Naam:
Studentennummer:
Datum: 11-12-2021
Opleidingsinstituut: NCOI
Opleiding: HBO Bachelor Informatica (4-jarige opleiding)
Module: IT-Security
Docent:
0
, Exameninformatie
Deze module wordt afgesloten met een moduleopdracht. Je maakt de moduleopdracht individueel en
zelfstandig.
Stap 1: Wat lever je in?
In deze moduleopdracht formuleer je een verbetervoorstel aan je organisatie met betrekking tot IT
Security. Op basis van dit verbetervoorstel kan je organisatie een verbeterd niveau van beveiliging in
het IT domein realiseren. Het verbetervoorstel kan zijn gebaseerd op actuele problematiek, maar kan
ook zijn gebaseerd op een toekomstverkenning, waarbij je waarneemt dat aanpassingen in de IT
Security omgeving noodzakelijk zijn om nieuwe bedreigingen te kunnen managen: toekomstbestendig
te zijn. Veel ontwikkelingen in de digitale omgeving brengen nieuwe uitdagingen op het gebied van IT
Security. Denk aan AI, IoT, Blockchain, 3D Printing en Privacy Wetgeving (AVG). Deze ontwikkelingen
kunnen nu al reden zijn om vooruit te denken. Jouw verbetervoorstel richt je aan de persoon die
binnen je organisatie verantwoordelijk is voor IT Security, in een kleinere organisatie kan dat de
directie zijn.
Deze moduleopdracht kun je maken op basis van je eigen organisatie of aan de hand van een
organisatie in je (directe) omgeving.
Stap 2: Waar moet de opdracht aan voldoen?
In je moduleopdracht werk je de volgende stappen/deelopdrachten uit die zijn afgeleid van de
algemene leerdoelen, in de volgorde waarin ze worden genoemd:
1. Formuleer een centrale probleemstelling, gebaseerd op een actueel probleem of een toekomstige
ontwikkeling.
2. Maak de probleemstelling specifiek door het geven van een antwoord op de vragen:
Waarom is het een probleem?
Wie worden mogelijk geraakt door het probleem?
Wat zijn mogelijke effecten van het probleem?
3. Formuleer 2 deelvragen, waarbij je bij iedere deelvraag een keuze maakt uit één van onderstaande
onderwerpen:
Deelvraag 1: IT Security beleid of IT Compliance.
Deelvraag 2: Cybercriminaliteit of IT beveiligingsprincipes.
4. Voer je onderzoek uit voor ieder van de deelvragen. Bij één van je deelvragen benoem je als
subvraag de relatie met de Algemene Verordening Gegevensbescherming. Als model voor je
onderzoek gebruik je de stappen uit het risicomanagement proces.
5. Formuleer je conclusies op basis van de uitkomsten van het onderzoek.
6. Formuleer tenslotte voor iedere deelvraag een aanbeveling aan je organisatie en geef daarbij aan
wat de impact van deze aanbeveling zal zijn op je centrale probleemstelling.
Leg in je uitwerking een duidelijk verband tussen de theorie uit de module en de praktijk en zorg voor
een goede onderbouwing van door jou gemaakte keuzes. Je mag ervoor kiezen om de
moduleopdracht in de ''ik-vorm'' te schrijven.
Ook als je de opdracht uitvoert op basis van een organisatie in je (directe) omgeving, behandel je al
deze stappen/deelopdrachten in je moduleopdracht. Laat alle onderdelen van de opdracht aan bod
komen.
1
, Stap 3: Wat is de opbouw en structuur van de opdracht?
De moduleopdracht bevat minimaal de volgende onderdelen:
Voorblad met de volgende informatie:
Voorletters en naam
Studentnummer
Datum
NCOI
Naam van de opleiding die je volgt
Naam van de module
Voorwoord
Je stelt je voor, geeft aan voor wie je de moduleopdracht schrijft en geeft de aanleiding weer voor
het schrijven van de moduleopdracht.
Samenvatting
Je maakt een samenvatting van maximaal 1 pagina van de inhoud van je moduleopdracht. Deze
samenvatting moet compleet en begrijpelijk zijn voor iemand die de moduleopdracht niet
heeft gelezen.
Inhoudsopgave
Inleiding
Je beschrijft de organisatie waarvoor je moduleopdracht hebt gemaakt evenals het belang en de
opzet van je moduleopdracht.
Uitwerking van de opdracht zoals beschreven in stap 2 hierboven.
Literatuurlijst
Bijlagen (eventueel)
De moduleopdracht bestaat uit minimaal 5 en maximaal 7 pagina’s opgemaakte hoofdtekst (inclusief
inleiding) en maximaal 7 pagina’s (A4-formaat) bijlagen, bij regelafstand 1 en lettertype en -grootte
Arial 10/11. Het voorblad, het voorwoord, de samenvatting, de inhoudsopgave, tabellen, witregels en
plaatjes (mits relevant) en de literatuurlijst tellen niet mee in het maximumaantal pagina’s.
Indien je het aantal pagina’s overschrijdt, kan dit negatieve consequenties hebben voor jouw
beoordeling. Dit is ter beoordeling aan de examinator.
2
,Voorwoord
Mijn naam is xxxxxxxx. In het dagelijks leven ben ik werkzaam bij de organisatie Xxxxxxxxxx. In deze functie
bestaan mijn hoofdtaken uit alle beveiligingsvraagstukken die betrekking hebben op geïntegreerde
beveiligingssystemen.
Voor mijn hbo-opleiding Bachelor Informatica aan het opleidingsinstituut NCOI heb ik ter afsluiting van de
module ‘IT-security’ het onderliggende verbetervoorstel geformuleerd. Het verbetervoorstel is gericht aan de
directie van de organisatie Xxxxxxxxxx.
Deze module heb ik ervaren als een uitstekende voortzetting van en aanvulling op mijn huidige functie. Het
is een kort, maar tegelijkertijd leerzaam en inspirerend, pad geweest dat ik bewandeld heb.
Hierbij een woord van dank aan alle personen die een bijdrage hebben geleverd aan deze module. Ik wil
graag beginnen om xxxxxxxxx hartelijk te bedanken, voor zijn waardevolle feedback en kritische blik. Ook wil
ik mijn begeleider van Xxxxxxxxxx, xxxxxxxxxx, hartelijk bedanken voor zijn feedback. Daarnaast is een
woord van dank aan de docent, xxxxxxxx, op zijn plek en aan mijn collega’s voor alle geboden hulp en
ondersteuning. Zonder hun steun had ik dit voorstel niet kunnen schrijven. Ook dank ik mijn medestudenten
voor hun inzet tijdens de lessen.
Tot slot dank ik de mensen die dichtbij mij staan: mijn kinderen, ouders, broers en vriendin. Zij hebben mij op
verschillende manieren geholpen.
Ik wenst u veel plezier bij het lezen.
xxxxxxxx, 11 december 2021
xxxxxxxxxx
3
,Samenvatting
Dit onderzoek heeft betrekking op de vraag op welke manier Xxxxxxxxxx, een snelgroeiende organisatie met
ongeveer 400 werknemers die in toenemende mate gebruik maken van diensten, applicaties en
communicatiemiddelen via internet, adequate oplossingen kan bieden voor haar identificatie-, authenticatie-
en autorisatieprocessen waarmee risicovolle situaties voorkomen kunnen worden. Dit zal echter eenvoudiger
gezegd dan gedaan zijn, aangezien uit interne audits van de organisatie is gebleken dat de gedragingen van
bepaalde medewerkers tot risicovolle situaties kunnen leiden. Volgens deze audits heeft 65% van de
medewerkers de afgelopen jaren te maken gehad met verlies en diefstal van inloggegevens (phishing). Om
deze reden is deze moduleopdracht gericht op het vaststellen en opleveren van een concreet
verbetervoorstel met betrekking tot de hiervoor genoemde processen.
De onderzoeksvraag die in dit onderzoek centraal staat, luidt als volgt:
“Op welke manier kan Xxxxxxxxxx haar identificatie-, authenticatie- en autorisatieprocessen uiterlijk
maandag 4 april 2022 met minstens 50% verbeteren?”
Teneinde de onderzoeksvraag zo goed mogelijk te kunnen beantwoorden, is dit onderzoek opgedeeld in
twee deelvragen en één subvraag. De eerste stap die is genomen, is het in kaart brengen van de huidige
situatie. Dit is gebeurd met behulp van de vier stappen vanuit het risicomanagement proces, te weten:
‘identificeren’, ‘evalueren’, ‘beheersen’, en ‘monitoren’. Zo is bij het beantwoorden van deelvraag één
gebleken dat Xxxxxxxxxx een uniform wachtwoordbeleid heeft en dat als norm wordt gesteld dat een
wachtwoord, dat voldoet aan dit beleid, niet eenvoudig te kraken of te raden is. In bijlage 1 is een
schematische invulling weergegeven van de activiteiten die binnen Xxxxxxxxxx uitgevoerd worden om de
identiteit van een gebruiker met succes vast te stellen en de toegang tot de informatie te verlenen. Bij het
beantwoorden van de subvraag rondom de wet- en regelgeving op het gebied van persoonsgegevens en
gevoelige data is gebleken dat de Nederlandse uitvoeringswet Algemene Verordening
Gegevensbescherming (AVG) op Xxxxxxxxxx van toepassing is. Verder is gebleken dat Xxxxxxxxxx een
vijftal basisbeginselen van deze wet hanteert. Bij het beantwoorden van de tweede deelvraag heeft de
auteur
ervoor gekozen om beide risicoanalyses met elkaar te combineren teneinde op die manier zo goed mogelijk
dit onderzoek te kunnen verrichten. In de derde bijlage wordt het resultaat van de risicoanalyse zowel nader
beschreven als in een tabel weergegeven en in paragraaf 3.3.2 worden de resultaten van de ‘risk level
matrix’ weergegeven, waarbij geconcludeerd kan worden dat Xxxxxxxxxx een impact mijdende strategie
nastreeft, waarbij de focus sterk ligt op het vermijden van risico’s met een groot impact, terwijl kleinere
problemen niet voorkomen worden, maar pas worden opgelost wanneer deze zich voordoen.
Verder kan nog opgemerkt worden dat Xxxxxxxxxx in hoog tempo digitaliseert, maar dat de identificatie-,
authenticatie- en autorisatieprocessen onderbelicht worden en dat de volledige focus op het verifiëren van
de identiteit van een gebruiker ook achterblijft. Er worden hiervoor drie factoren genoemd, te weten ‘lakse
houding van bepaalde medewerkers’, ‘authenticatie’ en ‘HR-systemen’. Ook kan gesteld worden dat het voor
Xxxxxxxxxx een uitdaging kan zijn, uitgaande van het huidige wachtwoordenbeleid, om aan te tonen dat
men de juiste technische maatregelen neemt om de vertrouwelijke gegevens te beveiligen waarmee de
gegevensverwerkingen aan de steeds strengere wet- en regelgeving voldoen.
Verder stelt de auteur dat een concrete aanpak nodig is om authenticatiemanagement als onderdeel van
een Identity & Access Management (IAM) in te richten. Volgens de auteur zou dit kunnen door gebruik te
maken van het COSO-model. Hierbij zou de IAM gezien kunnen worden als een overkoepelende term van
technologieën, processen en beleid dat het beheer van digitale identiteiten en toegangsrechten faciliteert en
het COSO-model zou als raamwerk voor risicobeheersing kunnen fungeren. De auteur stelt dat wanneer
deze aanpak geïmplementeerd zou worden, Xxxxxxxxxx haar identificatie-, authenticatie- en
autorisatieprocessen uiterlijk maandag 4 april 2022 met minstens 50% zou kunnen hebben verbeterd.
Tevens geeft dit onderzoek een advies rondom zowel de risk appetite als ieder risico dat is vastgesteld in de
risicoanalyse en benoemt de maatregelen die Xxxxxxxxxx dient te nemen om deze risico’s te verkleinen of
beter gezegd te voorkomen.
Tot slot wordt in bijlage vier een globaal overzicht van de kosten weergegeven, zodat de directie zich een
beeld kan vormen van de kosten voor het uitvoeren van de voorgestelde adviezen.
4
, Inhoudsopgave
Blz.
Voorwoord 1
Samenvatting 2
Inhoudsopgave 3
1. Inleiding 4
1.1 Organisatie 4
1.2 Leeswijzen 4
2. Probleemstelling 5
2.1 Probleemdefinitie en analyse 5
2.2 Doelstelling 5
2.3 Actoren 5
2.4 Centrale onderzoeksvraag 5
2.5 Deelvragen 6
2.6 Onderzoeksopzet 6
3. Onderzoek uitvoeren 6
3.1 Onderzoek huidige situatie 6
3.2 Onderzoek deelvraag 1 - subvraag 6/7
3.3 Onderzoek deelvraag 2 7
3.3.1 Vormen van risicoanalyse 7/8
3.3.2 Resultaat Risk Level Matrix 8
4. Conclusie huidige situatie 8/9
5. Advies 9/10
Literatuuroverzicht 11
Bijlages
Bijlage 1 Schematisch overzicht van een identificatie-,
authenticatie- en autorisatieprocessen 12
Bijlage 2 Nederlandse Uitvoeringswet Algemene verordening
gegevensbescherming 12
Bijlage 3 Resultaat risicoanalyse 13/14
Bijlage 4 Modulen & prijzen 14/15/16
5