Computerbeveiliging voor ondernemers
Dit product is bedoeld voor intermediaire organisaties die dit materiaal kunnen integreren in hun voorlichting naar hun achterban
Computerbeveiliging voor ondernemers
Auteurs:
Jacob Boersma (ECP.NL) Peter van de Fliert (KPMG) Programma Kwint Copyright: Programma Kwint
Kwint is het nationaal programma van overheid en bedrijfsleven om veilig en betrouwbaar internetten te stimuleren. Hoewel bij de samenstelling en ontwikkeling van Computerbeveiliging voor ondernemers grote zorgvuldigheid is betracht, kunnen het programma Kwint, het programmabureau (ECP.NL) en de opdrachtgever (Ministerie van Economische Zaken) geen aansprakelijkheid aanvaarden voor schade, van welke aard ook, die het directe of indirecte gevolg is van handelingen en/of beslissingen die (mede)gebaseerd zijn op Computerbeveiliging voor ondernemers vervatte informatie. Overname toegestaan met de volgende bronvermelding: Computerbeveiliging voor ondernemers In opdracht van Programma Kwint (www.kwint.org ) 2
Inleiding In het programma Kwint zijn een aantal producten ontwikkeld om ondernemers bewust te maken van hun situatie met betrekking tot informatiebeveiliging. Deze verschillende producten kunnen, in elektronische en geschreven vorm, dienen om ondernemers meer bewust te maken van de gevoelige gegevens die ze in elektronische vorm bezitten, de risico’s die ze lopen en de maatregelen die getroffen kunnen worden om deze gegevens veilig te stellen.
Inhoudsopgave Gegevensclassificatie checklist
5
(Het doel van de gegevensclassificatie is mede om vast te stellen of een organisatie eigenaar (of beheerder) is van gegevens die beveiliging vereisen. Het is dus een soort checklist om “awareness” te creëren voor de noodzakelijke invoering van passende beveiligingsmaatregelen. Immers, niet iedere organisatie is zich bewust van het soort gegevens dat het onder beheer heeft)
Vragenlijst Bewustwording informatiebeveiliging
10
(Deze vragenlijst, in elektronische of papieren vorm, kan ondernemers bewust maken van de bij hen aanwezige elektronische gegevens en de risico’s die men loopt dat deze gegevens bijv. openbaar worden gemaakt)
Matrix Bewustwording gevoelige gegevens
22
(Een vereenvoudigde manier om te kijken naar de onderwerpen uit de vragenlijst bewustwording informatiebeveiliging. Deze matrix is ook eventueel op papier in te vullen, en geeft een snel overzicht van de gebieden waar risico’s van een ondernemer liggen)
Top 10 maatregelen
25
(De Top 10 van maatregelen die MKB ondernemers kunnen treffen om zich te beschermen tegen de risico’s die zijn geconstateerd door een van de bovenstaande tools te gebruiken. Als zodanig is de Top 10 van maatregelen vooral bedoeld als uitkomst van bijvoorbeeld de vragenlijst bewustwording informatiebeveiliging)
3
Gegevensclassificatie Checklist
4
Gegevensclassificatie checklist
Auteur:
Peter van de Fliert (KPMG) Jacob Boersma (ECP.NL) Programma KWINT Copyright: Programma Kwint
Kwint is het nationaal programma van overheid en bedrijfsleven om veilig en betrouwbaar internetten te stimuleren. Hoewel bij de samenstelling en ontwikkeling van Gegevensclassificatie checklist grote zorgvuldigheid is betracht, kunnen het programma Kwint, het programmabureau (ECP.NL) en de opdrachtgever (Ministerie van Economische Zaken) geen aansprakelijkheid aanvaarden voor schade, van welke aard ook, die het directe of indirecte gevolg is van handelingen en/of beslissingen die (mede)gebaseerd zijn op Gegevensclassificatie checklist vervatte informatie. Overname toegestaan met de volgende bronvermelding: Gegevensclassificatie checklist In opdracht van Programma Kwint (www.kwint.org ) 5
KWINT Compact Product Communicatie Advies voor intermediaire organisaties
Producttitel
Gegevensclassificatie Checklist
Productverschijningsvorm
Checklist in drukwerkvorm of als
Productdoelstelling
Communicatiedoelstelling
Communicatiedoelgroepen • Einddoelgroepen
•
Intermediaire doelgroepen
Communicatiemedia
Checklist in digitale (interactieve) vorm Methodische vragenlijst om vast te stellen of een organisatie/ onderneming eigenaar (of beheerder) is van gegevens die specifieke beveiliging vereisen. Bevorderen van de bewustwording dat gegevens waarde kunnen hebben voor onbevoegden; bevorderen van het zelfkritisch vermogen om vast te stellen of aanwezige informatie- en internetbeveiliging wel voldoet in relatie tot het gevoelige karakter van gegevens waarover men in kwetsbare systemen in een onderneming of organisatie beschikt Alle ondernemingen in het MKB; Alle vrije beroepsbeoefenaren; Alle onderwijsinstellingen; Alle koepels, federaties en anderszins bestuurlijke en facilitaire organisaties voor het bedrijfsleven; Alle secretariaten van sport- en ontspanningsverenigingen, van culturele en kerkgenootschappen en van vrijwilligersorganisaties; Alle particulier internetgebruikers Alle branche- beroeps- en standsorganisaties; Alle bestuurs- en toerustingsorganisaties, sportbonden en -koepels, culturele en kerkelijke facilitaire organisaties en consumentenorganisaties; Adviseurs/consulenten/docenten. De media (gedrukt en digitaal) van vorengenoemde organisaties; Adviseurs, consulenten, accountants e.d. die een relatie hebben met einddoelgroepen; Docenten in dagonderwijs en in opleidingen voor vak of beroep, na- & bijscholing
Communicatiestrategie Door ruime beschikbaarheid van de Checklist in hoofdlijnen Gegevensclassificatie bereiken dat elke verantwoordelijke zichzelf controleert, als opstap naar het nemen van maatregelen; daartoe moet elke van de hiervoor genoemde organisaties de Checklist Gegevensclassificatie eenvoudig ter beschikking stellen aan zijn leden/relaties/doelgroepen voor zelfstandig gebruik en inzet via consulenten/adviseurs Communicatieactiviteiten
van Programmabureau Kwint
plaatst product op website Kwint; biedt product aan via websites van NGD, Surf-Op-Safe, ECP etc.;
6
van Intermediaire organisatie
Nader Pakket van Eisen Rechten
Eenheid van Inhoud
Beeldmerk
Ondersteunt branche- en beroepsorganisaties met persberichtgeving voor eigen media Biedt uitleg bij de Checklist Geeft redactionele aandacht aan Checklist Gegegevensclassificatie in vakmedia (gedrukt en digitaal) Biedt mogelijkheid tot downloaden of bestellen van Checklist voor leden e.d. via organisatiesecretariaat Maakt Checklist vast onderdeel van facilitair pakket van advsieurs/consulenten. Biedt ondersteuning/uitleg bij het invullen van de Checklist
Dit product (cq de inhoud van dit product) is vrij van rechten te gebruiken, te vermenigvuldigen en te distribueren door organisaties die daarvoor schriftelijk toestemming verkregen hebben van het Programmabureau Kwint / ECP-NL en mits uitvoering wordt gegeven aan hiernavolgende nadere eisen. De inhoud van dit product, te weten de tekst, de eventuele illustraties, de structuur van het geheel en van de onderdelen, of welk detail dan ook, mag niet gewijzigd, aangevuld of verwijderd worden, zonder voorafgaand verleende schriftelijke toestemming van het Programmabureau Kwint / ECP-NL. Het product mag alleen gebruikt, vermenigvuldigd en gedistribueerd worden als aan het product onlosmakelijk verbonden zijn: • het Kwint-beeldmerk • de Kwint-vrijwaringstekst (de disclaimer)
7
Gegevensclassificatie checklist Opgesteld door het programma KWINT. Het doel van deze classificatie is om vast te stellen of een onderneming eigenaar (of beheerder) is van gegevens die specifieke beveiliging vereisen. Vervolgens dient bijpassende beveiliging geïmplementeerd te worden. Het is dus een hulpmiddel voor de start van een beveiligingscyclus.
NAW gegevens (Naam, Adres, Woonplaats etc.)
integriteit (1) exclusiviteit beschikbaarheid (2)(3)
NAW gegevens klanten (Naam, Adres, Woonplaats etc.)
integriteit exclusiviteit beschikbaarheid
NAW (vertrouwelijk) (privé-emailadres, geheim telefoonnummer etc.)
integriteit exclusiviteit beschikbaarheid
NAW klant (vertrouwelijk) (privé-emailadres, geheim telefoonnummer etc.)
integriteit exclusiviteit beschikbaarheid
Persoonlijke gegevens (gegevens over burgerlijke staat, sofinummer etc.).
integriteit exclusiviteit beschikbaarheid
Bijzondere persoonsgegevens (5) (zoals bedoeld in de WBP)
integriteit exclusiviteit beschikbaarheid
BKR gegevens (Bureau Krediet Registratie)
integriteit exclusiviteit beschikbaarheid
Website gegevens
integriteit exclusiviteit beschikbaarheid
Justitiële gegevens (strafblad, boetes etc.)
integriteit exclusiviteit beschikbaarheid
KvK gegevens (Kamer van Koophandel)
integriteit exclusiviteit beschikbaarheid
Fiscale gegevens (belastingaangifte, bankafschriften etc.)
integriteit exclusiviteit beschikbaarheid
Intellectueel eigendom
integriteit exclusiviteit beschikbaarheid
Gegevens m.b.t. sociale activiteiten (lid verenigingen etc.)
integriteit exclusiviteit beschikbaarheid
Klantgegevens, overig integriteit (ordergeschiedenis, account- exclusiviteit management gegevens etc.) beschikbaarheid
Medische gegevens
integriteit exclusiviteit beschikbaarheid
Overige concurrentiegevoelige gegevens (offerte's e.d.)
integriteit exclusiviteit beschikbaarheid
Gegevens m.b.t. communicatie activiteit (belgedrag, surfgedrag)
integriteit exclusiviteit beschikbaarheid
Financiële gegevens (niet openbaar)
integriteit exclusiviteit beschikbaarheid
................. (persoonspecifiek, zelf in te vullen)
integriteit exclusiviteit beschikbaarheid
Personeelsgegevens integriteit (adresgegevens, personeels- exclusiviteit dossiers, etc.) beschikbaarheid
Voetnoten 1 In deze classificatie wordt, net als in de KWINT nota, authenticiteit als onderdeel van integriteit beschouwd. Zie hiernaast voor een aparte definitie van authenticiteit. Een ander mogelijk kwaliteitscriterium zou 'onweerlegbaarheid kunnen zijn. Omdat systemen voor 'onweerlegbaarheid' in de praktijk meestal in combinatie met systemen voor integriteit worden gebruikt is het in dit schema niet apart opgenomen als kwaliteitseis, maar dient het steeds in samenhang met integriteit (en authenticiteit) te worden meegenomen in de uitvoering (voor de verschillende aspecten zijn wel verschillende maatregelen nodig) 2 Alhoewel de werkgroep zich alleen bezig houdt met integriteit en exclusiviteit, is de betrouwbaarheidseis beschikbaarheid ook vermeld om het model bruikbaar te houden voor andere I werkgroepen. 3 De term beschikbaarheid zoals die in dit model gehanteerd is, heeft betrekking op zowel de "beschikbaarheid op korte termijn", als de "beschikbaarheid op lange termijn". Ook de "archivering" van gegevens dient dus meegenomen te worden in de beveiII ligingsscyclus, bijvoorbeeld om te voldoen aan wettelijke vereisten (bewaarplicht). 4 Naast beveiliging als ondersteuning van het ondernemingsdoel, III kan beveiliging ook een vereiste zijn vanuit wetgeving. Te denken valt aan de WBP, Telecomwet, Wet Computercriminaliteit etc. 5 De Wet Bescherming Persoonsgegevens stelt hogere eisen aan het verwerken en opslaan van de volgende persoonsgegevens: godsdienst, levensovertuiging, ras, gezondheid, seksuele leven, lidmaatschap vakvereniging, politieke gezindheid, strafrechtelijke persoonsgegevens en onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag
(source code, recepten, nog niet uitgebrachte muziek, etc.)
Koersgevoelige gegevens (niet openbaar en niet financieel)
integriteit exclusiviteit beschikbaarheid
Juridische gegevens (elektronische koopovereenkomst etc.)
integriteit exclusiviteit beschikbaarheid
................. (branchespecifiek, zelf in te vullen)
integriteit exclusiviteit beschikbaarheid
baseline hoog hoog
zeer hoog
baseline hoog
laag / n.v.t.
laag / n.v.t.
Bedrijfsgegevens (4)
Persoonsgegevens
Definities: Wat binnen KWINT onder integriteit, exclusiviteit en beschikbaarheid wordt verstaan is te lezen in de KWINT-nota, bladzijde 12. Het begrip integriteit heeft in deze classificatie nog een aanvullende betekenis. Het omvat ook de begrippen authenticiteit en onweerlegbaarheid. Deze zijn alsvolgt gedefinieerd: Authenticiteit: de echtheid van de identiteit van de afzender van gegevens zoals deze door de wederpartij worden ontvangen. Bij authenticiteit gaat het om de vraag: is iemand wie hij/zij zegt te zijn? Onweerlegbaarheid: de ontvanger kan de ontvangst van het be-
richt niet ontkennen, de verzender kan de verzending van het bericht niet ontkennen. (bron: NOREA ZekeRE Business).
8
Vragenlijst Bewustwording Informatiebeveiliging
9
Vragenlijst Bewustwording Informatiebeveiliging
Auteur: Jacob Boersma (ECP.NL) Copyright: Programma Kwint
Kwint is het nationaal programma van overheid en bedrijfsleven om veilig en betrouwbaar internetten te stimuleren. Hoewel bij de samenstelling en ontwikkeling van Vragenlijst Bewustwording informatiebeveiliging grote zorgvuldigheid is betracht, kunnen het programma Kwint, het programmabureau (ECP.NL) en de opdrachtgever (Ministerie van Economische Zaken) geen aansprakelijkheid aanvaarden voor schade, van welke aard ook, die het directe of indirecte gevolg is van handelingen en/of beslissingen die (mede)gebaseerd zijn op Vragenlijst Bewustwording informatiebeveiliging vervatte informatie. Overname toegestaan met de volgende bronvermelding: Vragenlijst Bewustwording informatiebeveiliging In opdracht van Programma Kwint (www.kwint.org ) 10
KWINT Compact Product Communicatie Advies voor intermediaire organisaties Producttitel Productverschijningsvorm Productdoelstelling Communicatiedoelstelling
Kwint Vragenlijst Bewustwording Informatiebeveiliging Interactieve vragenlijst via web-interface Vergroten bewustwording en inzicht op gebied van informatiebeveiliging en internetveiligheid Bevorderen kennis en bewustwording informatiebeveiliging en internetveiligheid door directe reactie via interactieve respons (zie ook de top 10 beveiligingsmaatregelen)
Communicatiedoelgroepen • Einddoelgroepen
Alle ondernemingen in het MKB; Alle vrije beroepsbeoefenaren; Alle onderwijsinstellingen; Alle koepels, federaties en anderszins bestuurlijke en facilitaire organisaties voor het bedrijfsleven; Alle secretariaten van sport- en ontspanningsverenigingen, van culturele en kerkgenootschappen en van vrijwilligersorganisaties; Alle particulier internetgebruikers • Intermediaire doelgroepen Alle branche- beroeps- en standsorganisaties; Alle bestuurs- en toerustingsorganisaties, sportbonden en -koepels, culturele en kerkelijke facilitaire organisaties en consumentenorganisaties; Adviseurs/consulenten/docenten. Communicatiemedia Redactioneel de media (gedrukt en digitaal) van vorengenoemde organisaties; Adviseurs, consulenten, accountants e.d. die een relatie hebben met einddoelgroepen; Docenten in dagonderwijs en in opleidingen voor vak of beroep, na- & bijscholing Communicatiestrategie Door persberichtgeving in dag-, week-, vak-, gezins- en in hoofdlijnen hobbybladen en op professionele webmedia aandacht geven aan de interactieve vragenlijst; Door inzet van (interne) media van de intermediaire organisaties (van prikbord tot intranet) aandacht geven aan de interactieve vragenlijst. Communicatieactiviteiten van Programmabureau Kwint Persbericht verzending over de vragenlijst bij verschijnen op website Kwint; Modelpersbericht aanbieden aan alle hiervoor genoemde intermediaire organsiaties voor hun eigen media bij verschijnen van de (hyperlink naar) de interactieve vragenlijst van Intermediaire organisatie Persbericht verzending over de vragenlijst bij verschijnen op website organisatie of hyperlink naar website Kwint; Adviseurs/consulenten/docenten e.d. attenderen op beschikbaarheid interactieve vragenlijst via interne media
11
Nader Pakket van Eisen Rechten
Eenheid van Inhoud
Beeldmerk
Dit product (cq de inhoud van dit product) is vrij van rechten te gebruiken, te vermenigvuldigen en te distribueren door organisaties die daarvoor schriftelijk toestemming verkregen hebben van het Programmabureau Kwint / ECP.NL en mits uitvoering wordt gegeven aan hiernavolgende nadere eisen. De inhoud van dit product, te weten de tekst, de eventuele illustraties, de structuur van het geheel en van de onderdelen, of welk detail dan ook, mag niet gewijzigd, aangevuld of verwijderd worden, zonder voorafgaand verleende schriftelijke toestemming van het Programmabureau Kwint / ECP.NL. Het product mag alleen gebruikt, vermenigvuldigd en gedistribueerd worden als aan het product onlosmakelijk verbonden zijn: • het Kwint-beeldmerk • de Kwint-vrijwaringstekst (de disclaimer)
12
Toelichting op de Vragenlijst Bewustwording Informatiebeveiliging Inleiding In het programma Kwint is een data-classificatie model ontwikkeld teneinde de vereisten voor beveiliging van gevoelige gegevens in kaart te brengen. Om toetsing aan de praktijk mogelijk te maken moest een vertaalslag van de classificatie naar het MKB toe plaatsvinden. Er is voor gekozen om dit te doen in de vorm van een vragenlijst die door de ondernemer moet worden ingevuld. Deze vragenlijst is in dit document als niet-interactieve lijst met vragen gepresenteerd. Het is echter de bedoeling om deze lijst via een web-interface aan de ondernemer aan te bieden, om zo de vervolgvragen te kunnen afstemmen op de gegeven antwoorden. Bovendien biedt dit de mogelijkheid om de ondernemer te voorzien van feedback door hem/haar te tonen hoe zijn/haar beantwoording van de vragen zich verhoudt tot het gemiddelde van de gegeven antwoorden. Doel van de vragenlijst Het doel van deze vragenlijst is om awareness te creëren bij (MKB) ondernemers over de soorten gevoelige gegevens die zij binnen hun organisatie hebben en de mate waarin de exclusiviteit, integriteit en beschikbaarheid van deze gegevens gevaar loopt. Alleen al het invullen van de vragenlijst zal naar verwachting leiden tot meer awareness. Aan de hand van de antwoorden op de vragenlijst kan de ondernemer een advies ontvangen over de meest kwetsbare gegevens binnen zijn organisatie. Uiteraard kan het daarbij niet blijven. Er dienen namelijk bijpassende beveiligingsmaatregelen geïmplementeerd te worden. Het is dus een hulpmiddel voor de start van een beveiligingscyclus. Veronderstelling: als de ondernemer eenmaal bewust is van zijn probleem, dan is hij zelf in staat hulp te zoeken om dit op te lossen, bijvoorbeeld bij zijn brancheorganisatie. Doelgroep De vragenlijst is in deze vorm vooral bedoeld voor brancheorganisaties om (delen ervan) te gebruiken in hun eigen voorlichting. Als de vragenlijst eenmaal online en interactief geïmplementeerd is zal de doelgroep het MKB zijn. De online lijst zal worden getoetst door hem aan te bieden aan MKB ondernemers. Dit aanbieden kan plaatsvinden onder auspiciën van KWINT door zelfstandige, branche gebonden of overheidsgebonden bedrijfsadviseurs, o.a. Syntens. Dit zal ten allen tijde in overleg met en met toestemming van het programmabureau KWINT dienen te geschieden, waarbij het programmabureau ten allen tijde de coördinatie en/of de publicatie van onderzoekgegevens als benchmark zal hebben.
13
Vragenlijst Bewustwording informatiebeveiliging De opbouw van de vragenlijst is als volgt:
START Algemeen :: Nee: Exit Algemeen is deze lijst voor (doorverwijzen is deze lijst vooruu ?? naar adviseur ) van vantoepassing toepassing
(vragen 1 t/m 4)
Gevoelige Gevoelige gegevens gegevensop opuw uw Internet PC? Internet PC?
Ja: Wat voor gegevens en wat voor risico’s?
(vragen 5 t/m 9)
Gevoelige Gevoelige gegevens gegevens per peree-mail? -mail?
Ja: Wat voor gegevens en wat voor risico’s?
(vragen 10 t/m 14)
Gevoelige Gevoeligegegevens gegevens voor voorthuiswerkers thuiswerkers beschikbaar ?? beschikbaar
Ja: Wat voor gegevens en wat voor risico’s?
(vragen 15 t/m 19)
Gevoelige Gevoelige gegevens gegevens op opwebsite? website?
Ja: Wat voor gegevens en wat voor risico’s?
(vragen 20 t/m 24)
Resultaat :: Resultaat Waar Waarstaat staatuuten tenopzichte opzichte van ??Wat vanbranchegenoten branchegenoten Watzijn zijn algemene oplossingen ?? algemene oplossingen
1. In welke branche bevindt uw organisatie zich? ..................... 2. Gebruikt u in uw organisatie 1 of meer computers? • Nee: U kunt contact opnemen met een van uw adviseurs 1) om te ontdekken welke voordelen informatie technologie voor uw bedrijf zou kunnen hebben. U hoeft de rest van de vragenlijst niet in te vullen • Ja: ga door naar vraag 3 3. Wie is in uw organisatie verantwoordelijk voor de elektronische gegevens?
q Directeur q Ander lid van het managementteam q Systeembeheerder q Interne IT afdeling q Externe IT adviseur q Secretariaat q Anders, namelijk . . . . . . . . . . . . . . . . . •
Laat degene die verantwoordelijk is de vragenlijst verder invullen
1
) Een adviseur kan in dit verband zijn een zelfstandige, branche gebonden of overheidsgebonden bedrijfsadviseur, o.a. Syntens, uw accountant, de adviseur van uw branche vereniging of ieder andere commerciële adviseur welke u bij uw bedrijfsvoering betrekt. 14
4. Hebben een of meer van de computers die u gebruikt toegang tot Internet of e-mail? • Nee: U kunt contact opnemen met een van uw adviseurs om te ontdekken welke voordelen Internet voor uw bedrijf zou kunnen hebben. U hoeft de rest van de vragenlijst niet in te vullen • Ja: ga door naar vraag 5 5. Is uw Internet computer verbonden (draadloos of via een kabel) aan andere computers in uw bedrijf? • Nee: ga door met vraag 6 • Ja: u heeft dus een intern netwerk. Bij volgende vragen over uw Internet PC wordt bedoeld ‘uw Internet PC of computers die in hetzelfde netwerk zitten’, ga door met vraag 6 6. Welke gegevens staan op de harde schijf van de computer waarmee u Internet op gaat? (categorieën: deze gegevens staan niet op deze computer, er staan enkele bestanden met deze gegevens op de computer, een groot deel van de bestanden van deze soort staan op deze computer, of alle bedrijfsgegevens van deze soort staan op deze computer)
Niet
Enkele Groot bestanden deel q q q q q q q q q q q q q q q q
Adresgegevens van uw bedrijf q Klantgegevens q Personeelsgegevens q Financiële gegevens q Bedrijfsgeheimen q Ondernemingsplannen q Afspraken / Operationele planningq Overig namelijk: . . . . . . . . . . . . . . q • •
Alle gegevens q q q q q q q q
Als u ergens ‘groot deel’ of ‘alle gegevens’ hebt ingevuld, ga dan naar vraag 7 Als u overal ‘niet’ of ‘enkele bestanden’ hebt ingevuld, ga dan naar vraag 10
7. Beantwoord deze vraag alleen voor de gegevens waar u in vraag 6 ‘groot deel’ of ‘alle gegevens’ hebt ingevuld: Hoe erg is het indien de volgende gegevens op de computer waarmee u Internet opgaat gewist worden? Kan leiden tot Adresgegevens bedrijf Klantgegevens Personeelsgegevens Financiële gegevens Bedrijfsgeheimen Ondernemingsplannen Afspraken / planning Overig nl. : . . . . . . . . . .
geen schade
mislukken verkoopactie
imago schade
verlies verlies faillissement goodwill klanten bedrijf
q q q q q q q q
q q q q q q q q
q q q q q q q q
q q q q q q q q
q q q q q q q q
q q q q q q q q
15
8. Beantwoord deze vraag alleen voor de gegevens waar u in vraag 6 ‘groot deel’ of ‘alle gegevens’ hebt ingevuld: Hoe erg is het indien de volgende gegevens op de computer waarmee u Internet opgaat veranderd worden door onbevoegden (bijv. een virus, hacker of onbekwame gebruiker)? Kan leiden tot Adresgegevens bedrijf Klantgegevens Personeelsgegevens Financiële gegevens Bedrijfsgeheimen Ondernemingsplannen Afspraken / planning Overig nl. : . . . . . . . . . .
geen schade
q q q q q q q q
mislukken verkoopactie
q q q q q q q q
imago schade
q q q q q q q q
verlies verlies faillissement goodwill klanten bedrijf
q q q q q q q q
q q q q q q q q
q q q q q q q q
9. Beantwoord deze vraag alleen voor de gegevens waar u in vraag 6 ‘groot deel’ of ‘alle gegevens’ hebt ingevuld: Hoe erg is het indien de volgende gegevens op de computer waarmee u Internet opgaat aan derden bekend gemaakt worden / op straat komen te liggen? Kan leiden tot Adresgegevens bedrijf Klantgegevens Personeelsgegevens Financiële gegevens Bedrijfsgeheimen Ondernemingsplannen Afspraken / planning Overig nl. : . . . . . . . . . .
geen schade
mislukken verkoopactie
imago schade
verlies verlies faillissement goodwill klanten bedrijf
q q q q q q q q
q q q q q q q q
q q q q q q q q
q q q q q q q q
q q q q q q q q
q q q q q q q q
10. Verstuurt of ontvangt u zakelijke e-mail berichten? • Nee: ga door naar vraag 15 • Ja: ga door naar vraag 11 11. Welke gegevens verstuurt of ontvangt u via e-mail berichten?
Nooit Adresgegevens van uw bedrijf q Klantgegevens q Personeelsgegevens q Financiële gegevens q Bedrijfsgeheimen q Ondernemingsplannen q Afspraken / Operationele planningq Overig namelijk: . . . . . . . . . . . . . . q • •
Zelden q q q q q q q q
Regelmatig q q q q q q q q
Dagelijks q q q q q q q q
Als u ergens ‘regelmatig’ of ‘dagelijks’ hebt ingevuld, ga dan naar vraag 12 Als u overal ‘nooit’ of ‘zelden’ hebt ingevuld, ga dan naar vraag 15
16
12. Beantwoord deze vraag alleen voor de gegevens waar u in vraag 11 ‘regelmatig’ of ‘dagelijks’ hebt ingevuld: Hoe erg is het indien de volgende gegevens die u in e-mails verstuurt onderweg veranderd worden door onbevoegden? Kan leiden tot Adresgegevens bedrijf Klantgegevens Personeelsgegevens Financiële gegevens Bedrijfsgeheimen Ondernemingsplannen Afspraken / planning Overig nl. : . . . . . . . . . .
geen schade
q q q q q q q q
mislukken verkoopactie
q q q q q q q q
imago schade
q q q q q q q q
verlies verlies faillissement goodwill klanten bedrijf
q q q q q q q q
q q q q q q q q
q q q q q q q q
13. Beantwoord deze vraag alleen voor de gegevens waar u in vraag 11 ‘regelmatig’ of ‘dagelijks’ hebt ingevuld: Hoe erg is het indien de volgende gegevens die u in e-mails verstuurt aan derden bekend gemaakt worden / op straat komen te liggen? Kan leiden tot Klantgegevens Personeelsgegevens Financiële gegevens Bedrijfsgeheimen Ondernemingsplannen Afspraken / planning Overig nl. : . . . . . . . . . .
geen schade
q q q q q q q
mislukken verkoopactie
q q q q q q q
imago schade
q q q q q q q
verlies verlies faillissement goodwill klanten bedrijf
q q q q q q q
q q q q q q q
q q q q q q q
14. Beantwoord deze vraag alleen voor de gegevens waar u in vraag 5 ‘groot deel’ of ‘alle gegevens’ hebt ingevuld: Hoe erg is het indien de volgende gegevens op de computer waarmee u Internet opgaat gewist worden? Kan leiden tot Adresgegevens bedrijf Klantgegevens Personeelsgegevens Financiële gegevens Bedrijfsgeheimen Ondernemingsplannen Afspraken / planning Overig nl. : . . . . . . . . . .
geen schade
q q q q q q q q
mislukken verkoopactie
q q q q q q q q
imago schade
q q q q q q q q
verlies verlies faillissement goodwill klanten bedrijf
q q q q q q q q
q q q q q q q q
q q q q q q q q
15. Heeft u personeelsleden of extern ingehuurde krachten die thuiswerken en vanaf huis toegang hebben tot uw elektronische gegevens? • Nee: ga door met vraag 20 • Ja: ga door met vraag 16
17
16. Welke gegevens zijn voor thuiswerkers beschikbaar?
Niet
Enkele Groot bestanden deel q q q q q q q q q q q q q q q q
Adresgegevens van uw bedrijf q Klantgegevens q Personeelsgegevens q Financiële gegevens q Bedrijfsgeheimen q Ondernemingsplannen q Afspraken / Operationele planningq Overig namelijk: . . . . . . . . . . . . . . q • •
Alle gegevens q q q q q q q q
Als u ergens ‘groot deel’ of ‘alle gegevens’ hebt ingevuld, ga dan naar vraag 17 Als u overal ‘niet’ of ‘enkele bestanden’ hebt ingevuld, ga dan naar vraag 20
17. Beantwoord deze vraag alleen voor de gegevens waar u in vraag 16 ‘groot deel’ of ‘alle gegevens’ hebt ingevuld: Hoe erg is het indien de volgende gegevens voor thuiswerkers niet beschikbaar zijn? Kan leiden tot Adresgegevens bedrijf Klantgegevens Personeelsgegevens Financiële gegevens Bedrijfsgeheimen Ondernemingsplannen Afspraken / planning Overig nl. : . . . . . . . . . .
geen schade
mislukken verkoopactie
imago schade
verlies verlies faillissement goodwill klanten bedrijf
q q q q q q q q
q q q q q q q q
q q q q q q q q
q q q q q q q q
q q q q q q q q
q q q q q q q q
18. Beantwoord deze vraag alleen voor de gegevens waar u in vraag 16 ‘groot deel’ of ‘alle gegevens’ hebt ingevuld: Hoe erg is het indien de volgende gegevens die beschikbaar zijn voor thuiswerkers onderweg veranderd worden door onbevoegden (bijv. een virus, hacker of onbekwame gebruiker)? Kan leiden tot Adresgegevens bedrijf Klantgegevens Personeelsgegevens Financiële gegevens Bedrijfsgeheimen Ondernemingsplannen Afspraken / planning Overig nl. : . . . . . . . . . .
geen schade
mislukken verkoopactie
imago schade
verlies verlies faillissement goodwill klanten bedrijf
q q q q q q q q
q q q q q q q q
q q q q q q q q
q q q q q q q q
q q q q q q q q
q q q q q q q q
18
19. Beantwoord deze vraag alleen voor de gegevens waar u in vraag 16 ‘groot deel’ of ‘alle gegevens’ hebt ingevuld: Hoe erg is het indien de volgende gegevens waartoe thuiswerkers toegang hebben aan derden bekend gemaakt worden / op straat komen te liggen?
Kan leiden tot Adresgegevens bedrijf Klantgegevens Personeelsgegevens Financiële gegevens Bedrijfsgeheimen Ondernemingsplannen Afspraken / planning Overig nl. : . . . . . . . . . .
geen schade
q q q q q q q q
mislukken verkoopactie
q q q q q q q q
imago schade
q q q q q q q q
verlies verlies faillissement goodwill klanten bedrijf
q q q q q q q q
q q q q q q q q
q q q q q q q q
20. Heeft uw bedrijf een eigen website? • Nee: Einde vragenlijst • Ja: ga door met vraag 21 21. Welke gegevens staan op uw website of zijn via een afgesloten gedeelte van uw website in te zien?
Niet
Enkele Groot bestanden deel q q q q q q q q q q q q q q q q
Adresgegevens van uw bedrijf q Klantgegevens q Personeelsgegevens q Financiële gegevens q Bedrijfsgeheimen q Ondernemingsplannen q Afspraken / Operationele planningq Overig namelijk: . . . . . . . . . . . . . . q • •
Alle gegevens q q q q q q q q
Als u ergens ‘groot deel’ of ‘alle gegevens’ hebt ingevuld, ga dan naar vraag 22 Als u overal ‘niet’ of ‘enkele bestanden’ hebt ingevuld, ga dan naar Einde vragenlijst
22. Beantwoord deze vraag alleen voor de gegevens waar u in vraag 21 ‘groot deel’ of ‘alle gegevens’ hebt ingevuld: Hoe erg is het indien de volgende gegevens op uw website langere tijd niet beschikbaar zijn voor bezoekers? Kan leiden tot Adresgegevens bedrijf Klantgegevens Personeelsgegevens Financiële gegevens Bedrijfsgeheimen Ondernemingsplannen Afspraken / planning Overig nl. : . . . . . . . . . .
geen schade
q q q q q q q q
mislukken verkoopactie
q q q q q q q q
imago schade
q q q q q q q q
verlies verlies faillissement goodwill klanten bedrijf
q q q q q q q q
q q q q q q q q
q q q q q q q q
19
23. Beantwoord deze vraag alleen voor de gegevens waar u in vraag 21 ‘groot deel’ of ‘alle gegevens’ hebt ingevuld: Hoe erg is het indien de volgende gegevens die op uw website staan veranderd worden door onbevoegden (bijv. een virus, hacker of onervaren gebruiker)? Kan leiden tot Klantgegevens Personeelsgegevens Financiële gegevens Bedrijfsgeheimen Ondernemingsplannen Afspraken / planning Overig nl. : . . . . . . . . . .
geen schade
q q q q q q q
mislukken verkoopactie
q q q q q q q
imago schade
q q q q q q q
verlies verlies faillissement goodwill klanten bedrijf
q q q q q q q
q q q q q q q
q q q q q q q
24. Beantwoord deze vraag alleen voor de gegevens waar u in vraag 21 ‘groot deel’ of ‘alle gegevens’ hebt ingevuld: Hoe erg is het indien de volgende gegevens die op een besloten gedeelte van uw website staan aan derden bekend gemaakt worden / op straat komen te liggen? Kan leiden tot Adresgegevens bedrijf Klantgegevens Personeelsgegevens Financiële gegevens Bedrijfsgeheimen Ondernemingsplannen Afspraken / planning Overig nl. : . . . . . . . . . .
geen schade
q q q q q q q q
mislukken verkoopactie
q q q q q q q q
imago schade
q q q q q q q q
verlies verlies faillissement goodwill klanten bedrijf
q q q q q q q q
q q q q q q q q
q q q q q q q q
Resultaat van de vragenlijst De uitkomst van deze vragenlijst kan worden vergeleken met de antwoorden die door vorige invullers zijn gegeven. Daarnaast wordt de invuller, tenzij hij/zij heeft aangegeven geen computers te hebben of geen Internet te gebruiken, erop gewezen dat hij risico loopt, en dat hij via verschillende bronnen meer informatie kan verkrijgen: • Syntens adviseur • Een eigen adviseur / accountant etc. • Boekje GvIB • Website Surf op Safe • etc… Vervolgacties De uiteindelijke vragenlijst zal op Internet worden geïmplementeerd.
20
Matrix bewustwording gevoelige elektronische gegevens
21
Matrix bewustwording gevoelige elektronische gegevens
Auteur: Peter van de Fliert (KPMG) Copyright: Programma Kwint
Kwint is het nationaal programma van overheid en bedrijfsleven om veilig en betrouwbaar internetten te stimuleren. Hoewel bij de samenstelling en ontwikkeling van Matrix bewustwording gevoelige elektronische gegevens grote zorgvuldigheid is betracht, kunnen het programma Kwint, het programmabureau (ECP.NL) en de opdrachtgever (Ministerie van Economische Zaken) geen aansprakelijkheid aanvaarden voor schade, van welke aard ook, die het directe of indirecte gevolg is van handelingen en/of beslissingen die (mede)gebaseerd zijn op Matrix bewustwording gevoelige elektronische gegevens vervatte informatie. Overname toegestaan met de volgende bronvermelding: Matrix bewustwording gevoelige elektronische gegevens In opdracht van Programma Kwint (www.kwint.org )
22
Bewustwording gevoelige elektronische gegevens datum: 11 juni 2003 auteur: Peter van de Fliert (KPMG) voor Programma Kwint De onderstaande tabel is een samenvatting van de uitgebreide vragenlijst bewustwording informatiebeveiliging, met dien verstande dat de gradaties "hoeveelheid gegevens" en "mate van schade" hieronder zijn weggelaten. De matrix kan worden ingevuld door in feite de volgende vraag te stellen: Is het "erg" indien de gegevens uit de linkerkolom op de verschillende genoemde plaatsen (internet PC, E-mail, op de thuiswerkplek of op de website "niet beschikbaar zijn gedurende x uren", "veranderd worden door onbevoegden" of "openbaar gemaakt worden door onbevoegden"? Alleen als het erg is hoeft een kruisje te worden gezet. Eventueel kan een eigen systeem worden bedacht om een bepaalde gradatie aan te brengen zoals een cijfer of +/- of H(oog)/M(idden)/L(aag).
openbaar
veranderd
Website niet beschikbaar
openbaar
veranderd
niet beschikbaar
Thuiswerk
openbaar
veranderd
E-mail niet beschikbaar
openbaar
veranderd
niet beschikbaar
Internet PC
Adresgegevens bedrijf Klantgegevens Personeelsgegevens Financiële gegevens Bedrijfsgeheimen Ondernemingsplannen Afspraken / planning Overig, nl.:
23
Top 10 beveiligingsmaatregelen voor het MKB
24
Top 10 beveiligingsmaatregelen voor het MKB
Auteur:
Peter van de Fliert (KPMG) Jacob Boersma (ECP.NL) Programma Kwint Copyright: Programma Kwint
Kwint is het nationaal programma van overheid en bedrijfsleven om veilig en betrouwbaar internetten te stimuleren. Hoewel bij de samenstelling en ontwikkeling van Top 10 beveiligingsmaatregelen voor het MKB grote zorgvuldigheid is betracht, kunnen het programma Kwint, het programmabureau (ECP.NL) en de opdrachtgever (Ministerie van Economische Zaken) geen aansprakelijkheid aanvaarden voor schade, van welke aard ook, die het directe of indirecte gevolg is van handelingen en/of beslissingen die (mede)gebaseerd zijn op Top 10 beveiligingsmaatregelen voor het MKB vervatte informatie. Overname toegestaan met de volgende bronvermelding: Top 10 beveiligingsmaatregelen voor het MKB In opdracht van Programma Kwint (www.kwint.org )
25
KWINT Compact Product Communicatie Advies voor intermediaire organisaties Producttite l
Top 10 beveiligingsmaatregelen voor het MKB Overzicht van direct toepasbare preventieve maatregelen op het gebied van internet- en informatiebeveiliging Noot Dit product kan het beste een rol spelen in samenhang met de Kwint Checklist Gegevensclassificatie en met de Kwint Awareness Vragenlijst. Productverschijningsvorm Informatief overzicht in tabelvorm; als drukwerk (-kaart), zelfstandige uitgave of als onderdeel van een grote (instructief) geheel danwel als webpagina. Productdoelstelling Bevorderen bewustwording bij MKB-ondernemers van beschikbaarheid van direct toepasbare maatregelen Communicatiedoelstelling Internetbeveiliging is goed te doen; de voornaamste maatregelen zijn direct uitvoerbaar zonder specialistische kennis en noodzakelijke of geadviseerde hulpmiddelen zijn eenvoudig verkrijgbaar; de ondernemersverantwoordelijkheid voor internetveiligheid is haalbaar; beveiliging is geen reden om de inzet van internet in de bedrijfsvoering te beperken of uit te stellen. Communicatiedoelgroepen • Einddoelgroepen • MKB-ondernemers in de (agrarische) productiesectoren, in de groot- en tussenhandel en de detailhandel, in de transportsector en de zakelijke dienstverlening • Beoefenaren van vrije beroepen • Zelfstandig gevestigde beoefenaren van (para-) medische beroepen • Intermediaire doelgroepen • Branche- en beroepsorganisaties • Bedrijfsadvisering • Na- en bijscholing • Vakmediaredacties • Dienstverlenende en adviserende organisaties en personen (accountants, administratiekantoren etc.) Communicatiemedia • Vakmedia (gedrukt en digitaal) • Cursusmedia • Bedrijfsadviezen • Branche-evenementen Communicatiestrategie Het overzicht wordt ruim beschikbaar gesteld aan media in hoofdlijnen en beroeps- en brancheorganisaties om hiermede te bevestigen dat veel beveiliginsmaatregelen eenvoudig toepasbaar zijn; de branche- en beroepsorganisaties zijn door de publiciteit vanuit Kwint genoodzaakt er aandacht aan te besteden; de actualisering en herhaling over een jaar dwingt de branche-organisaties de ledenpeiling uit te voeren; de branchemedia kunnen niet anders dan de bekendheid ondersteunen, om te voorkomen dat de bederijfstak of beroepsgroep publiekelijk bekend wordt als achterlopend op het gebied van internetbeveiliging. Communicatieactiviteiten
26
van Programmabureau Kwint
van Intermediaire organisatie
Nader Pakket van Eisen Rechten
Eenheid van Inhoud
Beeldmerk
Programmabureau Kwint brengt het overzicht onder de aandacht van zoveel mogelijk branche- en beroepsorganisaties; zoveel mogelijk gezamenlijk met de in de Noot genoemde andere Kwintproducten; Programmabureau Kwint bevordert dat de intermediaire organisaties door middel van onderzoek/ledenpeiling nieuwe (bedrijfstakspecifieke) beveiligingsmaatregelen introduceren; Kwint publiceert over een jaar een actualisering en branche-benchmark. Organisaties publiceren het overzicht in hun vak- en branchemedia; Organisaties gebruiken het overzicht ter bevordering van de awareness bij de leden Organisaties bevorderen dat het overzicht tot de vaste bagage behoort van bedrijfsadviseurs/consulenten om hiermede de discussie over bewustwording en verantwoordelijkheid rond informatie- en internetbeveiliging te bevorderen. Organisaties peilen door ledencontacten of door middel van gestructureerd onderzoek welke maatregelen het meest succesvol zijn en/of welke nieuwe (bedrijfstakspecifieke) maatregelen aan het overzicht toegevoegd kunnen worden.
Dit product (cq de inhoud van dit product) is vrij van rechten te gebruiken, te vermenigvuldigen en te distribueren door organisaties die daarvoor schriftelijk toestemming verkregen hebben van het Programmabureau Kwint / ECP.NL en mits uitvoering wordt gegeven aan hiernavolgende nadere eisen. De inhoud van dit product, te weten de tekst, de eventuele illustraties, de structuur van het geheel en van de onderdelen, of welk detail dan ook, mag niet gewijzigd, aangevuld of verwijderd worden, zonder voorafgaand verleende schriftelijke toestemming van het Programmabureau Kwint / ECP.NL. Het product mag alleen gebruikt, vermenigvuldigd en gedistribueerd worden als aan het product onlosmakelijk verbonden zijn: • het Kwint-beeldmerk • de Kwint-vrijwaringstekst (de disclaimer)
27
De top 10 beveiligingsmaatregelen voor het MKB Auteur: KWINT PG Beveiligingsbeleid en –maatregelen Datum: juni 2003 Deze maatregelen zijn de gereedschappen waarmee beveiliging plaats kan vinden. Hieronder vindt u een overzicht van de 10 belangrijkste maatregelen die de MKB ondernemer kunnen helpen bij de beveiliging van zijn organisatie.
# Maatregel
Frequentie
Voorbeeld
1 Opstellen en implementeren van beveiligingshuisregels internetten en een stappenplan voor de implementatie van de maatregelen. 2 Toewijzen van verantwoordelijkheid voor beveiliging 3 Lid worden van een waarschuwingsdienst
Eens per jaar
Zie het Model Beveiligingshuisregels voor het MKB, ontwikkeld door KWINT.
Eenmalig
4 Tijdig installeren van softwarereparaties die zijn verkregen van een betrouwbare bron
Meteen na beschikbaarstelling
5 Installeren, instellen en up-t o-date houden van virusscanners
Installeren eenmalig. Up-t o-date houden bij voorkeur automatisch dagelijks Installeren eenmalig. Logboek bekijken: zo vaak als mogelijk
Directeur, hoofd automatisering, hoofd administratie www.waarschuwingsdienst.nl (gratis) www.govcert.nl (overheidssector) www.uni-cert.nl (gebruikers KPN netwerk) Softwarereparaties zijn bijv. updates van de softwareleverancier. Voorbeeld: windowsupdate.microsoft.com voor Microsoft Windows updates Zie antivirus.pagina.nl onder ‘Antivirussoftware’ voor een overzicht van virusscanners
6 Installeren en up-to-date houden van firewall(s), alsmede het regelmatig bekijken van het logboek van de firewall(s) 7 Fysieke beveiliging van de computerapparatuur 8 Frequent maken en testen van kopieën en deze op een veilige plek opbergen
9 (Externe) ontwikkelaars van bedrijfswebsite wijzen op belang van beveiliging in de ontwerpfase 10 Laat de beveiliging testen door een vertrouwd iemand die onafhankelijk is van degene die verantwoordelijk is voor de beveiliging
Eenmalig, daarna de meldingen lezen per e-mail.
Zonealarm firewall (gratis: www.zonelabs.com)
Continu
Goede sloten op deuren en ramen computerruimte. Sloten aan laptops en vaste PC’s. Kopie maken: Belangrijke bestanden en wekelijks (dagelijks bij correspondentie op CD branden en belangrijke elders (in kluis, bij directeur thuis, bij systemen). Testen bank) bewaren van kopie: af en toe Bij ontwerp en update Gebruik maken van websitebouwers die van de nadrukkelijk naar veiligheid kijken bedrijfs website Eens per jaar, of na Bijvoorbeeld door een bevriende grote systeembeheerder of automatisch via systeemwijzigingen een vertrouwde dienst op Internet (Shields Up op www.grc.com of HackYourself op www.hackerwhacker.com)
28