organisatie voor twee?

Maat: px
Weergave met pagina beginnen:

Download "organisatie voor twee?"

Transcriptie

1 THEMA INFORMATIEBEVEILIGING: CYBERCRIME Steeds meer beveiligingsincidenten steken de kop op Mr. W.H.M. Hafkamp, programmamanager Informatiebeveiliging Rabobank Groep te Utrecht Telt een gewaarschuwde organisatie voor twee? 19 Informatiebeveiligingsincidenten zijn in de Westerse samenleving een serieus probleem aan het worden. Niet voor niets besteden overheid, het bedrijfsleven en de academische wereld veel aandacht aan het voorkomen en het bestrijden ervan. In dit artikel doet de auteur een voorlopig verslag van een promotieonderzoek naar dit fenomeen. WIM HAFKAMP

2 20 Meer blauw in cyberspace, zo luidt een van de aanbevelingen uit een onderzoek uitgevoerd door het onderzoeks- en adviesbureau DSP groep en TNO/FEL in opdracht van het door de minister van Binnenlandse Zaken geïnitieerde Programma Politie en Wetenschap. Het onderzoek schetst een beeld van de omvang en ontwikkeling van cybercrime in Nederland en geeft aanbevelingen voor de bestrijding ervan. Binnen de Nederlandse politieorganisatie is inmiddels een plan ontwikkeld tot de oprichting van een zogenoemd Hacking Emergency Response Team (HERT), dat een centrale rol moet gaan spelen bij de opsporing, bestrijding en voorkoming van (opzettelijke) elektronische aanvallen op kritieke infrastructuren in Nederland (zie hiervoor het Inrichtingsplan voor Hacking Emergency Response Team mei 2002, van het Landelijk projectbureau Digitaal Rechercheren). De nadruk zal hierbij worden gelegd op opsporing van daders. Veel organisaties zijn kwetsbaar voor cybercrime Cybercrime Het rechercherapport Cybercrime van het Korps Landelijke Politiediensten onderscheidt twee verschijningsvormen van cybercrime. De eerste vorm is die waarbij de computer als middel wordt gebruikt bij de uitvoering van strafbare of strafwaardige gedragingen, zoals (virtuele) kinderpornografie en witwassen. De tweede verschijningsvorm is die waarbij de computer ook het doel is van de strafbare of strafwaardige gedragingen: cybercrime in enge zin, zoals (distributed) denialof-service-aanvallen en computervredebreuk (hacking). Expertise-bundeling De razendsnelle opkomst en verspreiding van bedreigingen voor gegevensverwerkende ICT-componenten heeft in de afgelopen jaren geleid tot een forse toename van technische maatregelen. Naast de implementatie van antivirussoftware en firewall-systemen beschikt een aantal ondernemingen inmiddels over een Intrusion Detection System, waarmee afwijkende netwerkpatronen real-time kunnen worden gedetecteerd en gemeld. Ook in organisatorische zin is er het nodige gebeurd, waaronder de inrichting van zogeheten Computer Emergency Response Teams (CERT s). Doel van dergelijke teams is het bundelen van vooral technische expertise om de ICT-beheerder of gebruiker te ondersteunen bij het verhelpen van een informatiebeveiligingsincident. De term Computer Emergency Response Teams CERT (soms ook aangeduid als Computer Security Incident Response Teams CSIRT), is in 1988 ontstaan nadat een zogenoemd wormprogramma een explosie van kopieën van zichzelf verspreidde naar andere op internet aangesloten computers. Het programma veroorzaakte een computer shutdown van ongeveer tien procent van alle, wereldwijd, op internet aangesloten computers. Dit eerste majeure computerbeveiligingsincident leidde in Amerika tot de oprichting van het CERT (Coordination Center) (CERT/CC; door het Defense Advanced Research Projects Agency (Darpa). Al snel volgden andere landen het voorbeeld. In Nederland werd als eerste CERT-NL (cert-nl.surfnet.nl) als overkoepelend Incident Response Team voor SURFnet en de daarop aangesloten netwerken (hoofdzakelijk hoger onderwijs en onderzoekswereld) opgericht. figuur 1 Most Agressive Attack Sources By IP-Address

3 Trends in beveiligingsincidenten Als gevolg van de naweeën van grote wereldwijde computervirusincidenten en beschikbaarheidsaanvallen op webservers blijkt dat veel organisaties die actief zijn op internet ondanks forse informatiebeveiligingsmaatregelen kwetsbaar zijn voor cybercrime, zoals (distributed) denial-of-service-aanvallen en computervredebreuk (hacking). Het Amerikaanse CERT( Coordination Center (CERT/CC; zie geeft een aantal trends met betrekking tot informatiebeveiligingsincidenten: Trend 1: Automatisering; snelheid van aanvalsmiddelen Het niveau van automatisering in aanvalsmiddelen neemt verder toe. Geautomatiseerde aanvallen kennen over het algemeen vier fasen: 1. Scannen op potentiële slachtoffers; 2. Compromitteren van kwetsbare systemen; 3. Propageren van de aanval; 4. Gecoördineerd beheer van aanvalshulpmiddelen ten behoeve van denial-of-service-aanvallen, scanning en compromitteren van kwetsbare systemen (de zogeheten hybride aanvallen). Trend 2: Toenemende complexiteit van aanvalsmiddelen Signatures van aanvalsmiddelen zijn moeilijker te analyseren en te detecteren (door bijvoorbeeld antivirusprogrammatuur). Drie karakteristieken voor deze trend zijn: het anti-forensische karakter, het dynamische gedrag en de modulariteit van de aanvalsmiddelen. Dit alles leidt ertoe dat het steeds moeilijker wordt om aanvallen te onderscheiden van legitiem netwerkverkeer. Trend 3: Snellere ontdekking van kwetsbaarheden Het aantal nieuw ontdekte kwetsbaarheden gerapporteerd aan het CERT Coordination Center verdubbelt ieder jaar. Het is voor beheerders een moeilijk taak om bij te blijven met patches. Bovendien worden ieder jaar nieuwe klassen kwetsbaarheden ontdekt. Reviews van bestaande softwarecodes leiden soms tot de ontdekking van deze nieuwe kwetsbaarheden in honderden verschillende softwareproducten. Indringers zijn vaak in staat om deze exemplaren sneller te ontdekken dan dat leveranciers in staat zijn ze te corrigeren. Vanwege deze trend tot geautomatiseerde ontdekking van nieuwe kwetsbaarheden wordt de zogeheten time to patch steeds kleiner. Na de commotie rond het I-Love-you-virus en distributed denial-of-service-aanvallen op gerenommeerde Amerikaanse websites aan het eind van de jaren negentig heeft een aantal nationale overheden besloten tot oprichting van een nationaal meldpunt- en coördinatiepunt voor computer security-incidenten. Ook de Nederlandse rijksoverheid heeft initiatieven genomen op het terrein van Computer Emergency Response. Op 5 juni 2002 is door voormalig minister Van Boxtel de CERT van de rijksoverheid (www.govcert.nl) geïnstalleerd. Deze onder de vlag van het ICT Uitvoeringsorgaan Rijksoverheid (ICTU) operationele afdeling verleent assistentie bij (grootschalige) beveiligingsincidenten binnen een van de aangesloten departementen en geeft uit oogpunt van preventie zogeheten security advisories uit. Onlangs is het ministerie van Economische Zaken een gratis informatiedienst gestart om het MKB en de particuliere internetgebruikers te informeren over nieuw ontdekte virussen en beveiligingslekken. Aantal nieuw ontdekte kwetsbaarheden verdubbelt ieder jaar Een aantal ministeries participeert daarnaast samen met een aantal marktpartijen actief in het programma Kwint van het Electronic Commerce Platform Nederland (www.ecp.nl). Het met overheidsgeld gesubsidieerde programma is voortgekomen uit het Stratix/TNO-onderzoeksrapport over de kwetsbaarheid van internet en de daaropvolgende behandeling van de kabinetsnota rondom het thema Kwetsbaarheid Internet in de zomer van Standaardiseren Een min of meer geslaagde poging om beleid, taken en inrichting van incident response teams te standaardiseren, is de introductie van IETF rfc 2350 (Request for Comments van de Internet Engineering TascForce (= Internet standaardisatie gremium), getiteld Expectations for Computer Security Incident Response in De rfc spreekt niet meer van Computer Emergency Response Teams, een tot die tijd gangbare benaming, maar van Computer Security Incident Response Teams (CSIRT). Dit heeft vermoedelijk te maken met het feit dat de term Computer Emergency Response Team door het CERT (Coordination Center) is gepatenteerd. Volgens de rfc dient iedere CSIRT een duidelijk beleid kenbaar te maken met betrekking tot het type incidenten dat in behandeling wordt genomen en het niveau van ondersteuning hierbij. Om de vertrouwelijkheid van de melder te garanderen, dient de CSIRT naast een heldere disclosure-policy een betrouwbaar en veilig communicatiekanaal ter beschikking te stellen. In de rfc wordt aanbevolen gebruik te maken van gangbare mechanismen zoals -berichtenbeveiliging met s/mime of pgp. Incident response De diensten van een CSIRT worden in de rfc gesplitst in twee hoofdgroepen. De ene groep bestaat uit real-time-activiteiten direct gerelateerd aan de hoofdtaak incident response. De tweede groep bestaat uit non-real-time pro-actieve activiteiten, ondersteunend aan de hiervoor genoemde taak. Incident response wordt binnen de rfc uitgewerkt in Incident Triage, Incident Coordination en Incident Resolution. Incident Triage is het interpreteren van binnenkomende incidenten, het prioriteren van de incidenten en het relateren aan ongoing incidents & trends. Een belangrijk aspect hierbij is het vaststellen of een incident werkelijk heeft plaatsgevonden en na bevestiging hiervan het bepalen van de omvang. Incident Coordination omvat het categoriseren van de aan het incident gerelateerde informatie met betrekking tot de disclosure policy. Denk hierbij 21

4 aan logfiles, contactinformatie, et cetera. In dit stadium worden ook andere betrokken partijen geïnformeerd. Dit alles uiteraard onder de uitgangspunten en voorwaarden van de eerder genoemde policy. De rfc geeft bij Incident Resolution drie gangbare diensten: technische assistentie (inclusief analyse van het gecompromitteerde systeem), eradication (ontworteling) en herstel. Onder eradication wordt het elimineren van de oorzaak van het incident en zijn effect verstaan. Veelal gebeurt dit door het installeren van herstelsoftware of het wijzigen van instellingen om de kwetsbaarheid weg te nemen. De andere CSIRT-hoofdtaak wordt samengevat onder de noemer pro-actieve activiteiten. Er worden vijf voorbeelden genoemd: informatievoorziening over bekende kwetsbaarheden en tegenmaatregelen (onder andere historie-databases), hulpmiddelen voor auditing, scholing en training, productevaluatie en auditing & advies. De jongste ITIL-loot is Security die in het midden van de piramide in figuur 4 wordt gepositioneerd. Hoofddoel van ITIL Security is enerzijds het realiseren van de service level agreements-eisen ten aanzien van informatiebeveiliging en anderzijds het realiseren van een zeker basis beveiligingsniveau. Het proces Security Management heeft raakvlakken met vrijwel alle hierboven genoemde ITIL-processen. figuur 4 De drie niveaus met voor ITIL Security Management relevante processen Strategisch Managers Set 22 Incident response en ITIL Binnen Europa hebben veel organisaties hun ICT-beheerprocessen ingericht volgens de ITIL-methodologie. Information Technology Infrastructure Library (ITIL) is een door de Britse Central Computer and Telecommunications Agency/Office of Government Commerce (CCTA/OGC) uitgegeven, gestructureerde set van modules met best practices op het gebied van ICT beheer; ITIL wordt binnen een groot aantal Europese landen beschouwd als dé de facto-standaard voor het beheer van ICT-processen binnen organisaties. ITIL gaat uit van een procesmatige benadering van ICT-beheer. Dit komt met name tot uitdrukking in het cyclische karakter: plannen, implementeren, evalueren en onderhoud. De Service Support Set en de Service Delivery Set zijn de belangrijkste verzameling van processen in ITIL. Service Delivery beschrijft de diverse diensten die de business van de klant nodig heeft en wat er nodig is om deze diensten te kunnen leveren. De Service Delivery Set maakt onder andere onderscheid in de volgende processen (zie figuur 2): Operationeel Tactisch Performance & capacity Incident IT services organization Service level Configuration & asset Security Problem Availability Service Delivery Set Business continuity planning Release Change Service Support Set figuur 2 Service Delivery Set Service level Availability IT Services continuity Performance and capacity Vastleggen en nakomen van afspraken Beschikbaarheid van ICT-componenten Continuïteitsbeheer van de IT-dienstverlening Optimale inzet van ICT-hulpmiddelen Het ITIL-boek over Service Support beschrijft, de naam zegt het ten dele, hoe de klant toegang krijgt tot de diverse IT-dienstverleners om zijn business te ondersteunen. De Service Support Set richt zich vooral op het beheer van de ICT-middelen zelf (zie figuur 3): figuur 3 Service Support Set Configuration & asset Incident / Helpdesk Problem Change Release Samenstelling van de ICT-infrastructuur Registratie en bewaking van alle gemelde incidenten Beheren van problemen Beheren en beheersen van wijzigingen Implementatie van software en versiebeheer

5 De ITIL-modules geven redelijk gedetailleerd weer wat een organisatie allemaal moet regelen om haar beheer te laten verlopen conform het ITIL-proces. Hoe dit kan worden gerealiseerd (met welke middelen) wordt niet voorgeschreven. Een Computer Emergency Response Team werkzaam binnen een op ITIL gebaseerde ICT-organisatie heeft voornamelijk te maken met processen uit de ITIL Service Support Set en met IT Service Continuity. Zo is er een relatie met Configuration and asset waar alle ICT Configuration Items (CI s), zijnde software, hardware, processen, procedures en documentatie worden vastgelegd in een Configuration Management Database. Een (dreigend) securityincident heeft immers betrekking op één of meerdere CI s. Uiteraard is er een directe link met incident en problem waar alle incidenten, inclusief de securityincidenten, worden geregistreerd en bewaakt. Ook is er een nauwe relatie met change en/of release. Security advisories van een CERT betekenen veelal de installatie van een patch of het aanbrengen van nieuw softwarerelease, handelingen die volgens het van toepassing zijnde ITILproces dienen te worden uitgevoerd. Een calamiteit wordt binnen IT Service Continuity omschreven als een gebeurtenis die een service of systeem zodanig verstoort dat veelal aanzienlijke maatregelen moeten worden genomen om het originele verwerkingsniveau te herstellen. Een calamiteit wordt als ernstiger getypeerd dan een incident. Voorbeelden van calamiteiten zijn brand, blikseminslag, inbraak en grootschalige stroomstoringen. Ook beschikbaarheidsaanvallen via internet, de denial-of-service attacks, die de communicatie van een bedrijf verlammen, worden genoemd in de reeks van voorbeelden van calamiteiten. Onderzoek In december 2001 is gestart met een promotieonderzoek naar het fenomeen Computer Emergency Response Teams. De promotoren, prof. ir. E. Michiels en prof. dr. E. Roos Lindgreen, zijn verbonden aan respectievelijk Universiteit Twente en Universiteit van Amsterdam. Het onderzoek heeft als hoofddoel het verkrijgen van (meer) inzicht in de werking van incident response- en alarmeringsmechanismen op het gebied van ICT-security en de invloed hiervan op de binnen ITIL gedefinieerde ICT-beheerprocessen. In het kader van deze publicatie hanteert de auteur twee stellingen. Stelling 1: Een calamiteit wordt als ernstiger getypeerd dan een incident Hoe meer de organisatie is ge-itil-iseerd, des te groter is de kans op langere aanwezigheid van aan internet gerelateerde beveiligingskwetsbaarheden. Een belangrijk uitgangspunt binnen ITIL is standaardisatie. De diverse processen Service Support en Service Delivery worden uitgewerkt in zogeheten standaardprocesstappen. Een voorbeeld is het hiervoor genoemde stappenproces binnen change. Standaardisatie werkt in zijn algemeenheid efficiëntie en effectiviteit verhogend. Standaardisatie bevordert in het algemeen efficiëntie en effectiviteit Er zijn echter ook nadelen. Standaardisatie kan verlammend werken op de creativiteit. Incident response vraagt soms om onorthodoxe methoden. Stelt u zich eens voor: het Intrusion Detection System (IDS) heeft een indringer gesignaleerd op uw netwerk. Het CERT wordt gewaarschuwd. Ter afleiding en om de identiteit van de indringer(s) te achterhalen, adviseert het CERT om tijdelijk een honingpot, een leeg systeem met aansprekende naam als lokaas, te activeren. De ITIL-processen change en configuration and asset staan een op zichzelf creatief voorstel van het CERT binnen een kort tijdsbestek echter niet toe. Er moet immers eerst een CI worden aangemaakt. Conform het beveiligingsbeleid wordt de CI geclassificeerd, alwaar het eerste probleem opduikt: welke business-processen ondersteunt de CI. Na het nemen van deze hobbel wordt vervolgens een request-for-change (rfc) aangemaakt om de uitbreiding van netwerkconfiguratie met het CI mogelijk te maken, de rfc wordt door het Change Advisory Board beoordeeld, et cetera et cetera. Een ander nadeel van standaardisatie is het aspect tijd. De bij standaardisatie behorende (proces)stappen volgen altijd een vast stramien. Ook hier weer het voorbeeld van change. De doorlooptijd van het initiëren van het wijzigingsvoorstel, de rfc, tot en met de uiteindelijk geaccepteerde en werkzame implementatie kan oplopen tot tien werkdagen. Het kwaad van een nieuw virus, een nieuwe inbraak of beschikbaarheidsaanval is dan al lang geschied. De maximale time-to-change laat zich wat dit aangaat niet uitdrukken in dagen, maar eerder in uren! Stelling 2: Informatie van Computer Emergency Response Teams levert in de toekomst weinig toegevoegde waarde. Computer Emergency Response Teams ontlenen hun bestaansrecht aan het feit dat zij in een vroeg stadium geïnformeerd worden over nieuwe ontwikkelingen op het terrein van beveiligingincidenten. Minder (snelle) meldingen zullen leiden tot minder kennis bij CERT s, waardoor de toegevoegde waarde van CERT s minder evident wordt. Strengere wetgeving (Europese Commissie, voorstel voor een Kaderbesluit van de Raad over aanvallen op informatiesystemen, COM (2002) 173 definitief, Brussel 19 april 2002) op 23

6 het gebied van computercriminaliteit zal de klokkenluider uit de hackers-gemeenschap voorzichtiger maken. Hij loopt immers het risico zelf betrokken te raken bij justitiële vervolging. Ook leveranciers van soft- of hardware worden voorzichtiger bij het melden van onvolkomenheden in hun producten uit angst voor de effecten van bekendmaking (negatieve publiciteit). Openbaarheid is pas aan de orde wanneer er een patch beschikbaar is voor het probleem. ook een pro-actief security change -beleid te voeren. Herstelsoftware in de vorm van security patches wordt nog te vaak opgespaard totdat de leverancier een volgend softwarerelease op de markt brengt. Of wordt pas aangebracht indien de kwetsbaarheid voor veel (negatieve) publiciteit heeft gezorgd. Hierdoor blijven organisaties langer kwetsbaar dan noodzakelijk. Het adagium een gewaarschuwde organisatie telt voor twee, gaat in deze situaties zeker niet op! 24 Strengere wetgeving maakt de klokkenluider uit hackers-gemeenschap voorzichtiger Onder het motto full disclosure helpt vooral de kwaadwillenden, heeft Microsoft in november 2001 een initiatief genomen tot regulering van verspreiding van gegevens over softwarefouten. Een aantal ICT-beveiligingsbedrijven heeft zich aan het eind van een driedaags forum bij dit initiatief aangesloten. Ook in IETF-verband is het onderwerp zeer actueel. Een in februari 2002 bij de IETF vrijgegeven Internet-Draft getiteld Responsible Vulnerability Disclosure Process (in februari 2002 door Steve Christey en Chris Wysopal geplaatste Internet-Draft, textfile draft-christey-wysopal-vuln-disclosure-oo.txt op binnen de categorie Best Current Practice ), heeft binnen de security en hackers community tot veel commotie geleid. Een verdere behandeling van de discussie rondom full or partial disclosure zou binnen de context van dit artikel te ver voeren. Wel is duidelijk dat Microsoft hiermee voor zichzelf een trend heeft gezet: teveel openheid over de eigen tekortkomingen is niet meer aan de orde. De nadelen van beperkte openheid (partial disclosure) zijn evident: informatieachterstand bij zowel Computer Emergency Response Teams als bij eindgebruikers, wat ongetwijfeld zal leiden tot minder snelle opbouw van security-expertise binnen de teams en tot minder druk bij de leveranciers om tijdig patches ter beschikking te stellen. Tot slot Het promotieonderzoek is momenteel in volle gang. Uit een eerste casestudy bij een aantal Nederlandse bedrijven blijkt dat ICT-afdelingen vaak van diverse externe bronnen informatie, gratis en betaald, ontvangen met waarschuwingen over nieuw ontdekte virussen, zwakke plekken in ICT-infrastructuurcomponenten en aanvalstechnieken. Analyse van deze externe informatie blijkt arbeidsintensief en tijdrovend te zijn. Het ontbreekt systeembeheerders simpelweg aan tijd om alle meldingen, dagelijks soms tientallen, te lezen en vervolgens van een eventuele opvolgingsactie te voorzien. Het antwoord lijkt te liggen in gefilterde, op maat aangeleverde, relevante informatie door CERT s of andere leveranciers. Informatie waarbij de beheerder bij elk bericht zeker weet dat de informatie belangrijk is, omdat het gaat over hard- of software die hij in beheer heeft én waarin een belangrijke kwetsbaarheid is ontdekt. Het louter ontvangen van berichten is echter onvoldoende. De ICT-organisatie dient Mr. W.H.M. Hafkamp voert momenteel momenteel een promotieonderzoek uit naar de werking van incident response- en alarmeringsmechanismen op het gebied van ICT-security en de invloed hiervan op de binnen ITIL gedefinieerde ICT-beheerprocessen. Het artikel is een bewerkte en geactualiseerde versie van het in december 2002 verschenen artikel Telt een gewaarschuwde organisatie voor twee? in het tijdschrift Management & Informatie. Literatuur 1 P. van Amersfoort, L. Smit, M. Rietvelt, Criminaliteit in de Virtuele Ruimte, publicatie in de reeks Politiekunde van het Programma Politie en Wetenschap, Kerckebosch, Amsterdam, mei J. Arvidsson, Taxonomy of the Computer Security Incident related terminology - TERENA Incident Taxonomy and Description Working Group, beschikbaar op het World Wide Web via juni CERT(r)/CC, Overview of Attack Trends, beschikbaar op het World Wide Web via CCTA - Central Computer and Telecommunications Agency, Cazemier, Overbeek & Peters, Security Management IT Infrastructure Library, The Stationary Office, London, G. Hillenius, Beperkte veiligheidslekken, Computable, 16 november Internet Security Systems, Internet Risk Impact Summary for January 1, 2003 through March 31,2003, beschikbaar op het World Wide Web via https://gtoc.iss.net, April ITSMF Nederland, IT Service Management, een introductie, van Haren publishing, V3.0 januari M. Koek, Omgevingsverkenning CERT-RO, interne nota van het ICT Uitvoeringsorgaan Rijksoverheid in verband met de oprichting van een CERT voor de Rijksoverheid, februari A. Mooij, J. van der Werf, Cybercrime, uitgave van het Korps Landelijke Politiediensten Dienst Nationale Recherche Informatie, juli A. Offerman, Vulnerabilities: publiceren ja of nee?, IDG kwartaalblad infosecurity.nl, tweede kwartaal P. Overbeek, Beveiliging en Beheer met ITIL Security Management, Informatiebeveiliging Jaarboek 2000/2001, Ten Hagen & Stam, Den Haag P. Overbeek, E. Roos Lindgreen, M. Spruit, Informatiebeveiliging onder controle, Pearson Education, Amsterdam, Stratix Consulting Group/TNO-FEL, Samen werken voor veilig Internet verkeer, Eindrapportage van het onderzoeksproject kwetsbaarheid van internet in opdracht van het Ministerie van Verkeer & Waterstaat, Januari Op pagina 14 e.v. vertelt drs. Ton Louwers RA, director Finance & Control bij Thales Nederland te Hengelo over zijn ervaringen met het werken in een branche die volledig in het teken staat van (informatie)beveiliging. Voor verdere verdieping raadpleegt u de KluwerFinanceBase op internet: C

TELT EEN GEWAARSCHUWDE ORGANISATIE VOOR TWEE?

TELT EEN GEWAARSCHUWDE ORGANISATIE VOOR TWEE? VOORKOMEN EN BESTRIJDEN Wim Hafkamp Informatiebeveiligingsincidenten zijn in de Westerse samenleving een serieus probleem aan het worden. Niet voor niets besteden overheid, het bedrijfsleven en de academische

Nadere informatie

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol SAMENVATTING ITIL ITIL is nog steeds dé standaard voor het inrichten van beheerspocessen binnen een IT-organisatie. En dekt zowel applicatie- als infrastructuur beheer af. Indien gewenst kan ITIL worden

Nadere informatie

ITIL Security Management: een kritische beschouwing

ITIL Security Management: een kritische beschouwing ITIL Security Management: een kritische beschouwing Marcel Spruit, Informatiebeveiliging is een beheerproces dat zich richt op het beschermen van de informatievoorziening. Het ligt voor de hand om voor

Nadere informatie

Welke van onderstaande factoren bepaalt mede de prioriteit van een incident?

Welke van onderstaande factoren bepaalt mede de prioriteit van een incident? VRAAG 1 Bij welk van onderstaande alternatieven vind je een beschrijving van een afdeling in plaats van een proces? A Change Management B Incident Management D Service Desk VRAAG 2 Welke van onderstaande

Nadere informatie

Practitioner s Certificate in IT Service Management: Release & Control (based on ITIL )

Practitioner s Certificate in IT Service Management: Release & Control (based on ITIL ) Exameneisen Practitioner s Certificate in IT Service Management: Release & Control (based on ITIL ) Publicatiedatum 1-1-2008 Startdatum 1-3-2007 Doelgroep IT Service Management Practitioner: Release &

Nadere informatie

Best practice verzameling voor het managen van alle aspecten van beheer van ICT-infrastructuur.

Best practice verzameling voor het managen van alle aspecten van beheer van ICT-infrastructuur. ITIL Wat is ITIL? Best practice verzameling voor het managen van alle aspecten van beheer van ICT-infrastructuur. Begrippen Rol Functie Proces Proceseigenaar Procesmanager Product Dienst Problem Problem

Nadere informatie

SVHT-IT. Mission statement

SVHT-IT. Mission statement SVHT-IT Mission statement Wij leveren oplossingen en diensten aan het MKB op het gebied van ICT, waarbij service, flexibiliteit en een persoonlijke relatie met de klant voorop staan SVHT-IT is een onderneming

Nadere informatie

Leones. Business Case Service Management Tool

Leones. Business Case Service Management Tool Leones Business Case Service Management Tool Inhoudsopgave 1. AFBAKENING... 3 1.1 DOEL... 3 1.2 AANNAMES... 3 1.3 HUIDIGE SITUATIE... 3 1.4 PROBLEEMSTELLING... 3 1.5 WAT ALS ER NIETS GEBEURT?... 3 2. OPTIES...

Nadere informatie

ISO/IEC 20000, van standaardkwaliteit naar kwaliteitsstandaard. NGI Limburg 30 mei 2007

ISO/IEC 20000, van standaardkwaliteit naar kwaliteitsstandaard. NGI Limburg 30 mei 2007 ISO/IEC 20000, van standaardkwaliteit naar kwaliteitsstandaard NGI Limburg 30 mei 2007 1 Tijdlijn 80-er jaren: ITIL versie 1 2000: BS 15000 2001: ITIL versie 2 2002: Aangepaste versie BS 15000 2005: BS

Nadere informatie

Unified Enterprise Security wordt geleverd door onze strategische partner Masergy, de wereldspeler in global communications en security.

Unified Enterprise Security wordt geleverd door onze strategische partner Masergy, de wereldspeler in global communications en security. Het verlengstuk van uw IT security operations: altijd (24x7) de beste expertise en meest actuele kennis, geïntegreerd zicht op wat er gebeurt in uw datacenter en eerder en Security as a Service Het verlengstuk

Nadere informatie

Patch management. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Patch management. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Patch management Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst

Nadere informatie

A-1: Zijn de procedures omtrent het beheer van de IT infrastructuur vastgelegd?

A-1: Zijn de procedures omtrent het beheer van de IT infrastructuur vastgelegd? ITIL CHECKLIST: Algemeen A-1: Zijn de procedures omtrent het beheer van de IT infrastructuur vastgelegd? A-2: Wordt gebruik gemaakt van een geautomatiseerd administratie systeem waar alle gegevens in kunnen

Nadere informatie

HOOFDSTUK 5. De ITIL-servicelevenscyclus. 5.1 Introductie. MS Office. ITIL V3 een kennismaking ITIL =

HOOFDSTUK 5. De ITIL-servicelevenscyclus. 5.1 Introductie. MS Office. ITIL V3 een kennismaking ITIL = HOOFDSTUK 5 5.1 Introductie een kennismaking ITIL = Information Technology Aan het eind van de vorige eeuw groeide informatievoorziening snel. Het werd nodig dat die informatievoorziening goed beheerd

Nadere informatie

Factsheet DATALEKKEN COMPLIANT Managed Services

Factsheet DATALEKKEN COMPLIANT Managed Services Factsheet DATALEKKEN COMPLIANT Managed Services DATALEKKEN COMPLIANT Managed Services We ontwerpen en implementeren security maatregelen om datalekken te detecteren en het risico daarop te minimaliseren.

Nadere informatie

Proefexamen ITIL Foundation

Proefexamen ITIL Foundation Proefexamen ITIL Foundation 1. Van welk proces is risicoanalyse een essentieel onderdeel? a. IT Service Continuity Management b. Service Level Management c. Capacity Management d. Financial Management

Nadere informatie

1 Dienstbeschrijving all-in beheer

1 Dienstbeschrijving all-in beheer 1 Dienstbeschrijving all-in beheer De all-in beheer overeenkomst van Lancom is modulair opgebouwd. U kunt bij Lancom terecht voor deelgebieden zoals helpdesk ondersteuning of backup, maar ook voor totale

Nadere informatie

BISL Business Information Services Library. Een introductie. Algemene informatie voor medewerkers van SYSQA B.V.

BISL Business Information Services Library. Een introductie. Algemene informatie voor medewerkers van SYSQA B.V. BISL Business Information Services Library Een introductie Algemene informatie voor medewerkers van SYSQA B.V. Organisatie SYSQA B.V. Pagina 2 van 9 Inhoudsopgave 1 INLEIDING... 3 1.1 ALGEMEEN... 3 1.2

Nadere informatie

PQR Lifecycle Services. Het begint pas als het project klaar is

PQR Lifecycle Services. Het begint pas als het project klaar is PQR Lifecycle Services Het begint pas als het project klaar is IT wordt een steeds crucialer onderdeel van de dagelijkse bedrijfsvoering. Waar u ook bent, het moet altijd beschikbaar en binnen bereik zijn.

Nadere informatie

Business Continuity Management

Business Continuity Management Business Continuity Management Aart Bitter - 14 januari 2014 SAFER, SMARTER, GREENER Praktijk case Wij zijn als bierbrouwerij voorgedragen om onze producten te leveren aan het Holland House tijdens het

Nadere informatie

Advies Service Management

Advies Service Management Advies Service Management Service Management binnen Cronus op basis van ITIL Auteurs: Anton Post en Dennis Westhuis Klas: M2B SLB groep: 10PSH Datum: 03-03-07 Vak: ISERPU Revisie Inleverdatum 1 12-03-07

Nadere informatie

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1. www.traxion.com

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1. www.traxion.com Veilig de cloud in Whitepaper over het gebruik van Cloud-diensten deel 1 www.traxion.com Introductie Deze whitepaper beschrijft de integratie aspecten van clouddiensten. Wat wij merken is dat veel organisaties

Nadere informatie

Business Service Management Eén ERP-oplossing voor al uw beheer

Business Service Management Eén ERP-oplossing voor al uw beheer WHITEPaPER: BUSINESS SERVICE MANAGEMENT Business Service Management Eén ERP-oplossing voor al uw beheer IT SERVIcE PRoVIDER auteur: Herman Rensink WHITEPAPER: BUSINESS SERVICE MANAGEMENT 2 Met GENSYS levert

Nadere informatie

Whitepaper SCADA / ICS & Cyber Security

Whitepaper SCADA / ICS & Cyber Security Whitepaper SCADA / ICS & Cyber Security Kasper van Wersch Erwin van Harrewijn Qi ict, januari 2016 Inhoudsopgave Inhoudsopgave 1 1. Risico s industriële netwerken 2 2. SCADA / ICS beveiliging 4 3. Qi ict

Nadere informatie

GTS-Online Remote Firewall beheer Service Level Agreement (SLA)

GTS-Online Remote Firewall beheer Service Level Agreement (SLA) GTS-Online Remote Firewall beheer Service Level Agreement (SLA) Versie 1.1 November 2014 Inhoudsopgave Inleiding...... 1 Remote Firewall beheer...... 1 Dienst... 1 Randvoorwaarden... 1 Service Level...

Nadere informatie

De Meldplicht Datalekken. mr. N. Falot 8 oktober 2015

De Meldplicht Datalekken. mr. N. Falot 8 oktober 2015 De Meldplicht Datalekken mr. N. Falot 8 oktober 2015 Over Considerati Wij zijn het leidend juridisch adviesbureau gespecialiseerd in Privacy, ICT recht en Beleidsvraagstukken Uitgebreide ervaring met privacy

Nadere informatie

Situationeel organiseren & ITIL

Situationeel organiseren & ITIL getronicspinkroccade.nl Situationeel organiseren & ITIL bc. Jeroen Jacobs Den Haag, 22 november 2006 Voorstellen Prive Jeroen Jacobs, Weelde, België Opleiding - Tilburg: MBO opleiding applicatiebeheer

Nadere informatie

Voorbeeldexamen. ITIL voorbeeldexamen ITIL Foundation ITIL Foundation Certificate in IT Service Management uitgave mei 2005

Voorbeeldexamen. ITIL voorbeeldexamen ITIL Foundation ITIL Foundation Certificate in IT Service Management uitgave mei 2005 Voorbeeldexamen ITIL Foundation ITIL voorbeeldexamen ITIL Foundation ITIL Foundation Certificate in IT Service Management uitgave mei 2005 inhoud 3 inleiding 4 voorbeeldexamen 14 antwoordindicatie 35 beoordeling

Nadere informatie

Factsheet Penetratietest Informatievoorziening

Factsheet Penetratietest Informatievoorziening Factsheet Penetratietest Informatievoorziening Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

IBM; dataopslag; storage; infrastructuur; analytics; architectuur; big data

IBM; dataopslag; storage; infrastructuur; analytics; architectuur; big data Asset 1 van 10 Big Data Analytics voor Dummies Gepubliceerd op 30 june 2014 Gelimiteerde editie van de populaire Dummies-reeks, speciaal voor managers. Het boek legt uit waarom Big Data Analytics van cruciaal

Nadere informatie

Inhoud leereenheid 1. Introductie tot software security. Introductie 15. Leerkern 16. 1 Software security 16 2 Software security touchpoints 19

Inhoud leereenheid 1. Introductie tot software security. Introductie 15. Leerkern 16. 1 Software security 16 2 Software security touchpoints 19 Inhoud leereenheid 1 Introductie tot software security Introductie 15 Leerkern 16 1 Software security 16 2 Software security touchpoints 19 14 Leereenheid 1 Introductie tot software security I N T R O

Nadere informatie

Factsheet E COMMERCE BEHEER Managed Services

Factsheet E COMMERCE BEHEER Managed Services Factsheet E COMMERCE BEHEER Managed Services E COMMERCE BEHEER Managed Services We zorgen voor een gegarandeerd stabiel, snel en schaalbaar e-business platform. Efficiënt beheer is cruciaal voor de continuïteit

Nadere informatie

Digital Independence. Plan Today to be ready for Tomorrow. Grip op uw continuïteit! Information Security and Continuity Services

Digital Independence. Plan Today to be ready for Tomorrow. Grip op uw continuïteit! Information Security and Continuity Services Digital Independence Grip op uw continuïteit! Plan Today to be ready for Tomorrow Information Security and Continuity Services Digital Independence Grip op uw continuïteit! Weet u welke risico s uw bedrijf

Nadere informatie

Security Starts With Awareness

Security Starts With Awareness Security Starts With Awareness Think Secure Think Secure is in 2003 opgericht met het doel organisaties te ondersteunen met kennis en diensten die: 1.Het bewustzijn m.b.t. informatie- en ICT beveiliging

Nadere informatie

Hardening. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Hardening. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Hardening Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst

Nadere informatie

Process Control Netwerk Security bij Lyondell. Dave Chong European IT Project Manager Lyondell Chemie Nederland B.V.

Process Control Netwerk Security bij Lyondell. Dave Chong European IT Project Manager Lyondell Chemie Nederland B.V. Process Control Netwerk Security bij Lyondell Dave Chong European IT Project Manager Lyondell Chemie Nederland B.V. Agenda Introductie Korte feiten over Lyondell Chemie Wat doet Lyondell Chemie aan PCN

Nadere informatie

Hoe gaat u dit gemeentelijke varkentje wassen? Aansluiten bij de IBD Anita van Nieuwenborg

Hoe gaat u dit gemeentelijke varkentje wassen? Aansluiten bij de IBD Anita van Nieuwenborg Hoe gaat u dit gemeentelijke varkentje wassen? Aansluiten bij de IBD Anita van Nieuwenborg Programma 1. De IBD 2. stappenplan Aansluiten bij de IBD 3. VCIB-gesprek (plenair) 2 1.1 De IBD Gezamenlijk initiatief

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...

Nadere informatie

Het ITIL Foundation Examen

Het ITIL Foundation Examen Het ITIL Foundation Examen Proefexamen A, versie 5.2 Meerkeuzevragen Instructies 1. Alle 40 vragen moeten worden ingevuld. 2. Alle antwoorden moeten op het bijgeleverde antwoordformulier worden ingevuld.

Nadere informatie

Het Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV

Het Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV Het Sebyde aanbod Secure By Design AUG 2012 Sebyde BV Wat bieden wij aan? 1. Web Applicatie Security Audit 2. Secure Development 3. Security Awareness Training 4. Security Quick Scan 1. Web Applicatie

Nadere informatie

Raadsmededeling - Openbaar

Raadsmededeling - Openbaar Raadsmededeling - Openbaar Nummer : 54/2016 Datum : 22 maart 2016 B&W datum : 22 maart 2016 Beh. ambtenaar : Annelies te Booij Portefeuillehouder : G. Berghoef Onderwerp : Meldplicht datalekken Aanleiding

Nadere informatie

Wat is Cyber Security Management? 3 oktober 2014. ISA / Hudson Cybertec Arjan Meijer Security Consultant

Wat is Cyber Security Management? 3 oktober 2014. ISA / Hudson Cybertec Arjan Meijer Security Consultant Wat is Cyber Security Management? 3 oktober 2014 ISA / Hudson Cybertec Arjan Meijer Security Consultant 1 Agenda Introductie spreker / ISA 3 pijlers van security IT versus OT Cyber Security Management

Nadere informatie

Risicomanagement krijgt vaste plaats in ITIL 3

Risicomanagement krijgt vaste plaats in ITIL 3 dossier security management Risicomanagement krijgt vaste plaats in ITIL 3 ICT-risico- en -securitymanagement ontwikkelt zich van specialisme tot normaal beheerst proces In de afgelopen vijf jaar is het

Nadere informatie

Medische gegevens zijn geclassificeerd als bijzondere persoonsgegevens en vragen extra aandacht!

Medische gegevens zijn geclassificeerd als bijzondere persoonsgegevens en vragen extra aandacht! Privacy is het recht op eerbiediging van de persoonlijke levenssfeer. Privacy van informatie is de afwezigheid van informatie over onszelf bij anderen en bovendien het verbod aan anderen om zonder onze

Nadere informatie

Dienstenbeschrijving ITIL Awareness training

Dienstenbeschrijving ITIL Awareness training Dienstenbeschrijving ITIL Awareness training ReSa Management Services Meerhovendreef 6 5658 HA Eindhoven ( 06-11861966 Renesalm@resamanagement.nl www.resamanagement.nl ITIL Foundation Het doel van de training

Nadere informatie

Asset 1 van 4. Data Recovery as a Service. Gepubliceerd op 9 november 2015

Asset 1 van 4. Data Recovery as a Service. Gepubliceerd op 9 november 2015 Asset 1 van 4 Data Recovery as a Service Data herstellen na een calamiteit is lastiger dan het lijkt. Dit is geen kernactiviteit van ondernemingen, zeker niet van mkb-bedrijven. Zonder data loopt de continuïteit

Nadere informatie

Meldingen 2010-2014. Cijfers over meldingen aan CERT.be

Meldingen 2010-2014. Cijfers over meldingen aan CERT.be Meldingen 2010-2014 Cijfers over meldingen aan CERT.be OVERZICHT 2010 2014 1.1 Gemiddeld aantal meldingen en incidenten per maand: 12000 10000 8000 6000 4000 Meldingen/jaar Incidenten/jaar 2000 0 2010

Nadere informatie

Lange cursus beschrijving van de cursus: ITIL basics

Lange cursus beschrijving van de cursus: ITIL basics Lange cursus beschrijving van de cursus: ITIL basics ALGEMEEN Het inrichten van een ICT Beheerorganisatie is een complexe en tijdrovende aangelegenheid. Het resultaat is afhankelijk van veel aspecten.

Nadere informatie

Seize the cloud?! Seminar Aviodrome, Lelystad 23 maart 2011

Seize the cloud?! Seminar Aviodrome, Lelystad 23 maart 2011 Seize the cloud?! Seminar Aviodrome, Lelystad 23 maart 2011 Cloud computing Waar begin je aan? Piloot Martin van den Berg, Sogeti NL 3 Agenda 4 Kijkje achter de wolken Yes, het werken in de cloud heeft

Nadere informatie

BABVI/U201200230 Lbr. 12/015

BABVI/U201200230 Lbr. 12/015 Brief aan de leden T.a.v. het college en de raad informatiecentrum tel. (070) 373 8020 Betreft DigiD en ICT-beveiliging uw kenmerk ons kenmerk BABVI/U201200230 Lbr. 12/015 bijlage(n) 0 datum 07 februari

Nadere informatie

PATCH MANAGEMENT VOOR GEMEENTEN. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

PATCH MANAGEMENT VOOR GEMEENTEN. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) PATCH MANAGEMENT VOOR GEMEENTEN Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Patch Management voor gemeenten

Nadere informatie

MFWs-addendum SmartDefense IntrusionPrevention-Light van Check Point

MFWs-addendum SmartDefense IntrusionPrevention-Light van Check Point MFWs-addendum SmartDefense IntrusionPrevention-Light van Check Point I nhoudsopgave 1 Inleiding...2 2 Algemeen...2 2.1 Achtergond...2 2.2 Extra dienst, extra veiligheid...2 2.3 Allen in combinatie met

Nadere informatie

Een framework voor applicatiebeheer

Een framework voor applicatiebeheer Een framework voor applicatie Mark Smalley ASL-Foundation www.aslfoundation.org SPIder, Utrecht, 10 juni 2003 Agenda Positionering applicatie Wat is ASL Waarom ASL Hoe ziet ASL eruit Samenwerking domeinen

Nadere informatie

Bestuurlijke Netwerkkaarten Crisisbeheersing

Bestuurlijke Netwerkkaarten Crisisbeheersing Bestuurlijke Netwerkkaarten Crisisbeheersing Kaart 21 - Telecommunicatie 21 Telecommunicatie Voor media/omroepen, zie bestuurlijke netwerkkaart media Versie april 2012 crisistypen (dreigende) uitval van

Nadere informatie

Leidraad om te komen tot een praktijk van Responsible Disclosure

Leidraad om te komen tot een praktijk van Responsible Disclosure Leidraad om te komen tot een praktijk van Responsible Disclosure 1 Inhoudsopgave 1 Wat is een kwetsbaarheid 2 Responsible Disclosure 3 Verantwoordelijkheden 4 Bouwstenen voor Responsible Disclosure 2 Inleiding

Nadere informatie

NS in beweging, Security als business enabler september 2008

NS in beweging, Security als business enabler september 2008 NS in beweging, Security als business enabler september 2008 Rien Dijkstra Enterprise IT Architect Informatiemangement & Technologie .. de noodzaak en uitdagingen van een topvervoerder, onder eigen regie,

Nadere informatie

Bijlage 1 aan collegenota DRP test

Bijlage 1 aan collegenota DRP test Bijlage 1 aan collegenota DRP test 1. de noodzaak van een DRP test in de context van een professionele dienstverlening en risicobeheersing De werking van Stads- en OCMW diensten is de voorbije jaren in

Nadere informatie

IT Security in de industrie

IT Security in de industrie IT Security in de industrie Praktische ervaringen met cyber security in de Energiesector en Procesindustrie Henk Spelt Henk.Spelt@kema.com Experience you can trust. Onderwerpen Waarom is (cyber) security

Nadere informatie

Checklist van Verplichte Documentatie vereist door ISO/IEC 27001 (2013 Revisie)

Checklist van Verplichte Documentatie vereist door ISO/IEC 27001 (2013 Revisie) Checklist van Verplichte Documentatie vereist door ISO/IEC 27001 (2013 Revisie) 1) Welke documenten registraties zijn vereist? De onderstaande lijst toont de minimale set van documenten en registraties

Nadere informatie

NBV themanummer Nieuwsbrief December 2010

NBV themanummer Nieuwsbrief December 2010 December 2010 NBV themanummer Nieuwsbrief December 2010 Het Nationaal Bureau Verbindingsbeveiliging (NBV), onderdeel van de AIVD, geeft voor zijn relaties tweemaandelijks een nieuwsbrief uit. Dit is een

Nadere informatie

Gratis bescherming tegen zero-days exploits

Gratis bescherming tegen zero-days exploits Gratis tegen zero-days exploits We zien de laatste jaren een duidelijke toename van geavanceerde dreigingen op onze computersystemen. In plaats van het sturen van alleen e-mails met geïnfecteerde bijlagen

Nadere informatie

DMZ Policy. Eindverantwoordelijkheid Goedgekeurd. 16 Februari 2005. Geaccepteerd Manager SPITS. Security Manager SPITS E.A. van Buuren.

DMZ Policy. Eindverantwoordelijkheid Goedgekeurd. 16 Februari 2005. Geaccepteerd Manager SPITS. Security Manager SPITS E.A. van Buuren. Ministerie van Verkeer en Waterstaat opq Rijkswaterstaat DMZ Policy 16 Februari 2005 Eindverantwoordelijkheid Goedgekeurd Naam Datum Paraaf Security Manager SPITS E.A. van Buuren Geaccepteerd Manager SPITS

Nadere informatie

Wilt u volledige controle over uw ICT platform? Dat kan!

Wilt u volledige controle over uw ICT platform? Dat kan! Wilt u volledige controle over uw ICT platform? Dat kan! Een probleem met uw ICT omgeving is kostbaar en pijnlijk. De managed services van VBVB zijn ontworpen voor organisaties die 100% controle willen

Nadere informatie

Informatiebeveiligingsdienst Aansluiten, waarom eigenlijk Assen, 6 Maart 2014. Anita van Nieuwenborg

Informatiebeveiligingsdienst Aansluiten, waarom eigenlijk Assen, 6 Maart 2014. Anita van Nieuwenborg Informatiebeveiligingsdienst Aansluiten, waarom eigenlijk Assen, 6 Maart 2014 Anita van Nieuwenborg Programma 1. De IBD 2. Dienstverlening van de IBD 3. Het stappenplan Aansluiten bij de IBD 4. Dialoog

Nadere informatie

ESM: Enterprise Service Management. Toepassing op Functioneel Beheer. Jan van Bon. Bio. Linked

ESM: Enterprise Service Management. Toepassing op Functioneel Beheer. Jan van Bon. Bio. Linked ESM: Enterprise Service Management Een standaard voor multidisciplinaire Shared Service Centers Toepassing op Functioneel Beheer LinkedIn: www.linkedin.com/in/jvbon Email: janv@nbon.nl Web: www.inform-it.org

Nadere informatie

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging Seminar Trends in Business & IT bij woningcorporaties Informatiebeveiliging Agenda Rondje verwachtingen Even voorstellen.. Informatiebeveiliging waarom? Stand van zaken bij corporaties Informatiebeveiliging

Nadere informatie

Auteurs: Jan van Bon, Wim Hoving Datum: 9 maart 2009. Cross reference ISM - COBIT

Auteurs: Jan van Bon, Wim Hoving Datum: 9 maart 2009. Cross reference ISM - COBIT Auteurs: Jan van Bon, Wim Hoving Datum: 9 maart 2009 Cross reference ISM - COBIT ME: Monitor & Evaluate Cross reference ISM - COBIT Management summary Organisaties gebruiken doorgaans twee soorten instrumenten

Nadere informatie

Stichting NIOC en de NIOC kennisbank

Stichting NIOC en de NIOC kennisbank Stichting NIOC Stichting NIOC en de NIOC kennisbank Stichting NIOC (www.nioc.nl) stelt zich conform zijn statuten tot doel: het realiseren van congressen over informatica onderwijs en voorts al hetgeen

Nadere informatie

ICT-beheerder. Mbo-kwalificaties in de sector ICT. ICT-beheerder

ICT-beheerder. Mbo-kwalificaties in de sector ICT. ICT-beheerder ICT-beheerder Leeswijzer voor bedrijven Kenniscentrum beroepsonderwijs bedrijfsleven ECABO houdt ontwikkelingen in de economisch-administratieve, ICT- en veiligheidsberoepen bij. Deze ontwikkelingen leggen

Nadere informatie

NORTHWAVE Intelligent Security Operations

NORTHWAVE Intelligent Security Operations Intelligent Security Operations UW BUSINESS BETER BESCHERMD DOOR GEDREVEN EXPERTS Northwave (2006) helpt u bij het realiseren van een slim en integraal proces van informatiebeveiliging. Dat biedt u betere

Nadere informatie

Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus 20018 2500 EA Den Haag

Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus 20018 2500 EA Den Haag > Retouradres Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus 20018 2500 EA Den Haag Directoraat Generaal Bestuur enkoninkrijksrelaties Turfmarkt 147 Den Haag www.facebook.com/minbzk

Nadere informatie

Informatiebeveiliging voor gemeenten: een helder stappenplan

Informatiebeveiliging voor gemeenten: een helder stappenplan Informatiebeveiliging voor gemeenten: een helder stappenplan Bewustwording (Klik hier) Structureren en borgen (Klik hier) Aanscherping en maatwerk (Klik hier) Continu verbeteren (Klik hier) Solviteers

Nadere informatie

Hoe fysiek is informatiebeveiliging?

Hoe fysiek is informatiebeveiliging? Hoe fysiek is informatiebeveiliging? Johan de Wit Siemens Nederland NV Hoe fysiek is informatiebeveiliging? Informatie is voor organisaties van onschatbare waarde, het beschermen ervan heeft binnen organisaties

Nadere informatie

Nationale IT Security Monitor 2015. Peter Vermeulen Pb7 Research

Nationale IT Security Monitor 2015. Peter Vermeulen Pb7 Research Nationale IT Security Monitor 2015 Peter Vermeulen Over het Onderzoek Jaarlijks terugkerende vragen Organisatie en beleid Investeringen en groei 2015 Thema s Databeveiliging (incl. Algemene Data Protectie

Nadere informatie

Proces afspraken na implementatie WaaS

Proces afspraken na implementatie WaaS Proces afspraken na implementatie WaaS versie: 1.0 datum: April 2013 auteur: Beheer en Implementatie BNL Versiebeheer Versie Datum Status Auteurs Opmerkingen 1.0 18-4-2013 Definitief Pascal Navarro en

Nadere informatie

ISO 20000 @ CTG Europe

ISO 20000 @ CTG Europe ISO 20000 @ CTG Europe 31/10/2007 mieke.roelens@ctg.com +32 496266725 1 Agenda 31 oktober 2007 Voorstelling Project Business Case: Doel & Scope Projectorganisatie Resultaten assessments en conclusies De

Nadere informatie

Datadiefstal: Gone in 60 Seconds!

Datadiefstal: Gone in 60 Seconds! Datadiefstal: Gone in 60 Seconds! Didacticum Solutions Datadiefstal en ontwikkelingen Het komt regelmatig voor: klantgegevens of intellectuele eigendommen van bedrijven worden door hackers gestolen. Denk

Nadere informatie

Agenda 26-4-2009. Wat zijn de gevolgen van Cloud en Gridcomputing voor de gebruikersorganisatie en de beheersfunctie.

Agenda 26-4-2009. Wat zijn de gevolgen van Cloud en Gridcomputing voor de gebruikersorganisatie en de beheersfunctie. Wat zijn de gevolgen van Cloud en Gridcomputing voor de gebruikersorganisatie en de beheersfunctie. John Lieberwerth Agenda Even voorstellen Cloud Computing De tien Plagen Gebruikersorganisatie en ICT

Nadere informatie

IT Service CMM. Een introductie. Algemene informatie voor medewerkers van SYSQA B.V.

IT Service CMM. Een introductie. Algemene informatie voor medewerkers van SYSQA B.V. IT Service CMM Een introductie Algemene informatie voor medewerkers van SYSQA B.V. Organisatie SYSQA B.V. Pagina 2 van 8 Inhoudsopgave 1 INLEIDING... 3 1.1 ALGEMEEN... 3 2 GESCHIEDENIS EN ACHTERGROND...

Nadere informatie

HOE VUL IK DE LEGE FOTO? Verzamelen en actueel houden fotoinformatie

HOE VUL IK DE LEGE FOTO? Verzamelen en actueel houden fotoinformatie HOE VUL IK DE LEGE FOTO? Verzamelen en actueel houden fotoinformatie Auteur IBD Datum Maart 2014 2 Inhoud 1 Achtergrondinformatie 4 1.1 Inleiding 4 1.2 Waarom is de foto belangrijk? 4 1.3 Hoe komt de Lege

Nadere informatie

Taak 1.4.14 Hoe moet dat Inhoud

Taak 1.4.14 Hoe moet dat Inhoud Taak 1.4.14 Hoe moet dat Inhoud Taak 1.4.14 Hoe moet dat... 1 Inhoud... 1 Inleiding... 2 Wat is cybercrime?... 3 Internetfraude... 3 Voorschotfraude... 3 Identiteitsfraude... 3 Omschrijving van computercriminaliteit...

Nadere informatie

Last but not least. Hoofdstuk 35. Bijlagen

Last but not least. Hoofdstuk 35. Bijlagen Last but not least Hoofdstuk 35 Bijlagen V1.2 / 01 februari 2016 Geen copyright! MCTL is in licentie gegeven volgens een Creative Commons Naamsvermelding 3.0 Nederland licentie. Gebaseerd op een werk van

Nadere informatie

Factsheet CMS & DIGITAL MARKETING BEHEER Managed Services

Factsheet CMS & DIGITAL MARKETING BEHEER Managed Services Factsheet CMS & DIGITAL MARKETING BEHEER Managed Services CMS & DIGITAL MARKETING BEHEER Managed Services We zorgen voor een gegarandeerd stabiel, snel en schaalbaar digitaal platform. Efficiënt beheer

Nadere informatie

Offshore Outsourcing van Infrastructure Management

Offshore Outsourcing van Infrastructure Management Offshore Outsourcing van Infrastructure Management an emerging opportunity dr. Erik Beulen Atos Origin/Tilburg University 1 Agenda Introductie Ontwikkelingen Risicovergelijking Best practices Conclusies

Nadere informatie

Informatiebeveiliging

Informatiebeveiliging Informatiebeveiliging Jeroen van Luin 30-11-2011 jeroen.van.luin@nationaalarchief.nl Wat is informatiebeveiliging? Informatiebeveiliging is het geheel van preventieve, detectieve, repressieve en correctieve

Nadere informatie

Sr. Security Specialist bij SecureLabs

Sr. Security Specialist bij SecureLabs Wie ben ik? Ronald Kingma, CISSP ronald@securelabs.nl Sr. Security Specialist bij SecureLabs Introductie SecureLabs Voorheen ISSX Code of Conduct Real Penetration Testing Vulnerability Management Veiligheidsincidenten

Nadere informatie

Bedrijfscontinuïteit met behulp van een BCMS

Bedrijfscontinuïteit met behulp van een BCMS Bedrijfscontinuïteit met behulp van een BCMS 26 november 2014 Aart Bitter@ISGcom.nl www.information-security-governance.com Disaster Recovery Plan 2 The Bitter Brew Case To Brew or not to Brew, That s

Nadere informatie

Inhoud leereenheid 1. Security en IT: inleiding. Introductie 15. Leerkern 15. Terugkoppeling 18. Uitwerking van de opgaven 18

Inhoud leereenheid 1. Security en IT: inleiding. Introductie 15. Leerkern 15. Terugkoppeling 18. Uitwerking van de opgaven 18 Inhoud leereenheid 1 Security en IT: inleiding Introductie 15 Leerkern 15 1.1 What Does Secure Mean? 15 1.2 Attacks 16 1.3 The Meaning of Computer Security 16 1.4 Computer Criminals 16 1.5 Methods of Defense

Nadere informatie

Service Niveau Overeenkomst Digikoppeling

Service Niveau Overeenkomst Digikoppeling Service Niveau Overeenkomst Digikoppeling Versie 1.3 Datum 26 mei 2015 Status Definitief Colofon Logius Servicecentrum: Postbus 96810 2509 JE Den Haag t. 0900 555 4555 (10 ct p/m) e. servicecentrum@logius.nl

Nadere informatie

ERP Testing. HP Nijhof. Testmanager. Testnet November 2005

ERP Testing. HP Nijhof. Testmanager. Testnet November 2005 ERP Testing HP Nijhof Testmanager Testnet November 2005 Solution Sales Meeting7 November 2005 1 Agenda Waarom pakketten testen? Schaarse middelen? Ideale ERP test situatie Vragen 2 De centrale vraag ERP

Nadere informatie

Intrusion detection als probaat middel tegen inbraak

Intrusion detection als probaat middel tegen inbraak Intrusion detection als probaat middel tegen inbraak Marcel Spruit Intrusion detection, het detecteren van elektronische indringers, kan een waardevolle aanvulling zijn op de beveiligingsmaatregelen voor

Nadere informatie

CMS Ronde Tafel. Cloud Continuity. Ir. Jurian Hermeler Principal Consultant

CMS Ronde Tafel. Cloud Continuity. Ir. Jurian Hermeler Principal Consultant CMS Ronde Tafel Cloud Continuity Ir. Jurian Hermeler Principal Consultant Introductie Quint Wellington Redwood Onafhankelijk Management Adviesbureau Opgericht in 1992 in Nederland Ruim 20 jaar ervaring

Nadere informatie

De essentie van de nieuwe ISO s. Dick Hortensius, NEN Milieu & Maatschappij

De essentie van de nieuwe ISO s. Dick Hortensius, NEN Milieu & Maatschappij De essentie van de nieuwe ISO s Dick Hortensius, NEN Milieu & Maatschappij 1 Waar ik het over ga hebben De uitdaging en de oplossing De HLS voor iedereen De HLS voor wie het wil Waar we staan en wat er

Nadere informatie

BeheerVisie ondersteunt StUF-ZKN 3.10

BeheerVisie ondersteunt StUF-ZKN 3.10 Nieuwsbrief BeheerVisie Nieuwsbrief BeheerVisie 2015, Editie 2 Nieuws BeheerVisie ondersteunt StUF-ZKN 3.10 BeheerVisie geeft advies MeldDesk App Message Router MeldDesk Gebruikers Forum Nieuwe MeldDesk

Nadere informatie

Aanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA. Arjan Dekker

Aanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA. Arjan Dekker Aanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA Arjan Dekker 25 mei 2005 Inhoudsopgave 1 Inleiding 2 2 Analysemethoden 2 2.1 Kwalitatieve risicoanalyse......................

Nadere informatie

IBD DIENSTENPORTFOLIO. Uitgebreide beschrijving van de diensten van de IBD

IBD DIENSTENPORTFOLIO. Uitgebreide beschrijving van de diensten van de IBD IBD DIENSTENPORTFOLIO Uitgebreide beschrijving van de diensten van de IBD Auteur IBD Datum september 2013 2 Inhoud 1 Inleiding 4 1.1 Kernactiviteiten en diensten 4 1.1 Officieel aansluiten bij de IBD 6

Nadere informatie

Brochure ISO 20000 Foundation

Brochure ISO 20000 Foundation Brochure ISO 20000 Foundation Over Pink Elephant Bedrijfshistorie Pink Elephant is een Nederlandse IT onderneming die rond 1980 is ontstaan als bijverdienste van een drietal studenten aan de Technische

Nadere informatie

HOE VUL IK DE LEGE ICT-FOTO? Verzamelen en actueel houden fotoinformatie

HOE VUL IK DE LEGE ICT-FOTO? Verzamelen en actueel houden fotoinformatie HOE VUL IK DE LEGE ICT-FOTO? Verzamelen en actueel houden fotoinformatie Auteur IBD Datum Juli 2014 2 Inhoud 1 Achtergrondinformatie 4 1.1 Inleiding 4 1.2 Waarom is de foto belangrijk? 4 1.3 Hoe komt de

Nadere informatie

Samenvatting Meldplicht Datalekken. Michael van der Vaart Head of Technology ESET Nederland

Samenvatting Meldplicht Datalekken. Michael van der Vaart Head of Technology ESET Nederland Samenvatting Meldplicht Datalekken & Michael van der Vaart Head of Technology ESET Nederland DISCLAIMER LET OP: Het gaat hier om een interpretatie van de omtrent de meldplicht datalekken. Deze interpretatie

Nadere informatie