INFORMATIEBEVEILIGING EEN COMPLEXE PUZZEL?
Gerard Stroeve CISSP CISM CISA SBCI Manager Security & Continuity Services
@Gerard_Stroeve
INFORMATIEBEVEILIGING
•
Informatie
INFORMATIEBEVEILIGING
•
Doel
Informatie
Vertrouwelijkheid
Integriteit
Beschikbaarheid
INFORMATIEBEVEILIGING
•
Dreigingen en kwetsbaarheden
Vertrouwelijkheid
Integriteit
IMPACT
Beschikbaarheid
INFORMATIEBEVEILIGING
•
Impact • • • • • •
Operationeel
Financieel Juridisch Politiek Maatschappelijk Imago
INFORMATIEBEVEILIGING
•
Dilemma
Kosten
Baten
INFORMATIEBEVEILIGING
•
Wet- en regelgeving • • • • •
Wbp Wet BRP VIR / VIR-BI
ISO 27001 / 27002 Baseline IB Gemeenten
INFORMATIEBEVEILIGING
Informatie stromen
Eisen en wensen klanten
Wet- en regelgeving
Beleid
ISMS inrichting Cultuur
• IB
Dreigingen Kwetsbaar heden
Classificatie
VIB
Risicoanalyse
Beveiligings plan
PLAN ACT
ISMS
DO
Implementatie
CHECK Maatre Maatregel gel / procedure proced ure
Maatre Maatregel gel / procedure proced ure
Maatre Maatregel gel / procedure proced ure
Maatre Maatregel gel / procedure proced ure
Maatre Maatregel gel / procedure proced ure
Maatre Maatregel gel / procedure proced ure
Maatre Maatregel gel / procedure proced ure
Maatre Maatregel gel / procedure proced ure
Maatre Maatregel gel / procedure proced ure
Maatre Maatregel gel / procedure proced ure
Maatre Maatregel gel / procedure proced ure
Maatre Maatregel gel / procedure proced ure
Maatre Maatregel gel / procedure proced ure
Maatre Maatregel gel / procedure proced ure
INFORMATIEBEVEILIGING
•
Beveiligingsmaatregelen
Maatre gel / proced ure
Maatre gel / proced ure
Maatre gel / proced ure
Maatre gel / proced ure
Maatre gel / proced ure
Maatre gel / proced ure
Organisatie
Mens
Techniek Maatre gel / proced ure
Maatre gel / proced ure
Maatre gel / proced ure
Maatre gel / proced ure
Maatre gel / proced ure
Maatre gel / proced ure
Maatre gel / proced ure
Maatre gel / proced ure
Maatre gel / proced ure
Maatre gel / proced ure
Maatre gel / proced ure
Maatre gel / proced ure
Maatre gel / proced ure
Maatre gel / proced ure
Maatre gel / proced ure
Maatre gel / proced ure
Maatre gel / proced ure
Maatre gel / proced ure
Maatre gel / proced ure
Maatre gel / proced ure
Maatre gel / proced ure
Maatre gel / proced ure
Maatre gel / proced ure
Maatre gel / proced ure
Maatre gel / proced ure
Maatre gel / proced ure
Maatre gel / proced ure
Maatre gel / proced ure
Maatre gel / proced ure
Maatre gel / proced ure
Beleid
Informatie stromen
Eisen en wensen klanten
IB
Wet- en regelgeving
Cultuur
INFORMATIEBEVEILIGING Dreigingen Kwetsbaar heden
Classificatie
VIB
Risicoanalyse
Beveiligings plan
PLAN Change / Verbeter voorstel
ACT
ISMS
DO
Implementatie
CHECK Security Forum
Controle op naleving Beoordeling effectiviteit
Maatre Maatregel gel / procedure proced ure
Maatre Maatregel gel / procedure proced ure
Maatre Maatregel gel / procedure proced ure
Maatre Maatregel gel / procedure proced ure
Maatre Maatregel gel / procedure proced ure
Maatre Maatregel gel / procedure proced ure
Maatre Maatregel gel / procedure proced ure
Maatre Maatregel gel / procedure proced ure
Maatre Maatregel gel / procedure proced ure
Maatre Maatregel gel / procedure proced ure
Maatre Maatregel gel / procedure proced ure
Maatre Maatregel gel / procedure proced ure
Maatre Maatregel gel / procedure proced ure
Maatre Maatregel gel / procedure proced ure
INFORMATIEBEVEILIGING
•
De beveiligingskubus
Ongeautoriseerde toegang ruimten
Informatiebeveiliging Dumpster Diving Lekken door medewerkers
Afluisteren Fraude
Onzorgvuldigheid
Foutieve invoer
Storing apparatuur
Ongeautoriseerde systemen
Cyber Security
Hacking
Delen van wachtwoorden Social Engineering
Piggybacking
Virus SQL-injection
Gegevens manipulatie
Ziekte Staking
Interne hack
IT Security
Stroomstoring Brand
Delen van sleutels
Wateroverlast
Shoulder surfing Diefstal
Kabelbreuk
Malware
Brute Force
Cross-site Scripting Spyware
DDoS-aanval
Phishing
ETHICAL HACKING
Elger Jonker MISD CEH Security Test specialist
ETHICAL HACKERS…
AT CENTRIC??!!
Respect for - Privacy - Confidentiality - System integrity - Legal boundaries
Strict rules - Only after authorization - Not part of underground - Not mailicious
With findings - Disclosure - Knowledge sharing
Life rules - World improvement - Access to computers - Knowledge is free - Decentralization
ETHICAL HACKERS HACKING BLUE TEAM
AUTOMATION ADVICE
MARKETING AD-HOC
SECURITY TESTS
FISHING PR
CONFERENCES
VULNERABILITY SCANS COMMUNICATION
CONSULTANCY
TRAININGS 3/26/2015
RED TEAM 17
Bron: http://eindpunt.blogspot.nl
PASSWORD POLICY password, 123456, 12345678, 1234, qwerty, 12345, dragon, baseball, football, letmein, monkey, abc123, mustang, michael, shadow, master, jennifer, 111111, 2000, jordan, superman, harley, 1234567, hunter, trustno1, ranger, buster, thomas, tigger, robert, soccer, batman, test, pass, killer, hockey, george, charlie, andrew, michelle, love, sunshine, jessica, pepper, daniel, access, 123456789, 654321, joshua, maggie, starwars, silver, william, dallas, yankees, 123123, ashley, 666666, hello, amanda, orange, biteme, freedom, computer, sexy, thunder, nicole, ginger, heather, hammer, summer, corvette, taylor, austin, 1111, merlin, matthew, 121212, golfer, cheese, princess, martin, chelsea, patrick, richard, diamond, yellow, bigdog, secret, asdfgh, sparky, cowboy, camaro, anthony, matrix, falcon, iloveyou, bailey, guitar, jackson, purple, scooter, phoenix, aaaaaa, morgan, tigers, porsche, mickey, maverick, cookie, nascar, peanut, justin, 131313, money, samantha, panties, steelers, joseph, snoopy, boomer, whatever, iceman, smokey, gateway, dakota, cowboys, eagles, chicken, black, zxcvbn, please, andrea, ferrari, knight, hardcore, melissa, compaq, coffee, booboo, johnny, bulldog, xxxxxx, welcome, james, player, ncc1701, wizard, scooby, charles, junior, internet, mike, brandy, tennis, banana, monster, spider, lakers, miller, rabbit, enter, mercedes, brandon, steven, fender, john, yamaha, diablo, chris, boston, tiger, marine, …
TOT SLOT
TOT SLOT
•
Security heeft aandacht leveranciers en verwerkers
•
Securityproblemen gevonden? Laat het ons weten
• •
Vragen over security binnen Centric-applicaties? Neem contact op met de productmanager Meer weten over onze dienstverlening? Neem contact op via
[email protected]
DE 10 MEEST KRITISCHE SUCCESFACTOREN
INFORMATIEBEVEILIGING
•
De 10 meest kritische succesfactoren
Klik hier voor de animatie
DIENSTVERLENING •
•
Centric levert hoogwaardige dienstverlening op het informatiebeveiliging, privacy en continuïteitmanagement.
gebied
van
Kenmerkend voor onze aanpak is dat wij breder kijken dan slechts de technische aspecten van informatiebeveiliging. In onze visie is het essentieel ook organisatorische, procedurele en fysieke aspecten in de aanpak te betrekken en bewustzijn rondom informatiebeveiliging te creëren en te borgen.
•
Stuur voor meer informatie een berichtje naar
[email protected]
•
Lees onze speciale blogs over informatiebeveiliging: http://bit.ly/19uRoXp
Management consultancy Informatiebeveiliging o Implementatie ISO27001/2 o Risicoanalyse o Opstellen informatiebeveiligingsbeleid o Procesinrichting ISMS o Opstellen beveiligingsplan o Implementatie van beheersmaatregelen o Cloud Security Assessment (4C) Continuïteitsmanagement o Business Impact Analyses o Business Continuity Planning o Crisis Management Testing
Penetration testing Ethical Hacking o Network Security Scan - intern o Network Security Scan - extern o Application Security Test Social Engineering o Social Engineering Test Fysieke beveiliging en naleving o Security Site Visit
Bewustwording en training Operationele ondersteuning Informatiebeveiliging o Security Monitoring o Security Inform. Event Mgt. (SIEM) o Security Incident Response Continuïteitsmanagement o Managed Backup Service
IT Sec producten en diensten Informatiebeveiliging o Data encryptie o Logging & Auditing o Identity & Access Management o Anti-virus & Anti-Spam o (Web) Application Security o Mobile Security o Firewall & Intrusion Prevention o Secure Data Exchange Continuïteitsmanagement o Escrow voorzieningen o Backup Services o Disaster Recovery Services
Bewustwording o Security Awareness Programma’s o Security Awareness Training Training o Masterclass Continuïteitsmanagement o Masterclass Information Security o Workshop IB voor beheerders
[email protected]
INFORMATIEBEVEILIGING EEN COMPLEXE PUZZEL?
WIJ ONDERSTEUNEN U GRAAG!
[email protected]