Afstudeerprojecten 2015. Security Management. saxion.nl



Vergelijkbare documenten
Afstudeerprojecten Security Management. saxion.nl

Informatiebeveiliging voor gemeenten: een helder stappenplan

ISMS BELEIDSVERKLARING. +31(0) Versie 1.0: 3/7/18

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC

Een Information Security Management System: iedereen moet het, niemand doet het.

Informatiebeveiliging En terugblik op informatiebeveiliging 2016

Onderwerp: Informatiebeveiligingsbeleid BBV nr: 2014/467799

Beginnend leiderschap (middenmanagement)

IBM; dataopslag; storage; infrastructuur; analytics; architectuur; big data

Aan welke eisen moet het beveiligingsplan voldoen?

Security Health Check

PinkSCAN. Verbeter de kwaliteit van uw IT dienstverlening

Leiding geven aan leren ACADEMIE PEDAGOGIEK EN ONDERWIJS. saxion.nl/apo

Utrecht Business School

Rapport. Informatieveiligheid en de Raad Met de hamer op tafel. Enquête over hoe raadsleden denken over het thema Informatieveiligheid

De Nationaal Coördinator Terrorismebestrijding en Veiligheid

Partners in Information Security. Partners in Information Security. Peter Rietveld. DDoS in perspectief

Toelichting NEN7510 Informatiebeveiliging in de zorg. Drs. J.W.R. Schoemaker CISSP Security Officer/ Business Continuity Manager Erasmus MC

Rapportage Informatiebeveiliging Gemeente Boekel 16 mei 2018

Beveilig klanten, transformeer jezelf

Als wij nu de systemen dicht zetten, waar zeg ik dan ja tegen?

RAAK-project Veilig Water Programma Informatieveiligheid. Marcel Spruit (HHS), Michiel Dirriwachter (UvW)

Informatiebeveiligings- en privacy beleid. Haagsche Schoolvereeniging

Informatiebeveiliging, noodzakelijk kwaad of nuttig? DNV Business Assurance. All rights reserved.

Met plezier heb ik de uitnodiging aangenomen hier vandaag te spreken.

Doel van de rol Iedere Compliance Officer heeft als doel het beheersen van de risico s die BKR loopt in haar strategische en operationele processen.

Onderzoeksopzet. Marktonderzoek Klantbeleving

ICT en Medische Technologie. Waar MT en ICT samen komen

Informatiebeveiliging gemeenten

Information Security Management System. Informatiebeveiligingsbeleid Lannet IT B.V. 1 van 8

Klanttevredenheidsonderzoek. Dienstverlening team Werk en Inkomen, gemeente Olst-Wijhe

Bijlage 2 Beveiligingsplan. Informatiebeveiliging

Onderwijs van de 21ste eeuw:

Utrecht Business School

Het Analytical Capability Maturity Model

BABVI/U Lbr. 13/057

Resultaten 2 e Cloud Computing onderzoek in Nederland. Alfred de Jong Principal Consultant Manager Architectuur & Innovatie Practice

Informatiebeveiligings- en privacybeleid (IBP) voor het SWV PPO Hoeksche Waard

Lectoraat Identiteitsmarketing. Hoe wij graag met u willen samenwerken. Kom verder. Saxion.

Utrecht Business School

Gemeente Alphen aan den Rijn

NVRR workshop/presentatie Jaarcongres De controle van de effectiviteit van informatiebeveiliging

NORTHWAVE Intelligent Security Operations

Mobiel Internet Dienstbeschrijving

HOE OMGAAN MET DE MELDPLICHT DATALEKKEN?

Business Continuity Management

De Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA DEN HAAG. Datum 6 juli 2016 Betreft Kamervragen. Geachte voorzitter,

Bijlage 2: Communicatie beveiligingsincidenten

Checklist Beveiliging Persoonsgegevens

Beleid Informatiebeveiliging InfinitCare

6.6 Management en informatiebeveiliging in synergie

BEVEILIGINGSARCHITECTUUR

BIJ DIE WERELD WIL IK HOREN! HANS ROMKEMA 3 MAART 2010, DEN HAAG

Samenvatting Meldplicht Datalekken. Michael van der Vaart Head of Technology ESET Nederland

Utrecht Business School

Raadsmededeling - Openbaar

IB-Governance bij de Rijksdienst. Complex en goed geregeld

Utrecht Business School

Informatiebeveiliging als proces

Hoe fysiek is informatiebeveiliging?

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten

Bescherming tegen de gevolgen van cyber risico s. Bedrijfsverzekeringen. CyberEdge van AIG

Readiness Assessment ISMS

Onderzoeksleerlijn Commerciële Economie. Naar een integrale leerlijn onderzoek Tom Fischer

Informatiebeveiligings- en privacy beleid Lorentz Casimir Lyceum

2015; definitief Verslag van bevindingen

ISO 27001:2013 INFORMATIE VOOR KLANTEN

Plan

Informatiebeveiliging binnen de gemeente Delft COMMISSIE ECONOMIE, FINANCIËN EN BESTUUR

Klantonderzoek: de laatste inzichten!

RI&E Privacy Om organisaties te helpen heeft Sebyde een RI&E-Privacy ontwikkeld. Het is een modulair programma bestaande uit 5 duidelijke stappen:

Ondersteunende processen Organisatie Informatiebeveiliging Melding Datalek

Tijd voor verandering: Lean Security. Simpeler, sneller, goedkoper, flexibeler en toch effectief

Unified Enterprise Security wordt geleverd door onze strategische partner Masergy, de wereldspeler in global communications en security.

Security Management Trendonderzoek. Chloë Hezemans

Verklaring van Toepasselijkheid en Informatiebeveiligingsbeleid

Security Starts With Awareness

Real Time Monitoring & Adaptive Cyber Intelligence SBIR13C038

Training Communicatievaardigheden

COMMUNIQUÉ. Amersfoort, april 2013; versie 1.1

CYBER SECURITY MONITORING

Onderzoeksresultaten infosecurity.nl

BABVI/U Lbr. 12/015

EXB 360 MOBILE App. Bevorder betrokkenheid. Veel onderdelen; veel mogelijk

Werkdocument interpretatie keuzedeel Security in systemen en netwerken

Informatiebeveiligingsbeleid

Managementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C

Utrecht Business School

"Baselines: eigenwijsheid of wijsheid?"

We helpen u security-incidenten te voorkomen

Het Studiesuccescentrum Koersen op succes

Leerbronnen Informatieveiligheid. 13 november 2014

Native archetypemodel

Meldplicht Datalekken

Utrecht Business School

Factsheet SECURITY CONSULTANCY Managed Services

Utrecht Business School

ICT Niveau 2. ICT Niveau 3 en 4

Transcriptie:

Afstudeerprojecten 2015 Security Management saxion.nl

Inhoud Woord vooraf Security Management Beste afgestudeerde, Frank Nijsink 4 Van harte gefeliciteerd met het (bijna) behalen van het diploma Security Management! Het behalen van dit diploma is in meerdere opzichten uniek. Je bent een van de allereerste lichting bachelorstudenten Security Management in Nederland die het felbegeerde diploma in ontvangst mag nemen. Een memorabel moment! In 2011 ben je gestart met de opleiding in Apeldoorn en anno 2015 ben je klaar om de arbeidsmarkt te betreden. Je professionele carrière gaat van start en dat is een mijlpaal in je leven. Jeroen Aijtink 6 Joey Post 8 We zijn er trots op dat je alle proeven van bekwaamheid, die tot stand zijn gekomen in nauwe samenwerking met het beroepenveld, hebt doorstaan. En dat je nu op zoek gaat naar een mooie positie in het securitydomein. Enkele studenten hebben al een carrièrekeuze gemaakt, anderen zijn nog zoekende. In dat proces zul je, net als tijdens de opleiding, uitdagingen tegenkomen. Met jouw kennis, kunde en ambitie ben ik ervan overtuigd dat je deze uitdagingen het hoofd kunt bieden. Niet alleen je inspanningen hebben geleid tot dit unieke afstudeermoment. Ook de inspanningen van docenten en het beroepenveld hebben hier een belangrijke rol in gespeeld. Ik ben mijn collega s en het beroepenveld daarvoor zeer erkentelijk. Veel succes gewenst en graag tot ziens! Kijk ook eens als alumni op www.oursaxionworld.nl om je mede-afstudeerders te blijven volgen. Met vriendelijke groet, Drs. B.J. (Bruce) Rinsampessy Teamleider Security Management 2 Afstudeerprojecten 2015 3

Security Management Maatschappij afhankelijk van informatieen communicatietechnologie Het belang van informatiebeveiliging is de afgelopen decennia steeds verder toegenomen en door incidenten die zich steeds vaker voordoen, is pijnlijk duidelijk geworden hoeveel de huidige maatschappij afhankelijk is geworden van informatie- en communicatietechnologie als onderdeel van het dagelijks leven. Onder andere op school, thuis en op het werk. Ook het gebruik van mobiele telefoons en tablets is enorm toegenomen en vrijwel iedereen heeft bijna overal toegang tot het internet. Iedereen is tegenwoordig kwetsbaar en een mogelijk doelwit voor cybercriminelen. Veelzeggende incidenten als de Diginotar crisis en Lektober zijn uitstekende voorbeelden van de afhankelijkheid van ICT en de schadelijke gevolgen die informatiebeveiligingsincidenten hebben voor organisaties. Enkele effecten die deze incidenten hebben gehad zijn: imagoschade en verminderd vertrouwen van de burgers in ICT en de overheid, geldboetes, financiële schade en hoge herstelkosten, verlies van data en in enkele gevallen vertrouwelijke data en politieke gevolgen, zoals het aftreden van verantwoordelijke personen. Het is voor organisaties dus van vitaal belang een gedegen informatiebeveiliging in te stellen. Huidige en gewenste niveau Het verschil tussen het gewenste en het huidige niveau van bewustzijn is de basis geweest voor de ontwikkeling van een bewustwordingsprogramma voor de gemeenten in Twente. Het bewustwordingsprogramma is op grond van de PDCA cyclus van Deming vormgegeven en is bedoeld om de medewerkers van de gemeente de komende jaren bewust te maken op het gebied van informatiebeveiliging. Een aantal onderdelen van deze bewustwording zijn: de risico s die er bestaan voor een gemeente en welke beveiligingsmaatregelen hiertegen getroffen zijn en hoe deze gehanteerd moeten worden. Het streven is in de zeer nabije toekomst de bewustwording centraal vanuit het samenwerkingsverband tussen gemeenten aan te sturen, zodat er een integraal bewustwordingsprogramma komt dat voor iedere gemeenten makkelijk hanteerbaar is. Zodra iedere gemeente een voldoende mate van bewustzijn in de organisatie heeft geborgd, kan de bewustwording lokaal georganiseerd worden, waarbij vanuit het samenwerkingsverband enkel nog middelen aangereikt worden om dit te vergemakkelijken. Gemeente Enschede Frank Nijsink Huidige niveau van bewustzijn medewerkers Sinds 2011 werken acht Twentse gemeenten samen op diverse onderdelen van bedrijfsvoering, waaronder informatiebeveiliging. Om de informatiebeveiliging vorm te geven is de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) geadopteerd en vastgesteld door de colleges van burgemeester en wethouders. In de baseline staan onderdelen van informatiebeveiliging weergegeven waaraan een gemeente in Nederland moet voldoen. Eén van deze onderdelen is bewustwording op het gebied van informatiebeveiliging. Er bestond geen volledig inzicht in het niveau van bewustzijn van de medewerkers en door diverse incidenten was de verwachting dat dit niveau niet voldoende zou zijn. Om deze reden is onderzoek uitgevoerd naar het huidige niveau van bewustzijn en de mogelijkheden om het bewustzijn van de medewerkers te vergroten, mocht dit niet voldoende blijken te zijn. Belang van menselijke factor De menselijke factor is van groot belang voor een goede informatiebeveiliging. Een organisatie kan nog zoveel maatregelen treffen, maar als deze niet worden gebruikt of niet goed worden gebruikt, hebben deze weinig tot geen effect en kunnen er incidenten optreden met zeer schadelijke gevolgen. Beveiligingsbewustzijn is de mate waarin elke medewerker het belang van beveiliging voor de organisatie en het noodzakelijke niveau van beveiliging dat voor de organisatie vereist is, begrijpt, en hier naar handelt. Het doel is elke medewerker kennis bij te brengen en de houding van een medewerker tegenover informatiebeveiliging positief te stemmen, zodat hij of zij het juiste gedrag gaat vertonen. Om de menselijke factor van informatiebeveiliging te beïnvloeden is beveiligingsbewustzijn onmisbaar. Allereerst was het van belang inzicht te krijgen in de mogelijkheden om het bewustzijnsniveau van de gemeentelijke medewerkers te meten. Er is gekozen om een volwassenheidsmodel te hanteren. Door het meten van verschillende indicatoren kan een organisatie worden ingedeeld in een volwassenheidsniveau en kan het verschil worden bepaald met het gewenst niveau. Op basis van diverse modellen en theorieën uit de literatuur is er een bewustzijnsvolwassenheidsmodel gecreëerd. Vervolgens dienden de verschillende indicatoren die bepalend zijn voor het niveau van bewustzijn gemeten te worden. Vanwege de omvang van de steekproef is gekozen voor het hanteren van een enquête die is uitgezet bij de acht deelnemende gemeenten aan het project (Almelo, Borne, Enschede, Haaksbergen, Hengelo, Hof van Twente, Losser en Oldenzaal). Daarnaast is er een quickscan georganiseerd bij deze verschillende gemeenten om de stand van zaken omtrent bewustzijn duidelijk te krijgen. Op basis van deze resultaten kon het bewustzijnsniveau worden bepaald en werd het verschil met het gewenste niveau duidelijk. 4 Afstudeerprojecten 2015 5

Security Management Cyber criminaliteit Hackers en cyber-criminelen worden steeds inventiever en slaan steeds vaker hun slag op het gebied van datadiefstal of systeem manipulatie. Het is hierdoor volgens beveiligingsexperts dan ook niet de vraag of, maar wanneer een organisatie succesvol aangevallen wordt. Ter beveiliging wapenen organisaties zichzelf steeds beter door beveiligingsmaatregelen als firewalls en log analyse apparatuur te plaatsen. Maar wat als deze beveiligingsmaatregelen falen? De producten van SDL worden door meer dan 1500 klanten gebruikt voor vertalingen of marketing, waaronder 45 van de 50. Waardoor SDL een schat aan informatie opslaat voor haar klanten. Dit maakt de kans, dat cyber-criminelen hun pijlen op deze Software-as-a- Service producten richten, groter. Wanneer cybercriminelen succesvol zijn in hun aanval, komt het aan op de voorbereiding van SDL aan om hierop te reageren. Vragen hierbij zijn: waar melden medewerkers dit beveiligingsincident, wie reageert er op het beveiligingsincident en hoe worden acties gecoördineerd? Deze vragen worden beantwoord in een security incident response plan. het gebied van beveiligingsincidenten. De Chief Technology Officer is namens het Exec team geïnterviewd, waarbij vooral gekeken is naar de wijze waarop het Exec team geïnformeerd wil worden over beveiligingsincidenten en de rol die zij bij de coördinatie willen betekenen. In de laatste fase van de afstudeeropdracht zijn het geselecteerde model en de interviewresultaten samengevoegd tot een security-incident response plan voor SDL. Dit plan bestaat uit het beveiligingsbeleid voor het afhandelen van beveiligingsincidenten, een procesbeschrijving en de voorbereiding op beveiligingsincidenten. De Information Security Officer van SDL zal de resultaten van de afstudeeropdracht gaan implementeren. De eerste stappen hiervoor zijn al gezet. SDL, Amsterdam Jeroen Aijtink Een security-incident response model en plan De opdracht bij SDL was het selecteren van een security-incident response model en het opstellen van een security-incident response plan wat SDL kan implementeren om toekomstige beveiligingsincidenten binnen haar Software-asa-Service producten te beheersen. Hierbij moest rekening gehouden worden met de bestaande bedrijfsprocessen voor het afhandelen van incidenten en de huidige ISO27001 certificering. Opzet van het onderzoek Voor SDL is een security-incident response plan opgesteld aan de hand van de afstudeeropdracht. Om dit te realiseren zijn eerst verschillende security-incident response modellen uit de literatuur met elkaar vergeleken. Daarna is, op basis van de eisen van het Cloud Services management team van SDL, het beste model voor SDL geselecteerd. Als laatste is het standaard model aangepast aan de bestaande processen en eisen van de stakeholders. De eerste onderzoeksfase bestond uit een literatuurstudie, waarbij security incident response modellen in kaart zijn gebracht. Op basis van verschillende wetenschappelijke artikelen kwamen vijf modellen relevante naar voren om beveiligingsincidenten in de ICT omgeving te beheersen. Opvallend was dat alle modellen andere terminologie hanteren en uitgaan van verschillende fasen. Meest geschikte model Het model wat het meest aansluit op de eisen van het management team is de ISO27035 voor security incident response. Dit model gaat uit van een proactieve aanpak, omdat vooraf plannen worden beschreven hoe een beveiligingsincident af te handelen. Naast de proactieve aanpak integreert de ISO27035 goed met de ISO27001 standaard voor informatie beveiliging. Dit laatste kenmerk maakte dit model het meest geschikt voor SDL. Integratie en implementatie van het model Nadat het beste security-incident response model was geselecteerd, kon gestart worden met de integratie van dit model binnen SDL. Hiervoor zijn interviews uitgevoerd met medewerkers binnen de afdelingen Cloud Services, Customer Support en het Exec team. De afdeling Cloud Services beheert de Software-as-a-Service producten die SDL aan haar klanten aanbiedt. Deze afdeling heeft gedurende de interviews veel informatie aangeleverd over het bestaande incidentproces en de wijze waarop beveiligingsincidenten worden afgehandeld. Customer Support biedt ondersteuning aan de klanten van SDL voor alle diensten. Gedurende de interviews is gekeken naar de interactie tussen de afdelingen Customer Support en Cloud Services op 6 Afstudeerprojecten 2015 7

Security Management TNO, Den Haag Beschrijving van het onderzoek Het onderzoek had tot doel om inzichtelijk te maken hoe het gesteld is met het beveiligingsbewustzijn van de medewerkers op één van de locaties van TNO in het land. Om het onderwerp te verkennen en af te bakenen is eerst literatuurstudie verricht. Beveiligingsbewustzijn/Security Awareness wordt gevormd door drie psychologische aspecten: kennis, houding en gedrag. Door mensen kennis bij te brengen over de securityrisico s van de organsatie en de maatregelen die daar tegen genomen zijn wordt het besef gekweekt dat security belangrijk is. Deze kennis en het toegenomen bewustzijn moet resulteren in een positieve houding ten opzichte van de securitymaatregelen waardoor uiteindelijk het gewenste gedrag wordt uitgevoerd. In de praktijk van security betekent dat het correct uitvoeren van de security maatregelen en het alert zijn op mogelijke risico s. Na het uitvoeren van interviews met een aantal betrokkenen bij het beveiligingsbewustzijn binnen TNO is vastgesteld welke aspecten van Security Awareness op deze vestiging belangrijk zijn. Deze aspecten hebben geleid tot indicatoren die in een surveyonderzoek zijn onderzocht. Alle medewerkers van deze locatie hebben een enquête ontvangen. Ongeveer de helft heeft deze uiteindelijk ingevuld. In de enquete werden de verschillende indicatoren getoetst aan de hand van de aspecten kennis, houding en gedrag. Door de resultaten in SPSS te analyseren met frequentie-analyses werd inzichtelijk wat het niveau van deze aspecten was. Vervolgens is aan de hand van de vier leerstadia van Maslow het volwassenheidsniveau van de Security Awareness op deze vestiging vastgesteld. Op basis van dit verkregen inzicht zijn vervolgens aanbevelingen gedaan om het niveau te verbeteren door gericht beleidsinstrumenten in te zetten. Joey Post Beveiligingsbewustzijn van medewerkers Op één van de Nederlandse vestigingen van TNO heb ik een onderzoek uitgevoerd naar Security Awareness, zodat inzichtelijk werd hoe het gesteld is met het beveiligingsbewustzijn van de medewerkers op deze locatie. Door het uitzetten van een survey onder het personeel is de mate van kennis, houding en gedrag ten opzichte van security in kaart gebracht. TNO is een onderzoeksinstituut dat voor de Nederlandse overheid en het bedrijfsleven onderzoek doet naar wetenschappelijke innovaties. Een goede beveiliging van haar eigendommen is van groot belang. Beveiligingsbewustzijn speelt een grote rol in de effectiviteit van die beveiliging. Het interne beleid en regelgeving van opdrachtgevers vereisen dan ook dat dit in orde is. 8 Afstudeerprojecten 2015 9

Enschede M.H. Tromplaan 28 Postbus 70.000 7500 KB Enschede Tel. 053-487 11 11 Deventer Handelskade 75 Postbus 70.000 7500 KB Enschede Tel. 0570-603 663 Apeldoorn Kerklaan 21 Postbus 10.120 7301 GC Apeldoorn Tel. 0570-603 663 saxion.nl

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback