Informatieveiligheid
WEEK C1
Digitale gegevens = data
Cybersecurity: het geheel van maatregelen om schade door verstoring, uitval of misbruik
van ICT te voorkomen en, indien er toch schade is ontstaan, het herstellen hiervan.
Cybercriminaliteit: alle strafbare gedragingen waarbij ICT-systemen van wezenlijk belang
zijn in de uitvoering van een delict.
Informatieveiligheid: de bescherming van zowel digitale als analoge gegevens, tegen zowel
menselijke als niet-menselijke dreigingen, met of zonder kwade intentie.
Persoonsgegevens: gegevens die een specifiek persoon kunnen identificeren, of indirect
naar een persoon kunnen leiden.
Privacy: het onbespied door de overheid en anderen kunnen ontwikkelen van je leven en je
identiteit. Privacy is vastgelegd in de Grondwet en beschermt de onaantastbaarheid van het
lichaam, het ongeoorloofd binnentreden van een woning en het briefgeheim.
Bijzondere persoonsgegevens: extra gevoelige persoonsgegevens, omdat op basis van
deze gegevens mensen gestigmatiseerd of gediscrimineerd kunnen worden: ras of etnische
afkomst, politieke overtuiging, godsdienst of levensbeschouwelijke overtuiging, lidmaatschap
van een vakbond, genetische of gezondheidsstatus, biometrische gegevens waarmee
mensen geïdentificeerd kunnen worden, seksueel gedrag of seksuele gerichtheid.
Drie te beschermen aspecten van gegevens:
1. de beschikbaarheid van gegevens, oftewel dat de gegevens er zijn op het moment
dat ze nodig zijn;
2. de integriteit van gegevens, oftewel dat de gegevens juist en compleet zijn;
3. de vertrouwelijkheid van gegevens, oftewel dat de gegevens alleen beschikbaar zijn.
Betrouwbaarheid van de informatievoorziening: het treffen en onderhouden van een
samenhangend pakket aan maatregelen om de betrouwbaarheid (beschikbaarheid, integriteit
en vertrouwelijkheid) van de informatievoorziening te waarborgen.
Incidentcyclus: het startpunt is een bedreiging, oftewel een
potentiële ongewenste gebeurtenis, die een proces of systeem zou
kunnen verstoren en zo tot schade kan leiden. Als een bedreiging
zich daadwerkelijk manifesteert op een hiervoor kwetsbaar proces
of systeem, dan ontstaat er een verstoring. Deze verstoring leidt tot
schade (alle ongewenste effecten, zoals herstelkosten, misgelopen
opdrachten, imagoschade, tijdsverlies, ontwrichting, enzovoort). De
volgende stap is het herstel van het getroffen proces of systeem.
Daarna is het proces of systeem weer functioneel, maar ook weer
vatbaar voor een volgende bedreiging repeterende cyclus.
Sextortion: het chanteren van iemand met pikante beelden.
Deepfake: een techniek voor het manipuleren van beelden met behulp van kunstmatige
intelligentie, waardoor deze bijna niet te onderscheiden zijn van authentieke beelden.
Bedreigingen:
, 1. Het falen van mensen en organisaties. Bijvoorbeeld door een typefout, vergeten
informatie door te geven, vergissingen, enzovoort. Kan worden veroorzaakt door
werkdruk, nieuwe medewerkers, niet actuele werkvoorschriften = organisatorische
fouten. Mensen kunnen ook crimineel handelen (stelen, afpersen, saboteren, hacken
en spam versturen).
2. Het falen van informatietechnologie (toepassingssoftware en digitale gegevens,
besturingssystemen, computers, netwerken).
Maatregelen:
1. Organisatorische maatregelen:
a. verbeteren van de bewustwording ten aanzien van het belang van gegevens
in de organisatie en wat nodig is aan informatiebeveiliging;
b. gedragsregels waarin voor alle medewerkers expliciet wordt beschreven wat
wel en niet mag en moet in de organisatie.
c. toegangsreguliering, hiermee wordt bepaald wie wanneer bij welke informatie
mag en met welke procedures en middelen wordt afgedwongen dat
medewerkers alleen bij de informatie kunnen komen waar ze bij mogen.
d. functiescheiding voor alle situaties waar ‘de kat op het spek gebonden wordt’.
In dergelijke gevallen moeten mensen door middel van functiescheiding
worden belemmerd in het uitvoeren van ongewenste activiteiten.
e. incidentenregistratie voor het centraal en adequaat te registreren van
incidenten op het gebied van informatiebeveiliging. Hiermee krijgt de
organisatie de beschikking over informatie waarmee ze in de toekomst
informatiebeveiliging kan verbeteren.
2. Technische maatregelen:
a. toegangsreguliering: door iets wat iemand weet (naam en wachtwoord), iets
wat iemand bezit (sleutel) of iets wat van iemand is (vingerafdruk).
b. fysieke beveiliging
c. communicatiebeveiliging
d. back-up en uitwijk: ondanks alle maatregelen is het mogelijk dat gegevens
verloren gaan of worden aangetast. Daarvoor worden reservekopieën
gemaakt.
3. Maatregelen ter bescherming van privacy
Met een risicoanalyse bepaal je tegen welke bedreigingen maatregelen nodig zijn en welke
maatregelen dat zijn.
Kwantitatieve risicoanalyse: berekenen hoe groot de risico’s
zijn (risico = kans x schade)
Kwalitatieve risicoanalyse: maakt gebruik van schattingen
voor de kansen en de mogelijke schade. Zie de afbeelding
hiernaast.