Security en risk management VLHORA studiedag -The Eduction Highway Andy Deprez
Inhoud Inleiding Waarom informatiebeveiliging? Assets en risico s Risico s met betrekking tot informatie Risicobeheer Algemene trends Investeringen Strategie Top 5 prioriteiten Drivers voor informatiebeveiliging Uitdagingen Talk of Town Nabeschouwing Onze publicaties Page 2
INLEIDING
Waarom informatiebeveiliging? Impact op operationele processen Website nierpatiëntenvereniging niet beschikbaar door hackers -30 september 2011 Bron: Het Parool De website van de nierpatiëntenvereniging NVN is sinds twee weken vrijwel onbereikbaar door aanvallen van Russische en Chinese hackers. Een aantal malen is geprobeerd de gegevens terug te zetten, maar telkens bleek het lek niet gedicht en sloegen hackers na korte tijd opnieuw toe. Nokia haalt developersite offline na hack - 30 augustus 2011 Bron: WebWereld Nokia heeft zijn forum voor ontwikkelaars offline gehaald nadat de site was gehackt. Namen en e-mailadressen zijn buitgemaakt door de inbrekers. Creditcardnummers waren veilig, zegt Nokia. De Finse telefoonmaker heeft ontwikkelaars via de mail op de hoogte gesteld van de hack. Ook is op het getroffen forum, wat inmiddels weer online is, een bericht geplaatst met de excuses van Nokia. De site bleek vatbaar voor een sql-injectie en daarbij werd de database met namen en e- mailadressen toegankelijk. Van sommige ontwikkelaars zijn ook gebruikersnamen voor im-diensten (instant messaging) AIM, ICQ, MSN, Skype of Yahoo buitgemaakt. Volgens Nokia zijn er geen wachtwoorden of creditcard informatie gestolen. Page 4
Waarom informatiebeveiliging? Impact op reputatie Gehackt PSN kost Sony vermogen - dinsdag 24 mei 2011 Bron: zdnet.be Sony schat dat de hack van het PlayStation Network in totaal 171 miljoen dollar zal kosten. Dat bedrag kan oplopen als er rechtszaken worden aangespannen. Het PlayStation Network, waarop gamers online tegen elkaar kunnen spelen, ging op 20 april offline na een hackaanval. Daarbij werden gegevens van 77 miljoen klanten gestolen. Pas 23 dagen later was het netwerk weer operationeel, al blijven bepaalde zaken zoals de PlayStation Store voorlopig gesloten. Major outages couldn't come at a worse time for RIM. Source: New York Times One of the BlackBerry's big attractions is the BlackBerry Messenger, or BBM, which works like text messaging but doesn't incur extra fees. That service was affected by the outage, and to make matters worse for RIM, Apple is releasing software for its iphones that works like BBM. The iphone 4S will be released on Friday. Competition from Apple is one of the chief causes of RIM's diminishing fortunes. RIM shares fell 53 cents, or 2.2 percent, to close New York trading at US$23.88 as major indexes rose. The shares hit US$19.29 a week ago, the lowest level since 2006. Page 5
Waarom informatiebeveiliging? Financiële impact Cancer researcher has laptop stolen with no data backed up - 17 januari 2011 Bron: Softpedia A cancer researcher at Oklahoma University has had her laptop stolen, with several years worth of research lost. According to Softpedia, Sook Shin left the laptop in her car and returned to find a smashed window and the 13-inch white Macbook and bag missing. Shin said that the research was for a prostate cancer cure and as it was never backed up, it cannot be replicated She also confirmed that the nature of the data means that most of it can never be replaced, some parts can be reconstructed by redoing tests but this could take up to two years. Werkstraf geëist voor hacken universiteitssite - 9 september 2010 Bron: ad.nl Tegen twee hackers is 240 en 150 uur werkstraf geëist. De 19-jarige man uit Enschede en de 21- jarige Eindhovenaar zouden de sites van de Universiteit Leiden en meerdere bedrijven hebben gekraakt en deze instellingen daarbij voor zo'n 180.000 euro hebben benadeeld. Het OM wil dat de twee de Universiteit Leiden voor dertigduizend euro schadeloos stellen. Dat bedrag moest de universiteit uitgeven om het netwerk weer werkend te krijgen. De Universiteit Leiden deed in 2008 aangifte van hacken, waarna de politie de twee mannen op het spoor kwam. Nadat hun computers waren ingenomen vond de politie informatie waaruit bleek dat het tweetal ook andere sites had gekraakt. Page 6
Waarom informatiebeveiliging? Impact op integriteit en vertrouwelijkheid Nederlandse overheid -Lek miljoenennota 2012 15/09/2011 Bron: www.depers.nl De miljoenennota 2012 is donderdag door een menselijke fout te vroeg openbaar geworden. Dat zei woordvoerder Peter van der Maat van Facetbase, dat geregeld rapporten openbaar maakt in opdracht van onder meer overheidsinstanties. De fout is gemaakt door een medewerker van Facetbase. De miljoenennota, die vrijdagmiddag openbaar had moeten worden, is in een PDF-document op een directory gezet waar normaal gesproken alleen testdocumenten worden geplaatst, aldus de zegsman. Per abuis is nu dus de echte miljoenennota daarin gezet.,,het is heel vervelend en het had niet mogen gebeuren. Het is echt een menselijke fout.'' Van der Maat meldt dat Facetbase heeft besloten dat in het vervolg een extra beveiliging wordt ingebouwd. Te denken valt dan aan iemand die meekijkt, of een pop-up waarin wordt gevraagd of de handeling inderdaad moet worden uitgevoerd. UGA investigating online exposure of personnel information 7/10/2011 Bron: news.uga.edu The University of Georgia recently discovered a data file on a publicly available Web server that contained sensitive personnel information on 18,931 members of the faculty and staff employed at the institution in 2002. The university took the information off-line immediately upon learning of the exposure and began conducting an investigation. The file, created for legitimate internal administrative purposes, was accessible on the web from 2008 to 2011, and possibly dating back to 2002. The file included the social security number, name, date of birth, date of employment, sex, race, home phone number and home address of individuals employed at UGA in 2002. Page 7
Assets en risico s Asset Definitie: Alles met een commerciële en - of vervangingswaarde, dat eigendom is van een bedrijf, stichting of individu. Ook informatie is voor veel organisaties een van de belangrijkste assets. Reduceren Bedreigingen Beschermen tegen Verhogen Safeguards / controles Misbruiken Risico s Assets Reduceren Zwakheden Verhogen Stellen bloot Page 8
Risico s met betrekking tot informatie ISO 27000 (informatiebeveiliging management standaard) definieert informatiebeveiliging als de vrijwaring van de confidentialiteit, integriteit en beschikbaarheid van informatie: Confidentialiteit: zorgen dat informatie enkel beschikbaar is voor diegenen die geautoriseerde toegang hebben; Integriteit: zorgen dat informatie correct en volledig is; Beschikbaarheid: zorgen dat informatie beschikbaar op het moment dat dit nodig is. Page 9
ALGEMENE TRENDS
Ernst & Young s Global Information Security Survey Into the cloud and out of the fog Ernst & Young s 2011 Global Information Security Survey t Page 11
Risicobeheer Heeft uw organisatie een InformationSecurity management System (ISMS) dat het algemene beheer van informatiebeveiliging omvat geïmplementeerd? 10% Yes, Ja, geïmplementeerd implemented and en formally gecertifieerd certified (e.g. (e.g., ISO/IEC ISO/IEC 27001:2005 27001:2005) Yes, Ja, zonder without certificatie certification 28% 31% 15% 17% Yes, Ja, we currently zijn op in dit the moment process bezig of met de implementing implementatie No, Nee, but maar considering wordt it aan gedacht No, Nee and en not er wordt considering niet aan itgedacht Page 12
Risicobeheer Heeft uw organisatie een geformaliseerd programma voor IT risicobeheer geïmplementeerd, dat aan risico-analyse doet en het risico niveau van de organisatie kwantificeert? 16% Yes, Ja, we we hebben have an een IT programma risk management voor IT program that risicobeheer has existed dat minder for less dan than 3 jaar three bestaat years 31% No, Nee, but maar considering wordt aan it within gedacht the coming dit tijdens 12 months het komende jaar te implementeren 25% 28% Yes, Ja, we we hebben have had een a programma well-established voor IT IT risk management risicobeheer dat program al meer in dan place 3 jaar for bestaat. more than three years No, Nee, and en not er wordt considering niet aan it gedacht Page 13
Risicobeheer Hoe vaak worden onderwerpen met betrekking tot informatiebeveiliging gepresenteerd t.o.v. de directie? Ons perspectief 12% 37% 10% 41% Approximately Bijna per kwartaal Quarterly Annually Zelden / almost never Every Bij elke time the board directievergadering meets Never Nooit Neem informatiebeveiliging mee naar de directieraad met een duidelijke strategie die de organisatie enerzijds zal beschermen, maar anderzijds ook nieuwe mogelijkheden biedt. Dit kan enkel bereikt worden door informatiebeveiliging nauw af te stemmen op de specifieke behoeftes van de organisatie. Page 14
Investeringen Wat is de evolutie van het budget voor informatiebeveiliging binnen uw organisatie het voorbije jaar? 2010 vs 2011 2011 vs 2012 Budgetverhoging Budgetverlaging Gelijk budget 42% 52% 35% Increased Vermeerderd Decreased Verminderd 59% 6% 6% Stayed the same Status quo Page 15
Strategie Heeft uw organisatie een gedocumenteerde strategie voor informatiebeveiliging voor de komende één tot drie jaar? Ons perspectief 51% 47% De academische wereld heeft deze maturiteit nog niet bereikt. Veel heeft te maken met bewustzijn en algemene filosofie binnen de onderwijswereld. No Yes * Alle aantallen zijn percentages van het aantal deelnemers aan de enquête. Het totaal zal niet altijd op 100% uitkomen, door afronding, het feit dat meerdere antwoorden toegestaan worden op bepaalde vragen en niet alle deelnemers hebben alle vragen beantwoord. Page 16
Strategie Hoe zou u uw strategie voor informatiebeveiliging omschrijven? 23% 33% 43% Our Onze current huidige information strategie security voor strategy adequately informatiebeveiliging addresses the behandeld risks de risico s op adequate wijze We We need moeten to modify onze our strategie strategy aanpassen to om de address nieuwe the risico s new risks te adresseren We We need moeten to investigate verder onderzoek further to doen om de understand risico s beter the risks te verstaan We We do zien not see geen any nieuwe new or risico s increased of risico s die risks aan belang hebben ingewonnen Page 17
Top 5 Prioriteiten Hoogste budgetten voor informatiebeveiliging gaan naar (top 5): Business continuity/disaster recovery plans and capabilities Data leakage/data loss prevention technologies and processes Compliance monitoring (to internal & external policies and standards) Identity and access management technologies and processes Securing new technologies (e.g., cloud computing, virtualization, mobile) Page 18
Drivers voor informatiebeveiliging Wetgevingen, bv. wet op de privacy Beschermen van reputatie en merknaam Beschermen van persoonlijke informatie Eigen richtlijnen Beheer van risico s Beschermen van intellectuele eigendom Vertrouwen van investeerders Verbeteren van IT Beheer van externe partijen Uitbreiden van nieuwe services Vergemakkelijken van overnames Onderzoeken van nieuwe IT trends Page 19
Uitdagingen Invoeren van mobiele toestellen Voldoende budget Security awareness bij gebruikers Werknemers met de juiste competenties Steun en bewustzijn van het management Aantal nieuwe projecten Nieuwe technologieën Sociale media Wijzigingen in bestaande wetgevingen Wijzigingen in de organisatie Onzekerheid in de sector Page 20
Talk of Town
Cloud computing Definitie Cloud computingis een model dat alomtegenwoordige, gemakkelijke, on-demand toegang geeft tot een groep van IT-middelen (bv. Netwerken, servers, opslag, applicaties, services, ). Deze kunnen snel voorzien en terug vrijgegeven worden met een minimum aan moeite voor beheer en beperkte interactie met de service provider. NIST definitie van Cloud computing Belangrijkste risico s Afhankelijkheid van derde partijen Betrouwbaarheid en continuïteit Informatiestroom is oncontroleerbaar Hoe gaan organisaties hiermee om? 52% van de organisaties zegt geen specifieke controles toe te passen (GISS 2011) Risicobeheersing d.m.v. contracten is een belangrijke peiler Verhoogd gebruik van encryptie Page 22
Cloud computing Ons perspectief: Doe een risicoanalyse en adresseer de risico s Besteed voldoende aandacht aan continuïteit Hergebruik bestaande controles in de cloud Controleer de cloud service provider Page 23
Mobile computing Definitie Mobile computing is een vorm van interactie tussen mens en computer waarbij men verwacht dat het toestel tijdens het gebruik verplaatst wordt. Belangrijkste risico s Verlies of diefstal van het toestel en de informatie Ongecontroleerde netwerktoegang Hoe gaan organisaties hiermee om? Encryptietechnieken Aanpassen van het beleid rond het gebruik van deze toestellen Bewustmaking van medewerkers rond de risico s Page 24
Mobile computing Ons perspectief Security awareness bij gebruikers als een belangrijke peiler Gebruik encryptie als fundamentele controle Page 25
Sociale media Definitie Een groep van applicaties die gebouwd zijn op de ideologische en technologische fundamenten van Web 2.0, en die gebruikers toelaten om zelf content aan te maken en te delen met anderen. Andreas Kaplan& Michael Haenlein Risico s Snelle en oncontroleerbare verspreiding van gevoelige informatie Snelle verspreiding van negatieve publiciteit (reputatie!) Impersonation Nieuwe bron van malware en phishing Hoe gaan organisaties hiermee om? Bewustmaking van medewerkers over de risico s Wijziging van het beleid rond sociale media Monitoren van toegang tot sociale media 53% van de organisaties blokkeert toegang tot sociale media (niet houdbaar) Page 26
Sociale media Ons perspectief De inburgering van sociale media is niet tegen te gaan Wees niet blind voor risico s en informeer de werknemers Bewustzijn is van belang Maak gebruik van de voordelen van sociale media Page 27
Nabeschouwing
Hoe kan men aan goede informatiebeveiliging doen? Implementeren van een ISMS (Information Security Management System) Risicobeheer als cruciaal onderdeel Uitstippelen van een beleid Uitschrijven van procedures en policies Training Testen van de effectiviteit testen, zoals bv. Socialengineering Attack and penetration testing Page 29
Enkele recente publicaties Ook beschikbaar via EY Insights ipad app Page 30
Ernst & Young Assurance Tax Transactions Advisory Over Ernst & Young s Advisory Services Om het maximale uit uw onderneming te halen, moet uw organisatie op effectieve wijze omgaan met fundamentele uitdagingen op het gebied van risico's en prestaties. Ernst & Young Advisory biedt een breed palet van diensten die u helpen de risico s te managen en de prestaties van uw organisatie en de processen waarvoor u verantwoordelijk bent te verbeteren, tot en met de (her)inrichting van uw bedrijfsprocessen. Onze dienstverlening is gebaseerd op specialistische sectorkennis en een uitgebreid internationaal netwerk. Of u zich nu richt op bedrijfstransformatie of op het vasthouden van resultaten, het feit dat de juiste adviseurs voor u werken, geeft zonder meer de doorslag. Onze 20.000 professionele adviseurs wereldwijd vormen samen een van de grootste mondiale adviesnetwerken. Zij leveren uiterst ervaren multidisciplinaire teams die met onze klanten samenwerken om een gedegen klantenervaring te bieden. Daarvan staan vanuit Ernst & Young Advisory België/Nederland circa 600 adviseurs tot uw dienst. Dankzij ons sterke internationale netwerk hebben we specifieke kennis en ervaring in huis van uw sector. Zodat resulteert wat verwacht mag worden: verrassende oplossingen gebaseerd op aantoonbare uitvoerbaarheid. Alleen zo wordt het beste uit de beschikbare mensen en middelen gehaald en optimaal geprofiteerd van de kansen in de markt, nu en in de toekomst. Contactgegevens Andy Deprez Partner andy.deprez@be.ey.com +32 477 627 848 Tim Wulgaert Director tim.wulgaert@be.ey.com +32 497 597 270 www.ey.com 2011 EYGM Limited. All Rights Reserved. This publication contains information in summary form and is therefore intended for general guidance only. It is not intended to be a substitute for detailed research or the exercise of professional judgment. Neither EYGM Limited nor any other member of the global Ernst & Young organization can accept any responsibility for loss occasioned to any person acting or refraining from action as a result of any material in this publication. On any specific matter, reference should be made to the appropriate advisor.