Security is sexy (and you know it)



Vergelijkbare documenten
Zet de stap naar certificering!

Sebyde Web Applicatie Security Scan. 7 Januari 2014

HET CENTRALE SECURITY PLATFORM

Databeveiliging en Hosting Asperion

André Salomons Smart SharePoint Solutions BV. Cloud security en de rol van de accountant ICT Accountancy praktijkdag

CERTIFICERING DATASTORAGE ISO 27001:2013 EN NEN7510:2011

ISO Informatiebeveiliging

IT Security in de industrie

Informatiebeveiliging voor gemeenten: een helder stappenplan

We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren.

Beveiliging en bescherming privacy

Opdrachtgeverschap 2.0. Toezien op de afspraken in de verwerkersovereenkomst

Voordat sprake kan zijn van een TPM, moet aan een aantal voorwaarden worden voldaan:

Informatiebeveiliging En terugblik op informatiebeveiliging 2016

Cloud dienstverlening en Informatiebeveiliging. ISACA Round Table Assen - Maart 2017

MKB Cloudpartner Informatie TPM & ISAE

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

Cloud Solutions. Business Case Skysource Group. Als Cloud Service Provider verkoop je vertrouwen

Audit: Beveiliging Digitale Examens

Uw bedrijf beschermd tegen cybercriminaliteit

Factsheet Penetratietest Informatievoorziening

Beveiliging is meer dan een slot op je computerruimte. Ben Stoltenborg PinkRoccade Healthcare EDP Auditor

Zest Application Professionals Training &Workshops

Dataprotectie op school

DE 5 VERBETERPUNTEN VAN UW SECURITY

CASE STUDY. FRISS pakt verzekeringsfraude aan met. Solvinity. Steeds minder fraudeurs weten verzekeringsmaatschappijen een pootje te lichten.

Informatie is overal: Heeft u er grip op?

Vertrouwen in ketens. Jean-Paul Bakkers

Toezien op privacy naleving bij (IT) leveranciers; ISO of ISAE 3000?

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. ICT Noord, Harro Spanninga

CYBER SECURITY MONITORING

Checklist Beveiliging Persoonsgegevens

Uw tandartspraktijk. Een goudmijn voor internetcriminelen

De beveiligingsscan sta voor je zaak.nl

ISMS BELEIDSVERKLARING. +31(0) Versie 1.0: 3/7/18

IT Security Een keten is zo sterk als de zwakste schakel.

Nederlands Cyber Collectief CYBER ADVIES

Training en workshops

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.

Help, mijn datacenter is gehackt! KPN Security Services / Han Pieterse

Heeft u al applicaties in de cloud (zoals AWS, Azure, Google) draaien?

Cloud Computing. -- bespiegelingen op de cloud -- MKB Rotterdam, 10 november Opvallend betrokken, ongewoon goed

Factsheet SECURITY DESIGN Managed Services

Factsheet Penetratietest Infrastructuur

Team Werknemers Pensioen

Whitepaper. Outsourcing. Uitbesteden ICT: Wat, waarom, aan wie en hoe? 1/6.

Exact Online BUSINESS CASE MET EXACT ONLINE MEER FOCUS OP ACCOUNTMANAGEMENT EN ADVISERING. De 5 tips van Marc Vosse.

Jos Witteveen Wat komt er kijken bij Clouddiensten voor de Zorg? 29 oktober 2013

Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus EA Den Haag

Gemeente Alphen aan den Rijn

Beleid Informatiebeveiliging InfinitCare

IBM; dataopslag; storage; infrastructuur; analytics; architectuur; big data

Data en Applicatie Migratie naar de Cloud

Security Starts With Awareness

Bijlage 1: DigiD aansluiting no.1 - Bijlage B + C Gemeente Loppersum

Verborgen gebreken in de defence in depth theorie

ICT-uitbestedingsdiensten en Software as a Service:

Jacques Herman 21 februari 2013

III Stream IT Auditing. UWV / CIP / VU- IT auditing

Bewustwording en awareness TIPS EN HANDVATTEN OM HET RISICO OP EEN DATALEK TE VERKLEINEN

IaaS als basis voor maatwerkoplossingen

Informatiebeveiliging in de praktijk gebracht! Een pragmatische aanpak van IT-beveiliging.

THE CLOUD IN JURIDISCH PERSPECTIEF SPREKERSPROFIEL. Mr. Jan van Noord Directeur International Tender Services (ITS) BV

ONLINE SAMENWERKEN IN HET DNA VAN ACCOUNTANTSKANTOOR JOINSON & SPICE

Fiscount ICT-Strategie en -Beveiliging

Certificeren Waardevol?? KVGM B.V.

INFORMATIEBEVEILIGING VOOR VERZEKERAARS. Better safe than sorry. vraag vandaag nog een Assessment aan. Think.Pink.

Informatiebeveiliging, noodzakelijk kwaad of nuttig? DNV Business Assurance. All rights reserved.

Brochure ISO Advanced

Partneren met een Cloud broker

Bewaar patiëntgegevens veilig in de Nederlandse Cloud. Infopaper voor de zorgsector. The Sourcing Company

Digitale Veiligheid 3.0

GOEDE ZORG VOOR ONDERZOEKSDATA.

Case: Oxyma en Solvinity delen hetzelfde DNA

Het Sebyde aanbod. Secure By Design

Sr. Security Specialist bij SecureLabs

Zwaarbewolkt met kans op neerslag

Security Management Trendonderzoek. Chloë Hezemans

Heeft u al applicaties in de cloud (zoals AWS, Azure, Google) draaien?

Agenda Wat zijn de gevolgen van Cloud en Gridcomputing voor de gebruikersorganisatie en de beheersfunctie.

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Informatiebeveiliging the next level!

Next Generation Risk Based Certification

Op 14 maart 2017 publiceerde het DNB Expertisecentrum Operationele en IT Risico's een memo 'Toelichting Toetsingskader Informatiebeveiliging 2017'.

NEXT LEVEL DATA TRUST VOOR HET MKB DE 3 REDENEN WAAROM WERKEN IN DE CLOUD UW BEDRIJF VOORUITHELPT

Transcriptie:

Security is sexy (and you know it) Informatiebeveiliging is lang een stoffig onderwerp geweest. Security professionals verdedigden zich vaak met de opmerking Informatiebeveiliging is niet sexy, maar wel heel belangrijk. Bestuurders moesten echt overtuigd worden van het belang van informatiebeveiliging. Het belangrijkste argument om iets aan informatiebeveiliging te doen was vaak het cover your ass -principe. Net zoiets als een verzekeringspolis dus. Maar de wereld verandert in snel tempo. Bestuurders bellen diezelfde security professional tegenwoordig zelf op: Kun je me helpen? Zo n ddos-aanval wil ik niet!. Ook de arbeidsmarkt verandert. Het is nu zelfs sexy om in de informatiebeveiliging te werken. Security is booming business geworden. Het Wilde Westen Maar er is ook een keerzijde. De dagelijkse nieuwsberichten zorgen ervoor dat beveiligingsincidenten gewoon worden. Ze horen erbij, als facts of life. Je kunt het huidige internet vergelijken met het Wilde Westen. Een rauwe, avontuurlijke, deels wetteloze samenleving van vrijbuiters. De criminelen van nu zijn de goudzoekers van toen. Na de Amerikaanse burgeroorlog kwam er een einde aan het Wilde Westen. De vraag is waar het huidige tijdperk met het internet, zoals we dat nu kennen, eindigt. Criminaliteit verplaatst zich naar internet Even een stapje terug. Criminaliteit verplaatst zich in rap tempo van de fysieke wereld naar het internet. De schade van internetcriminaliteit wordt op dit moment alleen al in Nederland geschat op 8,8 miljard euro per jaar. Deze schade wordt niet alleen veroorzaakt door financiële fraude, maar ook door diefstal van intellectueel eigendom van organisaties. Door het ontbreken van regels is de pakkans bijzonder klein. Bovendien weten bedrijven vaak niet eens dát ze zijn bestolen. Naar een veiliger internet Terug naar de vraag waar het huidige internettijdperk eindigt. Mijn voorspelling - en die van velen met mij - is dat het internet in zijn huidige vorm zal eindigen in een wereldwijde oorlog en zal ophouden te bestaan. Hierna zal waarschijnlijk een betere en vooral veiligere versie van het internet worden opgebouwd. Wat kunnen we tot die tijd doen om te overleven in die rauwe, deels wetteloze wereld van het internet? Drie tips voor een veiliger internet 1. Verbeter voortdurend het beveiligingsbewustzijn van uw medewerkers 2. Bewaak en test de effectiviteit van de getroffen technische beveiligingsmaatregelen continu 3. Toon aan dat informatiebeveiliging werkt

1. Verbeter voortdurend het beveiligingsbewustzijn van uw medewerkers Internetrijbewijs De mens is de maat van alle dingen, zei de Griekse filosoof Protagoras van Abdera. Dit geldt ook voor infor- matiebeveiliging. Beveiliging kan veel kosten en weinig tot niets opleveren als mensen er niet mee om kunnen gaan of niet begrijpen waarom bepaalde beveiligingsmaatregelen noodzakelijk zijn. Het zou helemaal zo gek nog niet zijn als er een soort rijbewijs voor het internet zou komen. Toen de eerste auto s werden gemaakt, mocht iedereen hierin rijden. Van enige veiligheidsmaatregelen was helemaal geen sprake. De eerste auto s hadden niet eens een rem. Theorie, oefenen en de praktijk De parallel met computers en internet is duidelijk. Veel mensen hebben geen idee hoe ze een computer moe- ten besturen en hebben geen idee van de gevaren van het internet. Of denken dat hen niets zal overkomen: Wat heeft iemand nu aan mijn gegevens? Nou, lees het boek Komt een vrouw bij de h@cker maar eens. De noodzaak voor een internetrijbewijs wordt steeds groter. Dit komt niet alleen door de toenemende criminali- teit op internet, maar ook doordat de grens tussen zakelijk en privé verdwijnt. Het begint met theorie, veel oefenen en daarna een praktijkexamen. In de praktijk zijn er continu waarschuwingsborden en stoptekens. Wanneer je de regels overtreedt, kan een boete volgen. Wanneer je vermoedt dat bepaalde mensen niet veilig meer rijden, neem je opnieuw een praktijkexamen af. Dit zou ook de basis moet zijn voor een programma om het beveiligingsbewustzijn op peil te houden. Beveiligingsbewustzijn is geen eenmalige activiteit maar een continu proces. Aandacht voor veilig werken continu proces Met case based learning en gedragstesten kan een praktijkexamen worden afgenomen. Case based learning is een manier van leren, waarbij mensen dilemma s in de context van hun eigen werksituatie krijgen voorgelegd. De medewerkers geven aan wat ze in een bepaalde situatie zouden doen. Daarna test je het gedrag in de prak- tijk, bijvoorbeeld door phishing e- mails te versturen. Met deze aanpak is het mogelijk om de volwassenheid van het beveiligingsbewustzijn continu te meten. De resultaten van het praktijkexamen zijn de input voor een zogenaamd triggerprogramma. Medewerkers krijgen daarbij regelmatig kleine prikkels om veilig gedrag te vertonen. Zo zorg je dat de aandacht voor veilig werken niet verslapt. Dit is een cyclus die continu wordt door- lopen. 2. Bewaak en test de effectiviteit van de getroffen technische beveiligingsmaatregelen continu Aantal kwetsbaarheden neemt toe Meer en meer bedrijfskritische toepassingen worden verplaatst naar of zijn afhankelijk van de cloud. Dit terwijl het aantal kwetsbaarheden, vooral in applicaties, alleen maar toeneemt. Jaren geleden misbruikte een hacker vaak zwakke plekken in de firewall, router of het besturingssysteem om in te breken. De afgelopen jaren zien we dat de infrastructuur steeds beter is beveiligd. Leveranciers hebben hier een belangrijke bijdrage aan gele- verd. Een voorbeeld daarvan is Microsoft. In het verleden stonden alle functies en diensten van een server standaard aan, ook al waren deze overbodig. Tegenwoordig staan vrijwel alle functies en diensten standaard uit. Pagina 2 van 5

De meeste kwetsbaarheden worden tegenwoordig aangetroffen in applicaties. Opvallend is dat kwetsbaarhe- den die al veel langer bestaan en bekend zijn steeds meer voorkomen. Er zijn bijvoorbeeld veel applicaties die kwetsbaar zijn voor injection, waardoor toegang kan worden gekregen tot gevoelige gegevens. Ook cross- site scripting is een middel om mensen te misleiden en vertrouwelijke informatie in handen te krijgen. Test de beveiliging van applicaties De standaard manier om de effectiviteit van de beveiliging van een webapplicatie te testen, is het (laten) uit- voeren van een ethical hack, ofwel een pentest. Vaak wordt dit door een onafhankelijke partij gedaan of een intern team van specialisten. Daarnaast zijn de zogenaamde bug bounty platforms in opkomst. Een voorbeeld hiervan is HackerOne. Organisaties zoals Yahoo, Twitter en Dropbox gebruiken HackerOne om hun beveiliging door duizenden aangesloten hackers te laten testen en de gevonden kwetsbaarheden af te handelen. Hackers die een echte kwetsbaarheid vinden, worden beloond in reputatie of geld. Er wordt steeds meer geautomati- seerd getest met kwetsbaarhedenscanners en incidentdetectie en monitoringsystemen bewaken of de beveili- ging wordt doorbroken. Kenmerkend is dat het testen van de effectiviteit van beveiliging op zichzelf lijkt te staan. Er is wel meer aan- dacht voor security by design en veilig programmeren, maar het testen van de beveiliging is geen geïntegreerd onderdeel van de ontwikkelcyclus van een applicatie. Hier bieden, zeker wanneer sprake is van Agile of Devops ontwikkeling, continuous auditing en monitoring uitkomst. Er wordt meer tijd genomen om een theoretisch concept te realiseren door het combineren en aanpassen van een aantal van de bestaande test- en monitoring- systemen. Pagina 3 van 5

3. Toon aan dat informatiebeveiliging werkt Informatiebeveiliging steeds volwassener Het toenemend belang van informatiebeveiliging zorgt ervoor dat organisaties informatiebeveiliging steeds serieuzer nemen. Anders gezegd, de volwassenheid van informatiebeveiliging neemt toe. Informatiebeveiliging wordt niet langer gezien als iets dat je binnen een organisatie regelt. De beveiliging in de keten is misschien wel veel belangrijker. Deze ontwikkeling betekent dat organisaties zekerheid willen over het niveau van informa- tiebeveiliging of de effectiviteit van de getroffen beveiligingsmaatregelen. Organisaties vertrouwen elkaar niet langer op hun blauwe ogen. Beveiliging in de keten wordt belangrijker In de financiële sector is het al langer gebruikelijk dat, wanneer er belangrijke processen zijn uitbesteed, er zekerheid over de betrouwbaarheid hiervan moet worden verkregen. Nu het erop lijkt dat wettelijk wordt afgedwongen dat zorginstellingen kunnen aantonen dat er passende beveiligingsmaatregelen zijn getroffen, neemt de behoefte aan zekerheid in deze sector toe. In veel andere sectoren zien we hetzelfde. Vaak is sprake van zelfregulering. Zo conformeert de Rijksoverheid zich aan de Baseline Informatiebeveiliging Rijksdienst en hebben gemeenten zich verplicht te voldoen aan de Baseline Informatiebeveiliging Gemeenten. Een van de gevolgen is dat ook aan leveranciers wordt gevraagd of er zekerheid gegeven kan worden over het niveau van informatiebeveiliging en de effectiviteit van de getroffen maatregelen. Steeds vaker wordt dit als eis opgeno- men in aanbestedingen. Maar hoe toon je veiligheid aan? Er is in de markt veel onduidelijkheid over de zekerheid die wordt gevraagd, dan wel gevraagd moet worden. Vaak wordt alleen gesteld dat een organisatie informatiebeveiliging op orde moeten hebben. Dit kan worden aangetoond met een ISO27001- certificaat, een ISAE3402- verklaring of een ISAE3000- verklaring. Ook wordt regelmatig een ISO27002- of NEN7510- certificaat gevraagd. Wat kan een organisatie eisen en wanneer vraag je wat? Een kort overzicht: ISO27001- certificaat en ISO27002 ISO27001 is een standaard die beschrijft hoe je informatiebeveiliging procesmatig kunt inrichten om risicoge- dreven maatregelen te effectueren. Om toepasselijke maatregelen te selecteren, wordt vaak ISO27002 ge- bruikt. Dit is een standaard die een aantal best practises of voorbeeldbeveiligingsmaatregelen beschrijft. Er kunnen ook andere standaarden, zoals Cobit worden gebruikt. Goed om te weten, is dat ISO27001 een norm is, maar ISO27002 juist niet. Dit betekent dat organisaties zich kunnen laten certificeren op basis van ISO27001, maar niet op basis van ISO27002. Wat zegt zo n certificaat? Een ISO27001- certificaat toont aan dat de organisatie of afdeling: een risicoanalyse heeft uitgevoerd; maatregelen heeft geselecteerd en ingevoerd; de effectiviteit van de maatregelen heeft gecontroleerd; het proces, dan wel de maatregelen, waar nodig heeft bijgestuurd. Het certificaat geeft geen zekerheid over de getroffen maatregelen. Aandachtspunten zijn de reikwijdte van het certificaat en de geselecteerde maatregelen. Pagina 4 van 5

NEN7510- certificaat voor de zorg NEN7510 is de Nederlandse vertaling van ISO27001 en ISO27002 voor de zorg. Theoretisch kan NEN7510 als basis voor certificatie worden gebruikt. In de praktijk gebeurt dit niet of nauwelijks en is op dit moment ook niet aan te raden. NEN7510 is gebaseerd op oude versies van ISO27001 en ISO27002 en de best practise maatregelen zijn weinig zorg- specifiek. Een betere strategie is een ISO27001- certificaat met zorg- specifieke maatregelen. ISAE3402- en ISAE300- verklaring Een andere vorm van zekerheid is de zogenaamde derdepartijverklaring. Hierbij geeft een auditor (de derde partij) zekerheid aan organisatie A (klant) over de door organisatie B (leverancier) getroffen beveiligingsmaat- regelen. Er zijn op dit moment twee type verklaringen die worden gebruikt: ISAE3402 (voorheen SAS70) en ISAE3000. In beide gevallen gaat het om een internationale rapportagestandaard. Eigenlijk een afspraak tussen auditors hoe eenduidig wordt gerapporteerd over de opzet, het bestaan en de werking van bepaalde beveili- gingsmaatregelen. Let op, beide standaarden zeggen niets over welke maatregelen worden getoetst. Het ver- schil tussen ISAE3402 en ISAE3000 is vooral dat de eerste is bedoeld voor processen die van belang zijn voor de financiële verantwoording en de laatste voor al het overige. De ISAE- standaarden zijn eigenlijk bedoeld om te voorkomen dat leveranciers van elke klant een auditor op bezoek krijgen. In de praktijk zien we dat de ISAE3402- verklaring nogal eens wordt misbruikt. Vaak wordt een ISAE3402- verklaring gebruikt wanneer een ISAE3000- verklaring zou volstaan. In de nabije toekomst worden de ISAE- standaarden vervangen door de SOC- standaarden. Voordeel hiervan is dat de te toetsen beveiligingsmaatregelen hier wel onderdeel van zijn. Wanneer is welke zekerheid passend? Wanneer is nu welke zekerheid passend? Het korte antwoord is beide : zowel een ISO27001- certificaat als een ISAE- verklaring. Ook hier geldt het credo: informatiebeveiliging is geen eenmalige activiteit. Het is belang- rijk om er zeker van te zijn dat een (potentiële) leverancier informatiebeveiliging serieus neemt en een structu- reel proces heeft ingericht. Het is ook van belang om vast te stellen dat relevante maatregelen daadwerkelijk zijn geïmplementeerd en effectief zijn. In veel situaties volstaat hiervoor een ISAE3000- verklaring. Alleen in die gevallen dat processen bepalend zijn voor een getrouw beeld van de jaarrekening is ISAE3402- noodzakelijk. Investeren in cyber security Dat er nog de nodige stappen genomen moeten worden om het internet veiliger te maken, wordt onderbouwd door de meest recente State of the Union- toespraak van president Obama. Hij noemde expliciet het belang van cyber security. Een onderwerp dat overheden, ondernemingen en burgers volgens Obama hoog op de agenda moeten plaatsen. Obama zei in zijn toespraak dat er nog een hoop werk valt te verrichten op dit terrein, zowel juridisch als met investeringen om internet veiliger te maken. De Amerikaanse overheid trekt daar 14 miljard dollar voor uit. Waarmee weer onderstreept wordt dat informatiebeveiliging de afgelopen jaren een sexy onderwerp is ge- worden. Geschreven door Erik Rutkens ADVISEUR, IT- AUDITOR Heeft u vragen? Stuur mij dan een e- mail, of bel mij op 050 820 02 25 Pagina 5 van 5

2026 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback