Security by Design. Security Event AMIS. 4 december 2014

Vergelijkbare documenten
Het Sebyde aanbod. Secure By Design

Het Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

"Baselines: eigenwijsheid of wijsheid?"

Gebruikersdag Vialis Digitale Veiligheid

Praktische tips voor informatiebescherming PRAKTISCHE TIPS OM U EN UW INWONERS TE BESCHERMEN TEGEN CYBERCRIMINELEN

Sebyde Security in een organisatie A3 Management Workshop. 7 Januari 2014

Op zoek naar gemoedsrust?

Sr. Security Specialist bij SecureLabs

IT Galaxy 2018 ON THE RIGHT TRACK ON THE RIGHT TRACK. Secure by design #PQRITG18 #PQRITG18

Informatiebeveiliging & Privacy - by Design

GDPR & GeoData Omgaan met gegevensbescherming in een digitale wereld in verandering

Wat te doen tegen ransomware

Security, Continuïty & Privacy by design. Jaap van der Veen CIO-office DG Belastingdienst

Nationale IT Security Monitor Peter Vermeulen Pb7 Research

5W Security Improvement

NS in beweging, Security als business enabler september 2008

Informatiebeveiliging binnen de financiële sector: Wat kunnen we hiervan leren? 8 Oktober 2014

Hoe kan je geld verdienen met Fraude?

Cyber Security: door toeval of door design?

IBM; dataopslag; storage; infrastructuur; analytics; architectuur; big data

SECURITY UITDAGINGEN 2015

LIO NOREA bijeenkomst 4 februari 2019

Certified Ethical Hacker v9 (CEH v9)

BEVEILIGINGSARCHITECTUUR

Productopbouw. BrainCap levert cybersecurityoplossingen in 3 stappen.

De Enterprise Security Architectuur

Security: Laat je inspireren en neem actie! 1. Brecht Schamp Network & Security Specialist Phoenix Contact

Privacy Impact Assessment Privacy by design

Training en workshops

DevSecOps Een buzzword of toch een noodzakelijke stap richting Secure DevOps?

Simac Kennissessie Security HENRI VAN DEN HEUVEL

Paphos Group Risk & Security Mobile App Security Testing

Solution Dag refresh-it. Printing. Frits de Boer Frenk Tames

Control driven cyber defense

RESILIENCE. Hoe geeft mijn organisatie concreet invulling aan weerbaarheid? SECURITY CONGRES ir. Gerard Klop

Continuous testing in DevOps met Test Automation

IT Security in de industrie

Who are we? Madison Gurkha Protectors of your data and systems! Largest independant security testing and advisory company in NL

INNOVEREN VOOR EEN VEILIGE EN VEERKRACHTIGE CYBERSPACE

Security Solutions. End-to-end security. Voor de beveiliging van uw fysieke toegangscontrolesysteem.

Security Starts With Awareness

Factsheet DATALEKKEN COMPLIANT Managed Services

GDPR-wetgeving & IT-bewustzijn. GDPR-wetgeving & IT-bewustzijn

Template Powerpoint Datum

Cloud dienstverlening en Informatiebeveiliging. ISACA Round Table Assen - Maart 2017

lyondellbasell.com Cyber Safety

OMSCHRIJVING. Opleiding IT PRO

Certified Ethical Hacker v9 (CEH v9)

Bent u een onderneming 1.0 of 2.0? Doe de test en ontdek uw resultaten!

Stappenplan naar GDPR compliance

Hoe overleven in een wereld van cyberspionage, hackers en internetoplichters? Jan Verhulst

Naar een nieuw Privacy Control Framework (PCF)

Sebyde Prijslijst

ICT-Risico s bij Pensioenuitvo ering

Informatiebeveiliging En terugblik op informatiebeveiliging 2016

Uw tandartspraktijk. Een goudmijn voor internetcriminelen

CYBER SECURITY MONITORING

HET CENTRALE SECURITY PLATFORM

Sebyde Training overzicht

Wat is Cyber Security Management? 3 oktober ISA / Hudson Cybertec Arjan Meijer Security Consultant

Cyber Security: hoe verder?

VAN ZAKKENROLLER TOT CYBER CRIMINEEL

GDPR voor providers. Woensdag 28 maart uur mr. Michelle Wijnant ICTRecht CIPP/E

Ethical hacking en Auditing. ISACA Round table. 11 juni 2018 Van der Valk Hotel - Eindhoven

Stappenplan naar GDPR compliance

Simac Master Class WiFi & Security HENRI VAN DEN HEUVEL

Opdrachtgeverschap 2.0. Toezien op de afspraken in de verwerkersovereenkomst

Beveiligen van PDF documenten (deel 3)

1 Copyright 2016 Deloitte Risk Services B.V. All rights reserved.

Intrusion Detection/Prevention System (IDS/IPS) Een onmisbaar onderdeel van een passende technische informatiebeveiliging

Onderzoeksresultaten Cloud Computing in Nederland. Alfred de Jong Principal Consultant Practice Leader Architectuur & Innovatie

Cloud en cybersecurity

BIJLAGE 2: BEVEILIGINGSBIJLAGE

WHITE PAPER. Informatiebeveiliging

Certified Ethical Hacker v9 (CEH v9)

Bewustwording en awareness TIPS EN HANDVATTEN OM HET RISICO OP EEN DATALEK TE VERKLEINEN

Security Operations Center

Zest Application Professionals Training &Workshops

MedischOndernemen LIVE André van de Kasteele Oktober 2017 Veilig werken én aandacht voor de patiënt: het kan samen

Tijd voor verandering: Lean Security. Simpeler, sneller, goedkoper, flexibeler en toch effectief

ISO/IEC in een veranderende IT wereld

VERWERKERS- OVEREENKOMST <NAAM BEDRIJF>

Selling Information Security with FBI process. Selling the way your customer wants to buy... not the way you like to sell - Richard Grehalva

Security en Risico's in de Ontwerpketen: Designing Secure Organizations

AVG. Security awareness & ICT beveiliging

Security Operations Centre (SOC) for Information Assurance

NEN-7510 een praktisch hulpmiddel voor implementatie van de AVG / GDPR

Samenvatting Meldplicht Datalekken. Michael van der Vaart Head of Technology ESET Nederland

NAF Opzet Werkgroepen

Quick guide. IT security, AVG en NIB. Version 3.0

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

ISSX, Experts in IT Security. Wat is een penetratietest?

RAZENDSNEL VAN IT STARTER TOT CYBER SECURITY SPECIALIST?

User-supplied VMs op BiG Grid hardware

Even Voorstellen GEGEVENSBESCHERMING IN DE PRAKTIJK. SHK Najaar symposium Folkert van Hasselt RI. Folkert van Hasselt 29 november 2017

Tags: online; websites; automatisering; infrastructuur; cloud; infrastructure; Mirabeau; 626; automation; guidelines

INFORMATIEPAKKET NIEUWE PRIVACY WETGEVING: GDPR

Berry Kok. Navara Risk Advisory

INFORMATIEBEVEILIGING VOOR WEBWINKELS

Transcriptie:

Security by Design Security Event AMIS 4 december 2014

Een bedrijf... Mens Organisatie Techniek (PPEI)

Incidenten Stuxnet RSA hack Diginotar Dorifel Belgacom KPN hack Spamhouse APT1 2010 2011 2012 2013 DDOS attack door Anonymous SONY Playstation Network hack Lektober Flame PRISM DDOS banken

Wie is de hacker Gefrusteerde medewerker Crimineel Overheden Spion Terrorist / hacktivisten Cyberonderzoekers Organisaties Kiddies

Wat is nuttig voor een hacker? Toegang tot een Netwerk, bijvoorbeeld user ID en passwords Fysieke toegang tot een data center E-mail adressen Bekende kwetsbaarheden in bepaalde (vaak oude) versies van software Vriendelijke behulpzame medewerkers

Welke technieken gebruiken zij Tooltjes op het Internet Infectie door Malware (malicious software, bijv. virussen) Botnets Social engineering Phishing Shoulder surfing APT; Advanced Persistent Threats Combinatie van bovenstaande technieken gedurende lange periode

Top 10 Informatie Security dreigingen 1. Software met kwetsbaarheden 2. Oude versies van software en OS 3. Onveilige netwerken 4. Medewerkers met onveilig gedrag 5. Ontevreden (ex) medewerkers 6. Malware, virussen 7. Mobiele apparaten 8. Social engineering 9. Gebrek aan security / privacy beleid in een organisatie 10.???????

Wie zijn het doelwit? Financiële instellingen Overheden Gezondheidszorg Productie industrie Wij Allemaal Burger Vitale industrie Applicatie bouwers Ondernemingen Hosting providers

Doel Informatiebeveiliging Vertrouwelijkheid Beschikbaarheid Integriteit

Spanningsveld Security; hoe bescherm ik mijn informatie? Software

Waarom is software kwetsbaar? Secure coding heeft geen aandacht Software verouderd Software is complex Software is overal Software komt overal vandaan Software moet overal op aansluiten

Weerbaarheid Driehoek Intern / extern Mensen Gevaren Organisatie / Processen Technologie Response Team Gelegenheid Dreigingen

Weerbaarheid Bijwerken Bijwerken Terugval Terugval zonder refresh Assessment Tijd

Maatregelen Preventief Secure by Design Secure by Default Weerbaarheid training Detectief Logging Monitoring SIEM Defensief Firewall Spam filter Encryptie

Secure by Design Risico analyse Classificatie Requirements fase Security principles Compliance Secure Architecture Secure Development

Risico Analyse Schade erg klein klein gemiddeld hoog zeer hoog 1 2 4 8 16 zeer hoog 5 5 10 20 40 80 hoog 4 4 8 16 32 64 Kans middelmatig 3 3 6 12 24 48 klein 2 2 4 8 16 32 erg klein 1 1 2 4 8 16

Requirements fase Business Functional System

Security Principles Fail Safe Trust but Verify Secure the weakest Link Defense in Depth Secure Design Principes Avoid security by Obscurity End to End security KISS

TOGAF BSIMM Open SAMM MS-SDL BMIS development Process modellen processen Management systems ITIL NEN7510 COBIT ISO 27001 ISO 27005 ISO 27002 ISO 31000 ISO 22301 Standard of good practice operations SABSA Common Criteria ISO 27033 CWE/SANS Top-25 ISO 25010 OWASP ASVS Modelling & measurement product Testing & monitoring Penetratie test Bron: Prof. Joost Visser; Software Improvement Group & Radboud University Nijmegen PCI-DSS Intrusion detection CVSS Ethical hacking ISO/IEC 27035 ISAE 3402 CERT SSAE 1601

Secure Development Vroeg, Vaak & Voortdurend Verlies van klantvertrouwen Rechtszaken Reputatieschade Reparatie kosten Boetes Productie Bij een incident Vroeg testen bespaart veel geld. 80% van de ontwikkelkosten wordt besteed aan het opsporen en oplossen van fouten 100x Deployment Dynamisch testen Oplossen van een kwetsbaarheid in een applicatie die al in productie is kost 100 keer meer dan in de design fase 15x Test Acceptatie testen 1x Design Secure by Design 6,5 x Development Statisch testen

Security by Default Door middel van systeeminstellingen maximale security van betrokkenen waarborgen en waar mogelijk door het systeem laten afdwingen Security is gewaarborgd doordat het is ingebouwd in het systeem Als het individu niets doet is toch de security gewaarborgd

Samenvattend Criminelen Overheid Bedrijven Tone at the Top Uw Security is onze zorg MVO Wees Transparant Klantvertrouwen Verifieer Testen Trainen Audit Preventie is key Security by Design / Default Test vroeg, vaak en voortdurend

Sebyde Academy Internet Weerbaarheid Management Medewerkers ICT Professional Programma management 1. Optimaal Weerbaar Workshop ½ dag 5 dgn + x wkn 2. Bewust Worden Training 1 dag + 6 wkn 3. Bewust Zijn Training ½ dag 4. Bewust Handelen Workshop ½ dag 5. Train de Trainer Training ½ dag 6. Update Training ½ dag / Kwartaal EC Council Cursus Aanvraag CISSP Cursus Aanvraag ISO 27002 Cursus Aanvraag

Contact us E-mail info@sebyde.nl Web www.sebyde.nl www.sebydeacademy.nl Twitter www.twitter.com/sebydebv LinkedIn www.linkedin.com/company/sebyde-bv Facebook facebook.com/sebydebv facebook.com/sebydeacademy

Thank You Derk Yntema (derk.yntema@sebyde.nl)

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback