Samenvatting Inleiding Risicomanagement.
Minor ‘Privacy en Informatieveiligheid van Big Data to the Human factor’
Boek: Informatiebeveiliging onder controle.
Hoofdstuk 1: Inleiding
Informatiebeveiliging is een verzamelnaam voor de processen die ingericht zijn om de
betrouwbaarheid van de informatiesystemen en de daarin opgeslagen gegevens te beschermen
tegen al dan niet opzettelijk onheil.
Informatiebeveiliging staat in de organisatie niet op zichzelf. Voor een optimaal effect dienst zij
geïntegreerd te zijn in de andere bedrijfsprocessen. Bovendien kan informatiebeveiliging niet los
worden gezien van technologische, organisatorische, maatschappelijke en economische
ontwikkelingen.
Technologie
Door een steeds krachtigere en mobielere informatietechnologie, de explosieve groei van het aantal
aan elkaar gekoppelde systemen en het steeds intensievere gebruik ervan verandert niet alleen het
object van beveiliging, maar ook het bedreigingenbeeld. Nieuwe technologieën brengen nieuwe
bedreigingen met zich mee, maar maken ook nieuwe beveiligingsmaatregelen mogelijk.
Organisatie
Organisatorische veranderingen zijn zeer actueel. Het toenemend belang van interne beheersing,
maar ook fusies, overnames, een toenemende verantwoordelijkheid van de individuele medewerker
en de uitbesteding van informatiediensten zijn ontwikkelingen die hun effect op
informatiebeveiliging niet missen.
Maatschappij
Ook maatschappelijke ontwikkelingen hebben een invloed op informatiebeveiliging. Denk aan
nationale en internationale wet- en regelgeving., de trend tot marktwerking en deregulering, de
maatschappelijke betekenis van privacy, de toenemende individualisering van de burger, de strijd
tegen het internationale terrorisme en contacten tussen verschillende culturen.
Economie
Ten slotte zijn er economische ontwikkelingen die het vakgebied informatiebeveiliging aanzienlijk
beïnvloeden. Voorbeelden zijn de toenemende globalisering van ondernemingen en markten, maar
ook de verdere groei van digitale handel tussen bedrijven en burgers en tussen bedrijven onderling.
,Hoofdstuk 2: begrippenkader
De waarde die de gegevens voor een organisatie hebben, hangt af van een aantal factoren:
- Het procesbelang: de mate waarin bedrijfsprocessen, die gebruikmaken van de betreffende
gegevens, van belang zijn voor de organisatie.
- De onmisbaarheid voor de bedrijfsprocessen: het belang van de betreffende gegevens voor
bedrijfsprocessen die er gebruik van maken.
- De herstelbaarheid: de mate waarin ontbrekende, incomplete of onjuiste gegevens
gereproduceerd of hersteld kunnen worden.
- Het belang voor derden: de mate waarin derden belang hechten aan betreffende gegevens.
Gegevens kunnen gezien worden als de objectief waarneembare weerslag van feiten in een dragen.
Informatie daarentegen is de betekenis die de mens aan de hand van bepaalde gevoelens of
afspraken aan gegevens toekent, of de kennistoename als gevolg van het ontvangen en verwerken
van bepaalde gegevens.
Andere beschrijving van bovengenoemde is het volgende:
Data = rauwe gegevens over de werkelijkheid.
Informatie= als de date context krijgt, dus als er een analyse plaatsvindt. Het krijgt een betekenis.
De relatie tussen gegevens en informatie vergelijkbaar met de relatie tussen een grondstof en een
eindproduct. Gegevens kunnen verwerkt worden tot informatie. Uit gegevens kan verschillende
informatie ontstaan (afhankelijk van de persoon). Waarbij de waarde van de gegevens ook in de tijd
kan variëren.
Big data: een grote verzameling gegevens waarvan het vooraf niet duidelijk is welke informatie de
gebruiker hieraan kan ontlenen.
Gegevens Gegevens-
Informatie
verwerking
Informatiesysteem (IS): een samenhangende gegevensverwerkende functionaliteit die gegevens
verzamelt(invoer), manipuleert(verwerking), opslaat en verspreidt(uitvoer), en zo nodig een
corrigerende reactie bevat(terugmelding). Een informatiesysteem kan worden ingezet om één of
meer bedrijfsprocessen te kennen, te ondersteunen of te besturen.
Terugmelding
Invoer Verwerking Uitvoer
Opslag
Informatietechnologie (IT): is de technologie, apparatuur en programmatuur, die nodig is voor het
beschikbaar stellen van een of meer geautomatiseerde informatiesystemen. Ook wel Informatie- en
communicatietechnologie (ICT) genoemd.
Applicatie: is de programmatuur waarin specifieke functionaliteit van een informatiesysteem
geprogrammeerd is.
,Gegevensinfrastructuur: het geheel van een of meer gegevensverzamelingen inclusief de daarop van
toepassing zijnde procedures en documentatie, dat beschikbaar is voor een of meer
informatiesystemen.
IT-infrastructuur: het geheel van automatiseringsmiddelen voor het opslaan, bewerken,
transporteren en representeren van gegevens ten behoeve van gegevensinfrastructuren en
applicaties. De IT-infrastructuur bestaat uit de componenten apparatuur, basisprogrammatuur en
communicatievoorzieningen, inclusief de daarop van toepassing zijnde procedures en documentatie.
Informatievoorziening (IV): het geheel van IT-infrastructuur, gegevensinfrastructuur, applicaties en
organisatie, dat tot doel heeft om te voorzien in de informatiebehoefte van de processen van een
organisatie.
De basisinfrastructuur maakt geen deel uit van de informatievoorziening, maar schept wel
noodzakelijke voorwaarden voor het functioneren van de informatievoorziening.
De basisinfrastructuur omvat onder meer:
- Elektriciteitsvoorziening;
- Airconditioning;
- Gebouwen en ruimten;
- Kasten en meubilair.
Bedreiging, kwetsbaarheid en risico
Bedreiging: een proces of gebeurtenis met in potentie een verstorende invloed op de
betrouwbaarheid van een object. In het kader van informatiebeveiliging betreft het dan de
informatievoorziening. Bedreigingen kunnen worden onderverdeeld naar de aspecten van
betrouwbaarheid die ze negatief beïnvloeden:
Beschikbaarheid (B) is de mate waarin gegevens of functionaliteit op de juiste momenten
beschikbaar zijn voor gebruikers.
Integriteit (I) is de mate waarin gegevens of functionaliteit juist en volledig zijn.
Vertrouwelijkheid (V) is de mate waarin de toegang tot gegevens of functionaliteit beperkt is
tot degenen die daartoe bevoegd zijn.
, Aspect Kenmerk Bedreiging Voorbeelden van
bedreiging
Beschikbaarheid Tijdigheid Vertraging Overbelasting van
infrastructuur
Continuïteit Uitval Defect in
infrastructuur
Vindbaarheid Onvindbaar Onvindbaar bestand
Oncontroleerbaar
Integriteit Correctheid Wijziging Ongeautoriseerd
wijzigen van gegevens
Malware-infectie
Typefout
Volledigheid Verwijdering Ongeautoriseerd
Toevoeging wissen van gegevens
Ongeautoriseerd
toevoegen van
gegevens
Geldigheid Veroudering Gegevens niet up-to-
date houden
Authenticiteit Vervalsing Frauduleuze transactie
Onweerlegbaarheid Verloochening Ontkennen bepaald
(non-repudiation) bericht te hebben
verstuurd
Vertrouwelijkheid Exclusiviteit Onthulling Afluisteren van
Misbruik netwerk
Hacking
Privégebruik
Privacy Aantasting van Uitlekken van
persoonlijk integriteit persoonsgegevens
Een geheel andere indeling van bedreigingen is die naar de bron (veroorzaker) van de bedreiging. Op
grond van verschillende bronnen kunnen bedreigingen in de volgende groepen worden
onderverdeeld:
- Menselijke bedreigingen:
o Onopzettelijk foutief handelen door gebruikers, beheerder, gasten of extern
personeel.
o Misbruik en criminaliteit, zoals diefstal, inbraak, hacking, sabotage of fraude.
- Niet-menselijke bedreigingen:
o Invloeden van buitenaf, zoals een aardbeving, storm of bliksem.
o Storingen in de basisinfrastructuur, zoals uitval elektriciteit.
o Storingen in de apparatuur, programmatuur of gegevensbestanden.
Categorieën van aanvallers:
De amateur: deze persoon heeft algemene kennis van beveiliging en informatiesystemen. En
heeft slecht de beschikking over eenvoudige, vrij verkrijgbare middelen.
De professional: deze persoon heeft inside kennis van de aan te vallen systemen en/of de
beschikking over professionele middelen.
De activistische of terroristische organisatie: ook deze aanvalscategorie beschikt over zeer
ruime middelen. Bovendien werken de mensen in hun ogen voor ‘het goede doel’.