Informatiebeveiliging

Vergelijkbare documenten
Werkplekbeveiliging in de praktijk

Beveiligingsbeleid Stichting Kennisnet

Inhoud. Dus u denkt dat internetbankieren veilig is? Informatiebeveiliging Cryptografie Internetbankieren. 26 september 2009 Harald Vranken

Sr. Security Specialist bij SecureLabs

Kennissessie Information Security

Les D-06 Veilig internetten

voorbeeldexamen I-Tracks Information Security Foundation based on ISO/IEC editie juni 2008

voorbeeldexamen I-Tracks Information Security Foundation based on ISO/IEC editie augustus 2008

Informatiebeveiliging en bewustzijn

Security in het MKB: Windows 10

Privacyverklaring IT Lions

Het Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV

Baseline informatiebeveiliging (minimale maatregelen)

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers

Welkom. De fysieke beveiliging van uw industriële netwerk. Sjoerd Hakstege van Eekhout Network & Security Specialist Phoenix Contact B.V.

Informatiebeveiliging

Veiligheid en PC. Belangrijkste bedreigingen: Virussen: schade toebrengen aan PC, server

Hoe zorgt u voor maximale uptime met minimale inspanning?

Smartphones onder vuur

1. Uw computer beveiligen

Beschrijving maatregelen Informatie beveiliging centrale omgeving

1. Uw computer beveiligen

Hoe kan je geld verdienen met Fraude?

Beveiligingsmaatregelen voor een doeltreffende Cyber verdediging

Digitale zelfbeschikking biedt uw burgers controle, overzicht en inzicht

1. Uw tablet beveiligen

Informatieveiligheidsbeleid. Gemeenteraad van 31 maart 2016

WHO NEEDS ENEMIES WAAR DIENT U OP TE LETTEN? De BrainCheck is o.a.

Verklaring van Toepasselijkheid - Tactus Verslavingszorg Datum invoegen NEN Aspect NEN 7510 Beheersdoelstelling. Beveiligingsbeleid

: Privacy & informatiebeveiliging. Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie

Bewustwording en awareness TIPS EN HANDVATTEN OM HET RISICO OP EEN DATALEK TE VERKLEINEN

Veilig samenwerken met de supply-chain

IT Security in de industrie

Dienstbeschrijving Zakelijk Veilig Werken

Informatiebeveiliging

Informatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours

In dit soort s wordt gevraagd naar inloggegevens, SOFI-nummers en/of creditcardgegevens.

Informatie. beveiliging in de ambulancezorg

Degrande Frederik COMPUTER OVERNEMEN januari 2005

b-logicx handleiding INHOUDSOPGAVE VPN verbinding voor Windows XP UG_VPN.pdf

owncloud centraliseren, synchroniseren & delen van bestanden

BIJLAGE 2: BEVEILIGINGSBIJLAGE

Beveiligingsbijlage Teachers Channel

Security by Design. Security Event AMIS. 4 december 2014

EXIN Information Security Foundation based on ISO/IEC 27002

Sebyde Security in een organisatie A3 Management Workshop. 7 Januari 2014

Zorgeloze ICT, alles voor elkaar

Getting Started. AOX-319 PBX Versie 2.0

BEVEILIGINGSARCHITECTUUR

Network Security Albert Kooijman & Remko Hartlief

0.1 Opzet Marijn van Schoote 4 januari 2016

In jouw schoenen. Een praktische invulling van informatiebeveiliging

Veilig online SNEL EN MAKKELIJK

INTRODUCTIE

Handreiking classificatie. Universiteit Leiden

Cybersecurity uitdagingen in het onderwijs. Een praktische kijk op cybersecurity trends en oplossingen in het onderwijs

1. Beveiligingsbijlage

IBM; dataopslag; storage; infrastructuur; analytics; architectuur; big data

Dienstbeschrijving Internetveiligheidspakket Protection Service for Business van F-Secure. Een dienst van KPN ÉÉN

Plugwise binnen de zakelijke omgeving

Visie op cybercrime. Rob Heijjer MSc, CISSP Crisismanagement & Fraudebestrijding Security Lab. Rabobank Nederland. Februari 2011

Privacy Policy v Stone Internet Services bvba

Starterscommissie VOA

Informatiebeveiliging ZorgMail

Help, mijn datacenter is gehackt! KPN Security Services / Han Pieterse

Databeveiligingsmaatregelen voor verenigingen

Inhoudsopgave Voorwoord 9 Introductie Visual Steps 10 Nieuwsbrief 10 Wat heeft u nodig? 11 Uw voorkennis 11 De website bij het boek

GEBRUIKERSVOORWAARDEN THE JOBCONNECTOR. B.V. ("The JobConnector"). The JobConnector is geregistreerd bij het Handelsregister te Amsterdam.

Aan het eind van alle lesbrieven ben je digiveilig en mediawijs: je weet dan hoe je veilig moet omgaan met je computer en het internet.

Inhoud. Beveiliger. Beveiliging van objecten. Inhoud

e-token Authenticatie

BIJLAGE 2: BEVEILIGINGSBIJLAGE LEARNBEAT

Certified Ethical Hacker v9 (CEH v9)

NETQ Healthcare: Voor inzicht in het effect van therapie

4Problemen met zakendoen op Internet

Gerust aan het werk MET ALLE INFORMATIE OVER ONZE CLOUD WERKPLEK.

Case: Back-ups maken van Office 365. Belangrijke redenen voor organisaties om een back-up te maken van Office 365-data

Stappen ze bij u ook gewoon door de achterdeur binnen? Bart de Wijs. IT Security in de Industrie. FHI 11 Mei 2006

Preparation Guide. EXIN Information Security Foundation based on ISO/IEC 27002

BeCloud. Belgacom. Cloud. Services.

STUDENTENACCOUNT Gebruikersnaam en paswoord

Backup bestaat niet meer

Self Assessment Rapport. Hiscox Nederland

IB Beleid Gegevens naar aanleiding van Incident regio bijeenkomsten Q2

Privacy een ICT-ding? Juist niet!

Beknopt overzicht van bedreigingen en maatregelen

BeCloud. Belgacom. Cloud. Services.

Planbord installatie instructies

Inhoudsopgave Internet voor beginners

Wat is de cloud? Cloud computing Cloud

Praktijkinstructie Geautomatiseerde informatievoorziening - beheer 3 (CIN02.3/CREBO:50170)

Instructie Inloggen op Mijn a.s.r. Bank

wat te doen wat niet te doen valkuilen wat moet u rapporteren hoe blijft u overtuigend

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.

Optimale ICT-beveiliging. Van advies en ontwikkeling tot implementatie en beheer

Het Nieuwe Werken. Hoe creëer ik mensgerichte werkplekken? Haagsche Hogeschool 24/09/08. Marielle Nijsten, Senior Consultant Future Scanning

MANAGED FIREWALL VAN STATISCH SYSTEEM TOT INTELLIGENTE WAAKHOND Versie: Aantal pagina s: 11

Informatiebeveiligingsbeleid

Transcriptie:

Informatiebeveiliging Informatiemanagement Rob Poels

Beschikbaarheid Integriteit Vertrouwelijkheid Risico s logisch fysiek organisatorisch Maatregelen

Onderwerpen informatiebeveiliging Actueel Hacking for business Classificatie Bedreigingen Mobile computing: de kwetsbaarheid neemt toe Risico s (kans * Schade) Maatregelen Certificering Kosten (3-5% IT kosten!)

Actueel

Hacking for business Criminaliteit Mass mailers (I-love you) worms Zichtbaarheid phishing Botnets Roem en glorie Kwaadaardige intentie Tijd Govert.nl Zichtbaarheid en kwaadaardige intentie

Informatiebeveiliging is moeilijk Beveiligers moeten elk gat dichten, aanvallers hoeven er maar één te vinden Elke dag komen nieuwe virussen beschikbaar Virussen worden steeds makkelijker te maken maar verdedigers moeten alert blijven op de onderliggende technologie

Belangrijke oorzaken voor beveiligingslekken Time-to-market: soms worden betaversies al in de markt gebracht (Microsoft) Ontwikkelaars leggen focus op functionaliteit boven beveiliging Complexiteit van softwareontwikkeling Installatie wordt uitgevoerd zonder goede kennis

Classificatie BIV Beschikbaarheid Integriteit Vertrouwelijkheid AIC Availability Integrity Confidentiality ISO-standaard 17799 Schaal van 1 (laag) tot 3 (hoog) Dus classificatie is bijvoorbeeld: BIV 223

Classificatie Aspect Kenmerk Bedreiging Voorbeelden van bedreiging Beschikbaarheid Tijdigheid Vertraging Overbelasting infrastructuur Continuïteit Uitval Defect in infrastructuur Integriteit Correctheid Wijziging Ongeautoriseerd wijzigen van gegevens, virusinfectie, typefout Volledigheid Vertrouwelijkheid Exclusiviteit Verwijdering, Toevoeging Ongeautoriseerd wissen van gegevens, ongeautoriseerd toevoegen van gegevens Geldigheid Veroudering Gegevens niet up-to-date houden Authenticiteit Vervalsing Frauduleuze transactie Onwegeerbaarheid Verloochening Ontkennen bepaald bericht te hebben verstuurd Onthulling misbruik Afluisteren van netwerk, Hacking, Privé gebruik

Bedreigingen Interne spion Dumpster diving Clean desk? Social engineering Malware Phishing

Herken de interne spion! Uit onderzoek blijkt dat de spion aan het volgende profiel voldoet: Is bijzonder geïnteresseerd in wat collega s aan het doen zijn Meldt zich altijd aan voor extra werk of wil graag werk van een ander overnemen Werkt lang en laat Neemt zelden vakantie Makkelijk te herkennen toch?

Bedreigingen Dumpster diving Mensen onderschatten de waarde van vuilnis concept notities bevatten net zoveel informatie als de finale versie kopie afschrift creditcard bij tankstation is makkelijker te verkrijgen als hacken via internet mogelijk materiaal om via social engineering in te breken Oude PC aan de weg zetten?!

Bedreigingen Clean desk? Wie heeft toegang tot jou spullen als je er niet bent Schoonmakers worden hiet het best betaald maar hebben wel toegang tot alle kantoren Kasten zijn geen kluizen

Bedreigingen Social Engineering De kunst van het naar je hand zetten van mensen Beheerst het jargon Met liegen is veel informatie boven water te halen

Bedreigingen Social Engineering Voorbeelden: Hoi, ik ben mijn wachtwoord vergeten en dit werk moet gedaan worden, Kun je me even helpen? Hallo, je spreekt met systeembeheer, we hebben nu een probleem. Wil je even jou password even terugzetten naar welkom? Hallo, je spreekt met KPN we hebben een probleem met jou modem. Wat is precies jou nummer? Hallo, je spreekt met Jeroen van CAP Gemini, ik heb van Kees (namen achterhaald via ander circuit) de opdracht gekregen bestanden terug te zetten. Geef je me even rechten hiertoe?

Bedreigingen Malware Malicious software Verzamelnaam voor Virussen Wormen Trojaanse paarden Hoaxes Spyware Botnets

Bedreigingen Phishing Nep-sites om gegevens van de gebruiker te krijgen Automatiseringsgids 3 november 2006: Phishing kost jaarlijks miljard dollar

Mobile computing De kwetsbaarheid neemt toe Laptops locale data, nauwelijks beveiligd Data is niet altijd versleuteld en makkelijk over te zetten Laptops zitten in please steal me tassen PDA Bevatten belangrijke gegevens (agenda, contacten, financiële gege3ens, passwords) Nauwelijks beveiligd Draadloos vaak nauwelijks beveiligd: opsporen via sniffing. Kunt data lezen maar ook manipuleren!

Risico s Meeste door menselijk falen & onbewust! Risico is te bepalen door kans * schade Schade kan financiëel zijn maar ook bijvoorbeeld imagoschade Wordt vaak uitgedrukt in Euro s per jaar in de vorm van Jaarlijkste Schade Verwachting (JSV) of Annual Loss Expectancy (ALE)

Maatregelen Bedreiging Preventie Correctie Herstel Verstoring Detectie Incidentcyclus Beveiligingscyclus Schade Repressie

Maatregelen Fysieke Maatregelen Logische Maatregelen Informatie voorziening Organisatorische Maatregelen = Preventieve maatregelen = Repressieve maatregelen

Maatregelen Fysiek Backup Uitwijk Brandblussers Noodstroomvoorzieningen Sloten Logisch DMZ VPN Encriptie Identificatie (Token, kaart, biometisch, FIM blz 38 TIEM)

Maatregelen Logisch Encriptie VPN (Virtual Private Network) DeMilitarized Zone (DMZ) DMZ Gebruiker firewall firewall Gegevens Organisatie

Maatregelen Logisch Identificatie Password Token Kaart Biometisch Federated Identity Management (FIM) Voorbeeld DigiD

Maatregelen DigiD Overheid Webdienst Burger DigiD 3. Geef gebruikersnaam en wachtwoord 2. Verifieer deze gebruiker 5. Gebruiker geverifieerd, Dit is zijn nummer 4. Mijn gebruikersnaam en wachtwoord 1. Aanmelden 6. Komt u verder

Maatregelen Logisch 1 Isolatie Het kasteel heeft maar één toegangspoort 2 Veilige defaults De poort is altijd gesloten 3 Volledigheid Iedere bezoeker moet zich melden bij de schildwacht 4 Open ontwerp De architectuur van een kasteel is bekend 5 Functiescheiding Er staan altijd twee schildwachten bij de poort 6 Beperking Gewone bezoekers hebben geen toegang tot de kroonjuwelen 7 Compartimenten Het kasteel heeft verschillende afgesloten vertrekken 8 Ergonomie De poort kan niet per ongeluk worden opengezet 9 Redundantie Het kasteel heeft muren en een slotgracht 10 Diversiteit Muren en slotgracht vergen andere aanvalstechnieken

Maatregelen Logisch 1 Isolatie Uitwisseling van gegevens tussen het interne netwerk en internet is alleen mogelijk via de firewall 2 Veilige defaults Uitwisseling van gegevens tussen het interne netwerk en internet is alleen mogelijk na expliciete permissie 3 Volledigheid Iedere bezoeker moet zich melden bij de firewall 4 Open ontwerp De architectuur van de firewall is bekend 5 Functiescheiding De firewall wordt beheerd en gecontroleerd door twee verschillende functionarissen 6 Beperking De firewall laat alleen strikt noodzakelijke netwerkdiensten door 7 Compartimenten Het interne netwerk is opgesplitst in verschillende segmenten 8 Ergonomie De firewall kan niet per ongeluk worden opengezet 9 Redundantie De firewall bestaat uit meerdere componenten 10 Diversiteit De firewall bestaat uit meerdere componenten, die onderling van elkaar verschillen

Probleem Doelgroep Aanpak Medewerkers maken Medewerkers Maatregelen Redelijkheid van te treffen maatregelen fouten waarborgen en zonodig uitleggen Organisatorisch Goede voorbeeld door managers Participatie van medewerkers Inzetten van 'ambassadeurs' Belonen van gewenst gedrag en niet belonen van ongewenst gedrag Verhouding kosten/opbrengsten moet in individuele situaties positief uitvallen Opleiding, training en coaching van nieuwe medewerkers Booswichten nemen het niet zo Booswichten functiescheiding en andere maatregelen om ongewenst gedrag te voorkomen nauw met normen en waarden Extra beveiligingsmaatregelen bij gevoelige functies Duidelijke communicatie van de huisregels naar alle medewerkers Goede voorbeeld door managers Managers Managers Opleiden ven trainen van managers veroorzaken organisatiefouten Afspraken over informatiebeveiliging opnemen in management contracten nakomen van afspraken toetsen in self assessments en audits Opzetten van adequate incidenten-registratie en regelmatige rapportage informatie over risico's verschaffen aan het management door deskundigen

Maatregelen Vul individueel voor jou organisatie de tabel in als het gaat om de maatregelen Geef een oordeel over de huidige situatie ten aanzien van informatiebeveiliging

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback