Kennissessie Information Security
3 oktober 2013
Bonnefantenmuseum
De sleutel ligt onder de mat
Wachtwoord: welkom1234
• Focus op vertaling strategie in de organisatie
• Advies, programma, project en interim management • Kennis en ervaring op het gebied van ontwikkeling van processen, mensen, middelen en informatie
Amerikalaan 70e 6199 AE MaastrichtAirport
T: E: W:
+31 (0)43 365 38 60
[email protected] www.orgfit.nl
Informatiebeveiliging
Informatiebeveiliging
U bent de zwakste schakel…!
Informatiebeveiliging in het nieuws
The Daily Hacker Jaargang 4, editie 11
Cijfers 93% van alle grote bedrijven had in 2012 een datalek
76% van alle kleine bedrijven had in 2012 een datalek Bron: veracode.com
Cijfers € 250.000,-
De gemiddelde kosten van een serieus beveiligingslek bij grote bedrijven ligt tussen de €110.000,- en €250.000,-
€ 110.000,-
€ 30.000,€ 15.000,-
€ 0,-
De gemiddelde kosten van een serieus beveiligingslek bij kleine bedrijven ligt tussen de €15.000,- en €30.000,Bron: Ponemon institute
Cijfers
Uit onderzoek van Ponemon Institute onder 3500 IT’ers is gebleken dat 14% van de respondenten heeft te maken gehad met datalekken door kwaadwillend personeel
24% van de respondenten heeft te maken gehad met datalekken door externe aanvallers
32% van de respondenten heeft te maken gehad met datalekken door fouten in software en systemen
47% van de respondenten heeft te maken gehad met datalekken door nalatige of onwetende medewerkers 0
20
40
60
80
100
Techniek De technische mogelijkheden op het gebied van computercriminaliteit hebben jarenlang voorop gelopen door de vele mogelijkheden. De explosief groeiende vraag naar software en hardware heeft geresulteerd in veel fouten waarvan hackers gretig gebruik hebben gemaakt. De laatste jaren zijn soft- en hardware ontwikkelaars flink bezig geweest met het dichten van deze lekken. Hackers worden nu zelfs ingehuurd en beloningen worden uitgegeven aan hackers die een programma weten te kraken.
De mens Door de ontwikkelingen op het gebied van techniek is de focus verlegd naar de mens. Technieken speciaal gericht op het misleiden van de gebruiker van een informatiesysteem worden hiervoor ingezet met een hoge kans van slagen en een lage zichtbaarheid.
Daarom bent u de zwakste schakel…!
Vormen van social engineering • • • • • • •
Pre text calling (Spear)phishing Tail gating Shoulder surfing Charity scamming Dumpster diving Spamming
Wat maakt u de zwakste schakel?
Uw verstand
Hoe werkt uw verstand? gebeurtenis
verstand
+
informatie
handelen
Hoe werkt uw verstand? gebeurtenis
verstand
Informatie van derden: gevraagd en ongevraagd
+
Intrinsiek: gedachten, overtuigingen, waarden en normen, ervaringen
informatie
handelen
Omgeving: beelden, geluiden, gevoelens
Je verstand reageert op een gebeurtenis door informatie te verzamelen, verbanden te leggen om vervolgens te gaan handelen.
Hoe hacken social engineers uw verstand? Hallo… Bonjour!
Bonjour…
Afstemmen op slachtoffer. Ze gaan eventueel fysiek matchen en je ‘taal’ spreken
Hoe hacken social engineers uw verstand? ? ?
Ja
?
Ja
Ze laten je instemmen met feitelijke waarheden om vertrouwen op te bouwen
Ja
Hoe hacken social engineers uw verstand? Laat mij je helpen
Oké!
Je verstand komt op basis van deze verstrekte informatie in een modus van acceptatie (pace).
Hoe hacken social engineers uw verstand? Ik heb alleen je code nodig
0799
Leading
Vormen van social engineering Tail gating De gebeurtenis waarbij een ongeautoriseerd persoon toegang krijgt tot een beveiligde ruimte door achter een geautoriseerd persoon aan te lopen.
Vormen van social engineering Shoulder surfing Een techniek voor het afkijken van wachtwoorden, pin-codes en vergelijkbare data.
Vormen van social engineering Charity scam
Achter een charity scam zit een oplichter die zich voordoet als een echte liefdadigheidsorganisatie. Het gedoneerde geld gaat echter niet naar deze organisatie.
Vormen van social engineering Phishing
Een vorm van internetfraude waarbij een gebruiker gelokt wordt naar een valse site.
Ontwikkelingen
• • • • •
Meldplicht EU Eisen aan schadevergoedingen door banken en verzekeringsmaatschappijen Digitale valuta Cybercrime-as-a-service Gerichtere aanvallen
Handige tips •
Stel vertrouwde sites in als favoriet
•
Wees op je hoede
•
Angst is een slechte raadgever
•
Geef het door
•
Voorkomen is beter dan genezen
U kunt de sterkste schakel worden… door het vergroten van de bewustwording!
De tweede stap… de ORGfit information security awareness scan • Krijg grip op uw information security awareness door inzicht te creëren in de sterke en zwakke punten van uw organisatie. • Vervolg met trainingen
• Pas uw beleid en beveiligingsmaatregelen aan zodat deze aansluiten op het gedrag, kennis en houding van uw gebruikersorganisatie.
Rapport
Rapport
wachtwoordbeleid
wachtwoorden aan externen
wel
niet
45% van de werknemers geeft bij uitzondering wachtwoorden af aan externen.
40 20
rapport
wachtwoorden aan ICT helpdesks 70% van de werknemers geeft bij uitzondering wachtwoorden af aan ICT helpdesks. wel
60
0 niet op de hoogte van inhoudelijke regels
information security awareness scan
niet op de hoogte van bestaan van regels is op de hoogte van regels weet dat er niks is vastgelegd 55% van de werknemers is niet op de hoogte van inhoudelijke regels omtrent wachtwoordbeheer.
niet
wachtwoorden delen met collega's
25% van de werknemers is niet op de hoogte van het bestaan van regels omtrent wachtwoordbeheer.
34% van de werknemers deelt bij uitzondering wachtwoorden met collega’s. wel
niet
Adres: Amerikalaan 70e 6199 AE Maastricht-Airport
management in control
10% van de werknemers is op de hoogte van de regels omtrent wachtwoordbeheer.
www.orgfit.nl T +31(0)43-365 38 60
10% van de werknemers weet dat er niks is vastgelegd.
www.orgfit.nl
