IT MANAGEMENT SOLUTIONS Exposant Stand A10 Networks E066 Aerohive Networks E116 Airwatch B107 Akamai Technologies E164 Aras Security C146 Arista Networks D088 Arrow ECS Networking & Security E086 Atal A103 Barracuda Networks D056 Blancco A117 Bomgar E135 Cert2Connect C160 Cisco Systems B100 CompLions B117 Compumatica Secure Networks B116 Contec isc D130 CRYPSYS Data Security B122 CyberArk Software B143 Cyberoam Technologies Pvt. Ltd. C152 Data Protectors D145 Davinsi Labs E148 DearBytes B136 Dell B056 Dimension Data A144 Draytek B144 E-quipment E141 ESET NOD32 D116 Exclusive Networks C116 EXIN B123 F5 Networks C130 Feitian Technologies D157 Firebrand Training E 070 Fortinet E 086 Fox-IT C145 F-Secure A112 Gateprotect A116 G Data Software D137 GlobalSign D135 Huawei A044 IBM B048 INVEA-TECH A101 IP4sure A104 isoc24 B.V. D129 ITSX Information Technology Security experts B154 ix smartmobile E139 Kaspersky Lab E136 KeepltSafe A107 KPN D075 Logpoint A/S D129 Madison Gurkha B154 Minkels E056 Motiv D100 Multicap D170 Nagios Nederland E152 NetOp D131 NewChannel C152 Norman Data Defense Systems B162 Nutanix D088 Outpost24 E080 Exposant Palo Alto Networks Pine Digital Security PointSharp Prianto B.V. Pronovus Qi ict Qualys Rohde & Schwarz SafeNet Technologies Sectra Communications SecurIF Security Academy SMT Simple Management Technologies Sophos Splunk Services SRC Secure Solutions Swivel Secure Ltd. TechAccess Trend Micro Truphone TSTC UBM Van Randwijk Paperflow Solutions Varonis Veeam Software Voltage Security Watchguard Technologies Westcon Security Wyless Stand D115 E076 E154 C125 B139 A102 D134 A118 A136 C144 A129 A125 D076 D087 D076 A133 C152 A132 C088 C136 D153 A135 D165 D138 B103 D139 C123 E104 E156 Exposant ACES Direct Arcserve Arista Networks AXEZ Bull Catalogic Software Circom Cisco Systems CommVault Data Center Arnhem Data Management Professionals Dell Dimension Data Dovilo EAN Consulting EMC E-Storage Evault, A Seagate Company Fusion-io Hitachi Data Systems HP Huawei I3 groep IBM Imtech ICT Inprove Interconnect IS Group Kingston Technology LaCie NetApp Netgear Nexenta Nexsan Technologies Ltd. Nimble Storage N-TEC Nutanix Oracle PernixData PQR Pure Storage Puur Data QNAP Systems Qsan Technology Raidon Nederland Scholten Awater Seagate SimpliVity SJ-Solutions SLTN Super Micro Computer Synology Tectrade Telindus Tintri Virtual Instruments Zerto Zettastor ZyXEL Communications Stand A082 A060 D088 B030 B087 A040 A095 B100 C028 A071 B063 B056 A144 A049 A045 B076 B038 B088 B020 C076 B033 A044 B073 B048 B093 A068 A092 B079 A041 A067 C046 A080 B057 A079 D033 A045 D088 A032 A088 D039 C036 A036 A072 A045 A076 A056 A067 A033 B039 C029 A075 A061 B048 A024 A096 A121 A097 A090 A019 Exposant Arcade ICT Autotask Azlan Nederland Axios Systems Barracuda Networks Citrix Systems De ISM-methode Dupaco Distribution Forward IT Frontrange Solutions IGEL Technology InfraVision Matrix42 Mexon Technology Microsoft Monitor 24-7 Inc. Mproof Novell OGD ict-diensten OMNINET Technologies SMT Simple Management Technologies Splunk Services The Backbone TOPdesk Stand D040 E046 THEATER 2: Enterprise Mobility B006 D056 THEATER 2: Enterprise Mobility C004 B012 D005 D027 E050 E012 E048 D034 D048 & D050 E032 D028 B012 E041 E028 D076 D076 E007 C012 DEELNEMERSLIJST 40 BEURSSPECIAL MELD U NU AAN VIA INFOSECURITY.NL, STORAGE-EXPO.NL OF THETOOLINGEVENT.NL DEELNEMERSLIJST INFOSECURITY MAGAZINE - NR. 4 - OKTOBER

20 PLATTEGROND THEATER 1: IT Service Management & Control Situatie per , wijzigingen voorbehouden. Definitieve indeling was bij het ter perse gaan nog niet bekend. HOOFDSPONSOR THEATER 2: Enterprise Mobility THEATER 1 THEATER 2 THEATER 3 VIP LOUNGE THEATER 4 THEATER 5 THEATER 6 THEATER 7 HOOFDSPONSOR E012 THEATER BOULEVARD THEATER BOULEVARD THEATER BOULEVARD E148 E152 E154 E156 THEATER 3: Datacenter & Infrastructure Optimisation THEATER 4: Cloud Computing HOOFDSPONSOR THEATER 5: Cyber Security THEATER 6: Privacy, Governance & Risk Management HOOFDSPONSOR THEATER 7: Data Growth & Storage Capacity E007 D005 C004 B006 B012 TERRAS C012 B020 E028 D028 D027 C028 C029 B030 E032 E046 TOOLING EVENT D033 C036 E035 D034 D039 E048 E041 D040 B038 E050 D048 C046 B048 E056 D050 E066 TERRAS B056 E070 D056 E076 E080 D076 D075 C076 B076 D088 D087 C088 B088 E086 B100 D100 TERRAS E104 E116 D116 B116 D115 C116 E124 C125 E132 D130 B122 D129 C123 E134 E131 D131 C130 INFOSECURITY.NL D134 E135 E136 B136 E139 D138 D135 D137 C136 E141 D139 C146 D145 C144 C145 B144 MEDIA TERRAS D153 C152 D157 B154 E162 E164 D170 D166 D165 D161 C164 B162 C156 C160 STORAGE EXPO ENTREE HAL1 A024 A032 B033 B039 A036 A040 A044 B057 B063 B073 B079 B087 B093 B103 A082 A062 A090 A056 A068 A096 A102 A058 A060 A072 A076 A080 A088 A092 B107 A112 A104 A106 A118 A116 B117 B123 B127 A132 B139 B143 A136 A144 TERRAS TERRAS ENTREE A019 A033 A041 A045 A049 A061 A067 A071 A075 A079 A089 A095 A097 A101 A103 A107 A117 A121 A125 A129 A133 A135 A145 ENTREE JAARBEURS Hoofdsponsor: Intel en Cisco Intel, the Intel logo, Xeon, and Xeon Inside are trademarks or registered trademarks of Intel Corporation in the U.S. and/or other countries. NAAR 1 STE VERDIEPING: ZAAL 9: INFOSECURITY.NL - Management Seminars Werkelijke situatie Zaal 13 MEDIA PLAZA ZAAL 10: STORAGE EXPO - Technische Seminars ZAAL 11: STORAGE EXPO - Management Seminars Zaal 9 Zaal 10 Zaal 11 Zaal 12 ZAAL 12: INFOSECURITY.NL - Technische Seminars ZAAL 13: INFOSECURITY.NL - Seminars SUPERNOVA PLATTEGROND 42 BEURSSPECIAL MELD U NU AAN VIA INFOSECURITY.NL, STORAGE-EXPO.NL OF THETOOLINGEVENT.NL PLATTEGROND INFOSECURITY MAGAZINE - NR. 4 - OKTOBER

Op zoek naar gemoedsrust?

Op zoek naar gemoedsrust? Op zoek naar gemoedsrust? Proximus beveiligt uw ICT omgeving. Christophe Crous - Head Of Security Solutions 13 May 2016 Sensitivity: Unrestricted 1 Toenemende uitdagingen en cybergevaren Gevaren Phishing

Nadere informatie

Factsheet DATALEKKEN COMPLIANT Managed Services

Factsheet DATALEKKEN COMPLIANT Managed Services Factsheet DATALEKKEN COMPLIANT Managed Services DATALEKKEN COMPLIANT Managed Services We ontwerpen en implementeren security maatregelen om datalekken te detecteren en het risico daarop te minimaliseren.

Nadere informatie

Bescherming tegen de gevolgen van cyber risico s. Bedrijfsverzekeringen. CyberEdge van AIG

Bescherming tegen de gevolgen van cyber risico s. Bedrijfsverzekeringen. CyberEdge van AIG Bescherming tegen de gevolgen van cyber risico s Bedrijfsverzekeringen CyberEdge van AIG Wat zijn cyber risico s? Cyber risico s zijn een vaststaand gegeven in een wereld van informatie, informatiesystemen

Nadere informatie

HOE OMGAAN MET DE MELDPLICHT DATALEKKEN?

HOE OMGAAN MET DE MELDPLICHT DATALEKKEN? HOE OMGAAN MET DE MELDPLICHT DATALEKKEN? EEN HANDIGE CHECKLIST In deze whitepaper bieden we u handvatten die u kunnen helpen bij de implementatie van de meldplicht datalekken binnen uw organisatie. We

Nadere informatie

Cloud computing Helena Verhagen & Gert-Jan Kroese

Cloud computing Helena Verhagen & Gert-Jan Kroese Cloud computing Helena Verhagen & Gert-Jan Kroese Privacy Better business through better privacy Juridisch kader cloud computing Meldplicht datalekken Tips & Tricks Vragen? 2 Privacy https://www.youtube.com/watch?v=xyzthipktqg

Nadere informatie

Staat u wel eens stil bij de datarisico s die u loopt? verzekering bedrijfsrisico hypotheek pensioen

Staat u wel eens stil bij de datarisico s die u loopt? verzekering bedrijfsrisico hypotheek pensioen Staat u wel eens stil bij de datarisico s die u loopt? verzekering bedrijfsrisico hypotheek pensioen Kinderen van een jaar weten tegenwoordig al de weg op een tablet. De computer en het internet zijn niet

Nadere informatie

Unified Enterprise Security wordt geleverd door onze strategische partner Masergy, de wereldspeler in global communications en security.

Unified Enterprise Security wordt geleverd door onze strategische partner Masergy, de wereldspeler in global communications en security. Het verlengstuk van uw IT security operations: altijd (24x7) de beste expertise en meest actuele kennis, geïntegreerd zicht op wat er gebeurt in uw datacenter en eerder en Security as a Service Het verlengstuk

Nadere informatie

IBM; dataopslag; storage; infrastructuur; analytics; architectuur; big data

IBM; dataopslag; storage; infrastructuur; analytics; architectuur; big data Asset 1 van 10 Big Data Analytics voor Dummies Gepubliceerd op 30 june 2014 Gelimiteerde editie van de populaire Dummies-reeks, speciaal voor managers. Het boek legt uit waarom Big Data Analytics van cruciaal

Nadere informatie

Nationale IT Security Monitor 2015. Peter Vermeulen Pb7 Research

Nationale IT Security Monitor 2015. Peter Vermeulen Pb7 Research Nationale IT Security Monitor 2015 Peter Vermeulen Over het Onderzoek Jaarlijks terugkerende vragen Organisatie en beleid Investeringen en groei 2015 Thema s Databeveiliging (incl. Algemene Data Protectie

Nadere informatie

INFORMATIEBEVEILIGING VOOR WEBWINKELS

INFORMATIEBEVEILIGING VOOR WEBWINKELS INFORMATIEBEVEILIGING VOOR WEBWINKELS HANDIGE CHECKLISTS In deze whitepaper bieden we u tips en checklists die kunnen bijdragen aan een optimale beveiliging van zowel uw eigen data als die van uw klanten.

Nadere informatie

HOUD UW BEDRIJFSVOERING ALTIJD EN OVERAL VEILIG. Protection Service for Business

HOUD UW BEDRIJFSVOERING ALTIJD EN OVERAL VEILIG. Protection Service for Business HOUD UW BEDRIJFSVOERING ALTIJD EN OVERAL VEILIG Protection Service for Business WE LEVEN IN EEN MOBIELE WERELD WiFi Voetganger We maken gebruik van meer apparaten en verbindingen dan ooit tevoren. De mogelijkheid

Nadere informatie

Samenvatting Meldplicht Datalekken. Michael van der Vaart Head of Technology ESET Nederland

Samenvatting Meldplicht Datalekken. Michael van der Vaart Head of Technology ESET Nederland Samenvatting Meldplicht Datalekken & Michael van der Vaart Head of Technology ESET Nederland DISCLAIMER LET OP: Het gaat hier om een interpretatie van de omtrent de meldplicht datalekken. Deze interpretatie

Nadere informatie

Help, een datalek, en nu? IKT-College 16 februari 2016. Mirjam Elferink Advocaat IE, ICT en privacy

Help, een datalek, en nu? IKT-College 16 februari 2016. Mirjam Elferink Advocaat IE, ICT en privacy Help, een datalek, en nu? IKT-College 16 februari 2016 Mirjam Elferink Advocaat IE, ICT en privacy Inleiding Voorbeelden recente datalekken - Medische gegevens online door fout scanbedrijf (Bron: R. van

Nadere informatie

Beveiligingsbeleid Stichting Kennisnet

Beveiligingsbeleid Stichting Kennisnet Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek

Nadere informatie

Aanvraagformulier Cyber en Data Risks verzekering by Hiscox

Aanvraagformulier Cyber en Data Risks verzekering by Hiscox A Algemeen 1. Gegevens aanvrager Naam: Adres: Dochter- Bedrijven 50% aandel of meer: Heeft u een vestiging in de VS/ Canada Graag een opgave van uw activiteiten: Graag een opgave van uw website(s) : 2.

Nadere informatie

Factsheet SECURITY SCANNING Managed Services

Factsheet SECURITY SCANNING Managed Services Factsheet SECURITY SCANNING Managed Services SECURITY SCANNING Managed Services We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren. Met onze Security

Nadere informatie

INFORMATIEBEVEILIGING: WAAR STAAT U NU?

INFORMATIEBEVEILIGING: WAAR STAAT U NU? INFORMATIEBEVEILIGING: WAAR STAAT U NU? HANDIGE CHECKLISTS VOOR DE OVERHEIDSSECTOR In deze whitepaper bieden we u handvatten en checklists voor hoe u om kunt gaan met de nieuwe meldplicht datalekken. Steeds

Nadere informatie

Het Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV

Het Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV Het Sebyde aanbod Secure By Design AUG 2012 Sebyde BV Wat bieden wij aan? 1. Web Applicatie Security Audit 2. Secure Development 3. Security Awareness Training 4. Security Quick Scan 1. Web Applicatie

Nadere informatie

We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren.

We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren. Managed Services Managed Services We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren. Met onze Security Management diensten bewaken we de continuïteit

Nadere informatie

De Meldplicht Datalekken. mr. N. Falot 8 oktober 2015

De Meldplicht Datalekken. mr. N. Falot 8 oktober 2015 De Meldplicht Datalekken mr. N. Falot 8 oktober 2015 Over Considerati Wij zijn het leidend juridisch adviesbureau gespecialiseerd in Privacy, ICT recht en Beleidsvraagstukken Uitgebreide ervaring met privacy

Nadere informatie

Asset 1 van 17. Mobile Application Management en security. Gepubliceerd op 18 april 2015

Asset 1 van 17. Mobile Application Management en security. Gepubliceerd op 18 april 2015 Asset 1 van 17 Mobile Application Management en security Gepubliceerd op 18 april 2015 Veel organisaties hebben de afgelopen jaren hun eigen mobiele enterprise apps ontwikkeld. De data hierin is potentieel

Nadere informatie

m.b.v. digitale certificaten en PKI Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van VPN s

m.b.v. digitale certificaten en PKI Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van VPN s Beknopte dienstbeschrijving Beveiligen van VPN's m.b.v. digitale certificaten en PKI Document: Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van VPN s Inhoudsopgave 1. Inleiding 2 2. Snel te

Nadere informatie

Factsheet SECURITY SCANNING Managed Services

Factsheet SECURITY SCANNING Managed Services Factsheet SECURITY SCANNING Managed Services SECURITY SCANNING Managed Services We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren. Met onze Security

Nadere informatie

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1. www.traxion.com

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1. www.traxion.com Veilig de cloud in Whitepaper over het gebruik van Cloud-diensten deel 1 www.traxion.com Introductie Deze whitepaper beschrijft de integratie aspecten van clouddiensten. Wat wij merken is dat veel organisaties

Nadere informatie

Business Event AGENDA. 13 November 2014. Arrow ECS Houten

Business Event AGENDA. 13 November 2014. Arrow ECS Houten 13 November 2014 Business Event Arrow ECS Houten AGENDA OCHTEND Registratie en ontbijt 08:00-09:15 uur U kunt kiezen uit onderstaande sessies PRE-SALES & CONSULTANT Sessie Sessie 1 Sessie 2 NetApp - Converged

Nadere informatie

SECURITY UITDAGINGEN 2015

SECURITY UITDAGINGEN 2015 SECURITY UITDAGINGEN 2015 Hoe uw IT-infrastructuur beschermen? Robby Cauwerts Security Engineer 2015 Check Point Software Technologies Ltd. 1 CHECK POINT NAMED A LEADER IN THE GARTNER MAGIC QUADRANTS FOR

Nadere informatie

Robert de Heer. IT Service Group. Cybercrime. Grote markt

Robert de Heer. IT Service Group. Cybercrime. Grote markt uw thema vandaag DE WET OP DATALEKKEN Robert de Heer IT Service Group Wakker worden! Security noodzaak voor u en uw bedrijf het geluid van ondernemers uw gastheer Pieter van Egmond Weet U Internet is de

Nadere informatie

NSS Labs kent aan de geavanceerde systemen van Fortinet om doorbraken in de beveiliging tegen APT s te detecteren, de notering Aanbevolen toe

NSS Labs kent aan de geavanceerde systemen van Fortinet om doorbraken in de beveiliging tegen APT s te detecteren, de notering Aanbevolen toe Persbericht Contactpersoon voor de media: Cedric Pauwels Peak Com 0032 2 454 55 55 cedric.pauwels@peakcom.eu NSS Labs kent aan de geavanceerde systemen van Fortinet om doorbraken in de beveiliging tegen

Nadere informatie

Datadiefstal: Gone in 60 Seconds!

Datadiefstal: Gone in 60 Seconds! Datadiefstal: Gone in 60 Seconds! Didacticum Solutions Datadiefstal en ontwikkelingen Het komt regelmatig voor: klantgegevens of intellectuele eigendommen van bedrijven worden door hackers gestolen. Denk

Nadere informatie

Medische gegevens zijn geclassificeerd als bijzondere persoonsgegevens en vragen extra aandacht!

Medische gegevens zijn geclassificeerd als bijzondere persoonsgegevens en vragen extra aandacht! Privacy is het recht op eerbiediging van de persoonlijke levenssfeer. Privacy van informatie is de afwezigheid van informatie over onszelf bij anderen en bovendien het verbod aan anderen om zonder onze

Nadere informatie

BEVEILIGINGSARCHITECTUUR

BEVEILIGINGSARCHITECTUUR BEVEILIGINGSARCHITECTUUR Risico s onder controle Versie 1.0 Door: drs. Ir. Maikel J. Mardjan MBM - Architect 2011 cc Organisatieontwerp.nl AGENDA Is een beveiligingsarchitectuur wel nodig? Oorzaken beveiligingsincidenten

Nadere informatie

Microsoft Office 365 voor bedrijven. Remcoh legt uit

Microsoft Office 365 voor bedrijven. Remcoh legt uit Microsoft Office 365 voor bedrijven Remcoh legt uit Beter samenwerken, ook onderweg Starten met Office 365 is starten met het nieuwe werken. Met Office 365 heeft u namelijk de mogelijkheid om altijd en

Nadere informatie

Bijlage 2 Beveiligingsplan. Informatiebeveiliging

Bijlage 2 Beveiligingsplan. Informatiebeveiliging Bijlage 2 Beveiligingsplan Informatiebeveiliging De verantwoordelijkheid voor informatiebeveiliging ligt bij het dagelijks bestuur. In de DB-vergadering van 31 augustus 2015 is stilgestaan bij een aantal

Nadere informatie

Bring it Secure. Whitepaper

Bring it Secure. Whitepaper Whitepaper Imtech ICT Communication Solutions, Rivium Boulevard 41 2909 LK Capelle a/d IJssel T +31 88 988 96 00, info.cs@imtech.nl, www.imtech.nl/cs Imtech Vandaag de dag moet security een standaard

Nadere informatie

Oplossingen overzicht voor Traderouter > 02/11/2010

Oplossingen overzicht voor Traderouter > 02/11/2010 Oplossingen overzicht voor Traderouter > 02/11/2010 Netconnex is opgericht in 2004 (Gezeteld in Belgie maar het hoofd datacenter gelegen in Nederland [omgeving Amsterdam]). Zeer gestaag groeiende onderneming

Nadere informatie

Meldplicht datalekken. ehealth Best Practice Day Juliette Citteur 18 mei 2016

Meldplicht datalekken. ehealth Best Practice Day Juliette Citteur 18 mei 2016 Meldplicht datalekken ehealth Best Practice Day Juliette Citteur 18 mei 2016 Onderwerpen I. Inleiding II. Cijfers datalekken III. Recente voorbeelden datalekken in de zorg IV. Beveiliging en meldplicht

Nadere informatie

Simac Kennissessie Security HENRI VAN DEN HEUVEL

Simac Kennissessie Security HENRI VAN DEN HEUVEL Simac Kennissessie Security HENRI VAN DEN HEUVEL Ontvangst Introductie en Kennismaking Cyber Securitytrends Agenda De vijf grootste security risico s Simac s visie op security Q&A Lunch Cyber security

Nadere informatie

Whitepaper SCADA / ICS & Cyber Security

Whitepaper SCADA / ICS & Cyber Security Whitepaper SCADA / ICS & Cyber Security Kasper van Wersch Erwin van Harrewijn Qi ict, januari 2016 Inhoudsopgave Inhoudsopgave 1 1. Risico s industriële netwerken 2 2. SCADA / ICS beveiliging 4 3. Qi ict

Nadere informatie

Is uw IT waterdicht? Nee! Wat wordt er van jullie verwacht om persoonsgegevens te beschermen onder de wet meldplicht datalekken en verder?

Is uw IT waterdicht? Nee! Wat wordt er van jullie verwacht om persoonsgegevens te beschermen onder de wet meldplicht datalekken en verder? Is uw IT waterdicht? Nee! Wat wordt er van jullie verwacht om persoonsgegevens te beschermen onder de wet meldplicht datalekken en verder? 1 Onderwerpen Wat zegt de huidige wet en de komende Europese Privacy

Nadere informatie

Factsheet SECURITY CONSULTANCY Managed Services

Factsheet SECURITY CONSULTANCY Managed Services Factsheet SECURITY CONSULTANCY Managed Services SECURITY CONSULTANCY Managed Services We adviseren u over passende security-maatregelen voor uw digitale platform. Zo helpen we u incidenten als datadiefstal

Nadere informatie

Informatiebeveiliging voor gemeenten: een helder stappenplan

Informatiebeveiliging voor gemeenten: een helder stappenplan Informatiebeveiliging voor gemeenten: een helder stappenplan Bewustwording (Klik hier) Structureren en borgen (Klik hier) Aanscherping en maatwerk (Klik hier) Continu verbeteren (Klik hier) Solviteers

Nadere informatie

IT Security Een keten is zo sterk als de zwakste schakel.

IT Security Een keten is zo sterk als de zwakste schakel. IT Security Een keten is zo sterk als de zwakste schakel. René Voortwist ICT Adviseur Leg het mij uit en ik vergeet het. Laat het me zien en ik onthoud het misschien, maar betrek mij erbij en ik begrijp

Nadere informatie

Bring Your Own Device onder controle. Tanja de Vrede

Bring Your Own Device onder controle. Tanja de Vrede Bring Your Own Device onder controle Tanja de Vrede Bring Your Own Device onder controle 5 tools om zelf meegebrachte apparaten te beheren 12 maart 2013 Tanja de Vrede Het gebruik van eigen mobiele apparatuur

Nadere informatie

Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015

Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015 Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015 INHOUD 1) Wat is informatiebeveiliging (IB) nu eigenlijk? 2) Wat houdt IB binnen

Nadere informatie

GOEDE ZORG VOOR ONDERZOEKSDATA.

GOEDE ZORG VOOR ONDERZOEKSDATA. GOEDE ZORG VOOR ONDERZOEKSDATA. Ziekenhuislaboratorium LabWest vertrouwt IT-infrastructuur toe aan Sentia Sinds 2011 werken verschillende ziekenhuizen in en rondom Den Haag met een gezamenlijke laboratoriumorganisatie.

Nadere informatie

Worry Free Business Security 7

Worry Free Business Security 7 TREND MICRO Worry Free Business Security 7 Veelgestelde vragen (extern) Dal Gemmell augustus 2010 Inhoud Kennismaking met Worry Free Business Security... 3 Wat is Worry Free Business Security?... 3 Wanneer

Nadere informatie

e-token Authenticatie

e-token Authenticatie e-token Authenticatie Bescherm uw netwerk met de Aladdin e-token authenticatie oplossingen Aladdin is een marktleider op het gebied van sterke authenticatie en identiteit management. De behoefte aan het

Nadere informatie

Digitaal verantwoord ondernemen in 10 stappen

Digitaal verantwoord ondernemen in 10 stappen Digitaal verantwoord ondernemen in 10 stappen Als ondernemer in het midden- en klein bedrijf wilt u elke dag vooruit. Daarom omarmt u graag nieuwe ICTtoepassingen. De bijbehorende beveiliging krijgt alleen

Nadere informatie

BESCHERM UW BEDRIJF, WAAR U OOK GAAT. Protection Service for Business

BESCHERM UW BEDRIJF, WAAR U OOK GAAT. Protection Service for Business BESCHERM UW BEDRIJF, WAAR U OOK GAAT Protection Service for Business WE LEVEN IN EEN MOBIELE WERELD WiFi Voetganger We maken tegenwoordig gebruik van meer apparaten via meer verbindingen dan ooit tevoren.

Nadere informatie

Impact van de meldplicht datalekken

Impact van de meldplicht datalekken Impact van de meldplicht datalekken Vanaf 1 januari 2016 wordt het wettelijk verplicht om datalekken te melden. Zowel grootschalige inbraak als ieder kwijtraken, diefstal of onbevoegd gebruik van persoonsgegevens

Nadere informatie

Je bent zichtbaarder dan je denkt Een programma over cyber security awareness. Informatie voor managers

Je bent zichtbaarder dan je denkt Een programma over cyber security awareness. Informatie voor managers Je bent zichtbaarder dan je denkt Een programma over cyber security awareness Informatie voor managers Je bent zichtbaarder dan je denkt Informatie voor managers 2 Voorwoord Het cybersecuritybeeld van

Nadere informatie

zorgeloos werken in de cloud

zorgeloos werken in de cloud metacom cloud functionele mogelijkheden zorgeloos werken in de cloud vanmeijel.nl bouwen kan simpeler Metacom is één van de meest bedrijfskritische applicaties binnen uw organisatie. De beschikbaarheid,

Nadere informatie

Resultaten van de scan. Open poorten. High vulnerabilities. Medium vulnerabilites. Low vulnerabilities

Resultaten van de scan. Open poorten. High vulnerabilities. Medium vulnerabilites. Low vulnerabilities De Nessus scan We hebben ervoor gekozen om de webserver met behulp van Nessus uitvoerig te testen. We hebben Nessus op de testserver laten draaien, maar deze server komt grotendeels overeen met de productieserver.

Nadere informatie

BEST PRACTICES MOBILE DEVICE MANAGEMENT EN MOBILE SECURITY.

BEST PRACTICES MOBILE DEVICE MANAGEMENT EN MOBILE SECURITY. BEST PRACTICES MOBILE DEVICE MANAGEMENT EN MOBILE SECURITY. With Kaspersky, now you can. kaspersky.nl/business Be Ready for What s Next INHOUD Pagina 1. 24/7 MOBIELE TOEGANG...2 2. MOBILE DEVICE MANAGEMENT

Nadere informatie

Meldplicht datalekken

Meldplicht datalekken Meldplicht datalekken Peter Westerveld Directeur en principal security consultant Sincerus consultancy Sincerus Cybermonitor Opgericht in 2004 20 medewerkers Informatiebeveiliging Zwolle en Enschede 15-02-16

Nadere informatie

Office 365. Auteur: Roy Scholten Datum: 9/11/2015 Versie: 1.3 OPENICT B.V.

Office 365. Auteur: Roy Scholten Datum: 9/11/2015 Versie: 1.3 OPENICT B.V. Office 365. Auteur: Roy Scholten Datum: 9/11/2015 Versie: 1.3 Over Open ICT De afgelopen jaren zijn de technische ontwikkelingen snel gegaan, de typemachine is vervangen door de tablet. De ontwikkelingssnelheid

Nadere informatie

IT Security in de industrie

IT Security in de industrie IT Security in de industrie Praktische ervaringen met cyber security in de Energiesector en Procesindustrie Henk Spelt Henk.Spelt@kema.com Experience you can trust. Onderwerpen Waarom is (cyber) security

Nadere informatie

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging Seminar Trends in Business & IT bij woningcorporaties Informatiebeveiliging Agenda Rondje verwachtingen Even voorstellen.. Informatiebeveiliging waarom? Stand van zaken bij corporaties Informatiebeveiliging

Nadere informatie

vakbladen - websites - e-mailnieuwsbrieven - congressen - PR - research - persberichten - marketingcommunicatie

vakbladen - websites - e-mailnieuwsbrieven - congressen - PR - research - persberichten - marketingcommunicatie vakbladen - websites - e-mailnieuwsbrieven - congressen - PR - research - persberichten - marketingcommunicatie Recht op uw doel af FenceWorks heeft dankzij de combinatie van haar printtitels, contacten

Nadere informatie

DATA LEKKAGE en MELDPLICHT SHADOW IT INTRUSION

DATA LEKKAGE en MELDPLICHT SHADOW IT INTRUSION Lantech 2013 2015 All rights reserved DATA LEKKAGE en MELDPLICHT SHADOW IT INTRUSION Hans-Willem Verwoerd ~ IT-Security consultant 1 Waarom? Waarom aandacht voor shadow IT, data lekkage en intrusion? Per

Nadere informatie

Sebyde Security in een organisatie A3 Management Workshop. 7 Januari 2014

Sebyde Security in een organisatie A3 Management Workshop. 7 Januari 2014 Sebyde Security in een organisatie A3 Management Workshop 7 Januari 2014 Even voorstellen Sebyde BV is Certified IBM Business Partner voor security systems, gespecialiseerd in applicatie security en security

Nadere informatie

Solution Dag 2015. refresh-it. Printing. Frits de Boer Frenk Tames 1 12.06.2015

Solution Dag 2015. refresh-it. Printing. Frits de Boer Frenk Tames 1 12.06.2015 Solution Dag 2015. refresh-it Printing Frits de Boer Frenk Tames 1 12.06.2015 Agenda. 1. Welkom Frits de Boer 2. Samsung Printing Frenk Tames 3. Rondleiding Tonerfabriek ARP Supplies 2 12.06.2015 Solution

Nadere informatie

Advocatuur en informatie beveiliging Een hot topic

Advocatuur en informatie beveiliging Een hot topic Advocatuur en informatie beveiliging Een hot topic René van den Assem Partner @ Verdonck, Klooster & Associates eherkenning adviseur @ ICTU Rene.vandenassem@vka.nl De achterstandspositie PwC en IronMountain

Nadere informatie

Optimale ICT-beveiliging. Van advies en ontwikkeling tot implementatie en beheer

Optimale ICT-beveiliging. Van advies en ontwikkeling tot implementatie en beheer Optimale ICT-beveiliging Van advies en ontwikkeling tot implementatie en beheer 1 Inhoud Deze brochure geeft u meer uitleg over de manier waarop Telenet de ICT van uw bedrijf kan beveiligen. Ervaring,

Nadere informatie

De Enterprise Security Architectuur

De Enterprise Security Architectuur De Enterprise Security Architectuur Martijn Doedens Security Consultant Peter Mesker CTO IT SECURITY IS TOPSPORT! Wat is de definitie?! Een enterprise security architectuur omvat alle noodzakelijke elementen

Nadere informatie

Beveiligingsmaatregelen voor een doeltreffende Cyber verdediging

Beveiligingsmaatregelen voor een doeltreffende Cyber verdediging Beveiligingsmaatregelen voor een doeltreffende Cyber verdediging ivo.depoorter@v-ict-or.be V-ICT-OR Vlaamse ICT organisatie Ons overkomt dit niet.of toch? Inschatting Risico Kans X Schade Zijn wij een

Nadere informatie

Raadsmededeling - Openbaar

Raadsmededeling - Openbaar Raadsmededeling - Openbaar Nummer : 54/2016 Datum : 22 maart 2016 B&W datum : 22 maart 2016 Beh. ambtenaar : Annelies te Booij Portefeuillehouder : G. Berghoef Onderwerp : Meldplicht datalekken Aanleiding

Nadere informatie

Hoe kunt u profiteren van de cloud? Whitepaper

Hoe kunt u profiteren van de cloud? Whitepaper Hoe kunt u profiteren van de cloud? Whitepaper Auteur: Roy Scholten Datum: woensdag 16 september, 2015 Versie: 1.1 Hoe u kunt profiteren van de Cloud Met de komst van moderne technieken en de opmars van

Nadere informatie

Introduceert KASPERSKY ENDPOINT SECURITY FOR BUSINESS

Introduceert KASPERSKY ENDPOINT SECURITY FOR BUSINESS Introduceert KASPERSKY ENDPOINT SECURITY FOR BUSINESS 1 Business strategieën en de impact voor de IT FLEXIBILITEIT Snel handelen met wendbaarheid en flexibiliteit Voor 66% van de organisaties staat flexibiliteit

Nadere informatie

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014 Zekerheid in de Cloud ICT Accountancy praktijk dag: Cloud computing 27 mei 2014 Agenda - Wat speelt zich af in de Cloud - Cases - Keurmerk Zeker-OnLine - Wat is het belang van de accountant en het administratiekantoor

Nadere informatie

Meer mogelijkheden voor mobiele medewerkers met secure app delivery

Meer mogelijkheden voor mobiele medewerkers met secure app delivery Meer mogelijkheden voor mobiele medewerkers met secure app delivery Werken met Windows-applicaties op alle mogelijke devices, met volledige security. Om gemakkelijk en productief te werken, willen veel

Nadere informatie

Berry Kok. Navara Risk Advisory

Berry Kok. Navara Risk Advisory Berry Kok Navara Risk Advisory Topics Informatiebeveiliging in het nieuws Annual Benchmark on Patient Privacy & Data Security Informatiebeveiliging in de zorg Extra uitdaging: mobiel Informatiebeveiliging

Nadere informatie

Dicht het security gat - Microsoft SharePoint, OCS, en Exchange met Secure File Sharing Heeft uw organisatie ook een Dropbox probleem?

Dicht het security gat - Microsoft SharePoint, OCS, en Exchange met Secure File Sharing Heeft uw organisatie ook een Dropbox probleem? Dicht het security gat - Microsoft SharePoint, OCS, en Exchange met Secure File Sharing Heeft uw organisatie ook een Dropbox probleem? Executive summary Organisaties maken meer en meer gebruik van online

Nadere informatie

Maak kennis met. donderdag 19 november 2015

Maak kennis met. donderdag 19 november 2015 Maak kennis met wie is GeeFirm GeeFirm Ervaring en referenties in allerlei sectoren Synmotive Internet Overal Cloud - Telecom - Web - IT 24 x 7 support 100% web based office onderdeel van AllSolutions

Nadere informatie

De Uitdagingen van Mobiele Apparaten Managen

De Uitdagingen van Mobiele Apparaten Managen Kaseya Onderzoek De Uitdagingen van Mobiele Apparaten Managen 2011 www.kaseya.nl Over dit rapport In dit rapport worden de resultaten gepresenteerd van een onderzoek dat door Kaseya is geïnitieerd en uitgevoerd

Nadere informatie

1. Uw tablet beveiligen

1. Uw tablet beveiligen 11 1. Uw tablet beveiligen Het risico op virussen of andere schadelijke software (malware genoemd) is bekend van pc s. Minder bekend is dat u ook op een tablet met malware geconfronteerd kan worden als

Nadere informatie

Het Sebyde aanbod. Secure By Design

Het Sebyde aanbod. Secure By Design Het Sebyde aanbod Secure By Design Ons aanbod Security Scan Secure Development Security Awareness Security Assessment 1. Security Scan > Scan van uw web applicatie(s) op kwetsbaarheden. Hiervoor gebruiken

Nadere informatie

Wet meldplicht datalekken

Wet meldplicht datalekken Wet meldplicht datalekken MKB Rotterdam Olaf van Haperen + 31 6 17 45 62 99 oh@kneppelhout.nl Introductie IE-IT specialisme Grootste afdeling van Rotterdam e.o. Technische ontwikkelingen = juridische ontwikkelingen

Nadere informatie

HOE EENVOUDIG IS HET OM GEBRUIK TE MAKEN VAN CLOUD COMPUTING?

HOE EENVOUDIG IS HET OM GEBRUIK TE MAKEN VAN CLOUD COMPUTING? Innervate: Januari 2011 WHITEPAPER CLOUD COMPUTING HOE EENVOUDIG IS HET OM GEBRUIK TE MAKEN VAN CLOUD COMPUTING? Lees hier in het kort hoe u zich het best kunt bewegen in de wereld van cloud computing

Nadere informatie

We helpen u security-incidenten te voorkomen

We helpen u security-incidenten te voorkomen Managed Services Managed Services We adviseren u over passende security-maatregelen voor uw digitale platform. Zo helpen we u incidenten als datadiefstal te voorkomen en behoeden we u voor imagoschade.

Nadere informatie

HP Hyper-ConvergedSystem StoreVirtual & EVO: RAIL

HP Hyper-ConvergedSystem StoreVirtual & EVO: RAIL U aangeboden door HP & Intel HP Hyper-ConvergedSystem StoreVirtual & EVO: RAIL Ready... Set... Done! Een gevirtualiseerde datacenter omgeving in 15 min. met de Hyper-Converged systemen van HP Server- en

Nadere informatie

Sebyde Web Applicatie Security Scan. 7 Januari 2014

Sebyde Web Applicatie Security Scan. 7 Januari 2014 Sebyde Web Applicatie Security Scan 7 Januari 2014 Even voorstellen Sebyde BV is Certified IBM Business Partner voor security systems, gespecialiseerd in applicatie security en security awareness. We leveren

Nadere informatie

Cloud Services Uw routekaart naar heldere IT oplossingen

Cloud Services Uw routekaart naar heldere IT oplossingen Cloud Services Uw routekaart naar heldere IT oplossingen Uw IT schaalbaar, altijd vernieuwend en effectief beschikbaar > Het volledige gemak van de Cloud voor uw IT oplossingen > Goede schaalbaarheid en

Nadere informatie

Altijd en overal in de cloud. Al uw data en applicaties vanaf elk device bereikbaar voor uw medewerkers

Altijd en overal in de cloud. Al uw data en applicaties vanaf elk device bereikbaar voor uw medewerkers Altijd en overal in de cloud Al uw data en applicaties vanaf elk device bereikbaar voor uw medewerkers Zorgeloos in de cloud De wereld verandert voortdurend en ook ons werkmodel bevindt zich in een fase

Nadere informatie

Nieuwe Privacywetgeving per 1-1-2016. Wat betekent dit voor u?

Nieuwe Privacywetgeving per 1-1-2016. Wat betekent dit voor u? Nieuwe Privacywetgeving per 1-1-2016. Wat betekent dit voor u? Inleiding De Wet Bescherming Persoonsgegevens (WBP) is de Nederlandse wetgeving die sinds 2001 van kracht is voor het beschermen van de privacy

Nadere informatie

Sr. Security Specialist bij SecureLabs

Sr. Security Specialist bij SecureLabs Wie ben ik? Ronald Kingma, CISSP ronald@securelabs.nl Sr. Security Specialist bij SecureLabs Introductie SecureLabs Voorheen ISSX Code of Conduct Real Penetration Testing Vulnerability Management Veiligheidsincidenten

Nadere informatie

Sim as a Service. Veilig en betrouwbaar beheer op afstand van systemen via M2M datacommunicatie

Sim as a Service. Veilig en betrouwbaar beheer op afstand van systemen via M2M datacommunicatie Sim as a Service Veilig en betrouwbaar beheer op afstand van systemen via M2M datacommunicatie RAM Mobile Data Sim as a Service Veilig en betrouwbaar beheer op afstand van systemen via M2M datacommunicatie

Nadere informatie

BE READY FOR WHAT S NEXT! Kaspersky Open Space Security

BE READY FOR WHAT S NEXT! Kaspersky Open Space Security BE READY FOR WHAT S NEXT! Open Space Security Internetaanvallen zijn reëel. Alleen vandaag al, heeft de Lab-technologie bijna 3 miljoen aanvallen voorkomen die waren gericht tegen onze wereldwijde klanten.

Nadere informatie

Factsheet Enterprise Mobility

Factsheet Enterprise Mobility Factsheet Enterprise Mobility www.vxcompany.com Informatie willen we overal, altijd en op elk device beschikbaar hebben. Privé, maar zeker ook zakelijk. Met het gebruik van mobile devices zoals smartphones

Nadere informatie

VERZEGEL UW DIGITALE NETWERK. BELANGRIJKE INFORMATIE ALTIJD, OVERAL EN VEILIG TOEGANKELIJK

VERZEGEL UW DIGITALE NETWERK. BELANGRIJKE INFORMATIE ALTIJD, OVERAL EN VEILIG TOEGANKELIJK VERZEGEL UW DIGITALE NETWERK. BELANGRIJKE INFORMATIE ALTIJD, OVERAL EN VEILIG TOEGANKELIJK Uw organisatie staat bekend als open en toegankelijk. Dat is goed, maar die openheid geldt niet voor de informatie

Nadere informatie

Automatische online en lokale backup en recovery van bedrijfsdata

Automatische online en lokale backup en recovery van bedrijfsdata Automatische online en lokale backup en recovery van bedrijfsdata Omdat u moet kunnen vertrouwen op uw backup... BACKUPAGENT, DE VOORDELEN OP EEN RIJ - Veilige backups zonder omkijken, alle bedrijfskritische

Nadere informatie

Beveiliging en bescherming privacy

Beveiliging en bescherming privacy Beveiliging en bescherming privacy Beveiliging en bescherming privacy Duobus B.V. Nieuwe Boteringestraat 82a 9712PR Groningen E info@duobus.nl I www.duobus.nl September 2014 2 Voorwoord Als organisatie

Nadere informatie

Privacy & Security Statement / Werkend Nederland BV. Werken met Persoonsgegevens

Privacy & Security Statement / Werkend Nederland BV. Werken met Persoonsgegevens Privacy & Security Statement / Werkend Nederland BV Inleiding Werkend Nederland werkt met persoonsgegevens. We zijn ons hiervan bewust en gaan integer om met uw gegevens. In dit document kunt u lezen hoe

Nadere informatie

5 CLOUD MYTHES ONTKRACHT

5 CLOUD MYTHES ONTKRACHT 5 CLOUD MYTHES ONTKRACHT Na enkele jaren ervaring met de cloud, realiseren zowel gebruikers als leveranciers zich dat enkele van de vaakst gehoorde mythes over cloud computing eenvoudigweg... niet waar

Nadere informatie

Doe de poll via the Live App

Doe de poll via the Live App INGRID LIGTHART Je software in de private cloud Doe de poll via the Live App Iedereen heeft het over cloud Cloud is de toekomst Doe mee aan de private cloud poll! Geef nu uw mening via de Exact live app

Nadere informatie

Fors besparen op uw hostingkosten

Fors besparen op uw hostingkosten Whitepaper Fors besparen op uw hostingkosten Hoe kunt u een kostenvoordeel behalen zonder dat dat ten koste gaat van de kwaliteit van uw dienstverlening? INHOUD» De hostingmarkt» Cloud technologie» Uitbesteden

Nadere informatie

vakbladen - websites - e-mailnieuwsbrieven - congressen - PR - research - persberichten - marketingcommunicatie

vakbladen - websites - e-mailnieuwsbrieven - congressen - PR - research - persberichten - marketingcommunicatie vakbladen - websites - e-mailnieuwsbrieven - congressen - PR - research - persberichten - marketingcommunicatie Recht op uw doel af FenceWorks heeft dankzij de combinatie van haar printtitels, mediacontacten

Nadere informatie

Meldplicht Datalekken

Meldplicht Datalekken Meldplicht Datalekken Wolter Karssenberg RE, CIPP/E, CIPM drs. Erik König EMITA 10 december 2015 Agenda Datalekken Meldplicht Beleidsregels Beheersen So what! We ll just pay the fine! 2 Agenda Datalekken

Nadere informatie