Introductie Informatiebeveiliging
SYSQA B.V. Almere
Datum : 25 april 2013 Status : Definitief Opgesteld door :
Organisatie: Titel Onderwerp
SYSQA B.V. Introductie informatiebeveiliging
Pagina Versie Datum
2 van 13 1.0 24-04-12
Inhoudsopgave 1
Leeswijzer ............................................................................................................... 3
2
Inleiding ................................................................................................................... 4
3
Wat is informatiebeveiliging ............................................................................. 5 3.1 3.2 3.3
4
Informatiebedreiging .......................................................................................... 7 4.1 4.2 4.3
5
Stakeholders vaststellen ............................................................................................ 9 Risico-analyse: kwalitatief of kwantitatief .............................................................. 9 Schade .......................................................................................................................... 10 Risicostrategieën ........................................................................................................ 10
Maatregelen voor informatiebeveiliging .....................................................11 6.1 6.2 6.3 6.4 6.5
7
Kwetsbaarheid van de organisatie ........................................................................... 7 Veranderende eisen ..................................................................................................... 7 Beveiligingsbeleid ........................................................................................................ 7
Risicomanagement ............................................................................................... 9 5.1 5.2 5.3 5.4
6
Definitie informatiebeveiliging .................................................................................. 5 Beveiligde informatie .................................................................................................. 6 Beveiliging doorbroken ............................................................................................... 6
Soorten maatregelen ................................................................................................ 11 Toetsen en Testen van beveiliging ......................................................................... 11 Richtlijnen informatiebeveiliging ............................................................................ 12 Incident management ............................................................................................... 12 Slot ................................................................................................................................ 12
Bronvermelding ....................................................................................................13
Almere © 2013
Proud of it
Organisatie: Titel Onderwerp
SYSQA B.V. Introductie informatiebeveiliging
Pagina Versie Datum
3 van 13 1.0 24-04-12
1 Leeswijzer Sysqa is een onafhankelijke organisatie, gespecialiseerd in het toepassen van kwaliteitsmanagement in ICT. Binnen kwaliteitsmanagement is er ook aandacht voor informatiebeveiliging. Daarom heeft de expertisegroep informatiebeveiliging informatie gebundeld tot diverse documenten welke beschikbaar zijn gesteld op de kennisbank van Sysqa zie: http://www.sysqa.nl/expertise/kennisbank/ Deze introductie maakt u bekend met de begrippen en de belangrijkste aspecten van informatiebeveiliging. Voor verdieping raadpleegt u de onderliggende documenten op de kennisbank van Sysqa. Hieronder ziet u schematisch de relatie tussen de beschikbare documenten.
Introductie Informatiebeveiliging
Basiskennis Informatiebeveiliging
Informatiebeveiliging voor Requirementsanalist
Informatiebeveiliging voor Testmanagement
Informatiebeveiliging voor Functioneel Beheer
Almere © 2013
Informatiebeveiliging voor Kwaliteitsmanager
Proud of it
Organisatie: Titel Onderwerp
SYSQA B.V. Introductie informatiebeveiliging
Pagina Versie Datum
4 van 13 1.0 24-04-12
2 Inleiding In mei van het jaar 1999 stond in een populair wetenschappelijk jongerenblad een artikel waarin werd gesteld dat Hackers niet te stuiten zijn. Een Hacker zou slim, creatief, hondsbrutaal en in staat zijn om elk computernetwerk te kunnen binnentreden. Nu, bijna 14 jaar later stelt Shawn Henry, hoofd van de cyberafdeling van de FBI in een interview met de Wall Street Journal, dat ‘Overheden en bedrijven de strijd verliezen tegen hackers vanwege een gebrek aan maatregelen en besef’. Hij pleit voor grote veranderingen bij bedrijven en organisaties in de manier waarop zij hun netwerk en systemen beveiligen zodat verdere schade aan de nationale veiligheid en de economie voorkomen kan worden. Meesterhacker Kevin Mittnick geeft toe zelf de meeste ‘hacks’ te zetten middels social engineering, het verkrijgen van wachtwoorden en andere informatie door zich betrouwbaar voor te doen. Een organisatie kan zich met eenvoudige middelen beschermen tegen ‘social engineering’. Zonder te vervallen in techniek of procedures is bewustwording in elke laag van de organisatie cruciaal voor informatiebeveiliging. Veel organisaties hebben informatie onvoldoende beveiligd laat staan dat dit ingebed is binnen de organisatie. De verantwoordelijkheid voor informatiebeveiliging ligt dus bij iedere werknemer binnen een organisatie. De volwassenheid van informatiebeveiliging is in veel organisaties nog onder het gewenste of noodzakelijke niveau. Op dit moment is de aandacht voor het vakgebied groot aangezien de risico’s voor de gevolgen van een gebrekkig informatiebeveiligingsplan een enorme impact kunnen hebben. De farmaceutische industrie heeft veel vooruitgang geboekt met kwaliteitsmaatregelen tegen de bijwerkingen van medicijnen. De geaccepteerde foutmarge voor een medicijn moet nihil zijn. Net zo worden de gevolgen van gebrekkige informatiebeveiliging steeds minder geaccepteerd door stakeholders en komen daardoor wekelijks organisaties negatief in het nieuws als gevolg van te ruime foutmarges in de aanpak om informatie te beveiligen. Wie is verantwoordelijk voor informatiebeveiliging? U als CEO, CIO, functioneel beheerder, informatieanalist, servicedeskmedewerker, tester of welke functie of rol u heeft, moet vanuit uw expertise bijdragen aan informatiebeveiliging in uw eigen organisatie. Deze introductie in informatiebeveiliging geeft u een eerste handvat de ‘security’ van informatiesystemen in uw eigen omgeving of organisatie te verbeteren en daarmee de beschikbaarheid, integriteit en vertrouwelijkheid van informatie te waarborgen voor alle stakeholders.
Almere © 2013
Proud of it
Organisatie: Titel Onderwerp
SYSQA B.V. Introductie informatiebeveiliging
Pagina Versie Datum
5 van 13 1.0 24-04-12
3 Wat is informatiebeveiliging In dit hoofdstuk worden verschillende definities en begrippen op hoofdlijnen besproken. Informatie is een breed begrip dat op verschillende manieren kan worden uitgelegd. Gegevens kunnen gezien worden als de waarneembare weergave van feiten in een opslagplaats. Informatie daarentegen is de betekenis, die de mens aan de hand van bepaalde afspraken aan gegevens toekent, of de kennistoename als gevolg van het ontvangen en verwerken van bepaalde gegevens. Zie hiervoor Basiskennis Informatiebeveiliging hoofdstuk 4. Hoe beveilig je deze informatie?
3.1 Definitie informatiebeveiliging Informatiebeveiliging is het geheel van maatregelen om de betrouwbaarheid, integriteit en vertrouwelijkheid te waarborgen. Hieronder verstaan we elke vorm van procedures en processen die de beschikbaarheid, exclusiviteit en integriteit van alle vormen van informatie binnen een organisatie of een maatschappij garanderen. Dit betekent dat alle reducerende (beperken), preventieve (voorkomen), detectieve (signaleren), repressieve (onderdrukken) en correctieve (aanpassen van) maatregelen hiertoe behoren. Voorwaarde is dat deze als doel hebben de continuïteit van de informatie en de informatievoorziening te waarborgen en de eventuele gevolgen van incidenten tot een acceptabel niveau te accepteren, beperken of verzekeren.
Informatie die kostbaar is voor een organisatie of individu dient beveiligd te worden. Deze maatregelen worden gevat onder het begrip informatiebeveiliging. In bovenstaand figuur ziet u hoe verschillende maatregelen in relatie staan tot een dreiging en een incident.
Almere © 2013
Proud of it
Organisatie: Titel Onderwerp
SYSQA B.V. Introductie informatiebeveiliging
Pagina Versie Datum
6 van 13 1.0 24-04-12
3.2 Beveiligde informatie Om informatie als waardevol en bruikbaar te kunnen beoordelen zijn drie aspecten van belang. Informatie moet beschikbaar, integer en vertrouwelijk (BIV) zijn. Dit betekent dat tijdigheid, continuïteit en robuustheid gewaarborgd moeten zijn om informatie beschikbaar te stellen op het moment dat een belanghebbende deze nodig heeft. Voor het garanderen van integere informatie moet de informatie actueel en zonder fouten zijn. Door ongeautoriseerd gebruik te voorkomen is ook de vertrouwelijkheid gewaarborgd. Zo is informatie beveiligd.
3.3 Beveiliging doorbroken Indien inbreuk is gemaakt op een van de drie BIV elementen van informatie is er sprake van een incident of verstoring. Informatiebeveiliging is een cyclus die continu doorlopen moet worden. Elk jaar dient het beleid voor informatiebeveiliging te worden getoetst aan de uitkomsten van de risicoanalyse ter controle of dit beleid afdoende is. Mogelijk dient het beleid met bijpassende maatregelen gecorrigeerd te worden. De preventieve maatregel die vandaag wordt genomen tegen een bedreiging kan toch onvoldoende zijn voor een toekomstige verstoring. Indien deze verstoring plaatsvindt én wordt gedetecteerd kan men repressieve maatregelen treffen om de schade te beperken. Daarna kan de schade pas hersteld worden.
Almere © 2013
Proud of it
Organisatie: Titel Onderwerp
SYSQA B.V. Introductie informatiebeveiliging
Pagina Versie Datum
7 van 13 1.0 24-04-12
4 Informatiebedreiging 4.1 Kwetsbaarheid van de organisatie Informatie en de ondersteunende processen, systemen en netwerken zijn belangrijke bedrijfsmiddelen. Organisaties en hun informatiesystemen en netwerken worden geconfronteerd met beveiligingsrisico’s uit allerlei menselijke en niet-menselijke bronnen, waaronder computerfraude, spionage, sabotage, vandalisme, brand en overstromingen. Oorzaken van schade zoals virussen, computer hacking en DDOS*-aanvallen (*=‘weigeren-van-dienst´) komen steeds vaker voor en zijn professioneler en vernuftiger van aard.
4.2 Veranderende eisen Veel informatiesystemen zijn ontworpen met het oog op functionaliteit. Hierdoor staan vaak de niet-functionele requirements onder druk wat ten koste kan gaan van de veiligheid. Daarom is het noodzakelijk vanaf het begin van een ontwikkeltraject beveiligbaarheid mee te nemen als requirement. Ook bij onderhoud van bestaande systemen is de aandacht voor informatiebeveiliging onderbelicht terwijl juist bij onderhoudsmatige werkzaamheden ook beveiliging verbeterd kan worden. Gaat men achteraf informatiebeveiliging inbouwen in de bestaande architectuur dan vergt dit veelal een grote investering en kan dit een grote impact hebben op de bestaande architectuur. Zie ook Informatiebeveiliging voor Requirementsanalist. Informatiebeveiliging kan het meest doeltreffend en efficiënt worden geïmplemen-teerd wanneer hier aan het begin van de systeemontwikkeling aan wordt gewerkt. Dit is vergelijkbaar met de ontwikkeling van de automobiel aan het eind van de 19 e eeuw waarbij kort na het realiseren van de eerste auto het gemotoriseerd rijden belangrijker was dan de veiligheid. Het achteraf inbouwen van een airbag in een T-Ford maakt dit nog niet tot een veilige auto. De belanghebbenden bij systeemontwikkeling dienen al oog te hebben voor de veiligheidsrisico’s en de mogelijkheden informatiebeveiliging tijdens de requirementsfase. Hiermee wordt voorkomen dat incidenten uit productie zorgen voor ad-hoc aanpassingen. Het risico bestaat namelijk dat het systeem en de architectuur middels een compromis ipv een gewenste keuze wordt geïmplementeerd.
4.3 Beveiligingsbeleid In de praktijk zijn eisen voor informatiebeveiliging veelal onduidelijk voor de belanghebbenden. Daarom wordt veelvuldig gebruik gemaakt van expertise om te bepalen wat de huidige situatie (Ist) en de gewenste situatie voor informatiebeveiliging moet zijn (Soll). Het management van de organisatie dient op basis van deze uitkomsten aan te geven waar de prioriteiten liggen en beleid uit te zetten waarmee structureel vorm kan worden gegeven aan de implementatie van informatiebeveiliging in de organisatie. Zie voor informatie hierover Informatiebeveiliging voor Kwaliteitsmanager.
Almere © 2013
Proud of it
Organisatie: Titel Onderwerp
SYSQA B.V. Introductie informatiebeveiliging
Pagina Versie Datum
8 van 13 1.0 24-04-12
Er dient door het management richting te worden gegeven aan het beleid zodat bijvoorbeeld een keuze kan worden gemaakt voor facilitaire maatregelen zoals fysieke toegangscontrole tot het pand. Daaruit kan ook volgen dat er wordt gekozen om toegang tot applicaties door functioneel beheer via autorisaties te laten lopen. De beveiliging die met technische middelen kan worden bereikt is beperkt en behoort daarom te worden ondersteund door geschikt beheer en geschikte procedures. Bepalen welke beheersmaatregelen behoren te worden ingesteld, vereist een zorgvuldige planning en aandacht voor detail. Modellen voor deugdelijk functioneel beheer, zoals BiSL, stellen terecht dat de functioneel beheerder de Betrouwbaarheid en Integriteit dient te waarborgen. Zie voor meer informatie Informatiebeveiliging voor Functioneel Beheer. Het beheren van informatiebeveiliging vereist de inzet van alle medewerkers van de organisatie. Bovendien kan deelname van leveranciers, klanten of andere externe partijen vereist zijn. Dat betekent dat al in een vroeg stadium van systeemontwikkeling (requirementsmanagement en ontwikkeling) aandacht moet zijn voor alle relevante stakeholders zodat het niet functionele requirement beveiligbaarheid op de juiste manier geïmplementeerd wordt. Het OSI-model geeft inzicht op welke lagen informatieoverdracht plaatsvindt. Op elke laag kan namelijk de beschikbaarheid, integriteit of vertrouwelijkheid worden aangetast. Dit model kan betrokkenen eenvoudig laten zien op welke lagen informatie wordt uitgewisseld. Voor het vormgeven van het beleid kan dit helpen bij het kiezen van de laag waarop beveiligingsmaatregelen worden toepast.
Almere © 2013
Proud of it
Organisatie: Titel Onderwerp
SYSQA B.V. Introductie informatiebeveiliging
Pagina Versie Datum
9 van 13 1.0 24-04-12
5 Risicomanagement 5.1 Stakeholders vaststellen Het bepalen van de juiste mate van beveiliging van informatie moet in overleg met de gebruikers van deze informatie. Deze kunnen aanduiden welke risico’s er kunnen optreden en hoe groot de kans op die risico’s is. Het is belangrijk alle relevante stakeholders hierin te betrekken. Een CEO zal zich waarschijnlijk zorgen maken over het imago indien klantgegevens op straat terecht kunnen komen, een systeembeheerder daarentegen zal kijken naar de beveiligbaarheid van de serverruimte terwijl een key-user de nadruk legt op de autorisaties van personen voor het verrichten van bijvoorbeeld financiële transacties.
5.2 Risico-analyse: kwalitatief of kwantitatief Er worden in de literatuur twee methodes beschreven: de kwantitatieve en de kwalitatieve risico-analyse. Voordat maatregelen worden genomen dienen de risico´s te worden geïdentificeerd. Hiervoor geldt de formule Risico = Kans * Schade. Hierbij wordt de kans ook bepaald door de frequentie van het gebruik. Het verkrijgen van inzicht in de risico’s is mogelijk met de risico-analyse. De risico-analyse: Identificeert de waarde van de bedrijfsmiddelen (assets); Stelt de kwetsbaarheden en dreigingen vast; Bepaalt het risico dat een dreiging werkelijkheid wordt waardoor het bedrijfsproces verstoord kan worden; Geeft inzicht in het bepalen van het evenwicht tussen kosten van een incident en de kosten van een beveiligingsmaatregel. De kwantitatieve risico-analyse probeert op basis van risicowaardering te berekenen hoe groot de kans is dat een dreiging een incident wordt, en wat de financiële gevolgen zijn indien het incident zich voordoet. Als eerste wordt voor alle elementen in een bedrijfsproces de waarde vastgesteld. Deze waarden hebben ook betrekking op eigendommen zoals gebouwen en hardware maar ook op de kosten van beveiligingsmaatregelen en de bedrijfsmatige impact. Tevens wordt hierbij de factor tijd meegewogen. Hierdoor wordt het inzichtelijk hoeveel tijd er verstrijkt voordat de dreiging uitkomt. De impact maal de frequentie in een tijdsspanne resulteert in een beeld van het mogelijke financiele risico. Op basis van deze uitkomst kan worden bepaald of de maatregelen in verhouding staan met het risico. In dit proces wordt dus vooral gerekend met de betrokkenen. De kwalitatieve risico-analyse gaat uit van scenario’s en situatie. Hierbij worden de kansen dat een dreiging uitkomt ‘bekeken’ op gevoel. Daarna worden het bedrijfsproces en de huidige maatregelen geanalyseerd. Indien de betrokkenen oordelen dat er een gevoel is van een dreiging kan worden vastgesteld welke maatregelen effectief zijn. Aan te bevelen is om deze analyse in groepsverband uit te voeren zodat er een breed draagvlak voor de uitkomst ontstaat. Bij de kwalitatieve risico-analyse wordt vooral gediscussieerd met de betrokkenen. Het streven van beide analyses is wel dat de kosten van de maatregelen in overeenstemming zijn met de waarde van het te beveiligen object. Beide risicoanalyses moeten ook periodiek worden uitgevoerd zodat huidige maatregelen heroverwogen kunnen worden en afgestemd zijn op de risico’s.
Almere © 2013
Proud of it
Organisatie: Titel Onderwerp
SYSQA B.V. Introductie informatiebeveiliging
Pagina Versie Datum
10 van 13 1.0 24-04-12
5.3 Schade Het meetbaar maken van schade geeft grip op het nemen van de juiste maatregelen zodat bepaald kan worden of de maatregelen passen bij het risico. Hierbij wordt het onderscheid gemaakt in directe schade en indirecte schade. Directe schade omvat schade aan rechtstreeks getroffenen, zoals personen, apparatuur, programmatuur, gegevensverzamelingen en gebouwen. Met indirecte schade wordt bedoeld gevolgschade, dit kunnen bijvoorbeeld zijn: verstoring van bedrijfsprocessen, het overtreden van wetten of verlies van opdrachten en imagoschade. De schade kan worden verdeeld in Jaarlijkse Schade Verwachting (JSV) en Enkelvoudige Schade Verwachting (ESV). Hierbij is enkelvoudige schadeverwachting de schade van een incident dat eenmalig optreedt. De jaarlijkse schadeverwachting is de gemiddelde hoeveelheid schade, in geld uitgedrukt, die door een incident in een jaar kan optreden. Zie voor meer informatie hierover: ‘Basiskennis beveiligen van informatie hoofdstuk 5.6’.
5.4 Risicostrategieën Een risicostrategie is het resultaat van risicomanagement en bevat het proces om van dreiging naar risico’s tot de beveiligingsmaatregelen te gaan. Risicomanagement is een continu proces waarin risico’s worden geïdentificeerd, onderzocht en gereduceerd tot een acceptabel niveau. Dit proces is op alle onderdelen van bedrijfsprocessen van toepassing. De meest voorkomende risicostrategieën zijn risicodragend, risiconeutraal en risicomijdend. Indien gekozen wordt voor de strategie waarbij een gering geacht risico ongeregeld te laten werkt men risicomijdend. Een beweegreden hiervoor kan zijn dat de kans dat dit risico tot een incident uitmondt klein is maar de impact heel groot waardoor de beheersmaatregelen niet in verhouding staan met de baten. Indien wordt gestreefd naar de balans tussen de kosten voor de maatregel en de schade heet dit risiconeutraal. Besluit men om risico´s te accepteren dan heet dit risicodragend.
Almere © 2013
Proud of it
Organisatie: Titel Onderwerp
SYSQA B.V. Introductie informatiebeveiliging
Pagina Versie Datum
11 van 13 1.0 24-04-12
6 Maatregelen voor informatiebeveiliging In dit hoofdstuk worden enkele soorten maatregelen genoemd voor beveiliging van informatie. Ook worden enkele voorbeelden genoemd van referentiekaders.
6.1 Soorten maatregelen Hieronder is schematisch weergegeven hoe de beveiligingsmaatregelen zijn in te delen: Aspect (Beschikbaar, Integer, Vertrouwelijk); Werkingsgebied (Procedures, Applicaties, Gegevensinfrastructuur, ITInfrastructuur, Basisinfrastructuur); (zie Hoofdstuk 4.3) Plaats in de beveiligingscyclus (Reductief, Preventief, Repressief, Detectief, Correctief, Verzekerd, Geaccepteerd); Wijze van realisatie (Organisatorisch, Technisch, Fysiek). (zie ook Basiskennis Informatiebeveiliging H3.1 en H4)
6.2 Toetsen en Testen van beveiliging Indien maatregelen zijn genomen tegen incidenten is het belangrijk om te verifiëren dat deze maatregelen de gewenste uitwerking hebben. Het testen van beveiliging (security testing) kan een tijdrovend proces zijn, dat begint in de eerste fase van de Software Development Life Cycle (SDLC). Van dit proces worden in de literatuur twee noodzakelijke benaderingen genoemd, namelijk: Testen van beveiligingsmechanismen om er zeker van te zijn dat hun functionaliteit op de juiste wijze is geïmplementeerd; Het uitvoeren van risico gebaseerd testen van beveiliging (risk-based security testing) gebaseerd op het begrijpen en simuleren van de werkwijze van de aanvaller.
Almere © 2013
Proud of it
Organisatie: Titel Onderwerp
SYSQA B.V. Introductie informatiebeveiliging
Pagina Versie Datum
12 van 13 1.0 24-04-12
6.3 Richtlijnen informatiebeveiliging Bij veel organisaties is de automatisering in de loop der jaren uitgegroeid tot een grootschalig netwerk waarbij klanten gegevens kunnen raadplegen die via het internet of via app’s worden ontsloten. Er bestaan verschillende richtlijnen die helpen bij het kiezen van de maatregelen zoals bijvoorbeeld de richtlijnen hieronder. Hieronder worden enkele richtlijnen worden genoemd. Voor meer informatie zie H5.2 Basiskennis Informatiebeveiliging. Voorschrift Informatiebeveiliging Rijksdienst 2007 (VIR 2007); Code Tabaksblat, voor Nederlandse beursgenoteerde bedrijven; Sarbanes-Oxley Act (SOX) Verplicht voor alle bedrijven die in Amerika beursgenoteerd zijn en (eventueel buitenlandse) dochterondernemingen.
6.4 Incident management Ondanks voorzorgsmaatregelen, het voldoen aan normen en standaarden, zijn er nog steeds kansen om de beveiliging te doorbreken. Dan is het tijd voor het beheer van incidenten. Medewerkers spelen een belangrijke rol in het waarnemen van zwakheden in de beveiliging en beveiligingsincidenten. Medewerkers door de hele organisatie moeten incidenten kunnen melden bij een servicedesk waarna deze meldingen worden opgevolgd. De medewerkers van de servicedesk moeten kunnen vaststellen dat het om een specifiek beveiligingsincident gaat. Het doel van dit incidentbeheerproces is het krijgen van inzicht in beveiligingsincidenten. Op die manier kan er ook geleerd worden en kennis gedeeld worden zodat er bij een nieuw incident nog beter kan worden gereageerd. Zie hiervoor ook Informatiebeveiliging voor Kwaliteitsmanager H4.3.
6.5 Slot Met deze introductie heeft u kennis genomen van diverse onderdelen van informatiebeveiliging. Als uw interesse gewekt is, dan is verdere verdieping mogelijk. Op pagina drie staat al aangegeven dat er meerdere documenten zijn waar u informatie uit kunt halen. Deze documenten zijn gericht op specifieke doelgroepen. Het advies is dat document te raadplegen dat volgens de titel het dichtst bij uw eigen rol of functie ligt. Het gaat om de volgende verdiepingsdocumenten: Basiskennis Informatiebeveiliging Informatiebeveiliging voor requirementsanalist Informatiebeveiliging voor testmanagement Informatiebeveiliging voor Functioneel Beheer Informatiebeveiliging voor kwaliteitsmanager
Almere © 2013
Proud of it
Organisatie: Titel Onderwerp
SYSQA B.V. Introductie informatiebeveiliging
Pagina Versie Datum
13 van 13 1.0 24-04-12
7 Bronvermelding Documenten Basiskennis Informatiebeveiliging Informatiebeveiliging voor Requirementsanalist Informatiemanagement voor Testmanagement Informatiebeveiliging voor Functioneel Beheer Informatiebeveiliging voor Kwaliteitsmanager Boeken Basiskennis: beveiligen van informatie Informatiebeveiliging onder controle Basiskennis informatiebeveiliging Tijdschriften Kijk, mei 1999 Elsevier, 20 augustus, 2011 Websites Interview Shawn Henry met Wall Street Journal: http://online.wsj.com/article/SB10001424052702304177104577307773326180032.html www.IBpedia.nl www.wikipedia.nl
Almere © 2013
Proud of it
