Samenvatting informatieveiligheid + 2 filmpjes canvas
Leerdoelen:
1. Je kunt illustreren hoe digitalisering positieve en/of negatieve effecten heeft op de
maatschappij in het algemeen en het veiligheidsdomein in het bijzonder.
2. Je kunt voorbeelden geven van gevolgen (gewenst en ongewenst) van het gebruik van
big data in het veiligheidsdomein op groepen in de maatschappij.
3. Je kunt het belang van privacy uitleggen, mogelijke knelpunten in praktijksituaties
herkennen, en de definities toepassen in niet-complexe situaties.
4. Je kunt belangrijke begrippen uit de Algemene Verordening Gegevensbescherming
definiëren of beschrijven en kunt de beginselen van deze wetgeving in eigen woorden
weergeven.
5. Je kunt op gestructureerde wijze volgens IS0 27001 de risico’s in een organisatie op het
gebied van informatieveiligheid analyseren.
6. Je legt het model van de BIV-driehoek uit en kunt concrete informatieveiligheidsrisico’s
in de praktijk aan de hand van dit model onderzoeken en classificeren.
7. Je kent de meest recente uitgave van het Cyber Security Beeld Nederland en kunt
voorbeelden geven van de daarin besproken kernproblematieken, dreigingen, belangen
en weerbaarheid. Je kent het jargon uit de begrippenlijst van deze publicatie en kan dat
toepassen in je beantwoording van contextuele vragen.
8. Je kunt de oorsprong of aanleiding van verschillende typen informatieveiligheidsrisico’s
(bijvoorbeeld technisch-organisatorisch-menselijk) herkennen en classificeren in een
gegeven situatie en kunt voorbeelden geven sociaal-psychologische factoren die van
invloed zijn op informatieveiligheid (human factor).
9. Je kunt de belangrijkste begrippen en concepten van het thema cybercrime uitleggen en
toepassen op praktijkvraagstukken.
10. Je kent de laatste ontwikkelingen en knelpunten bij de bestrijding van cybercrime en
welke actoren daarbij betrokken zijn.
Week 1 Introductie informatieveiligheid
Informatieveiligheid
Het treffen en onderhouden van een samenhangend pakket aan maatregelen om de
betrouwbaarheid (beschikbaarheid, integriteit en vertrouwelijkheid) van de
informatievoorziening te waarborgen
Het beschermen van informatie en de gegevens waarop deze gebaseerd zijn
Digitale gegevens en schriftelijke gegevens
Cybersecurity richt zich alleen op het digitale domein
Informatieveiligheid biedt bescherming tegen opzettelijke bedreigen, maar ook tegen
gegevensverlies zonder kwade bedoelingen
Persoonsgegevens
Gegevens die een specifiek persoon kunnen identificeren, of indirect naar een persoon
kunnen leiden
Alle gegevens die direct terug te voeren zijn op een specifiek persoon, zoals iemands naam,
telefoonnummer, adres of een foto
Bij het beschermen van deze gegevens spreken we naast informatieveiligheid over
privacybescherming
, Privacy is het onbespied door de overheid en anderen, kunnen ontwikkelen van je leven en
identiteit
Informationele privacy > iedereen moet de controle hebben over zijn eigen
persoonsgegevens en deze kunnen beschermen
Bijzondere persoonsgegevens
Bijzondere persoonsgegevens zijn extra gevoelig, omdat op basis van deze gegevens mensen
gestigmatiseerd of gediscrimineerd kunnen worden
Ras of etnische afkomst
Politieke overtuiging
Godsdienst of levensbeschouwelijke overtuiging
Lidmaatschap van een vakbond
Genetische of gezondheidsstatus
Biometrische gegevens waarmee mensen geïdentificeerd kunnen worden
Seksueel gedrag of seksuele gerichtheid
Belang informatieveiligheid
1 Achtergrond en kenmerken
Gegevens zijn observaties van de werkelijkheid die worden geregistreerd
Gegevens zijn op zichzelf betekenisloos, dit verandert als gegevens in een bepaalde context
voor iemand worden geanalyseerd en gestructureerd > ontstaan van informatie
Persoonsgegevens zijn extra kwetsbaar voor fraude of ander misbruik
2 Te beschermen aspecten van gegevens
De beschikbaarheid van gegevens, oftewel dat de gegevens er zijn op het moment dat ze
nodig zijn
De integriteit van gegevens, oftewel dat de gegevens juist en compleet zijn
De vertrouwelijkheid van gegevens, oftewel dat de gegevens alleen beschikbaar zijn voor
degenen die daartoe geautoriseerd zijn
3 Incidentcyclus
Informatieveiligheid maakt gebruik van de incidentcyclus
Het startpunt hiervan is een bedreiging, oftewel een potentiële ongewenst gebeurtenis, die
een proces of systeem zou kunnen verstoren en zo tot schade kan leiden
Als een bedreiging zich daadwerkelijk manifesteert op een hiervoor kwetsbaar proces of
systeem, dan ontstaat er een verstoring
De verstoring leidt daarna tot schade > alle ongewenste effecten
De laatste stap is het herstel van het getroffen proces of systeem > opnieuw vatbaar voor
een volgende dreiging
4 Focus van informatieveiligheid
, Informatieveiligheid speelt op verschillende niveaus in onze samenleving
Voor het individu > wanneer je niet kunt beschikken over jouw informatie, wanneer de
informatie onjuist is, of wanneer deze niet langer vertrouwelijk is
Publiek/private organisaties > kwijtraken van informatie, cybercriminaliteit
Samenleving > internet en informatietechnologie en alle informatie die er overheen gaat zijn
essentiële onderdelen van onze vitale infrastructuur
Bedreigingen
1 Falen van mensen en organisaties
Mensen in organisaties maken fouten, vaak onopzettelijk
Organisatorische fouten kunnen onvoldoende ingewerkte medewerkers zijn, een te hoge
werkdruk etc.
Criminelen richten zich steeds vaker op digitale gegevens > maken gebruik van klassieke
technieken, social engineering, en van moderne digitale technieken zoals hacking en
malware
2 Falen van informatietechnologie
Voor het verwerken van digitale gegevens wordt in een organisatie informatietechnologie
ingezet
Toepassingssoftware (applicaties en apps) en digitale gegevens
Besturingssystemen (Microsoft windows)
Computers (servers, laptops, randapparatuur)
Netwerken
In elk van deze lagen kan de technologie ontregeld raken, doordat de technologie zelf faalt of
door bedreigingen van buitenaf
Maatregelen
1 Organisatorische maatregelen
Beleid formuleren, waarin de behoefte aan informatiebeveiliging staat beschreven en de
wijze waarop dat ingevuld gaat worden
Benodigde taken en verantwoordelijkheden toewijzen en de middelen, zoals capaciteit, tijd
en budget die daarvoor nodig zijn
Informatiebeveiliging is niet alleen het organiseren ervan, maar ook het treffen van de
benodigde beveiligingsmaatregelen:
Verbeteren van bewustwording ten aanzien van het belang van gegevens in de organisatie en
wat nodig is aan informatiebeveiliging
Gedragsregels waarin voor alle medewerkers expliciet wordt beschreven wat wel en niet
mag en moet in de organisatie. Dit voorkomt onduidelijkheden en misvattingen die tot
incidenten kunnen leiden
Toegangsregulering, hiermee wordt bepaald wie wanneer bij welke informatie mag en met
welke procedures en middelen wordt afgedwongen dat medewerkers alleen bij de
informatie kunnen komen waar ze bij mogen
Functiescheiding voor alle situaties waar ‘de kat op het spek gebonden wordt’. In dergelijke
gevallen moeten mensen door middel van functiescheiding worden belemmerd in het
uitvoeren van ongewenste activiteiten
, Incidentenregistratie voor het centraal en adequaat te registeren van incidenten. Hiermee
krijgt de organisatie de beschikking over informatie waarmee ze in de toekomst de
informatiebeveiliging kan verbeteren
Informatiebeveiligingsfuncties:
Lijnmanagement > directie organiseert informatiebeveiliging, stuurt die aan en stelt
middelen beschikbaar
Informatiebeveiligingsfunctionaris > bereidt beleid op het gebied van informatiebeveiliging
voor, voert risicoanalyses uit, ondersteunt het lijnmanagement en coördineert
informatiebeveiligingsactiviteiten en houdt hier toezicht op
Functionaris gegevensbescherming > ziet toe op de goede uitvoering van de AVG in de
organisatie, het meldingsproces van datalekken en degene die melding doen van datalekken
bij de Autoriteit Persoonsgegevens
Informatiebeveiligingsspecialisten > ontwerpen, implementeren en onderhouden
informatiebeveiligingsmaatregelen en -producten
Auditors > toetsen de uitvoering van informatiebeveiliging
Medewerkers > zijn betrokken bij het uitvoeren van de informatiebeveiligingsmaatregelen en
-procedures
2 Technische maatregelen
Cryptografie (versleuteling)
Anti-malware (antivirus)
Firewall
Netwerkbeveiliging
Back-up voor belangrijke bestanden
Afgesloten ruimten voor de servers
Poortjes met paslezer bij de ingang
Brandblussers
Verhoogde vloeren tegen waterschade
Bliksembeveiliging
3 Maatregelen ter bescherming van privacy
Verschillende maatregelen zijn wettelijk verplicht in de privacywet, de Algemene
Verordening Gegevensbescherming
AVG beschrijft heel precies in welke situaties je persoonsgegevens mag verwerken
Daarnaast omschrijven ze ‘fair information principles’, er moet een duidelijk en specifiek doel
zijn voor de verwerking van persoonsgegevens, er mogen niet meer persoonsgegevens
worden verzameld dan noodzakelijk is en ze dienen als ze niet langer meer nodig zijn ook
weer verwijderd te worden
Er is sprake van een datalak als er een inbreuk heeft plaatsgevonden op de bescherming van
persoonsgegevens > binnen 72 uur melden bij de Autoriteit Persoonsgegevens
4 Het selecteren van maatregelen
Welke set maatregelen noodzakelijk is wordt bepaald door te kijken naar de ernst van de
mogelijke bedreigingen, dit is situatieafhankelijk en wordt gedaan met behulp van een
risicoanalyse
