Samenvatting Cybersecurity
Hoofdstuk 1 - Inleiding
Informatiebeveiliging is een verzamelnaam voor de processen die ingericht worden om de betrouwbaarheid van
de informatiesystemen en de daarin opgeslagen gegevens te beschermen tegen al dan niet opzettelijke onheil.
Aangezien betrouwbaarheid een kwaliteitsaspect is, kan informatiebeveiliging dus beschouwd worden als een
onderdeel van kwaliteitszorg.
Hoofdstuk 2 – Begrippenkader
Informatiebeveiliging richt zich op het beschermen van informatiesystemen en de gegevens daarin.
Voorbeelden van relevante gegevens zijn:
Personeelsgegevens
Klantgegevens
Contractgegevens
De waarden van gegevens voor een organisatie hangt onder meer af van een aantal factoren:
Het procesbelang: de mate waarin bedrijfsprocessen, die gebruikmaken van de betreffende gegevens,
van belang zijn voor de organisatie.
De onmisbaarheid voor de bedrijfsprocessen: het belang van de betreffende gegevens voor de
bedrijfsprocessen die er gebruik van maken.
De herstelbaarheid: de mate waarin ontbrekende, incomplete of onjuiste gegevens gereproduceerd of
hersteld kunnen worden.
Het belang voor derden: de mate waarin derden (klanten, leveranciers of concurrenten) belang
hechten aan de desbetreffende gegevens.
De begrippen gegevens en informatie worden vaak door elkaar gehaald. Gegevens kunnen worden gezien als
de objectief waarneembare weerslag van feiten in een drager. Informatie is de betekenis die de mens aan de
hand van bepaalde afspraken aan gegevens toekent, of de kennistoename als gevolg van het ontvangen en
verwerken van bepaalde gegevens. Hierdoor is informatie subjectief.
Gegevens gegevens verwerken informatie
Een informatiesysteem (IS) is in de ruime zin van het woord een samenhangende gegevensverwerkende
functionaliteit die gegevens verzamelt (invoer), manipuleert (verwerking), opslaat en verspreidt (uitvoer), en zo
nodig een corrigerende reactie bevat (terugmelding).
Informatietechnologie (IT), ook wel informatie- en communicatietechnologie (ICT) genoemd, is de technologie
(apparatuur en programmatuur) die nodig is voor het beschikbaar stellen van een of meer geautomatiseerde
informatiesystemen.
Een applicatie is de programmatuur waarin de specifieke functionaliteit van een informatiesysteem
geprogrammeerd is. Een applicatie omvat de toepassingsprogrammatuur (applicatieprogrammatuur) en de
bijbehorende gegevensverzamelingen, inclusief de daarop van toepassing zijnde procedures en documentatie.
Een gegevensinfrastructuur is het geheel van een of meer gegevensverzameling, inclusief de daarop van
toepassing zijnde procedures en documentatie, dat beschikbaar is voor een of meer informatiesystemen.
Een IT-infrastructuur is het geheel van automatiseringsmiddelen voor het opslaan, bewerken, transporteren en
representeren van gegeven ten behoeve van gegevensinfrastructuren en applicaties. De IT-infrastructuur
bestaat uit de componenten apparatuur, basisprogrammatuur en communicatievoorzieningen, inclusief de
daarop van toepassing zijnde procedures en documentatie.
De informatievoorziening (IV) is het geheel van IT-infrastructuren, gegevensstructuur, applicaties en
organisatie, dat tot doel heeft om te voorzien in de informatiebehoefte van de processen van een organisatie.
De basisinfrastructuur maakt geen deel uit van de informatievoorziening, maar schept wel noodzakelijke
voorwaarden voor het functioneren van de informatievoorziening. Vanuit de informatievoorziening zullen dan
ook eisen gesteld worden aan de basisinfrastructuur. De basisinfrastructuur omvat onder meer:
Gas, water, elektra.
Gebouw en ruimten
Een bedreiging is een proces of een gebeurtenis die in potentie een verstorende invloed heeft op de
betrouwbaarheid van een object. Bedreigingen kunnen worden onderverdeeld naar de aspecten van
betrouwbaarheid die ze negatief beïnvloeden.
, Beschikbaarheid (B) is de mate waarin gegevens of functionaliteit op de juiste moment beschikbaar
zijn voor gebruikers.
Integriteit (I) is de mate waarin gegevens of functionaliteit juist en volledig ingevuld zijn.
Vertrouwelijkheid (V) is de mate waarin de toegang tot gegevens of functionaliteit beperkt is tot
degenen die daartoe bevoegd zijn.
Bedreigingen kunnen nog verder worden onderverdeeld op basis van de kenmerken die ieder aspect van
betrouwbaarheid heeft: privacy, controleerbaarheid, nauwkeurigheid en robuustheid.
Een geheel andere indeling van bedreigingen is die naar de bron van de bedreiging.
Menselijke bedreigingen
o Onopzettelijk foutief handelen door gebruikers, beheerders, gasten of extern personeel.
o Misbruik en criminaliteit, zoals diefstal inbraak, hacking sabotage of fraude.
Niet menselijke bedreigingen
o Invloed van buitenaf, zoals een aardbeving, storm, bliksem, brand of wateroverlast.
o Storingen in de basisinfrastructuur.
o Storingen in de apparatuur, programmatuur of gegevensbestanden.
Als we hierbij uitgaan van geïnteresseerden die de gegevens kwaadschiks willen bemachtigen, dan kunnen we
de volgende categorieën ‘aanvallers’ onderscheiden:
De amateur
De professional
De criminele organisatie
De activistische of terroristische organisatie
De staatsorganisatie
De kwetsbaarheid van een object ten aanzien van een bedreiging is de mate waarin het betreffende object
gevoelig is voor de betreffende bedreiging. Deze gevoeligheid ontstaat doordat een of meer karakteristieken
van het object het mogelijk maken dat de bedreiging een negatieve invloed kan uitoefenen op het object. Het
begrip kwetsbaarheid is altijd gerelateerd aan enerzijds een of meer objecten en anderzijds een of meer
bedreigingen.
Een risico is de gemiddelde schade over een gegeven tijdsperiode die verwacht wordt doordat een of meer
bedreigingen leiden tot een verstoring van een of meer objecten van informatievoorziening. Dit betekent dat er
sprake is van een risico als een of meer objecten van de informatievoorziening door een of meer bedreigingen
getroffen kunnen worden. De grootte van het risico is dan gelijk aan de te verwachten schade x de kans. De in
aanmerking te nemen schade kan al dan niet van financiële aard zijn en omvat:
De directe schade aan rechtstreeks getroffenen, zoals personen en apparatuur.
De indirecte schade, oftewel de gevolgschade, zoals het overstreden van wetten en imagoschade.
Een schadeverwachting op jaarbasis wordt aangeduid met JSV (jaarlijkse schadeverwachting. Alle risico’s,
uitgedrukt in JSV, met betrekking tot de objecten van de informatievoorziening kunnen bij elkaar opgeteld
worden tot de JSV voor de gehele informatievoorziening. Zo ontstaat een schadepost die de organisatie
gemiddeld per jaar kan verwachten voor de informatievoorziening als gevolg van manifestaties van
bedreigingen.
Door het treffen van beveiligingsmaatregelen is het mogelijk om de gelopen risico’s te verkleinen. Dit kan
enerzijds gerealiseerd worden doordat de maatregelen de kans verlagen dat de betreffende bedreigingen zich
manifesteren, en anderzijds doordat de kwetsbaarheid van de betreffende objecten verkleind wordt.
Een organisatie kan op verschillende manieren omgaan met de risico’s die kunnen leiden tot ernstige (maar niet
fatale) verstoringen van de bedrijfsprocessen. Men kan er voor kiezen om zo laag mogelijke risico’s te lopen;
dat wil zeggen dat men zo veel in beveiliging investeert als redelijkerwijze mogelijk is. In dit geval werkt men
risicomijdend. Als men er voor kiest om de kosten van de beveiligingsmaatregelen vergelijkbaar te laten zijn
met de kosten die gemoeid zouden zijn met de schade waartegen men beveiligt, dan werkt men risiconeutraal.
Als men onder het motto ‘wie niet waagt, die niet wint’ meer risico’s durft te accepteren, dan werkt dat
risicodragend.
Een risicoanalyse leert tegen welke bedreigingen beveiligingsmaatregelen getroffen moeten worden.
Bedreiging Verstoring Schade Herstel Bedreiging
Bedreiging: iets wat zou kunnen gebeuren. Als dit zich manifesteert dan spreken we van een verstoring, oftewel
een beveiligingsincident. Een beveiligingsincident is een incident dat de betrouwbaarheid van de
informatievoorziening verstoort. Door een incident ontstaat schade aan gegevens of aan middelen en dat vraagt
om herstel. Bij ernstige incidenten is na verloop van tijd een evaluatie nodig: wat er fout ging, hoe het is
veroorzaakt en hoe dit in de toekomst voorkomen kan worden.
Tussen bedreiging en verstoring zit preventie. Verstoring wordt gezien als detectie. Tussen verstoring en schade
zit repressie en herstel wordt gezien als correctie.
Preventieve maatregelen hebben tot doel het voorkomen dat bedreigingen tot verstoringen leiden. Deze kunnen
