ZON Presentatie 8 oktober
-
Upload
derk-yntema -
Category
Business
-
view
204 -
download
1
description
Transcript of ZON Presentatie 8 oktober
© 2013 Sebyde BV
Bij ons valt niets te halen
Dan komen ze wel wat brengen
Cyber Crime
Beveiliging valt niet onder mijn verantwoordelijkheid - Beveiliging? ICT beheer regelt dat - Ik werk niet met computers, dus loop ik geen gevaar - Ik werk niet met vertrouwelijke informatie - Mijn bedrijf is geen doelwit - Ik ben geen doelwit - De risico’s zijn verwaarloosbaar klein - We hebben een pasjessysteem - Wij hebben goede veiligheidsprocedures ingesteld - Onze organisatie is goed beveiligd want we hebben een firewall - Onze organisatie is goed beveiligd want we zijn op cursus geweest - Wij hebben ICT ge-out-sourced
© 2013 Sebyde BV
© 2013 Sebyde BV
Welkom
© 2013 Sebyde BV
Agenda
Wat heb je te beschermen?
Dreigingen
Risico’s
Informatiebeveiliging
Maatregelen
© 2013 Sebyde BV
Wat heb je te beschermen?
Klantgegevens
Beursgevoelige jaarcijfers, de winstprognose
(Re)organisatieplannen
Personeelsbestand
Offertes en contracten
Reputatie!
Boekhouding
Telefoon- / e-mailadres lijsten
Smoelenboek
Adding security during coding costs 6.5 times more than architecting it during software design process.
© 2013 Sebyde BV
Dreigingen
Cybercrime wat is het?
Wie doet het?
Voorbeelden van cybercrime:
Digitale inbraak
Social Engineering
Malware; virusinfecties
Via mail: Spam, Phishing
Watering hole
Social media
© 2013 Sebyde BV
Digitale inbraak
© 2013 Sebyde BV
Focus shift
VanInfrastructuur
NaarApplicaties
© 2013 Sebyde BV
Hoeveel kwetsbaarheden in een applicatie?
Gemiddelde aantal kwetsbaarheden per industriesector
Whitehat security statistics report june 2012
© 2013 Sebyde BV
Social engineering Tactieken
Van persoon tot persoon
Wil aardig gevonden worden
Voor wat hoort wat
Netwerkborrel
Bellen namens support afdeling
Proberen angst aan te jagen
Eens een vriend altijd een vriend
Wil onderdeel worden van sociaal netwerk
Refereren naar een belangrijk persoon
© 2013 Sebyde BV
Social Engineering: Phishing
© 2013 Sebyde BV
Malware, virusinfecties
Basis van DDOS aanvallen
© 2013 Sebyde BV
Watering hole
© 2013 Sebyde BV
Watering hole
© 2013 Sebyde BV
Mens: Gebruik van Passwords
© 2013 Sebyde BV
Password feiten (Mark Burnett)
4.7% of users have the password password;
8.5% have the passwords password or 123456;
9.8% have the passwords password, 123456 or 12345678;
14% have a password from the top 10 passwords
40% have a password from the top 100 passwords
79% have a password from the top 500 passwords
91% have a password from the top 1000 passwords
While many people have improved the security and strength of their passwords, there are still a huge number of people who pick from a very small list of common passwords. In fact, 91% of all user passwords sampled all appear on the list of just the top 1,000 passwords.
source: http://xato.net/passwords/more-top-worst-passwords/
© 2013 Sebyde BV
Ook op mobiele telefoons:
204.000 passcodesTop 10 = 29.530 (14,4%)
© 2013 Sebyde BV
Social Media
Hyves
Skype
Blogger
… ?????
© 2013 Sebyde BV
Social Media
© 2013 Sebyde BV
© 2013 Sebyde BV
Social Media
© 2013 Sebyde BV
Video
Febelfin Waarzegger: http://www.youtube.com/watch?v=F7pYHN9iC9I
© 2013 Sebyde BV
Schade
Diefstal
I.P.
Systeemuitval
Herstelkosten
REPUTATIE
Boetes
© 2013 Sebyde BV
Schade Cybercrime: jaarlijks 10 miljard euro
© 2013 Sebyde BV
© 2013 Sebyde BV
Wie zijn het Doelwit
Financiële instellingen– Internet bankieren
– Financiële transacties
Productie industrie– Procesbeheersing netwerken
Ondernemingen– Intellectueel eigendom
– Fusies en overnames
Overheden– Staatsgeheimen
– Identiteitsfraude
Hosting providers
– Reputatie
– Systeemuitval
Applicatie bouwers– Aansprakelijkheid
– Hoge ontwikkelkosten
Gezondheidszorg– Privacy (WBP)
Wij allemaal
IBM’s X-Force Report 2013: 41% van alle security incidenten worden veroorzaakt door Web applicaties.
© 2013 Sebyde BV
Resultaat van voorgaande informatie:
Kranten staan vol
Informatie komt op straat terecht
Reputaties worden geschaad
Privacy wordt geschonden
Verlies aan klantvertrouwen
Informatiebeveiliging staat hoog op de agenda in de bestuurkamers
© 2013 Sebyde BV
Wat is informatiebeveiliging?
Vertrouwe-lijkheid
Integriteit
Security
Beschik-baarheid
CorrectiefRepressiefDetectiefPreventief
Continuiteit waarborgen
Schade beperken
© 2013 Sebyde BV
Informatie beveiliging
“Informatiebeveiliging is het geheel van preventieve, detectieve, repressieve en correctieve maatregelen alsmede procedures en processen die de beschikbaarheid, exclusiviteit en integriteit van alle vormen van informatie binnen een organisatie of een maatschappij garanderen, met als doel de continuïteit van de informatie en de informatievoorziening te waarborgen en de eventuele gevolgen van beveiligingsincidenten tot een acceptabel, vooraf bepaald niveau te beperken.”
Bron: http://nl.wikipedia.org/wiki/Informatiebeveiliging
© 2013 Sebyde BV
OK ... Laten we alles goed beveiligen
© 2013 Sebyde BV
Security is meer dan alleen maar sloten, kettingen en muren ...
Mensen
TechnologieOrganisatie/Processen
Security Awareness
Software,Systemen &Netwerken
Beleid &Management
© 2013 Sebyde BV
Security Awareness
Niet de juiste handelingen doen maar de handelingen juist doen
Houding
Gedrag
Onbewust Onveilig
Bewust Onveilig
Bewust Veilig
Onbewust Veilig
Training
Educatie
Instructie
Herhaling
Management
Medewerkers
Ontwikkelaars
© 2013 Sebyde BV
Organisatie / Processen
Wet- & Regel-geving– Privacy
Beleid, Standaarden & Richtlijnen
Risk management
Kwetsbaarheid analyse
Hiring & Firing
Incident management
Change management
Ontwikkelprocessen
© 2013 Sebyde BV
Technologie
Desktop
Netwerken
Systemen
BYOD
Applicaties
© 2013 Sebyde BV
Nieuwe Ontwikkeling: EU Privacy verordening
Zware aanscherping van huidige privacy wetgeving (WBP)– Algemene documentatieverplichting over verwerkingen
(art. 28)
– Informatieplicht (Art. 14)
– Rechten van betrokkenen • Toegang, rectificatie, wissen, overdraagbaarheid, bezwaar• Het recht om vergeten te worden
– Profilering• Ras, etnische afkomst, politieke opvatting, religie, gezondheid,
seksueel gedrag
– Meldplicht datalekken (aan CBP én alle betrokkenen)
– >250 werknemers: Dedicated FG aanstellen
– “Privacy by Design” en “Privacy by Default”
© 2013 Sebyde BV
EU Privacy verordening; de Consequenties
Hoge sancties: 2% van wereldwijde jaaromzet, tot 1.000.000 Euro!
Privacy beleid opstellen en jaarlijks laten controleren
PIA (Privacy Impact Assessment) afgetekend door RE-Auditor
Het al of niet naleven van de privacy-verordening is bepalend voor het vaststellen van “goed bestuur”.
Het CBP krijgt een tool in handen
© 2013 Sebyde BV
Wat kan je doen
Beleid
Risico analyse– Maak de balans op
– Assessment / nulmeting
Security awareness– Management
– Training
– Werkoverleg
Techniek testen– Applicaties
– Systemen
– Netwerken
© 2013 Sebyde BV
Praktische handvatten
1. Waar staat uw digitale informatie?
2. Welke waarde heeft de digitale informatie binnen uw bedrijf?
3. Welke dreigingen zijn er?
4. Wie heeft toegang tot de informatie?
5. Welke schade kan uw bedrijf oplopen door misbruik?
6. Hoe wilt u die schade voorkomen?
7. Heeft u securitybeleid?
8. Hoe bewust zijn U en uw medewerkers van ICT beveiliging?
9. Controleer uw ICT provider
10.Onderhoud uw applicaties, systemen en netwerk
© 2013 Sebyde BV
Overzicht Sebyde diensten
Mensen•Awareness•Algemeen•Developers
Processen•Security assessment
•Secure Development
SebydeSecure by
Design
Techniek•Scan Cycle•Software services
© 2013 Sebyde BV
Febelfin Malware: http://www.youtube.com/watch?v=QR5lsjjBDbA
Consumentenbond Malware: http://www.youtube.com/watch?v=zdJ4qNFrhRs
© 2013 Sebyde BV
Rob Koch ([email protected])Derk Yntema ([email protected])
Hartelijk dank
www.sebyde.nl/ZON