Afstudeerprojecten 2015 Security Management
saxion.nl
Inhoud Woord vooraf Beste afgestudeerde, Van harte gefeliciteerd met het (bijna) behalen van het diploma Security Management! Het behalen van dit diploma is in meerdere opzichten uniek. Je bent een van de allereerste lichting bachelorstudenten Security Management in Nederland die het felbegeerde diploma in ontvangst mag nemen. Een memorabel moment! In 2011 ben je gestart met de opleiding in Apeldoorn en anno 2015 ben je klaar om de arbeidsmarkt te betreden. Je professionele carrière gaat van start en dat is een mijlpaal in je leven.
Security Management
Frank Nijsink
4
Jeroen Aijtink
6
Joey Post
8
We zijn er trots op dat je alle proeven van bekwaamheid, die tot stand zijn gekomen in nauwe samenwerking met het beroepenveld, hebt doorstaan. En dat je nu op zoek gaat naar een mooie positie in het securitydomein. Enkele studenten hebben al een carrièrekeuze gemaakt, anderen zijn nog zoekende. In dat proces zul je, net als tijdens de opleiding, uitdagingen tegenkomen. Met jouw kennis, kunde en ambitie ben ik ervan overtuigd dat je deze uitdagingen het hoofd kunt bieden. Niet alleen je inspanningen hebben geleid tot dit unieke afstudeermoment. Ook de inspanningen van docenten en het beroepenveld hebben hier een belangrijke rol in gespeeld. Ik ben mijn collega’s en het beroepenveld daarvoor zeer erkentelijk. Veel succes gewenst en graag tot ziens! Kijk ook eens als alumni op www.oursaxionworld.nl om je mede-afstudeerders te blijven volgen. Met vriendelijke groet, Drs. B.J. (Bruce) Rinsampessy Teamleider Security Management
2
Afstudeerprojecten 2015
3
Security Management Maatschappij afhankelijk van informatieen communicatietechnologie Het belang van informatiebeveiliging is de afgelopen decennia steeds verder toegenomen en door incidenten die zich steeds vaker voordoen, is pijnlijk duidelijk geworden hoeveel de huidige maatschappij afhankelijk is geworden van informatie- en communicatietechnologie als onderdeel van het dagelijks leven. Onder andere op school, thuis en op het werk. Ook het gebruik van mobiele telefoons en tablets is enorm toegenomen en vrijwel iedereen heeft bijna overal toegang tot het internet. Iedereen is tegenwoordig kwetsbaar en een mogelijk doelwit voor cybercriminelen. Veelzeggende incidenten als de Diginotar crisis en Lektober zijn uitstekende voorbeelden van de afhankelijkheid van ICT en de schadelijke gevolgen die informatiebeveiligingsincidenten hebben voor organisaties. Enkele effecten die deze incidenten hebben gehad zijn: imagoschade en verminderd vertrouwen van de burgers in ICT en de overheid, geldboetes, financiële schade en hoge herstelkosten, verlies van data en in enkele gevallen vertrouwelijke data en politieke gevolgen, zoals het aftreden van verantwoordelijke personen. Het is voor organisaties dus van vitaal belang een gedegen informatiebeveiliging in te stellen.
Huidige en gewenste niveau Het verschil tussen het gewenste en het huidige niveau van bewustzijn is de basis geweest voor de ontwikkeling van een bewustwordingsprogramma voor de gemeenten in Twente. Het bewustwordingsprogramma is op grond van de PDCA cyclus van Deming vormgegeven en is bedoeld om de medewerkers van de gemeente de komende jaren bewust te maken op het gebied van informatiebeveiliging. Een aantal onderdelen van deze bewustwording zijn: de risico’s die er bestaan voor een gemeente en welke beveiligingsmaatregelen hiertegen getroffen zijn en hoe deze gehanteerd moeten worden. Het streven is in de zeer nabije toekomst de bewustwording centraal vanuit het samenwerkingsverband tussen gemeenten aan te sturen, zodat er een integraal bewustwordingsprogramma komt dat voor iedere gemeenten makkelijk hanteerbaar is. Zodra iedere gemeente een voldoende mate van bewustzijn in de organisatie heeft geborgd, kan de bewustwording lokaal georganiseerd worden, waarbij vanuit het samenwerkingsverband enkel nog middelen aangereikt worden om dit te vergemakkelijken.
Belang van menselijke factor
Gemeente Enschede Huidige niveau van bewustzijn medewerkers • Frank Nijsink
Sinds 2011 werken acht Twentse gemeenten samen op diverse onderdelen van bedrijfsvoering, waaronder
informatiebeveiliging.
informatiebeveiliging Baseline
vorm
te
Informatiebeveiliging
Om
geven
is
de de
Nederlandse
Gemeenten (BIG) geadopteerd en vastgesteld door
de
colleges
van
burgemeester
en
wethouders. In de baseline staan onderdelen van informatiebeveiliging weergegeven waaraan een gemeente in Nederland moet voldoen. Eén van deze onderdelen is bewustwording op het gebied van informatiebeveiliging. Er bestond geen volledig inzicht in het niveau van bewustzijn van de medewerkers en door diverse incidenten was de verwachting dat dit niveau niet voldoende zou zijn. Om deze reden is onderzoek uitgevoerd
De menselijke factor is van groot belang voor een goede informatiebeveiliging. Een organisatie kan nog zoveel maatregelen treffen, maar als deze niet worden gebruikt of niet goed worden gebruikt, hebben deze weinig tot geen effect en kunnen er incidenten optreden met zeer schadelijke gevolgen. Beveiligingsbewustzijn is de mate waarin elke medewerker het belang van beveiliging voor de organisatie en het noodzakelijke niveau van beveiliging dat voor de organisatie vereist is, begrijpt, en hier naar handelt. Het doel is elke medewerker kennis bij te brengen en de houding van een medewerker tegenover informatiebeveiliging positief te stemmen, zodat hij of zij het juiste gedrag gaat vertonen. Om de menselijke factor van informatiebeveiliging te beïnvloeden is beveiligingsbewustzijn onmisbaar. Allereerst was het van belang inzicht te krijgen in de mogelijkheden om het bewustzijnsniveau van de gemeentelijke medewerkers te meten. Er is gekozen om een volwassenheidsmodel te hanteren. Door het meten van verschillende indicatoren kan een organisatie worden ingedeeld in een volwassenheidsniveau en kan het verschil worden bepaald met het gewenst niveau. Op basis van diverse modellen en theorieën uit de literatuur is er een bewustzijnsvolwassenheidsmodel gecreëerd. Vervolgens dienden de verschillende indicatoren die bepalend zijn voor het niveau van bewustzijn gemeten te worden. Vanwege de omvang van de steekproef is gekozen voor het hanteren van een enquête die is uitgezet bij de acht deelnemende gemeenten aan het project (Almelo, Borne, Enschede, Haaksbergen, Hengelo, Hof van Twente, Losser en Oldenzaal). Daarnaast is er een quickscan georganiseerd bij deze verschillende gemeenten om de stand van zaken omtrent bewustzijn duidelijk te krijgen. Op basis van deze resultaten kon het bewustzijnsniveau worden bepaald en werd het verschil met het gewenste niveau duidelijk.
naar het huidige niveau van bewustzijn en de mogelijkheden om het bewustzijn van de medewerkers
te
vergroten,
mocht
dit
niet
voldoende blijken te zijn.
4
Afstudeerprojecten 2015
5
Security Management Cyber criminaliteit Hackers en cyber-criminelen worden steeds inventiever en slaan steeds vaker hun slag op het gebied van datadiefstal of systeem manipulatie. Het is hierdoor volgens beveiligingsexperts dan ook niet de vraag of, maar wanneer een organisatie succesvol aangevallen wordt. Ter beveiliging wapenen organisaties zichzelf steeds beter door beveiligingsmaatregelen als firewalls en log analyse apparatuur te plaatsen. Maar wat als deze beveiligingsmaatregelen falen? De producten van SDL worden door meer dan 1500 klanten gebruikt voor vertalingen of marketing, waaronder 45 van de 50. Waardoor SDL een schat aan informatie opslaat voor haar klanten. Dit maakt de kans, dat cyber-criminelen hun pijlen op deze Software-as-aService producten richten, groter. Wanneer cybercriminelen succesvol zijn in hun aanval, komt het aan op de voorbereiding van SDL aan om hierop te reageren. Vragen hierbij zijn: waar melden medewerkers dit beveiligingsincident, wie reageert er op het beveiligingsincident en hoe worden acties gecoördineerd? Deze vragen worden beantwoord in een “security incident response plan”.
het gebied van beveiligingsincidenten. De Chief Technology Officer is namens het Exec team geïnterviewd, waarbij vooral gekeken is naar de wijze waarop het Exec team geïnformeerd wil worden over beveiligingsincidenten en de rol die zij bij de coördinatie willen betekenen. In de laatste fase van de afstudeeropdracht zijn het geselecteerde model en de interviewresultaten samengevoegd tot een security-incident response plan voor SDL. Dit plan bestaat uit het beveiligingsbeleid voor het afhandelen van beveiligingsincidenten, een procesbeschrijving en de voorbereiding op beveiligingsincidenten. De Information Security Officer van SDL zal de resultaten van de afstudeeropdracht gaan implementeren. De eerste stappen hiervoor zijn al gezet.
Opzet van het onderzoek
SDL, Amsterdam Een security-incident response model en plan • Jeroen Aijtink
De opdracht bij SDL was het selecteren van
Voor SDL is een security-incident response plan opgesteld aan de hand van de afstudeeropdracht. Om dit te realiseren zijn eerst verschillende security-incident response modellen uit de literatuur met elkaar vergeleken. Daarna is, op basis van de eisen van het Cloud Services management team van SDL, het beste model voor SDL geselecteerd. Als laatste is het standaard model aangepast aan de bestaande processen en eisen van de stakeholders. De eerste onderzoeksfase bestond uit een literatuurstudie, waarbij security incident response modellen in kaart zijn gebracht. Op basis van verschillende wetenschappelijke artikelen kwamen vijf modellen relevante naar voren om beveiligingsincidenten in de ICT omgeving te beheersen. Opvallend was dat alle modellen andere terminologie hanteren en uitgaan van verschillende fasen.
een “security-incident response model” en het
Meest geschikte model
opstellen van een security-incident response plan
Het model wat het meest aansluit op de eisen van het management team is de ISO27035 voor security incident response. Dit model gaat uit van een proactieve aanpak, omdat vooraf plannen worden beschreven hoe een beveiligingsincident af te handelen. Naast de proactieve aanpak integreert de ISO27035 goed met de ISO27001 standaard voor informatie beveiliging. Dit laatste kenmerk maakte dit model het meest geschikt voor SDL.
wat SDL kan implementeren om toekomstige beveiligingsincidenten binnen haar Software-asa-Service producten te beheersen. Hierbij moest rekening gehouden worden met de bestaande bedrijfsprocessen
voor
het
afhandelen
van
incidenten en de huidige ISO27001 certificering.
Integratie en implementatie van het model Nadat het beste security-incident response model was geselecteerd, kon gestart worden met de integratie van dit model binnen SDL. Hiervoor zijn interviews uitgevoerd met medewerkers binnen de afdelingen Cloud Services, Customer Support en het Exec team. De afdeling Cloud Services beheert de Software-as-a-Service producten die SDL aan haar klanten aanbiedt. Deze afdeling heeft gedurende de interviews veel informatie aangeleverd over het bestaande incidentproces en de wijze waarop beveiligingsincidenten worden afgehandeld. Customer Support biedt ondersteuning aan de klanten van SDL voor alle diensten. Gedurende de interviews is gekeken naar de interactie tussen de afdelingen Customer Support en Cloud Services op
6
Afstudeerprojecten 2015
7
Security Management Beschrijving van het onderzoek Het onderzoek had tot doel om inzichtelijk te maken hoe het gesteld is met het beveiligingsbewustzijn van de medewerkers op één van de locaties van TNO in het land. Om het onderwerp te verkennen en af te bakenen is eerst literatuurstudie verricht. Beveiligingsbewustzijn/Security Awareness wordt gevormd door drie psychologische aspecten: kennis, houding en gedrag. Door mensen kennis bij te brengen over de securityrisico’s van de organsatie en de maatregelen die daar tegen genomen zijn wordt het besef gekweekt dat security belangrijk is. Deze kennis en het toegenomen bewustzijn moet resulteren in een positieve houding ten opzichte van de securitymaatregelen waardoor uiteindelijk het gewenste gedrag wordt uitgevoerd. In de praktijk van security betekent dat het correct uitvoeren van de security maatregelen en het alert zijn op mogelijke risico’s. Na het uitvoeren van interviews met een aantal betrokkenen bij het beveiligingsbewustzijn binnen TNO is vastgesteld welke aspecten van Security Awareness op deze vestiging belangrijk zijn. Deze aspecten hebben geleid tot indicatoren die in een surveyonderzoek zijn onderzocht. Alle medewerkers van deze locatie hebben een enquête ontvangen. Ongeveer de helft heeft deze uiteindelijk ingevuld. In de enquete werden de verschillende indicatoren getoetst aan de hand van de aspecten kennis, houding en gedrag. Door de resultaten in SPSS te analyseren met frequentie-analyses werd inzichtelijk wat het niveau van deze aspecten was. Vervolgens is aan de hand van de vier leerstadia van Maslow het volwassenheidsniveau van de Security Awareness op deze vestiging vastgesteld. Op basis van dit verkregen inzicht zijn vervolgens aanbevelingen gedaan om het niveau te verbeteren door gericht beleidsinstrumenten in te zetten.
TNO, Den Haag Beveiligingsbewustzijn van medewerkers • Joey Post
Op één van de Nederlandse vestigingen van TNO heb ik een onderzoek uitgevoerd naar Security Awareness, zodat inzichtelijk werd hoe het gesteld is met het beveiligingsbewustzijn van de medewerkers op deze locatie. Door het uitzetten van een survey onder het personeel is de mate van kennis, houding en gedrag ten opzichte van security in kaart gebracht. TNO is een onderzoeksinstituut dat voor de Nederlandse
overheid
onderzoek
doet
naar
innovaties.
Een
goede
haar
eigendommen
en
is
het
bedrijfsleven
wetenschappelijke beveiliging van
groot
van
belang.
Beveiligingsbewustzijn speelt een grote rol in de effectiviteit van die beveiliging. Het interne beleid en regelgeving van opdrachtgevers vereisen dan ook dat dit in orde is.
8
Afstudeerprojecten 2015
9
Enschede M.H. Tromplaan 28 Postbus 70.000 7500 KB Enschede Tel. 053 - 487 11 11
Deventer Handelskade 75 Postbus 70.000 7500 KB Enschede Tel. 0570 - 603 663
Apeldoorn Kerklaan 21 Postbus 10.120 7301 GC Apeldoorn Tel. 0570 - 603 663
saxion.nl
