BUSINESS SURVIVAL BINNEN DE CYBERKETEN De noodzaak van … · DIT ARTIKEL Richard Power,...

de IT-Auditor nummer 2 | 2012 23

In Nederland zijn inmiddels ruim 1

miljoen tabletgebruikers. Leveran-

ciers hebben in 2011 wereldwijd 488

miljoen smartphones verscheept

tegenover 415 miljoen PC’s, zo meldt

het marktonderzoeksbureau Cana-

lys. Bedrijven ontkomen er niet meer

aan dat mensen die handige smart-

phones en tablets ook op hun werk,

thuis of in de kroeg willen gebruiken.

De consumentenapparatuur wordt

daarmee onderdeel van de informa-

tieketen van het bedrijf. Het concept

van Bring Your Own Device (BYOD)

moet ook kunnen, vinden veel orga-

nisaties. Want informatiesystemen

moeten business mogelijk maken en

niet in de weg staan [ JENN11].

Waar men zich wel op moet voorbe-

reiden, zijn cyberaanvallen die de

continuïteit en de reputatie van de

eigen organisatie op het spel zetten.

Auditors en informatiebeveiligers

moeten hierbij niet vasthouden aan

oude securitydogma’s, maar moeten

meer vanuit een soort voorwaartse

assurance redeneren.

Het risico van cyberaanvallen is ook

iets waar Europa en de Nederlandse

overheid zich over buigen. De Euro-

pese Commissie verdiept zich in

beveiligingsvraagstukken rondom

cloud computing, terwijl de miljoe-

nennota spreekt over meer e-dienst-

verlening. Onderwijl krijgt de over-

heid een forse tik door de

Diginotar-affaire, ondanks dat over

die dienstverlening assurance was

verstrekt [SEHG12]. Hoe is dit

mogelijk? Er is een spanningsveld

tussen de verklaringen van auditors

over een voorgaande periode, die op

zich voldoen aan de behoefte van

accountants voor een gestructureerde

historische verantwoording, versus

datgene waar veel gebruikers echt

naar uitkijken, namelijk een uitspraak

over de beschikbaarheid van de

informatiesystemen in de toekomst.

Die beschikbaarheid is afhankelijk

van de risico’s van vandaag en nog

meer van de risico’s in de nabije toe-

komst. Een belangrijke vraag is:

‘draait mijn informatiesysteem

morgen nog steeds en kan ik er

morgen ook op vertrouwen dat de

vertrouwelijkheid en integriteit van

mijn gegevens nog steeds zijn

gewaarborgd?’

Natuurlijk moeten auditors doorgaan

met de klassieke onderzoeken naar

opzet, bestaan en werking, zoals SAS

70 en ISAE 3402, en certificeringen

gebaseerd op periodieke waarnemin-

gen zoals ISO/IEC 27001. Een deel

van het vertrouwen van de maat-

schappij is gebaseerd op een zorgvul-

dig beheer van de informatiesystemen

en gegevens, hetgeen via deze rap-

porten en certificaten wordt beves-

tigd. Alleen mag men deze historische

bevestigingen niet verwarren met

BUSINESS SURVIVAL BINNEN DE CYBERKETEN

De noodzaak van voorwaartse risicobeheersing

RRisicobeheersing blijkt soms op een catastrofale

wijze te falen. Bekende risico’s worden niet of fou-

tief ingeschat, en dreigingen met een zeer kleine

kans van optreden en een grote impact worden

volledig genegeerd. Hierdoor zijn systemen en

organisaties vaak niet robuust genoeg om klappen

op te vangen en wordt de impact van een incident

veel groter dan nodig was. Capgemini werkt aan

een integrale aanpak voor het beter in beeld bren-

gen van de risico’s van vroeger, nu en in de nabije

toekomst. Hiervoor wordt gebruik gemaakt van

continuous risk monitoring en een intelligence-

gerichte analyse-aanpak.

MARCO VAN DER VET, WILLEM BARNHOORN EN

RONALD PAANS

de IT-Auditor nummer 2 | 201224

zekerheid voor de toekomst. Het feit

dat in de beschouwde periode geen

incident heeft plaatsgevonden garan-

deert niet dat men morgen niet het

slachtoffer kan zijn van een ernstig

incident.

POSITIONERING VAN

DIT ARTIKEL

Richard Power, distinguished fellow

van Carnegie Mellon Cylab, stelt:

‘Cybersecurity is vital to economic pros-

perity, personal privacy and national

security, and academic research is vital

to the advancement of cybersecurity.’

Men kan cybersecurity niet alleen

oppakken vanuit het oogpunt van

techniek, maar men moet het beschou-

wen in samenhang met het optreden

en gedrag van management, de mens

als gebruiker en als aanvaller, en de

processen. Voor cybersecurity is een

integrale aanpak noodzakelijk.

Capgemini is in samenwerking met

Noordbeek en de Vrije Universiteit

bezig een methode voor risicoma-

nagement voor cybersecurity te ont-

wikkelen. Dit onderzoek is vooral

gericht op het identificeren van de

risico’s van vandaag en in de nabije

toekomst, en het op een kosteneffec-

tieve wijze treffen van mitigerende

maatregelen. De klassieke methode

voor risicomanagement wordt uitge-

breid met meer aandacht voor het

heden, namelijk weten wat er binnen

de organisatie speelt, met behulp van

continuous risk monitoring. Doorre-

deneren naar de toekomst bestaat uit

een aantal aspecten, zoals het gebruik

van methoden voor intelligence voor

een inschatting van wat zou kunnen

komen, en het borgen van de robuust-

heid van de organisatie en haar omge-

ving. Men weet vrijwel zeker dat men

op een bepaald moment met een

onvoorziene tegenslag wordt gecon-

fronteerd, maar nog niet welke en

wanneer. Een organisatie kan deze

vooral opvangen als er voldoende

redundantie, spreiding, flexibiliteit,

competenties en middelen beschik-

baar zijn binnen de gebruikersorgani-

satie, informatievoorziening en IT-

infrastructuur.

Dit artikel is vooral gericht op dreigin-

gen en kwetsbaarheden die tot nu toe

te weinig zijn meegenomen bij de

klassieke risicoanalyses, eenvoudigweg

door het ontbreken van statistische

gegevens. Vanuit deze beschouwing is

het analyseproces uitgewerkt en is

robuustheid ingericht. Het resultaat is

de Risk Carrousel, die is weergegeven

in figuur 1. Centraal staan de bedrijfs-

processen en de drie verschillende

groepen van betrokken personen met

specifieke kenmerken en risicoprofie-

len, namelijk:

die via hun BYOD of kantoorauto-

matisering en bedrijfsapplicaties

participeren in de informatievoor-

ziening binnen de organisatie;

toegang hebben via webinterfaces.

Voor de overheid zijn dit de bur-

gers die e-dienstverlening benut-

ten, bij een bedrijf kunnen dit

klanten zijn die webshops gebrui-

ken of informatie opvragen, et

cetera;

verantwoordelijk zijn voor de bouw

Figuur 1: De Risk Carrousel voor de risico’s van het verleden, heden en de toekomst


en het beheer van IT-toepassingen

en -infrastructuren.

De verschillende onderdelen van de

hieromheen gebouwde Risk Carrou-

sel bespreken wij in dit artikel.

BESTAANDE METHODEN VOOR

RISICOANALYSE EN HUN

PROBLEMEN

Voor het uitvoeren van risicoanalyses

bestaat een aantal beproefde metho-

des, waarvan wij er twee kort bespre-

ken. De in de IT-auditpraktijk meest

toegepaste methode volgt uit ISO

27001 ‘ Information Security

Management System’ en haar voor-

gangers, zoals de Code of Practice,

BS 17799 et cetera. Deze methode is

gebaseerd op het management die de

bekende bedreigingen in kaart

brengt, numeriek de impact en kans

van optreden vaststelt, evenals het

effect van de getroffen maatregelen

en het restrisico. De risicofactoren

worden uitgewerkt in de risicotabel,

die periodiek door het management

wordt besproken en geactualiseerd,

onder andere door hierin negatieve

bevindingen van audits op te nemen.

Een andere gebruikelijke methode is

NIST 800-30 Risk management’

[NIST11-1]. Deze besteedt meer

aandacht dan ISO 27001 aan de vul-

nerabilities, namelijk de binnen de

eigen organisatie al bekende kwets-

baarheden. NIST stelt: ‘for operational

plans development, the combination of

threats, vulnerabilities and impacts must

be evaluated in order to identify impor-

tant trends and decide where effort

should be applied to eliminate or reduce

threat capabilities, to eliminate or reduce

vulnerabilities, and to assess, coordinate

and deconflict all cyberspace operations.’

NIST vraagt explicieter dan ISO

aandacht voor kwetsbaarheden.

Daarnaast zijn er nog allerlei andere

methoden voor risicoanalyse, die vrij-

wel altijd uitgaan van het doorrekenen

van datgene wat al bekend is en van

feiten die door management en de

auditor al worden herkend. Hierbij

geldt echter dat risico’s worden her-

kend, maar niet dat risico’s vooraf

worden herkend. Neem als voorbeeld

een klein kind en een hete kachel. De

kleine herkent het risico van de hete

kachel niet, raakt die per ongeluk aan

en wij racen naar het huisartsenpost

om een derdegraadsverbranding te

laten behandelen. Daarna houdt de

kleine zorgvuldig afstand van iets wat

er uitziet als een kachel. Het herken-

nen van risico’s is gebaseerd op ervaring.

De twee genoemde methoden zijn

gericht op het identificeren en selecte-

ren van de meest dominante risico’s en

het doorrekenen van de geselecteerde

risico’s, aan de hand van bekende his-

torische informatie binnen een zelf te

kiezen tijdsperiode. Hierbij heeft

degene die de risicoanalyse uitvoert

een aantal vrijheidsgraden bij het

bepalen van wat dominant is en welke

informatie wel of niet wordt gebruikt.

Laten wij in dit kader eens naar twee

voorbeelden kijken. Hoe is men bij

kerncentrale in Fukushima omgegaan

met de risico-inschatting voor super-

tsunami’s en hoe doet men het hier in

Nederland?

Fukushima is een typerend voor-

beeld van het negeren van al beschik-

bare kennis. De aardbeving van 11

maart 2011 is al in 2007 voorspeld

door wetenschappers met een kans

van 99 procent in een tijdsperiode

van dertig jaar, gebaseerd op een ana-

lyse van voorgaande bevingen en

supertsunami’s die daar ongeveer om

de 900 jaar optreden. De reeks is

ongeveer: 900 voor Christus, het jaar

1, 9 juli 869 en 11 maart 2011. Eer-

dere signalen vanuit de wetenschap

over de mogelijkheid van het vierde

incident in deze reeks stammen uit

2001 [MINO01]. De beving in 2011

was statistisch gezien veel te laat,

waardoor de kracht tussen de tecto-

nische platen verder was opgelopen

en de door wetenschappers initieel

ingeschatte schok van 8,5 op de

schaal van Richter werd overtroffen.

In de evaluaties is nu te lezen: ‘In

2007 TEPCO did set up a department

to supervise all its nuclear facilities.

Until June 2011 its chairman was the

chief of the Fukushima Daiichi power

plant. An in-house study in 2008 poin-

ted out that there was an immediate

need to improve the protection of the

power station from flooding by seawa-

ter. This study mentioned the possibility

of tsunami-waves up to 10.2 meters.

Officials of the department at the com-

pany’s headquarters insisted however

that such a risk was unrealistic and did

not take the prediction seriously.’

Feit is dat de levensduur van de kern-

centrales was verlengd op basis van een

politiek besluit op grond van bedrijfs-

economische overwegingen, waardoor

Japan met de grootste nucleaire ramp

sinds Tsjernobyl werd geconfronteerd.

Persberichten rond 9 maart 2011

geven aan dat de Japanse regering al

vier uur na de ramp op de hoogte was

van de mogelijke melt down, maar dat

haar er alles aan gelegen was de ramp

te bagatelliseren om aan de veiligheids-

mythe rondom kernenergie vast te

houden. ‘Wij kunnen niet langer met

het excuus komen dat wat gebeurd is

onvoorspelbaar was en ons voorstel-

lingsvermogen te boven ging’, zei de

huidige premier Yoshihiko Noda

tegen journalisten. ‘Crisismanagement

eist van ons dat wij ons voorstellen wat

misschien onvoorstelbaar is.’ Hiermee

stelt de premier dat organisaties

moeten zorgen voor robuustheid: ze

moeten namelijk voorbereid zijn op

een dreiging met een heel kleine kans

van optreden maar met een heel grote

impact.

In de landen rondom de Indische en

Stille Oceaan wordt serieus omge-

gaan met het risico van supertsu-

nami’s. Maar hoe doet men dit hier

in Nederland? Namens EMC

spreekt VansonBourne in haar rap-

portage van 23 november 2011 over

Nederland als een zeer risicovolle

locatie voor datacentra, zoals door

de AutomatiseringsGids is toege-

licht op 7 december 2011 [EMC11].

Als men in de literatuur duikt,

blijkt dat in oktober 6125 voor

Christus een supertsunami in de

Noordzee een aantal van onze eigen

voorouders op een catastrofale wijze

heeft getroffen [BOND97]. Dit

was de Storegga-tsunami. Een blik

op de landkaart is voldoende om te

zien dat als er iets misgaat in de


noordelijke Noordzee of de noor-

delijke Atlantische Oceaan, bijvoor-

beeld een ontploffende vulkaan op

IJsland of een meteoriet, wij hier

golven van 25 meter hoogte of meer

kunnen verwachten, net zoals op de

Japanse Vlakte van Sendai op 11

maart 2011. Dit is typisch een risico

waar wij zelf liever niet over naden-

ken als wij met de kinderen over het

strand van Zandvoort wandelen. Net

zo min als over de Zuidwalvulkaan,

die sinds het Jura tijdperk onder het

eiland Grient in de Waddenzee slui-

mert [ZUID12]. Wij weten dat de

magmakamer en kraterpijp nog

intact zijn, maar wij veronderstellen

(terecht?) dat die vulkaan nog heel

lang niet tot een uitbarsting zal

komen. Niettemin, het is een strato-

vulkaan met als kenmerk dat de

hevigheid van een volgende eruptie

toeneemt naarmate de vorige langer

geleden is, net zoals Pompeï en Her-

culaneum hebben ervaren met de

Vesuvius. Een tsunami, een meteo-

rietinslag en een vulkaanuitbarsting

zijn rampen die men niet kan voor-

komen, maar die als een bundel

ongewisse factoren terug moeten

komen in risicoanalyses en zo invloed

hebben op de keuzes van mitigerende

maatregelen.

RISICO’S WORDEN STELSELMA-

TIG OVER HET HOOFD GEZIEN

De klassieke aanpak voor risicoanalyse

blijft waardevol. Men moet blijven

kijken naar het verleden om te kunnen

voorspellen wat er in de toekomst kan

gebeuren, aangezien de geschiedenis

zich herhaalt. Naar de mening van de

auteurs wordt risicoanalyse echter veel

te beperkt en met te weinig echte

gedrevenheid opgepakt. Enkele prakti-

sche belemmeringen, zoals beschreven

door Beusenberg en Fasten in hun

scriptie ‘Ongrijpbare ketenrisico’s voor

financiële instellingen’ [BEUS10],

zijn:

Een accountant of IT-auditor krijgt

een budget passend bij een object.

Daarbij is nauwelijks of geen ruimte

om te kijken naar de end-to-end

risico’s vanuit de ketens en de boven-

liggende processen. Hij of zij wordt

geacht binnen de scope van de

opdracht te blijven, waarbij de door

de beroepsregels voorgeschreven

scoping eigenlijk belemmerend

werkt.

Binnen een organisatie is veel

bekend over de eigen kwetsbaarhe-

den. Maar het is een goed menselijk

gebruik daar zo weinig mogelijk

over te praten, of liever nog zo

weinig mogelijk over na te denken.

Veel mensen zijn van nature opti-

mistisch, zo van ‘ons overkomt dat

vast niet’ of ‘het zal mijn tijd wel

duren’. NIST haakt hierop in door

in de standaard 800-30 extra aan-

dacht te vragen voor de bekende

kwetsbaarheden [NIST11-1].

Veel mensen hebben weinig fanta-

sie. Zij houden zich strikt aan de

standaardlijsten met bedreigingen

en aan datgene wat zij van oudsher

doen. Zij staan daarbij niet open

voor signalen vanuit de samenleving

of wetenschap over nieuwe bedrei-

gingen en nieuwe risico’s. Ofwel

zien zij deze signalen helemaal niet,

of zij hebben geen behoefte aan een

verandering in hun eigen aanpak.

Soms wordt informatie over bedrei-

gingen geheim gehouden of niet

gedeeld, omdat niemand zijn vuile

was buiten wil hangen. Zo zijn

banken heel gesloten over cyber-

crime en over hun aanpak om deze

tegen te gaan [WOUD11]. Ook

inlichtingendiensten zijn gesloten

over de trends die zij waarnemen.

Hierdoor worden auditors en risi-

comanagers niet altijd gevoed met

de juiste signalen die zij nodig

hebben bij hun eigen audits en risi-

coanalyses.

Cybercrime blijft iets wat high tech

klinkt. Er is echter een fors gebrek

aan technical IT-auditors. Veel

organisaties worden geconfronteerd

met de realiteit van ‘te veel behoefte

aan technical audits en veel te weinig

technical auditors beschikbaar.’ De

reguliere accountant en de brede

auditor missen hierdoor de beno-

digde assistentie om cyberrisico’s

goed in te kunnen schatten.

Samengevat: er wordt soms met oog-

kleppen op gekeken naar risico’s die al

bekend zijn uit het verleden. Boven-

dien is het nu onderbelicht of wordt

genegeerd, terwijl de risico’s van de

toekomst veelal buiten beeld blijven.

Signalen zijn er in feite genoeg, maar

in hoeverre reageren risicoanalisten

daar op adequate wijze op? Krijgen zij

wel voldoende tijd en middelen om de

echte risico’s in kaart te brengen en zo

bij te dragen aan een veiliger maat-

schappij? Het stellen van de vraag is in

feite het beantwoorden van de vraag:

neen.

RISICO’S ZIJN ONBEKEND

Het herkennen van risico’s vereist

inzicht in en analyse van wat er mis

kan gaan, zonder dat dit al is gebeurd.

Laten wij enkele recente incidenten

beschouwen, waarvan het risico in

feite bekend was op basis van beschik-

bare signalen, maar waarmee de direct

betrokkenen niet tijdig iets gedaan

hebben.

Stuxnet is een bijna perfect cyberwa-

pen, dat volgens de pers haar doel

heeft bereikt en forse schade heeft ver-

oorzaakt als onderdeel van de

moderne elektronische oorlogsvoe-

ring [SYMA11]. Stuxnet maakte

gebruik van kwetsbaarheden bij pro-

cesautomatisering, die onder andere al

waren beschreven door Nieuwenhuis

en Peerlkamp [NIEU10]. Zorgwek-

kend is echter dat het concept is ‘ont-

snapt’ en nu kan worden gebruikt

voor andere aanvallen. Inmiddels is

bekend dat het concept van Stuxnet

door diverse partijen (inclusief crimi-

nelen?) wordt gemodificeerd, zodat

deze op andere infrastructuren zou

kunnen worden gericht. Het wordt

nu voor organisaties belangrijk actie te

ondernemen om een toekomstige

Stuxnet-achtige aanval op de eigen

infrastructuur te kunnen afslaan.

Duqu is een vrij weinig bekende vari-

ant op Stuxnet, gericht op cyberspio-

nage en het verzamelen van informatie

om te kunnen aanvallen. Een deel van

Duqu is dusdanig geavanceerd dat

Kaspersky Labs in maart 2012 de


hackergemeenschap om hulp heeft

gevraagd om de programmeertech-

niek te doorgronden [KASP12]. De

indruk ontstaat dat Stuxnet en Duqu

zijn ontwikkeld door partijen die over

veel kennis en omvangrijke middelen

beschikken, want deze geavanceerde

cyberwapens lijken totaal niet op dat-

gene wat normaliter uit de hackerge-

meenschap komt.

Bij de ontwikkeling van de OV-chip-

kaart waren de zwakheden en kwets-

baarheden van de Myfare Classic chip

bekend, zoals is beschreven door Nie-

mantsverdriet [NIEM11]. De geraad-

pleegde deskundigen waren er initieel

echter van overtuigd dat, gezien de

beperkte waarde van de transacties, de

risico’s beheersbaar waren. Verschil-

lende groepen wetenschappelijke

krakers hebben aangetoond dat dit

een verkeerde inschatting was, door-

dat zij volhardender waren dan door

de deskundigen was voorzien

[NIEM11]. Er komt nu een beter

beveiligde chip, maar hoe lang zal die

bestand blijven tegen gerichte aanval-

len? Het is bekend dat security by

obscurity op termijn altijd zal falen.

Ondanks zorgvuldig uitgevoerde risi-

coanalyses is men toch overvallen door

deze incidenten, waarvoor de getrof-

fen organisaties in onvoldoende mate

maatregelen hadden getroffen. Taleb

[TALE10] betoogt in zijn boek ‘De

zwarte zwaan’ dat men rekening moet

houden met het uiterst onwaarschijn-

lijke. De recente geschiedenis leert dat

er steeds iets gebeurt dat uiterst

onwaarschijnlijk werd geacht, maar

toch een forse impact heeft op onze

moderne samenleving. En daarmee op

onze moderne IT-infrastructuur.

NIST stelt veel materiaal beschik-

baar voor cybersecurity. Er zijn ook

andere bronnen zoals Open Web

Application Security Project

(OWASP). Hun aanpak is vooral

gericht op de beveiliging van webap-

plicaties [OWAS12]. OWASP ver-

schaft nuttige hulpmiddelen om

kwetsbaarheden te kunnen voorko-

men die cyberaanvallen uitlokken, of

de impact van dergelijke aanvallen te

verlagen. Vraagt u echter de gemid-

delde programmeur hoe hij OWASP

gebruikt bij het programmeren en

testen, dan ziet u dat die program-

meur zich bij de ontwikkeling van

webapplicaties heel wat vrijheidsgra-

den veroorlooft die niet alle in lijn

liggen met de door OWASP uitge-

dragen beginselen. De auteurs zijn

van mening dat er goede methoden

en technieken beschikbaar zijn om de

informatievoorziening veiliger te

maken, maar dat die nog niet breed

worden benut.

HOE KUNNEN WIJ DE RISICO-

ANALYSE BETER DOEN?

Wij moeten het probleem van de

niet herkende of niet voorziene

risico’s aanpakken. Dit kan alleen

met de macht en status van het

hoogste orgaan binnen de organisa-

tie, zoals de Board, een College van

Bestuur, een Secretaris Generaal et

cetera. Hun taak is governance,

namelijk de organisatie zo inrichten

dat deze haar doelstellingen reali-

seert ‘met een zorgvuldige afweging

van de risico’s’. Alleen heeft dat laat-

ste deel van hun taak veelal geen

dominante prioriteit in de huidige

tijd. Allerlei zaken blijven daardoor

liggen, zoals broodnodige besluiten

binnen de strategische / tactische

agenda over het streven van sommige

organisatieonderdelen naar BYOD,

WIFI, Het Nieuwe Werken, Sociale

Media, Apps op iOS / Android, de

upgrade naar een ander platform in

201X, het inrichten van business

continuity en andere ontwikkelingen

die van invloed kunnen zijn op de

relatie tussen de bedrijfsprocessen en

de IT-dienstverlening.

Er is een aparte functie nodig, in de

directe omgeving van de hoogste lei-

ding, om de informatie over risico’s te

wegen, te bundelen en te presenteren.

Van oudsher is dat een Chief Risk

Officer. Gezien het toenemende

belang van informatie verschuift dit

binnen informatie-intensieve organi-

saties naar de functie van een Chief

Information Security Officer, de

CISO. Veel multinationals en grote

organisaties hebben deze functie al

geïntroduceerd en ingericht, veelal op

een hoog niveau om zo voldoende

gewicht te kunnen geven aan een

zorgvuldige risicobenadering.

Een CISO heeft een stevig mandaat

nodig plus voldoende middelen,

bestaande uit competenties en

instrumenten. Naast het bovenge-

noemde klassieke instrumentarium

voor ISO 27001, NIST 800-30 et

cetera. is er duidelijk behoefte aan

middelen die de niet herkende en de

niet voorziene risico’s kunnen identi-

ficeren en meenemen om deze op

verantwoorde wijze onder de aan-

dacht van de leiding te kunnen bren-

gen. In het kader van het betoog in

dit artikel zijn deze middelen: het e-

Competence Center, continuous risk

monitoring, het Risk Register en

intelligence. Deze onderwerpen

bespreken wij hierna.

e-Competence Center

Een nadere analyse van de eerder

genoemde incidenten leert dat de

meeste van hen niet geheel onver-

wachts kwamen. De dreiging was in

feite bekend, maar men werd verrast

door de impact. Nieuwenhuis en

Peerlkamp [NIEU10], winnaars van

de Joop Bautz Information Security

Award 2010, hebben in 2010 een

scriptie gepubliceerd over de kwets-

baarheid van procesautomatisering.

Zij bundelden bestaande kennis om

aan te tonen dat procesautomatisering

onvoldoende is beschermd en steeds

kwetsbaarder wordt voor externe

bedreigingen. Duqu en Stuxnet buiten

deze al bekende zwakheden op een

ongekend effectieve manier uit. De

kwetsbaarheid is niet nieuw, de

gerichte aanval wel. Wat de timing

betreft, de scriptie is ingeleverd in

maart 2010, terwijl Stuxnet is ontdekt

op 13 juli 2010 [SYMA11].

Taleb [TALE10, deel 3] werkt het

verrassingseffect uit aan de hand van

de analogie van de zwarte zwaan die

niet slechts een zeldzame of bizarre

gebeurtenis is, maar tevens buiten


ons enge blikveld van mogelijke

gebeurtenissen ligt en ons volledig

verrast. Hij stelt dat voor veel zeld-

zame gebeurtenissen de oorzaak en

mogelijke consequenties zijn te door-

gronden. Het is weliswaar niet

mogelijk de exacte kans te berekenen,

maar men kan zich wel in hoofdlij-

nen een beeld vormen van zo een

dreiging met een heel kleine kans van

optreden en een enorme impact.

Door vooraf na te denken over

zwarte zwanen en die gedachtegang

ook mee te nemen bij het maken van

afwegingen voor het inrichten van

stelsels van maatregelen, kan men

van zwarte zwanen grijze zwanen

maken en hun verrassingseffect

inperken. Zo wist men bij Fuku-

shima dat het schakelpaneel voor de

noodaggregaten op een kwetsbare

plaats stond, namelijk in het turbine-

gebouw dat bij een supertsunami

onder water zou komen te staan. Bij

de bouw van noodaggregaten die

hogerop lagen op een heuvel had

men indertijd ook direct het schakel-

paneel kunnen verplaatsen, als men

de dreiging op haar juiste waarde had

ingeschat en had meegenomen in de

gedachtegang.

In het kader van dit artikel over de

cyberrisico’s pleiten de auteurs voor het

inzetten van een denktank, in feite een

groep deskundigen gericht op intelli-

gence. Zij verzamelen wereldwijd

informatie over incidenten, kwetsbaar-

heden en bedreigingen. Zie figuur 2.

Veel van deze informatie is tegenwoor-

dig eenvoudig te vergaren via het inter-

net. In figuur 1 op pagina 24 is een

cyclus aangegeven in het intelligence-

deel, bestaande uit ‘Collect’, dat is het

verzamelen van relevante gegevens,

gevolgd door ‘Combine’, namelijk het

combineren van gegevens uit verschil-

lende bronnen om verbanden te leggen.

Er is veel kennis vrij toegankelijk of

opgeslagen in online libraries. De

kunst is via Analyse tot de juiste con-

clusies te komen, namelijk ‘Conclude’.

Het voorspellen van incidenten in de

toekomst vindt plaats in de CCAC-

cyclus, oftewel Collect - Combine -

Analyse - Conclude.

Medewerkers in de denktank dienen

over fantasie te beschikken en de

‘wat als’ vraag te stellen. Hierbij kan

bijvoorbeeld een riskcoördinator

binnen onze Nederlandse Delta-

werken denken aan de vraag ‘wat kan

onze procescomputers verstoren?’, of

misschien nog specifieker, ‘wat

gebeurt er als een virus wordt gericht

op onze procescomputers?’ Daaruit

volgt de vraag hoe de procescompu-

ter die de sluisdeuren van een water-

kering aanstuurt is beschermd. Het

antwoord is misschien dat er geen

enkele vorm van een firewall is opge-

nomen in het betreffende LAN,

geen intrusion detection of andere

signaleringsmogelijkheden zijn voor-

zien, en dat de software op de pro-

cescomputer niet wordt gecontro-

leerd op ongeautoriseerde

modificatie. Dit leidt tot de conclu-

sie dat een Stuxnet-achtige aanval op

de sluizen en stuwen van de Delta-

werken tot een ernstig incident zou

kunnen leiden en tot de vraag of

mitigerende maatregelen nodig zijn.

Een goedkope oplossing is het los-

koppelen van het LAN met de pro-

cescomputers van de andere netwer-

ken om zo terug te kunnen vallen op

Figuur 2: De positionering van het e-Competence Center


de aloude fysieke isolatie van

netwerken met verschillende beveili-

gingseisen [DOD85]. Een nadeel

hierbij is dat de centrale aansturing

van de procescomputers gecompli-

ceerder wordt. Het wordt minder

gebruikersvriendelijk, maar wel veili-

ger. Een alternatief is meer controle-

maatregelen rondom de computer te

plaatsen en er omheen te controle-

ren, zoals de accountant dat doet als

deze niet op de geautomatiseerde

boekhouding kan vertrouwen.

De denktank is een e-Competence

Center, waarin experts uit verschil-

lende disciplines zitten. In ieder geval

participeren de technische deskundi-

gen voor de platformen, middleware

en applicaties, plus de webspecialis-

ten die betrokken zijn bij de

OWASP-maatregelen. Zij richten

zich op de technische bedreigingen

en kwetsbaarheden, binnen hun spe-

cifieke competenties. Daarnaast par-

ticiperen riskdeskundigen vanuit de

bedrijfsonderdelen, die breder kijken

naar dreigingen vanuit de buitenwe-

reld, criminele en politieke ontwik-

kelingen volgen et cetera. Gezamen-

lijk hebben zij de kennis en kunde

om dreigingen op hun waarde te

schatten. Zij doen dit deels door

rechtlijnig doorredeneren, en deels

door thinking out of the box. Belang-

rijk is de creativiteit in het proces en

een thematische aansturing.

Een organisatie kan dit volledig zelf

inrichten, maar doelmatiger is dit

deels als een project op te pakken dat

meerdere organisaties overstijgt. Zo

kan men denken aan een e-Compe-

tence Center overkoepelend aan een

aantal overheids- en uitvoeringsin-

stanties, met bemensing vanuit die

organisaties en vanuit de IT-dienst-

verleners die outsourcingdiensten

leveren aan deze partijen. Iedere partij

heeft eigen competenties nodig in het

kader van de eigen specifieke bedrijfs-

processen en het geleverde type

dienstverlening. Daarnaast zijn er

generieke aspecten, zoals nieuwe

bedreigingen, die men beter geza-

menlijk kan oppakken. Dit pleit voor

een getrapte structuur, met een effec-

tieve en open communicatie tussen de

participanten. Dan kan iedere partici-

pant gebruik maken van de brede

kennis van alle participanten, met de

mogelijkheid de specifieke details die

van belang zijn voor de eigen bedrijfs-

voering zelf verder uit te werken.

Het samenspel tussen peers en een

getrapte structuur heeft als voordeel

dat men redelijk open kan communi-

ceren met de peers, zonder dat de

vuile was buiten wordt gehangen.

Voor de buitenwereld is dit een enigs-

zins gesloten bolwerk, waaruit alleen

signalen komen waarvan de partici-

panten het nuttig vinden die naar

buiten te brengen. Denk hierbij aan de

bancaire instellingen, die al intensief

overleggen over de bedreigingen voor

internetbankieren [WOUD11].

De e-Competence Centers rapporte-

ren aan de CISO’s van hun respectie-

velijke organisaties. Hiermee wordt de

relatie gelegd naar de hoogste leiding,

zodat het resultaat van hun werk met

voldoende prioriteit op de agenda van

de leiding wordt gezet.

Figuur 3: De relatie met de IT-auditor


Continuous risk monitoring

Voor een juiste inschatting van risico’s

in relatie tot de eigen kwetsbaarhe-

den, is het belangrijk te weten wat

er speelt op de eigen werkvloer. Er

zijn ontwikkelingen op het gebied van

continuous monitoring en continu-

ous assurance, die hier verbeteringen

in aanbrengen. Een van de grondleg-

gers is Vasarhelyi [THIP11]. Ook

NIST gaat in op deze ontwikkelin-

gen met haar Special Publication

800-137 ‘Information security continu-

ous monitoring for federal information

systems and organizations’ [NIST11-

2]. Hierin wordt onder andere

ingegaan op Security Information

and Event management (SIEM).

Maar deze technieken worden

vooralsnog slechts op zeer beperkte

schaal toegepast.

In het kader van dit artikel is conti-

nuous risk monitoring het centraal

verzamelen van lokaal of decentraal

bekende informatie over bedreigin-

gen, risico’s en kwetsbaarheden.

Deze aanpak levert ook nieuwe

kansen op voor het vakgebied audi-

ting. Het e-Competence Center

denkt na over scenario’s en over het

vereiste of gewenste stelsel van risi-

comitigerende maatregelen. Om de

SOLL versus de IST te kunnen

beoordelen, zijn in feite audits nodig.

Zoals weergegeven in figuur 3 kan

de CISO gericht opdrachten geven

aan auditors om scenario’s door te

werken en te bepalen of de organisa-

tie beschikt over de minimaal ver-

eiste maatregelen, en in welke orde-

grootte de mogelijke restrisico’s

liggen. Dit is de voor auditors

gebruikelijke cyclus van ‘SOLL, IST,

GAP, Improve’, maar nu gericht op

de scenario’s, onder meer in het

kader van cyberdreigingen.

Risk Register

Organisaties maken vaak onvol-

doende gebruik van historische

risico-informatie. Gebruikersorgani-

saties en IT-afdelingen analyseren

steeds dreigingen, schatten hun

impact en kans van optreden in,

(her)beoordelen het stelsel van risi-

comitigerende maatregelen en passen

dit aan, waar nodig. Dit gebeurt

veelal binnen projecten, vaak in het

kader van verandermanagement.

Deze informatie wordt dan bijge-

houden in zogenaamde Risk Regis-

ters en wordt gedurende het project

actief beheerd door het projectteam.

Daarna gaat echter veel kennis ver-

loren bij reorganisaties, door vertrek

van medewerkers en met het binnen-

halen van nieuwe krachten. Verlies

van deze kennis is een handicap voor

een zorgvuldig risicobeheer, dat juist

gebaat is bij een zo compleet moge-

lijk overzicht over een langere tijd.

Individuele Risk Registers worden

vrijwel nooit gebundeld en beheerd

om in continuïteit een overzicht te

verschaffen. Juist een gebundeld, his-

torisch volledig en steeds geactuali-

seerd Risk Register is een prima hulp-

middel voor een e-Competence

Center. Hierin is alle informatie terug

te vinden over hetgeen diverse partijen

hebben verzameld over risico’s en

kwetsbaarheden, en kan men zien

welke maatregelen al zijn getroffen.

Dan kan de focus worden gelegd op

het beoordelen van de effectiviteit van

die maatregelen en het detecteren van

mogelijke manco’s in het stelsel.

In het kader van dit artikel pleiten wij

voor het centraal verzamelen van de

lokaal en decentraal beschikbare infor-

matie over bedreigingen en kwetsbaar-

heden. Dit vereist het inrichten van

een netwerk van riskcoördinatoren op

een laag niveau binnen organisaties,

die een bewakende rol vervullen en

informatie verstrekken aan een cen-

traal orgaan. Deze informatie wordt

opgenomen in het centrale Risk Regis-

ter, en komt zo ter beschikking van het

e-Competence Center.

Het Risk Register kan onder andere

input leveren voor de testsets voor

nieuwe programmatuur en nieuwe

systemen. Als men hierin de OTAP-

aanpak en OWASP-testen meeneemt,

kan men met deze gecombineerde

aanpak de robuustheid van de infor-

matiesystemen en webapplicaties sub-

stantieel verbeteren.

Intelligence vergaren

en benutten

Hoe maakt Taleb een zwarte zwaan

grijs? Zijn waarschuwing is dat wat

men ook doet, er altijd onvermoede

zwarte zwanen blijven bestaan waar-

voor niets blijkt te zijn geregeld. Zodra

men rekening gaat houden met de

mogelijkheid van een zwarte zwaan, is

deze niet zwart meer in de zin van

Taleb. De uitdaging ligt in het voor-

zien dat er ooit een zwarte zwaan kan

komen, waarvoor men in feite een een

intelligence-achtige aanpak nodig

heeft. Afhankelijk van het marktseg-

ment worden dreigingen ingedeeld in

categorieën en wordt informatie gese-

lecteerd en gesorteerd. Dit gebeurt

binnen het e-Competence Center

individueel en groepsgewijs, om zo de

competenties optimaal te benutten en

daarnaast via het groepsproces tot

nieuwe creatieve inzichten te kunnen

komen.

Voor dreigingen met een zeer grote

impact en een heel kleine kans van

optreden hanteert men het principe

van het grijsmaken van de zwarte

zwaan. Dat houdt in, de hoofdlijnen

van mogelijke oorzaken en conse-

quenties in beeld brengen, de moge-

lijke scenario’s doorredeneren, vast-

stellen waar redundantie bestaat

binnen de bedrijfsprocessen, IT-

voorzieningen et cetera, en bepaling

of deze redundantie afdoende zal

zijn. Hierbij moet sprake zijn van een

thematische benadering. Enerzijds

wordt deze analyse gericht op de

platformen en technieken, zoals voor

de databases, hardening van de ser-

vers en het beveiligen van de webap-

plicaties en businesslogica. Ander-

zijds is de analyse gericht op de

categorieën van bedreigingen.

Een van de mogelijke intelligence-

achtige methoden is het uitvoeren

van linkage-analyses, bijvoorbeeld

zoals beschreven door Labuschagne

[LABU06]. Hierbij worden de

omstandigheden meegenomen,

evenals de modus operandi en de

populatie van mogelijke kwaadwil-

lenden. Met modus operandi worden


de handelingen bedoeld die door een

dader worden gebruikt voor het uit-

voeren van een inbraak of het ver-

oorzaken van een beschadiging. De

dader heeft een bedoeling met iedere

handeling, namelijk om er voor te

zorgen dat de inbraak of beschadi-

ging lukt, voor het tegengaan van

zijn of haar identificatie, en om

mogelijkheden te verkrijgen om

fondsen of informatie te ontvreem-

den. De modus operandi kan bij

opeenvolgende acties veranderen

omdat de kwaadwillende betere

technieken leert. Hierbij bestaat de

kans voor de informatiebeveiligers,

en het gevaar voor de dader, dat de

laatste onvoorzichtig wordt als

bepaalde technieken goed blijken te

werken. De ‘handtekening’ van een

dader zijn de handelingen die onno-

dig zijn voor het plegen van de mis-

daad, maar die dienen ter bevredi-

ging van de psychologische behoeften

van de dader. Deze handelingen

kunnen onderdeel gaan vormen van

de modus operandi.

Met dit soort analyses wordt aange-

sloten bij de aanpak van opsporing

door Politie en het werk van inlichtin-

gen- en veiligheidsdiensten. Ook daar-

bij ontstaat een steeds sterkere relatie

met de cyberwereld. Zoals beschreven

door Berg worstelt men in die wereld

ook met het vinden van een maat-

schappelijk verantwoorde balans

tussen het belang van de doelmatig-

heid van de opsporingstaak, het tac-

tisch belang van de onderzoeken en de

privacybelangen van de betrokkenen

[BERG07].

Bij een analyse is het van belang een

open oog te houden voor de kosten

en te streven naar pragmatische

oplossingen. Zo kan men de vanuit

het dreigingrisico voor overstromin-

gen in het westen van Nederland

overwegen een primair datacenter te

gebruiken voor de IT-diensten in het

westen en een secundair datacenter

hoog en droog in het oosten, met de

mogelijkheid daarop terug te vallen.

Vanuit ieder dreigingrisico wordt

steeds gekeken naar alternatieven.

Als daarbij dreigingen overblijven

waarvoor geen kosteffectieve maatre-

gelen kunnen worden getroffen, is

het toch goed daarvoor een generiek

scenario door te redeneren en uit te

werken. Hiermee heeft men bij het

onverwacht optreden van het inci-

dent toch al enige informatie op de

plank liggen om snel te kunnen rea-

geren. De Japanse regering had zich

veel kritiek kunnen besparen als zij

op 11 maart 2011 tenminste een

communicatieplan op de plank gehad

had liggen voor een mogelijke melt

down van een kerncentrale. Zij had

zich nog veel meer kritiek kunnen

besparen als zij de verlenging van de

vergunning van Fukushima had

gekoppeld aan de eis voor een veiliger

opstelling van het schakelpaneel voor

de noodaggregaten.

Als de minister van BZK over de

bovenstaande aanpak had kunnen

beschikken, had de Diginotar affaire

vermoedelijk niet plaatsgevonden of

was deze minder ernstig geweest

[SEHG12]. Dan was er vooraf over

nagedacht of het handig is de SSL-

certificaten voor de websites van de

overheid van één partij te betrekken,

of dat spreiding beter is. Bovendien

was er dan een afweging geweest of

men het proces voor certificaten die

worden gebruikt voor social media

moet combineren met dat voor web-

sites van de overheid. Daarnaast was

er over nagedacht wat de impact is

voor de overheid als haar SSL-certifi-

caten op de blacklist van de internet

browsers terecht komen. Dit zijn

allemaal zaken waarover een e-Com-

petence Center nadenkt.

ROBUUSTHEID

Organisaties moeten accepteren dat

zij af en toe met een ernstig incident

worden geconfronteerd, zonder dat

zij vooraf weten uit welke hoek de

dreiging komt en hoe omvangrijk de

impact zal zijn. Het incasseren van

een klap is pijnlijk. Soms overleeft een

organisatie dit niet, zoals recentelijk

Diginotar, of deels, zoals Tepco.

Ondernemen is weliswaar risico’s

lopen, maar management dient vooraf

op basis van een goede afweging van

risico’s de juiste besluiten te nemen.

Zo een besluit kan zijn preventieve

maatregelen te treffen, of die juist

vanwege kosten achterwege te laten.

Dat kan men compenseren met een

stelsel van detectieve maatregelen, om

snel signalen te krijgen, en correctieve

maatregelen om de impact van een

incident te verkleinen.

Robuustheid is de mate waarin men

de impact van een incident kan beper-

ken of verkleinen. In hoeverre de

gevolgschade werkelijk wordt vermin-

derd hangt af van de binnen de orga-

nisatie aanwezige redundantie en

flexibiliteit, en of een voldoende aantal

competente medewerkers tijdens of

direct na het incident snel genoeg kan

worden gemobiliseerd. Deze mede-

werkers dienen te beschikken over

inhoudelijke kennis over de business,

het functioneren van de organisatie, de

bedreigingen en kwetsbaarheden, en

scenario’s. In feite is dit een soort

Emergency Response Team, waarvan

in het geval van cyberaanvallen het e-

Competence Center onderdeel uit kan

maken.

De medewerkers van het Emergency

Response Team hoeven niet allemaal

op de loonlijst te staan. Dit team kan

ook worden gevormd als een samen-

werkingsverband binnen een groep

van organisaties met overeenkomstige

kenmerken. Van belang zijn synergie

binnen de groep, regelmatig met elkaar

optrekken, gezamenlijk doorlopen van

de scenario’s en onderhouden van de

inhoudelijke kennis.

CONCLUSIE

De cyberwereld brengt ons veel voor-

delen en is niet meer weg te denken uit

onze moderne maatschappij. Zowel

de overheid als het bedrijfsleven

benutten deze wereld steeds intensie-

ver om zaken te doen, onderling en

met de burger, die ook tegelijk consu-

ment is. Als iets intensief wordt

gebruikt en er komen bepaalde belan-

gen in beeld, zoals vertrouwelijke

informatie en financiële waarden,


worden ook criminelen en kwaadwil-

lenden actief. Dat is een fact of life.

Ook neemt de impact van calamitei-

ten toe, naarmate het gebruik intensie-

ver wordt.

Onze klassieke aanpak van riskma-

nagement voldoet vandaag de dag

niet meer. Die is nog teveel gericht op

dreigingen van gisteren en houdt te

weinig rekening met de kwetsbaarhe-

den van vandaag en morgen. Vandaar

dat in het kader van cybersecurity

een nieuwe aanpak wordt ontwik-

keld, om zoals Taleb het uitdrukt

zwarte zwanen grijs te kunnen krij-

gen. Daarbij probeert men zo goed

mogelijk dreigingen te kunnen voor-

zien, maatregelen daartegen te tref-

fen, en ondertussen voorbereid te

zijn op de klap die komt maar nog

niet kan worden voorzien. Zowel de

cyberwereld als het vakgebied audi-

ting beschikken daartoe in beginsel

weliswaar over de juiste competen-

ties en methoden, alleen moeten die

nog wel worden gebundeld om effec-

tief te kunnen worden ingezet voor

het minimaliseren van de impact van

de daadwerkelijke dreigingen. ■

Literatuur

[BERG07] Berg, B., Criminal Investigation, Edition 4,

McGraw-Hill, ISBN 978-0073401249, 2007.

[BEUS10] Beusenberg, C.N.A. en Fasten, J.E., Ongrijpbare

ketenrisico’s voor financiële instellingen, scriptie VU

PGO IT Audit, op www.vurore.nl, april 2010.

[BOND97] Bondevik, S., Svendsen, J. en Mangerud, J.,

Tsunami sedimentary facies deposited by the

Storegga tsunami in shallow marine bassins and

coastal lakes, western Norway in Sedimetology, Nr.

44, pp. 115-1131, 1997.

[DOD85] US Department of Defense, Trusted computer

system evaluation criteria, CSC-STD-001-83, 15

augustus 1983, vervangen door DoD STD 5200.28-

STD, december 1985.

[EMC11] EMC VansonBourne report, European Disaster

Recovery Survey 2011, Data today gone tomorrow:

How well companies are poised for IT recovery 23

november 2011, gerefereerd in Datacentra bedreigd

door rampen, AutomatiseringGids 7 december 2011.

[JENN11] Jenniskens, M., Rorive, K. en Jessurun, A., iPad

als beveiligd verlengstuk van uw werkplek, Strict

white paper, versie 1.2, juni 2011.

[KASP12] Computable, Kaspersky vraagt hulp bij

bestrijding Duqu, 8 maart 2012.

[LABU06] Labuschagne, G.N., The use of a linkage

analysis as evidence in the conviction of the

Newcastle serial murderer, South Africa in Journal

of Investigative Psychology and Offender Profiling,

Vol. 3, Nr. 3, pp. 183-191, oktober 2006.

[MINO01] Minoura, K., Imamura, F. et al, The 869 Jogan

tsunami deposit and recurrence interval of large-

scale tsunami on the Pacific coast of northeast

Japan, in Journal of Natural Disaster, Vol. 23, Nr. 2,

pp. 83-88, 2001.

[NIEM11] Niemantsverdriet, P., Het besluitvormingspro-

ces rond de ontwikkeling en implementatie van de

OV-chipkaart, een succes of falen, scriptie VU PGO IT

Audit, op www.vurore.nl, mei 2011.

[NIEU10] Nieuwenhuis, M., en Peerlkamp, S., Process

Control Network Security, Comparing frameworks

to mitigate the specific threats to Process Control

Networks, scriptie VU PGO IT Audit, op

www.vurore.nl, maart 2010.

[NIST11-1] National Institute of Standards and

Technology (NIST), Guide for conducting risk

assessments, Special Publication 800-30, Revision 1,

september 2011.

[NIST11-2] NIST, Information security continuous moni-

toring (ISCM) for federal information systems and

organizations, NIST Special Publication 800-137,

september 2011.

[OWAS12] Open Web Application Security Project,

www.owasp.org.

[SYMA11] Symantec Security Response, W32.Duqu:

the precursor to the next Stuxnet, versie 1.4,

23 november 2011.

[TALE10] Taleb, N.N., De zwarte zwaan, de impact van

het hoogst onwaarschijnlijke, Uitgeverij Nieuwezijds,

ISBN 978 90 5712 2675, 7de druk, 2010.

[SEHG12] Sehgal, J. en Craig, A. The previously unseen

risks associated with internet transactions and

certificate authorities, Just below the surface, in de

IT-Auditor, 2012, nummer 1, pp. 36-40.

[THIP11] Thiprungsri, S. en Vasarhelyi, M.A., Cluster

analysis for anomaly detection in accounting data,

an audit approach, in The International Journal of

Digital Accounting Research, Vol. 11, pp. 69-84, 2011.

[WOUD11] Wouda, A., De beheersing van cybercrime

bij Nederlandse ‘klein’ banken, in de IT-Auditor,

2011, nummer 4, pp. 22-28, gebaseerd op een

scriptie VU PGO IT Audit, www.vurore.nl, mei 2011.

[ZUID12] De Zuidwalvulkaan wordt in diverse bronnen

op internet genoemd, zoals Wikipedia, www.info-

nu.nl, www.natuurinformatie.nl, www.vpro.nl en

www.youtube.com.

Willem Barnhoorn is sinds 2011 de Information Security

Officer van Capgemini Apps Two Nederland. Hij heeft

vergelijkbare rollen vervuld bij KPN, Getronics en PinkRoccade.

Momenteel is hij vooral bezig met het inrichten van risicobeheer-

sing en het verbeteren van de controleerbaarheid van de delivery

organisatie.

Ronald Paans is hoogleraar van de opleiding Postgraduate IT

Audit aan de Vrije Univeristeit van Amsterdam en directeur van

Noordbeek B.V. Ronald is onder andere voorzitter van het

Wetenschapsforum voor de OV-chipkaart, voorzitter van de Raad

van Toezicht van de Stichting OpenTicketing en zit in de NOREA

Raad voor Beroepsethiek.

Marco van der Vet is sinds 2000 in dienst van Capgemini

Nederland B.V. in diverse management en directiefuncties.

Momenteel is hij werkzaam in de functie van directeur IS Risk

Management, Compliancy en Contracting, tevens Chief

Information Security Officer.

BUSINESS SURVIVAL BINNEN DE CYBERKETEN De noodzaak van … · DIT ARTIKEL Richard Power,...

Documents

Transcript of BUSINESS SURVIVAL BINNEN DE CYBERKETEN De noodzaak van … · DIT ARTIKEL Richard Power,...