ASBR Compaz, YouManagement en Subsidium - Be Aware of … · 2016. 6. 9. · RI&E...
Transcript of ASBR Compaz, YouManagement en Subsidium - Be Aware of … · 2016. 6. 9. · RI&E...
Welkom bij het ochtendseminar
Be Aware of Privacy!
Aan dit seminar werken mee:
Wet bescherming persoonsgegevens
Beveiliging:
- Persoonsgegevens beschermen d.m.v. passende technologische en organisatorische maatregelen
- Intern zorgen voor toegang tot de gegevens enkel voor de personen in de organisatie die de gegevens nodig hebben voor de uitvoering van hun taken
Meldplicht datalekken
Verplichte melding iedere inbreuk
Inbreuk; hack, technisch falen, verlies, diefstal van telefoon, laptop, tablet, enz.
U moet melding doen aan de Autoriteit Persoonsgegevens als het datalek leidt tot een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens, of als het ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens.
Security is meer dan alleen sloten, kettingen
en muren ...
Mensen
TechniekOrganisatie
&Techniek
Onveilig 12%
Foutje 11%
Netwerk 6 %
Malware 3 %
KwaadwillendeMedewerker 21 %
Hacken 12 % PC diefstal15 %
PC verlies 1%
DraagbareMedia 10 %
Kopiëren 6 %
bij het afval 10 %
Onbekend 5 %
Phishing
A Password is like a toothbrush
Choose a good one
Don’t share itWith anyone
Change itoccasionally
Presentatie titel
3 maart 2016
www.breachlevelindex.com
De hele wereld kijkt mee op
Wat isBowtie risico analyse?
1) Begrijpen wij wat er fout kan gaan?
2) Weten wij welke systemen wij hebben om dit te voorkomen?
3) Hebben wij data om ons ervan te verzekeren dat deze systemenefficient werken?
Drie belangrijke vragen
1979
1988
90’s
00’s
Bowtie geschiedenis
Bowtie sectoren
• Olie & Gas
• Chemisch
• Energie opwekking
• Mijnbouw
• Luchtvaart
• Railtransport
• Bouw & Infra
• Medisch
• IT
• Overheidsinstanties
• Defensie
• Financieel
Barriere denken
Basisstappen van Bowtie diagram
WaaromBowtie risico analyse?
Risico’s structureren
Risico gebaseerde besluitvorming
Communicatie (naar operatie en management)
Monitoren van risico’s
Bowtie toepassingen
Inzicht in afhankelijkheden
Wat als de “Engineering Manager” niet goed presteert?
! ! !
Monitoren en review
Hoe presteren de barrieres?
Bowtie gebaseerde audits
• Makkelijk zwakheden aan te wijzen
• Intuïtieve weergave
• Resultaten focus op risico’s
1) Begrijpen wij wat er fout kan gaan?
2) Weten wij welke systemen wij hebben om dit te voorkomen?
Antwoorden op de drie vragen
3) Hebben wij data om ons ervan te verzekeren dat deze systemenefficient werken?
Antwoorden op de drie vragen
Weet u wat alle symbolen betekenen?
RI&E Informatieveiligheid
Uitgangspunten:
- RI&E is een dashboard informatie tool
- De onderwerpen zijn compatibel met de normen/ wet- en regelgeving
- Samen met de organisatie het geheel van informatie veiligheid bespreken en analyseren aan de hand van de vragenlijst
- Uitbrengen van een Informatie veiligheidsrapport
RI&E Informatieveiligheid (1)
Bronnen
• ISO 27001/2 Informatieveiligheid
• ISO 31000 Risicomanagement
• ISO 9001- 2015 Algemene norm
• ISO 15224 zorg en welzijn
• NEN 7510- 2011 Informatieveiligheid (patiënt veiligheid)
RI&E Informatieveiligheid (2)
Hoofdstappen in de RI&E
Beveiligingsbeleid
Datalekken
Organisatie beveiliging
Beheer van middelen
Fysieke beveiliging
Beheer van bedienings- en communicatie processen
Toegangsbeveiliging
Etc, totaal 11 hoofdonderwerpen
RI&E Informatieveiligheid (3)
Stappenplan Checklist (klein)
Interview management
Opstellen risico kaart informatieveiligheid
Uitvoeren RI&E
Keuze risico’s om uit te werken aan de hand van de nulmeting RI&E
Rapport
Vervolg uitvoering indien het management dit wenst
RI&E Informatieveiligheid (4)
Auditvragen
• Management verantwoordelijkheid
• Resultaatgebied tussen de Talk and Walk
• Hard en Software audit vragen
• Audit vragen gericht op beheersing van Risico’s (proactief en reactief)
• Bewustwording informatieveiligheid binnen de organisatie
Voorbeeld vanBowtie risico analyse
& Mini-workshop
Ongeautoriseerde toeging tot data
Ongeautoriseerde toeging tot data
Ongeautoriseerde toeging tot data
Dank voor uw aandachtIn de map vindt u meer informatie over Bowtie, wet-
en regelgeving, stappenplan, etc.
• Ondernemer in ICT sinds 1987
Agenda
• Omgevingsfactoren• Toegang tot gegevens• Documenten• Concrete aanbevelingen• Plan van aanpak
Waarom hot ?
• Ransomware
• Meldplicht datalekken
AIVD-baas: wordroof
Redenen van aanval
Trends
• IoT spelen nog geen rol• Aanvallen verplaatsen zich naar werkplek• Phishing zeer lonend• 85% van de successen door top 10• Mobiele aanvallen nog niet nodig….• Cybercriminelen zijn sneller
Toegang
• Wachtwoorden• Wachtwoorden
container• Uniek gegenereerde
wachtwoorden• 2-factor authentication• Biometrisch
Waar zijn uw documenten?
• Op het netwerk• Dropbox / Google drive
/ Onedrive• Thuis• Telefoon BYOD
Document beveiliging
• Document encryptie• Alleen voor ingelogde
personen• Publicatie beperkt in
tijd en persoon
Huidige omgeving
Basis security 2.0
• Patchmanagement• Anti-virus• Anti-spam, anti-phishing, anti spy-ware en anti-spoofing• Next generation firewall • WiFi scheiding en encryptie
Security 3.0, uitbreiding
• Webbeveiliging• Applocker• Malwarebytes lokaal installeren• Versleutelen van notebook data en USB data• 2-factor authentication• E-mailbeveiliging • Windows 10 op werkplekken• Awareness training
Technisch
• Oude servers isoleren rest netwerk DMZ• Alle niet functionele zaken op server disabelen• 1 bewaakte internetverbinding • Periodieke scan• Mailserver automatisch .exe bestanden
verwijderen• Bewaak patching• Beperk rechten gebruikers• Back-up
Optie 1
Aandachtspunten
• Domotica aan netwerk• Kassa aan netwerk• Printers
Optie 3
Plan van aanpak
• 0-meting d.m.v. checklist • Bepalen risicocategorie• Advies • Implementatie • Plan – do – act – check
Conclusies
• 100% veiligheid bestaat niet• Veiligheid is dynamisch proces• Bewustzijn medewerkers key• Werk met actuele checklist • Leg beleid en acties vast
Optie 1
Optie 1
Cryptoware tips
Meld vage zaken:
• Systeem wordt traag • Bitcoin scherm• na opening attachment
Awareness trainingMedewerkers moeten weten:
• Een target zijn
• Veilig met wachtwoorden
• Veilig met devices
• Verdachte zaken moeten melden
• Wat te mooi is om waar te zijn is dat ook
• Informatie is vertrouwelijk en daarom waardevol
• Geen bijlagen openen die je niet vertrouwt
• Geen bedrijfsinformatie op laptop, persoonlijke e-mail of
dropbox/Google drive/Wetransfer etc.
Phishing
• 2/3 van de phishingmail bereikt
gebruiker
• 1 op de 6 drukt op phishing mail
• 56% vult naam en wachtwoord in
• Oplossing: 2-factor authentication
• Button op taskbar Outlook
“Boete datalek kan oplopen tot 2,4 miljoen”
De gemeente Amersfoort riskeert door het datalek op de afdeling Sociale Wijkteams geen boete van € 820.000,- maar van € 2.460.000,-
Bron: AD, 22 april 2016
Datalek bij spoorwegen “voelt helemaal niet goed”
De NS heeft duizenden gehandicapte treinreizigers schriftelijk geïnformeerd dat hun persoonlijke gegevens op straat hebben gelegen.
Bron: de Stentor, 30 mei 2016.
Informatiebeveiliging is geen zaak van techniek alleen.
De mens staat vaak aan de basis van een fout.
Medewerkers dienen bewust te worden.
Cultuurverandering.
Awareness training
“Wilt u de uitnodiging voor dit event naar een ander e-mail adres sturen?
We hebben namelijk een virus binnengekregen via een e-mail waardoor nu ons hele systeem platligt.”
DATARISICO ’S:
OOK
VERZEKERBAAR?
[email protected] JUNI 2016
WAAR STAAT U?Grip op datarisico’s
“78% van alle datalekken
wordt veroorzaakt door het
gedrag van eigen
medewerkers”
WAAR STAAT U?
78%van de datalekken wordt veroorzaakt door het gedrag van de eigen medewerkers
https://www.youtube.com/watch?feature=player_embedded&v=4lrpq89VqJA
ICT kan niet alles oplossen
100% veilig bestaat niet
Hoe kun je je beschermen?
• Organisatorisch
• ICT
• Verzekeren
Hoe kun je je beschermen?
• Organisatorisch
• Protocol Wet Datalekken / Beleid
• Correcte bewerkersovereenkomsten met derden
• Awareness training personeel, betrokkenen
• Afspraken hoe om te gaan met o.a. wachtwoorden, thuiswerken en social media, clean desk
• Borging gemaakte afspraken (b.v. werkoverleg, fg gesprekken)
• Voorbeeldgedrag management / verantwoordelijke benoemen
• Toegangsbeleid / exit procedures (personeel)
• Weet wat je moet beschermen en waar het opgeslagen is
Hoe kun je je beschermen?
• ICT
• Up to date zijn qua beveiliging / updates
• Contractuele afspraken met leveranciers bij uitval systemen en datalekken
• Protocollen (wachtwoorden, usb-sticks, thuiswerken, tablets)
• Encryptie
• Geen oude (zelf ontwikkelde) software
• Gebruik VPN
• Hackpogingen intern communiceren
• Goede voorbeeld geven / communiceren
Hoe kun je je beschermen?
Data Risks / Cyber verzekering
AANSPRAKELIJKHEID(third party)
EIGEN SCHADE(first party)
1. Wat is mijn
verantwoordelijkheid als
bestuurder?
3. Voldoen mijn huidige
verzekeringen?
2. Waar kan ik op worden
aangesproken
DE DRIE MEEST GESTELDE ACTUELE VRAGEN
Voldoen mijn huidige verzekeringen?
Dekking van bestaande
verzekeringen?
Kan ik mij verzekeren tegen
boetes?
Hoe zit het met
magoschade?
Verzekeraar helpt de schade te
beperken ->
Recente Schadevoorbeelden
Verdwenen USB-stick brengt GGD in verlegenheid
Forse schade bij Duitse staalfabriek door verfijnde hack
Bedrijf betaalt 6.000 dollar om cyberaanvallen te laten stoppen
Datalek bij drie ziekenhuizen BREDA - Door een "ernstige fout" zijn de gegevens van patiënten van twee Nederlandse ziekenhuizen en een Belgisch ziekenhuis op straat komen te liggen.
Datalek-affaire: Amersfoort riskeert boete van ruim acht ton
Een medewerker van supermarktketen Jumbo heeft bijna honderd laptops van het bedrijf gehackt.
Inloop?• Supermarktpersoneel klaagt werkgever aan
wegens datalek
• Bijna 6.000 huidige en voormalige werknemers van de Britse supermarktketen Morrisons hebben hun werkgever aangeklaagd wegens een omvangrijk datalek uit 2014
• De advocaat die de belangen van het personeel behartigt stelt dat de supermarktketen meer had moeten doen om het datalek te voorkomen.
CASUS Retailer Huishoudelijke apparatuur• Een hacker beweert 200.000 email adressen en
telefoonnummers van de website geplukt te hebben. Als gevolg hiervan kwam het bedrijf erachter dat de veiligheid van hun micro sites (websites door hun gebruikt voor advertenties en andere acties) niet up to date was.
• De hacker heeft een deel van de adressen en telefoonnummers uit de database online gezet en de rest van de gegevens verkocht aan spammers.
Kosten voor de retailerForensisch onderzoek 89.000
Communicatiekosten 110.000
Verzenden mailing
Call center
Media campagne en PR om schade merk te beperken
Juridische kosten 300.000
Herstelkosten 175.000
Claims en afhandeling 750.000
TOTAAL 1.424.000
Kosten van datalek MKB bedrijf BTBForensisch onderzoek 35.000
Communicatiekosten (5.000 klanten) 36.000
Verzenden mailing
Call center
Media campagne en PR om schade merk te beperken
Juridische kosten 25.000
Herstelkosten 17.000
TOTAAL 113.000
ACCEPTATIE NORMEN VERANDEREN
SOORT GEGEVENS
BELEID EN BEWUSTWORDING
ACTIVITEITEN
OMGAAN MET RISICO’S
Risico’s inzichtelijk
Preventie- en
beheersmaatregelen
Bepalen
verzekeren
Periodiek
actualiseren
92
Mijn verantwoordelijkheid als
bestuurder?
Die boetes, dat is toch
bangmakerij?
Waar moet ik beginnen?
Inderdaad: niet alles is
verzekerbaar
Inderdaad: overleg met
verzekeraars biedt extra
mogelijkheden
OTTO ZUIDEMA JUNI 2016, [email protected]
DATARISICO’S
(NIET)
VERZEKERBAAR
Ook daarom
voldoende
maatregelen nemen
Een verzekering biedt
ook dienstverlening om
de schade te beperken
Waak voor eenzijdige
maatregelen
Risico is niet meer dan een perceptie
VRAGEN?