Sebyde Security in een organisatie A3 Management Workshop 7 Januari 2014
Even voorstellen Sebyde BV is Certified IBM Business Partner voor security systems, gespecialiseerd in applicatie security en security awareness. We leveren diensten en producten om webapplicaties / websites veilig te maken en het bewustzijn op het gebied van IT security te verhogen. We helpen bedrijven bij het verlagen van de risico’s en het beschermen van hun bedrijfsgegevens en reputatie. We leveren hiervoor de volgende diensten:
1. Web Applicatie Security Scan 2. IBM Authorised reseller 3. Security Awareness training + specialistische Security Certificeringen 4. Security Assessments
Ad 1. We controleren websites en andere web applicaties op de zwakke punten in de beveiliging. De scan van de websites wordt uitgevoerd met behulp van IBM Security Appscan®, het beste product wat hiervoor ingezet kan worden. In een gedetailleerd rapport kan de klant vervolgens lezen waar de zwakke punten in de beveiliging van de website zitten. We geven advies over hoe die kwetsbaarheden verholpen kunnen worden door middel van aanpassingen in de programmacode van de website. Ad 2. Bedrijven die het security-testen van hun web applicaties in eigen beheer willen houden kunnen bij Sebyde BV terecht voor een advies over de aan te schaffen eigen versie van de IBM Security AppScan® scanning tool, de implementatie en de training. Sebyde BV is een Certified IBM Reseller. Ad 3. Security Awareness training geeft de deelnemers een goed overzicht over de verschillende aspecten van IT-Security. Tijdens 2-3 halve-dag-sessies maken we de deelnemers bewust van de risico’s van het werken met informatiesystemen en vertrouwelijke (bedrijfs)informatie. Na deze training begrijpen de deelnemers de security aspecten en zullen die meenemen tijdens hun dagelijkse activiteiten. Naast de Security Awareness training bieden wij ook zeer specialistische trainingen aan op het gebied van security. Deze trainingen worden verzorgd door een van ’s werelds grootste onafhankelijke aanbieders van IT trainingen en leiden u op voor de officiële EC-Council certificeringen. Ad 4. Sebyde Security Assessments zijn verschillende vormen van (security) assessments die wij kunnen uitvoeren. Hierbij denken we bijvoorbeeld aan de volgende mogelijkheden:
Sebyde Security Quick Assessment Netwerk Penetratie test Systeem test Sebyde Privacy onderzoek
2
Achtergrond Om uw IT-infrastructuur te beschermen tegen ongeautoriseerd of crimineel gebruik heeft u waarschijnlijk al maatregelen getroffen. U hebt een firewall, het netwerk gesegmenteerd, een intrusion prevention systeem ingericht, antivirus software geïnstalleerd, etc. Daarnaast houdt u de software op alle componenten up-to-date om de nieuwste lekken te voorkomen. Maar uiteindelijk zal toch vanaf het Internet, of belangrijker vanuit intern, de web applicatie kunnen worden benaderd. En of de verbinding nou versleuteld is of niet, men zal applicatiefuncties uitvoeren die geautoriseerd zijn om de onderliggende database(s) te benaderen voor lees- en / of schrijfacties. Waar liggen de gevaren? Hackers bedenken steeds weer nieuwe technieken om hun activiteiten te kunnen uitvoeren. Het gaat daarbij niet altijd alleen om het stelen van (digitale) gegevens. Vaak gaat het ook om “de kick” of om processen te verstoren. Er kunnen bijvoorbeeld door een hacker kwaadaardige virussen en/of scripts op uw systeem worden geplaatst die op een later tijdstip toeslaan en veel schade kunnen aanrichten aan uw systemen en die van uw klanten. Er wordt ook bedrijfsinformatie gestolen op andere manieren dan het “traditionele” hacken. Zo kan een gemiddelde werkplek binnen een bedrijf een prachtige bron van informatie zijn voor iemand die informatie wil stelen. Denk hierbij bijvoorbeeld aan een Rolodex, marketing rapporten, klantenlijsten, verkoopoverzichten, telefoonlijsten, memory-sticks, CD-ROM’s, etc. Medewerkers zijn zich in de meeste gevallen niet bewust van de waarde van de informatie waarmee ze werken. Brutale methodes als phishing en shoulder surfing vallen onder de categorie “Social Engineering” waarbij mensen onbewust informatie geven waar hackers misbruik van kunnen maken. De bekende phishing mails die zogenaamd van uw bank komen zijn daar een goed voorbeeld van. Security Awareness in de organisatie IT Security is méér dan alleen maar het installeren van een Firewall, virusscanner of een Access management systeem. Het realiseren van algehele security raakt een aantal disciplines binnen een organisatie.
3
Algehele security in een organisatie heeft betrekking op Mensen, Processen en Techniek. Het betreft ook de gehele organisatie, “van hoog tot laag en van links naar rechts”. Startpunt is altijd de directie-vloer. Indien een security beleid niet wordt uitgedragen op Senior Executive level is het onmogelijk om dit beleid door te voeren in de gehele organisatie. Security is niet exclusief de verantwoordelijkheid van “de ICT afdeling” of van “de CEO”. Iedereen die in een organisatie werkt heeft zijn/haar verantwoordelijkheid ten aanzien van het goed behandelen en beschermen van de (bedrijfs) gegevens. Om algehele security binnen een organisatie te bereiken dienen we er dus voor te zorgen dat de betrokken medewerkers bewust zijn van de risico’s die het werken met bedrijfsinformatie met zich meebrengt. Medewerkers zijn zich vaak niet bewust van de gevolgen van hun handelen. Ze vertonen “onbewust onveilig” gedrag. We moeten ze daarom van “onbewust onveilig” naar “onbewust veilig” gedrag zien te brengen. Het onbewust veilig omgaan met gegevens moet in de cortex van de medewerkers komen. Security Awareness training speelt daar een belangrijke rol in.
4
Algehele security Zoals hierboven al vermeld zijn er drie belangrijke pijlers waarop algehele security steunt. Indien een organisatie streeft naar algehele veiligheid dienen onder andere de volgende zaken goed overwogen te worden. Mens Bewustzijn op het gebied van Security op alle niveaus van een organisatie is waar alles mee begint. Indien een organisatie allerlei maatregelen treft op het gebied van security maar iedereen blijft zich “onbewust onveilig” gedragen (door bijvoorbeeld te klikken op phishing- mails of door het gebruik van zwakke passwords) dan blijft de organisatie kwetsbaar, ook al zijn er een dozijn firewalls geïnstalleerd. De betrokken medewerkers dienen veilig om te gaan met de informatie waarmee ze werken. Hiervoor kunnen ze training volgen. Door deze training vergroot hun awareness (bewustzijn) en zullen ze beter gemotiveerd zijn om veilig te werken. Van “onbewust onveilig” naar “onbewust veilig” gedrag! Sebyde BV levert een zeer effectieve, compacte Security Awareness training waarin medewerkers in een aantal dagdelen bewust worden gemaakt van de risico’s en de waarde van de informatie waarmee ze werken. Een uitleg over de werkwijze van hackers en de mogelijkheden die er zijn om gegevens van een bedrijf te bemachtigen doet mensen goed nadenken over hun werk-gewoonten. Processen Er zijn een aantal zaken met betrekking tot de gebruikte processen die bij de weg naar algemene security meegenomen dienen te worden. Beleid: Aan welke wet- en regelgeving dienen we te voldoen met betrekking tot beveiliging? Zijn er bedrijfs-policies in gebruik? Hoe zit het met de wet op de privacy? Voldoet onze software aan de wet- en regelgeving? Organisatie: Wat is de impact op de helpdesk? Is er een SRT (Special Response Team) met betrekking tot security? Weten medewerkers wat ze moeten doen als er een incident is? Processen: Identity management? Incident Management? Patch management? Security in de SDLC? (Software ontwikkelings process) Sebyde BV ondersteunt u bij het in kaart brengen van de kwetsbaarheden en verbeterpunten. We werken samen met gespecialiseerde bedrijven die bijvoorbeeld ervaring hebben bij het uitvoeren van een PIA (Privacy Impact Analysis).
Techniek Uiteraard zijn er met betrekking tot de IT security een aantal technische zaken met betrekking tot de systemen, netwerken en applicaties die bekeken dienen te worden.
5
Netwerk: Segmenteren, DMZ, Firewalls, IPS (Intrusion Prevention System), WAF (Web Application Firewall) Systemen: Configuratie, toegangscontrole, Updates/patching, Malware scanners Applicaties: Testen, vulnerability audits, veilig programmeren (Secure by Design)
Sebyde BV is in staat om uw infrastructuur te onderwerpen aan een degelijke assessment waardoor de verbeterpunten boven water komen. Beleid Security Awareness training voor medewerkers is het begin van de weg naar algehele security. Het is echter niet genoeg om de medewerkers alleen een training te geven. Deze training dient een onderdeel te zijn van een groter IT Security programma in een organisatie. Dit programma dient op directieniveau bekrachtigd te worden zodat het een integraal onderdeel wordt van het beleid en de beslissingsstructuur in een organisatie. Voor het controleren van de status van het IT Security beleid kan Sebyde BV u van dienst zijn. Middels een gesprek met het management van een organisatie stellen we een aantal gerichte vragen over de activiteiten en communicatie op het gebied van IT Security binnen de organisatie. Dit zijn vragen die het management regelmatig zou moeten stellen binnen hun organisatie. Het management zou deze vragen ook zelf moeten kunnen beantwoorden.
Sebyde A3 Management workshop. Een belangrijke factor bij het verlagen van risico’s is de mate waarin een organisatie “securitybewust” is. Je kunt als organisatie technisch alles geregeld hebben op het gebied van security, maar je bereikt niet veel als de medewerkers blijven klikken op phishing-mails of onveilige passwords gebruiken en/of op post-it plakkertjes aan hun beeldscherm plakken. Security awareness kweken binnen een organisatie vergt een lange adem, het is meer dan even wat vragen beantwoorden en dan ben je er weer voor een jaar vanaf. Het moet een duurzame houding van medewerkers worden dat ze zich veilig gedragen bij het gebruik en de omgang met ICT middelen. Security moet als het ware in de cortex gaan zitten. De ICT middelen binnen uw bedrijf, denk aan de gedigitaliseerde informatie of een netwerkswitch, hebben ten slotte waarde en dienen als zodanig beschermd en behandeld te worden. Het is daarom belangrijk dat er een gezonde cultuur wordt geschept op het gebied van security. Bij de implementatie van een security awareness programma is het belangrijk dat dit programma volledig wordt ondersteund door het (senior) management van het bedrijf. Sebyde BV levert hiervoor een effectieve management workshop om samen met het management van een organisatie de belangrijke zaken met betrekking tot security duidelijk te krijgen. Tijdens deze sessie bespreken we met het senior management van de organisatie waar de speerpunten liggen op het gebied van de security awareness en hoe die verhoogd kan worden. De belangrijke zaken en doelstellingen om tot de gewenste resultaten te komen worden samengevat in een A3 overzicht wat vervolgens verspreid kan worden in de organisatie. 6
Aan de hand van dit A3 document kunnen we dan een aantal specifieke Security Awareness trainingen plannen/organiseren voor de verschillende organisatieonderdelen. De sessie met het management neemt ongeveer 1 dagdeel in beslag. Hierbij bespreken we de doelstellingen, welke wegen te bewandelen, etc. Wat wil een organisatie bereiken? Wat zijn de verwachtingen over Security? Wie zijn de stakeholders? Welke activiteiten zijn er noodzakelijk? Wie gaat wat doen? Na de sessie met het management (halve dag) maken we een rapport op inclusief een overzicht volgens de A3 methodiek. De totale duur van het project is 2 dagen.
A3 Methodiek Met de Sebyde A3 methodiek krijgt u als manager een middel in handen om snel, doeltreffend en met meer draagvlak uw security awareness programma te realiseren. Met niet meer regels dan noodzakelijk is, zonder overbodige administratieve lasten en met een meer professionele en doelmatige monitoring van de bereikte resultaten. Kortom: meer sturing met minder papier. De methodiek is gebaseerd op de INK methode, en helpt bij: Focus; maakt op ieder niveau binnen de organisatie de richting duidelijk; Richting; zorgt voor meer samenhang tussen jaarplannen op één managementniveau; Consistentie; maakt de eenduidigheid in maatregelen mogelijk; Meetbaar; concrete processen; Communicatie; het organiseren van feedback. De methode zal u helpen uw security awareness doelstellingen te verwezenlijken. Het zal uw security awareness programma vormen tot een cyclus waarin interactie, inspiratie en betrokkenheid van managers en medewerkers centraal staan.
7
Aan de hand van de gedefinieerde aandachtsgebieden concretiseren we de aandachtsgebieden in prestaties en acties voor het komende jaar of de komende periode. Aan de hand van kleuren maakt de methodiek de rode draad inzichtelijk. Daarmee krijgt het jaarplan letterlijk kleur. En bent u verzekerd van samenhang en interne consistentie.
8
Contact gegevens Sebyde Sebyde BV Legerland 56 1541 NG Koog aan de Zaan Telefoon: 06-53233269 Email:
[email protected] www.sebyde.nl LinkedIn: Twitter: Facebook:
www.linkedin.com/company/sebyde-bv www.twitter.com/SebydeBV www.facebook.com/sebydeBV
9
