Sebyde Digitale Weerbaarheid Programma Duurzaam veilig gedrag

Sebyde Academy ─ info@sebyde.nl ─ www.sebyde.nl Tel: 085 - 273 33 76

2

Achtergrond Het aantal berichten in de media over cybercriminaliteit blijft maar groeien. Productielijnen worden ontregeld. Bedrijfsgegevens, personeelsbestanden, klantgege-vens, etc. worden gestolen of verminkt, reputaties worden geschonden. De schade is enorm. Zowel in geld als in reputatie. Bedrijven doen hun uiterste best om weerbaar te zijn tegen deze vorm van criminaliteit. Er worden veel maatregelen genomen om het bedrijfsnetwerk te beschermen tegen aanvallen van buitenaf. Hiervoor worden op grote schaal technische security maatrege-len ingezet, zoals firewalls, access management systemen, intrusion detection systemen, etc. Deze technische maatregelen zijn noodzakelijk maar het is niet genoeg. Om de risico’s op cybercriminaliteit te verlagen zijn er in elk bedrijf 3 belangrijke pijlers waar aandacht aan besteed dient te worden:

De Mens: Zijn uw medewerkers zich bewust van hun verantwoordelijkheid met be-trekking tot de veiligheid en de bescherming van informatie?

De Organisatie: Is security een integraal onderdeel van het bedrijf, de processen en procedures?

De Techniek: Technische oplossingen ter bescherming van uw informatie.

Sebyde Academy ─ info@sebyde.nl ─ www.sebyde.nl Tel: 085 - 273 33 76

3

Digitale Weerbaarheid Driehoek Een hacker richt zich op drie zwakheden van bedrijven als het gaat om een om een succes-volle aanval te kunnen uitvoeren: > Kennis: hoe meer

kennis de hacker kan vergaren over uw organisatie en uw ICT-systemen hoe beter hij/zij de aanval kan plannen en voorbereiden

> Tijd: als de hacker ruim te tijd krijgt om zijn of haar werk te doen zonder dat hij op-gemerkt wordt, zal hij meer schade kunnen toebrengen aan uw gegevens en sys-temen

> Gelegenheid: Als de hacker de gelegenheid krijgt zal hij hem pakken. Als bijvoorbeeld

de ICT-systemen en software niet worden bijgewerkt (updates) en oude en bekende kwetsbaarheden niet worden opgelost zal de hacker des te simpeler kunnen inbre-ken. Maar denk hierbij ook aan het achterlaten van een laptop in de auto of het ver-liezen van USB-sticks.

Om u en uw organisatie weerbaar te maken tegen cybercriminaliteit heeft Sebyde Aca-demy een programma ontwikkeld om uw medewerkers blijvend bewust te maken van hun omgang met ICT-systemen en hun verantwoordelijkheid daarin. Wij noemen dit het “Sebyde Digitale Weerbaarheid Programma”. Het bereikt duurzaam veilig gedrag van management en medewerkers en zal leiden tot een verlaging van het aantal security incidenten.

Sebyde Academy ─ info@sebyde.nl ─ www.sebyde.nl Tel: 085 - 273 33 76

4

Sebyde Digitale Weerbaarheid programma Sebyde Academy heeft het Sebyde Digitale Weerbaarheid programma ontwikkeld om mensen in een organisatie (management én medewerkers) te stimuleren en motiveren naar veilig gedrag. Management en medewerkers leren wat hun verantwoordelijkheid hierin is doordat ze bewust worden van de gevaren, de risico’s en de mogelijke conse-quenties van onveilig gedrag.

Medewerkers dienen bewust en veilig omgaan met alle ICT-apparaten, soft-ware en bedrijfs-gegevens. Met het Sebyde Digi-tale Weerbaar-heid programma brengt u duur-zaam veilig ge-drag in uw orga-nisatie zonder dat u alle techni-sche details hoeft te kennen. Dit zal resulteren in een verlaging van het aantal security incidenten en een grotere cyber-weerbaarheid van de organisatie Het Sebyde Digitale Weerbaarheid programma bevat speciaal ontwikkelde modules voor het management, medewerkers en de ICT-professionals in uw organisatie. Het programma is geschikt voor iedereen in de organisatie en bestaat uit 7 modules, elk met een vast tijdskader en resultaat. Ondersteuning van het programma kan gegeven worden door een eigen programmamanager of via de Sebyde Academy. Training van de ICT-professionals is eenvoudig te integreren. Dit zijn specialistische secu-ritytrainingen bedoeld voor IT-management, securityspecialisten of medewerkers van een incident managementteam.

Sebyde Academy ─ info@sebyde.nl ─ www.sebyde.nl Tel: 085 - 273 33 76

5

Modulaire opbouw

Het Sebyde Digitale Weerbaarheid programma bestaat uit een aantal speciaal ontwikkel-de modules voor zowel management en medewerkers. De nadruk ligt op het verhogen van de kennis, training van de vaardigheden. Elke medewerker zal een persoonlijk actie-plan krijgen waarmee veilig gedag in de organisatie gerealiseerd kan worden. Het weerbaarheid programma omvat 6 modules. De situatie bij de klant bepaalt welke modules er het beste gekozen kunnen worden. Module 1 is bedoeld voor het management, de beleidsmakers op het gebied van infor-matiebescherming en organisatie-development. Modules 2 t/m 6 zijn bedoeld voor de medewerkers van de organisatie. Module 7 is bedoeld voor de ICT-professional.

Kenmerken Voor het hele programma geldt:

U verkrijgt inzicht in kritische factoren

De bijeenkomsten zijn klassikaal en interactief.

Er wordt rekening gehouden met de cognitieve instelling van de cursisten.

Krachtig leerproces door interactie met medecursisten

Coaching vindt plaats in meerdere les vormen.

Flexibel ten aanzien van uw trainingsbehoefte.

Uitstekende trainers/coaches met uitgebreide ervaring in security en opleiden.

Sebyde Academy ─ info@sebyde.nl ─ www.sebyde.nl Tel: 085 - 273 33 76

6

Management De eerste module van het Sebyde weerbaarheid programma is ontwikkeld voor de be-leidsmakers op het gebied van informatiebeveiliging en organisatieontwikkeling. De in-formatie die uit deze module wordt verkregen dient als basis voor het verder implemen-teren van een goed en effectief security awareness programma.

MODULE 1: “OPTIMAAL WEERBAAR”

Het succes van een security awareness programma in een organisatie wordt voor een groot gedeelte bepaald door de ondersteuning van het management. Het creëren van de juiste cultuur op het gebied van informatiebeveiliging kan alleen gebeuren als er geen onduidelijkheden zijn over de verwachtingen en doelstellingen. De Sebyde Management workshop brengt de aandachtspunten aan de oppervlakte die van belang zijn (missie & visie, welke stappen te nemen, wie zijn betrokken, welke middelen zijn nodig, etc.) voor het verhogen van de weerbaarheid van de organisatie.

Kenmerken

> On Site.

> Advies aantal deelnemers max 10

> Uw tijd is ½ dag, het totale project duurt 5 dagen

> Er zal een voorbereidend gesprek plaatshebben om de doelstelling te bepalen en

eventuele vragen te beantwoorden

> Bedoeld voor managers en leidinggevenden vanuit de business en de ICT

> Een workshop van ½ dag

> Interactief

> 4 dagen uitwerking van het programma, documenteren

> Nabespreking van de resultaten en de eventuele vervolgstappen

> We gebruiken de A3 methodiek van TNO voor het maken van een overzicht

Resultaat

> Een plan van aanpak voor een security awareness programma.

> Verbeterpunten in de organisatie.

> Een A3 met alle speerpunten, stappen, voor iedereen toegankelijk en begrijpelijk

Sebyde Academy ─ info@sebyde.nl ─ www.sebyde.nl Tel: 085 - 273 33 76

7

Medewerkers Modules 2 t/m 6 zijn ontworpen voor de medewerkers van de organisatie. Afhankelijk van de situatie kunnen een of meerdere modules worden doorlopen om veilig gedrag in de organisatie te realiseren waardoor de weerbaarheid vergroot.

MODULE 2: “BEWUST WORDEN”

Module 2 is een eendaagse training die mensen bewust maakt en inzicht verschaft in de dreigingen. Het bevat een aantal interactieve oefeningen waarbij nagedacht wordt over de eigen persoonlijke situatie en de toepasbaarheid in uw organisatie. De deelnemers worden constant gestimuleerd om de informatie te projecteren op hun eigen werkom-geving. Aan het eind van de dag gaat men naar huis met een persoonlijk actieplan welke aanzet tot nadenken en eventueel al verbeterpunten bevat. Kenmerken

> Interactie met medecursisten > Doelgroep: alle medewerkers > Kennis vooraf niet nodig > 1 dag > Overzicht van de dreigingen, risico’s en maatregelen

Inhoud > Overzicht van security incidenten vanuit de media. > Risico’s die men loopt bij persoonlijk gebruik van IT. > Richtlijnen of goed gebruik om risico’s te beperken. > Security kwesties die spelen in de eigen organisatie of de industrie. > De financiële, operationele en reputatie schade die men oploopt door security

incidenten. > De persoonlijke consequenties van security incidenten.

Resultaat

> Deelnemers zijn bewust over security in de digitale wereld. Ze hebben een eerste inzicht gekregen in de mogelijke maatregelen die genomen kunnen worden.

> De deelnemers zijn zich bewust van de verhouding tussen techniek, mens en or-ganisatie en hoe de gevaren in te delen.

> Deelnemers zullen incidenten en dreigingen sneller herkennen en weten wat er mee te doen.

> Deelnemers weten welke mogelijkheden er zijn om in te breken in netwerk, da-tabase, etc. De deelnemers kennen het effect van de algemene gevaren en speci-fiek voor hun organisatie.

> De deelnemers zijn zich bewust van gedrag t.a.v. security awareness en kunnen dit vertalen naar hun eigen organisatie en zichzelf.

Sebyde Academy ─ info@sebyde.nl ─ www.sebyde.nl Tel: 085 - 273 33 76

8

MODULE 3: “BEWUST ZIJN”

Het is bewezen dat het effect van een training vergroot wordt als er na een tijdje een herhaling van de belangrijke onderwerpen wordt gegeven. Module 3 van het Sebyde weerbaarheid programma is een terugkom-sessie van een halve dag die 4-6 weken na module 2 georganiseerd wordt. Men heeft de informatie van module 2 dan gedurende een aantal weken kunnen toepassen in de praktijk en ook kunnen testen wat wel/niet werkt in de eigen organisatie. Op deze dag bespreken we gericht over de mogelijke secu-rity-maatregelen en welke verbeterpunten er zijn. We behandelen het persoonlijk actie-plan, wat wel en wat niet werkte en wat de deelnemer/ster er eventueel van weerhield om bepaalde verbeteringen aan te brengen. Kenmerken

> Interactie met medecursisten. > Doelgroep: medewerkers. > Kennis vooraf: module “Bewust Worden”. > ½ dag. > Inclusief 1 uur gesprek met de opdrachtgever. > PAP, het persoonlijk actieplan zet u aan tot het verbeteren of aanleren van risi-

comijdend gedrag. Resultaat

> Herijken en beoordelen van het Persoonlijk Actie Plan. (PAP). PAP is toe te pas-sen in de praktijk.

> Praktische kennis en inzicht hoe te handelen. De gevolgen & verantwoordelijk-heden van het eigen handelen voor het bedrijf zijn bekend.

> Verbeterpunten.

MODULE 4: “BEWUST HANDELEN”

Module 4 van het Sebyde weerbaarheid programma is een praktische workshop (Mas-terclass) over een specifiek onderwerp. Deelnemers verbeteren hun vaardigheden en bouwen hiermee ervaring op. De onderwerpen waarover we momenteel masterclasses aanbieden:

> Phishing: Inzage in de verschillende vormen van phishing en hoe je dat kunt her-kennen.

> Passwords: Veilig gebruik van passwords in de organisatie. Het is mogelijk om ook over andere specifieke onderwerpen masterclasses te maken. Kenmerken

> Interactie met medecursisten. > Duur 2-3 uur. > Klassikaal. > Oefening en coaching.

Sebyde Academy ─ info@sebyde.nl ─ www.sebyde.nl Tel: 085 - 273 33 76

9

Resultaat > Kennis over het behandelde onderwerp. > Verbetering van het gedrag. > Bewust over de noodzaak.

MODULE 5: “AMBASSADEUR”

In deze module leren we één of meerdere personen in uw organisatie in methodes om een security awareness programma te organiseren in hun bedrijf. Awareness is ten slotte een doorlopend proces en dient onderhouden te worden. Kenmerken

> Doelgroep: aangewezen trainer(s) > ½ dag > Interactief > Coach > Kennis vooraf: “Bewust worden, zijn en handelen”

Resultaat

> Leert het onderwerp security awareness bespreekbaar te maken. > Beheerst technieken om het onderwerp “security awareness” te bespreken. > Tips hoe je een security awareness campagne opstart.

MODULE 6: “UPDATE”

Ook mensen hebben security-updates nodig. Uw organisatie verandert, de buitenwereld verandert, al met al genoeg redenen om u op de hoogte te stellen van de laatste stand van zaken met betrekking tot security en de risico’s. Deze sessies zij om twee redenen erg belangrijk. Ten eerste hou je door middel van deze sessies het onderwerp security op de agenda van de medewerkers en geef je aan dat security belangrijk wordt gevonden in. Ten tweede blijven de medewerkers up-to-date over de nieuwe ontwikkelingen. Op het-zelfde moment ook een goede gelegenheid om vragen te stellen en mogelijke problemen nog eens onder de loupe te nemen. Kenmerken

> Doelgroep: Medewerkers & Trainers > ½ dag > Er wordt een update gegeven met de laatste informatie of gebeurtenissen. > Een vragen uurtje met de opdrachtgever, bijpraten, nieuwe behoeftes.

Resultaat

> Securitylevel blijft op gewenst niveau > De weerbaarheid van uw medewerkers is weer op niveau. > Kennis blijft in organisatie.

Sebyde Academy ─ info@sebyde.nl ─ www.sebyde.nl Tel: 085 - 273 33 76

10

ICT De laatste module van het Sebyde weerbaarheid programma (module 7) is ontwikkeld voor de ICT-medewerkers die betrokken zijn bij het programmeren en onderhouden van software. Cybercriminelen zijn op de hoogte van het feit dat secure coding technieken niet zo vaak worden gebruikt en dat daardoor veel applicaties die via het internet toe-gankelijk zijn security kwetsbaarheden bevatten. Aanvallen worden daarom ook steeds vaker uitgevoerd via de software laag van de informatiesystemen.

MODULE 7: “SECURE CODING”

Het beveiligen van software door gebruik te maken van secure coding technieken is te-genwoordig van groot belang. Veel securitymaatregelen kunnen vanuit de broncode van een applicatie geregeld worden. Security dient al bij het ontwerp van een applicatie meegenomen te worden. Organisaties moeten preventieve maatregelen nemen door systemen en software van binnenuit veilig te maken Deze workshop is speciaal gemaakt voor ontwikkelaars en programmeurs die coderen in PHP. Tevens is deze workshop bedoeld voor code testers en code reviewers. Enige maanden ervaring met PHP strekt tot aanbeveling De deelnemers worden eerst meegenomen naar de wereld van cybercriminaliteit. Wat heb je te beschermen, waar liggen de gevaren en dreigingen. Op welke manier gaan hac-kers te werk? Hoe kan een organisatie zich beschermen? Wat is de rol van een program-meur / ontwikkelaar daarin? Wat is OWASP en de OWASP top tien? Tenslotte zullen de deelnemers aan de slag gaan met praktische oefeningen.

Kenmerken > Injection (SQL, CSS, Command & Cookie) > Cross-Site Scripting (XSS) > Insecure Session handling > Direct object reference > Cross Site Request Forgery (CSRF) > Unrestricted URL access > Remote PHP code execution > MySQL validation errors > Variable pollution > Spammers abuse of File uploads > Environment manipulation > Using a (OWASP) security library/framework > Applying OO - design patterns > Input validation with regular expressions

Resultaat > Minder incidenten door kwetsbare code

Sebyde Academy ─ info@sebyde.nl ─ www.sebyde.nl Tel: 085 - 273 33 76

11

Weerbaarheid

Het niveau van de weerbaarheid blijft niet constant nadat u een training heeft gevolgd. Dit wordt veroorzaakt door het feit dat mensen bij gebrek aan herhaling de neiging heb-ben om na verloop van tijd terug te vallen naar “oud gedrag”. Daar zijn 2 redenen voor, de 1ste reden is dat de opgedane kennis na verloop van tijd wegzakt. Dit is zeker het geval als een bepaalde dreiging niet vaak voorkomt. De 2de reden is dat de cybercriminelen niet stilzitten maar nieuwe dreigingen en metho-dieken ontwikkelen om geld te verdienen. Daarom is het van belang uw mensen weer alert te maken door middel van een perio-dieke refresh/opfris sessie. Hierdoor blijft het onderwerp security actueel. In het Sebyde Digitale weerbaarheid programma is daarom ook een mogelijkheid inge-bouwd om refresh (opfris) sessies te organiseren. Hierdoor blijft het onderwerp security op de agenda van uw organisatie staan en blijven de medewerkers up-to-date. Wij raden aan deze opfris sessies 1 keer per kwartaal te houden zodat het weerbaar-heidsniveau van uw organisatie op pijl blijft.

Sebyde Academy ─ info@sebyde.nl ─ www.sebyde.nl Tel: 085 - 273 33 76

12

Contact gegevens Sebyde en Sebyde Academy

Sebyde BV Telefoon: 085 273 33 76 Email: info@sebyde.nl Website Sebyde BV: www.sebyde.nl Website Sebyde Academy: www.sebydeacademy.nl LinkedIn: www.linkedin.com/company/sebyde-bv Twitter: www.twitter.com/SebydeBV Facebook: www.facebook.com/sebydeBV