Security en risk management. VLHORA studiedag -The Eduction Highway Andy Deprez

Security en risk management VLHORA studiedag - The Eduction Highway Andy Deprez

Inhoud Inleiding Waarom informatiebeveiliging? Assets en risico’s Risico’s met betrekking tot informatie Risicobeheer

Algemene trends Investeringen Strategie Top 5 prioriteiten Drivers voor informatiebeveiliging Uitdagingen

Talk of Town Nabeschouwing Onze publicaties

Page 2

VLHORA studiedag - The Eduction Highway

INLEIDING

Waarom informatiebeveiliging? Impact op operationele processen Website nierpatiëntenvereniging niet beschikbaar door hackers - 30 september

30 augustus 2011

2011

Bron: WebWereld

Bron: Het Parool

Nokia heeft zijn forum voor ontwikkelaars offline gehaald nadat de site was gehackt. Namen en e-mailadressen zijn buitgemaakt door de inbrekers. Creditcardnummers waren veilig, zegt Nokia.

De website van de nierpatiëntenvereniging NVN is sinds twee weken vrijwel onbereikbaar door aanvallen van Russische en Chinese hackers. Een aantal malen is geprobeerd de gegevens terug te zetten, maar telkens bleek het lek niet gedicht en sloegen hackers na korte tijd opnieuw toe.

Nokia haalt developersite offline na hack -

De Finse telefoonmaker heeft ontwikkelaars via de mail op de hoogte gesteld van de hack. Ook is op het getroffen forum, wat inmiddels weer online is, een bericht geplaatst met de excuses van Nokia. De site bleek vatbaar voor een sql-injectie en daarbij werd de database met namen en emailadressen toegankelijk. Van sommige ontwikkelaars zijn ook gebruikersnamen voor im-diensten (instant messaging) AIM, ICQ, MSN, Skype of Yahoo buitgemaakt. Volgens Nokia zijn er geen wachtwoorden of creditcard informatie gestolen.

Page 4


Waarom informatiebeveiliging? Impact op reputatie

Gehackt PSN kost Sony vermogen - dinsdag 24 mei 2011 Bron: zdnet.be

Sony schat dat de hack van het PlayStation Network in totaal 171 miljoen dollar zal kosten. Dat bedrag kan oplopen als er rechtszaken worden aangespannen. Het PlayStation Network, waarop gamers online tegen elkaar kunnen spelen, ging op 20 april offline na een hackaanval. Daarbij werden gegevens van 77 miljoen klanten gestolen. Pas 23 dagen later was het netwerk weer operationeel, al blijven bepaalde zaken zoals de PlayStation Store voorlopig gesloten. Major outages couldn't come at a worse time for RIM. Source: New York Times

One of the BlackBerry's big attractions is the BlackBerry Messenger, or BBM, which works like text messaging but doesn't incur extra fees. That service was affected by the outage, and to make matters worse for RIM, Apple is releasing software for its iPhones that works like BBM. The iPhone 4S will be released on Friday. Competition from Apple is one of the chief causes of RIM's diminishing fortunes. RIM shares fell 53 cents, or 2.2 percent, to close New York trading at US$23.88 as major indexes rose. The shares hit US$19.29 a week ago, the lowest level since 2006. Page 5


Waarom informatiebeveiliging? Financiële impact

Cancer researcher has laptop stolen with no data backed up - 17 januari 2011 Bron: Softpedia

A cancer researcher at Oklahoma University has had her laptop stolen, with several years worth of research lost. According to Softpedia, Sook Shin left the laptop in her car and returned to find a smashed window and the 13-inch white Macbook and bag missing. Shin said that the research was for a prostate cancer cure and as it was never backed up, it cannot be replicated She also confirmed that the nature of the data means that most of it can never be replaced, some parts can be reconstructed by redoing tests but this could take up to two years. Werkstraf geëist voor hacken universiteitssite - 9 september 2010 Bron: ad.nl

Tegen twee hackers is 240 en 150 uur werkstraf geëist. De 19-jarige man uit Enschede en de 21jarige Eindhovenaar zouden de sites van de Universiteit Leiden en meerdere bedrijven hebben gekraakt en deze instellingen daarbij voor zo'n 180.000 euro hebben benadeeld. Het OM wil dat de twee de Universiteit Leiden voor dertigduizend euro schadeloos stellen. Dat bedrag moest de universiteit uitgeven om het netwerk weer werkend te krijgen. De Universiteit Leiden deed in 2008 aangifte van hacken, waarna de politie de twee mannen op het spoor kwam. Nadat hun computers waren ingenomen vond de politie informatie waaruit bleek dat het tweetal ook andere sites had gekraakt.

Page 6


Waarom informatiebeveiliging? Impact op integriteit en vertrouwelijkheid Nederlandse overheid - Lek miljoenennota 2012 – 15/09/2011 Bron: www.depers.nl

De miljoenennota 2012 is donderdag door een menselijke fout te vroeg openbaar geworden. Dat zei woordvoerder Peter van der Maat van Facetbase, dat geregeld rapporten openbaar maakt in opdracht van onder meer overheidsinstanties. De fout is gemaakt door een medewerker van Facetbase. De miljoenennota, die vrijdagmiddag openbaar had moeten worden, is in een PDF-document op een directory gezet waar normaal gesproken alleen testdocumenten worden geplaatst, aldus de zegsman. Per abuis is nu dus de echte miljoenennota daarin gezet. ,,Het is heel vervelend en het had niet mogen gebeuren. Het is echt een menselijke fout.'' Van der Maat meldt dat Facetbase heeft besloten dat in het vervolg een extra beveiliging wordt ingebouwd. Te denken valt dan aan iemand die meekijkt, of een pop-up waarin wordt gevraagd of de handeling inderdaad moet worden uitgevoerd. UGA investigating online exposure of personnel information – 7/10/2011 Bron: news.uga.edu

The University of Georgia recently discovered a data file on a publicly available Web server that contained sensitive personnel information on 18,931 members of the faculty and staff employed at the institution in 2002. The university took the information off-line immediately upon learning of the exposure and began conducting an investigation. The file, created for legitimate internal administrative purposes, was accessible on the web from 2008 to 2011, and possibly dating back to 2002. The file included the social security number, name, date of birth, date of employment, sex, race, home phone number and home address of individuals employed at UGA in 2002. Page 7


Assets en risico’s Asset ►

►

Definitie: “Alles met een commerciële en of vervangingswaarde, dat eigendom is van een bedrijf, stichting of individu.” Ook informatie is voor veel organisaties een van de belangrijkste assets.

Page 8

Safeguards / controles Beschermen tegen Reduceren

Bedreigingen

Misbruiken

Verhogen


Reduceren

Zwakheden Verhogen

Risico’s Stellen bloot

Assets

Risico’s met betrekking tot informatie ►

ISO 27000 (informatiebeveiliging management standaard) definieert informatiebeveiliging als de vrijwaring van de confidentialiteit, integriteit en beschikbaarheid van informatie: ► ► ►

Page 9

Confidentialiteit: zorgen dat informatie enkel beschikbaar is voor diegenen die geautoriseerde toegang hebben; Integriteit: zorgen dat informatie correct en volledig is; Beschikbaarheid: zorgen dat informatie beschikbaar op het moment dat dit nodig is.


ALGEMENE TRENDS

Ernst & Young’s Global Information Security Survey Into the cloud and out of the fog Ernst & Young’s 2011 Global Information Security Survey

t

Page 11


Risicobeheer ►

Heeft uw organisatie een Information Security management System (ISMS) dat het algemene beheer van informatiebeveiliging omvat geïmplementeerd? Yes, implemented anden formally certified Ja, geïmplementeerd gecertifieerd (e.g. (e.g., ISO/IEC 27001:2005) ISO/IEC 27001:2005 10%

Ja, zonder Yes, withoutcertificatie certification 28%

17%

15% 31%

Ja, we zijn op in ditthe moment bezig Yes, currently process of met de implementatie implementing Nee, er wordt it aan gedacht No, butmaar considering

Nee en not er wordt niet aanitgedacht No, and considering

Page 12


Risicobeheer ►

Heeft uw organisatie een geformaliseerd programma voor IT risicobeheer geïmplementeerd, dat aan risico-analyse doet en het risico niveau van de organisatie kwantificeert? Ja, we een voor IT program Yes, wehebben have an ITprogramma risk management risicobeheer dat minder 3 jaar bestaat that has existed for lessdan than three years

16% 31%

25%

28%

Page 13

Nee,but maar er wordt aan gedacht dit tijdens No, considering it within theom coming 12 het komende jaar te implementeren months Ja, we een aprogramma voor IT IT risk Yes, wehebben have had well-established risicobeheer dat al meerindan 3 jaar management program place f orbestaat. more than three years Nee,and en not er wordt niet aan itgedacht No, considering


Risicobeheer ►

Hoe vaak worden onderwerpen met betrekking tot informatiebeveiliging gepresenteerd t.o.v. de directie? Ons perspectief 10%

Bijna per kwartaal Approximately Quarterly

12% 41%

Zelden / almost Annually never Bij elke Every time the directievergadering board meets Nooit Never

37%

Page 14


Neem informatiebeveiliging mee naar de directieraad met een duidelijke strategie die de organisatie enerzijds zal beschermen, maar anderzijds ook nieuwe mogelijkheden biedt. Dit kan enkel bereikt worden door informatiebeveiliging nauw af te stemmen op de specifieke behoeftes van de organisatie.

Investeringen ►

Wat is de evolutie van het budget voor informatiebeveiliging binnen uw organisatie het voorbije jaar? 2010 vs 2011

2011 vs 2012

Budgetverhoging Budgetverlaging Gelijk budget

35%

42% 52%

Increased Vermeerderd

59%

Decreased Verminderd 6% Stayed the same Status quo

6%

Page 15


Strategie ►

Heeft uw organisatie een gedocumenteerde strategie voor informatiebeveiliging voor de komende één tot drie jaar? Ons perspectief

51%

De academische wereld heeft deze maturiteit nog niet bereikt.

47%

Veel heeft te maken met bewustzijn en algemene filosofie binnen de onderwijswereld. No

Yes

* Alle aantallen zijn percentages van het aantal deelnemers aan de enquête. Het totaal zal niet altijd op 100% uitkomen, door afronding, het feit dat meerdere antwoorden toegestaan worden op bepaalde vragen en niet alle deelnemers hebben alle vragen beantwoord.

Page 16


Strategie ►

Hoe zou u uw strategie voor informatiebeveiliging omschrijven? Onze huidige strategie voorstrategy Our current inf ormation security adequately addresses the risks informatiebeveiliging behandeld de risico’s op adequate wijze 23% 43%

33%

We moeten onze strategie om de We need to modif y our strategy aanpassen to address the new risks nieuwe risico’s te adresseren We moeten verder onderzoek We need to investigate f urther to doen om de understand the risks risico’s beter te verstaan We geen nieuwe of risico’s die We dozien not see any new orrisico’s increased aan belang hebben ingewonnen risks

Page 17


Top 5 Prioriteiten ►

Hoogste budgetten voor informatiebeveiliging gaan naar (top 5): ► ► ► ► ►

Page 18

Business continuity/disaster recovery plans and capabilities Data leakage/data loss prevention technologies and processes Compliance monitoring (to internal & external policies and standards) Identity and access management technologies and processes Securing new technologies (e.g., cloud computing, virtualization, mobile)


Drivers voor informatiebeveiliging ► ► ► ► ► ►

Wetgevingen, bv. wet op de privacy Beschermen van reputatie en merknaam Beschermen van persoonlijke informatie Eigen richtlijnen Beheer van risico’s Beschermen van intellectuele eigendom

Page 19

► ► ► ► ► ►

► Vertrouwen van investeerders Verbeteren van IT Beheer van externe partijen Uitbreiden van nieuwe services Vergemakkelijken van overnames Onderzoeken van nieuwe IT trends


Uitdagingen ► ► ► ► ►

Invoeren van mobiele toestellen Voldoende budget Security awareness bij gebruikers Werknemers met de juiste competenties Steun en bewustzijn van het management

Page 20

► ► ► ► ► ►

Aantal nieuwe projecten Nieuwe technologieën Sociale media Wijzigingen in bestaande wetgevingen Wijzigingen in de organisatie Onzekerheid in de sector


Talk of Town

Cloud computing ►

Definitie ►

►

Belangrijkste risico’s ► ► ►

►

“Cloud computing is een model dat alomtegenwoordige, gemakkelijke, on-demand toegang geeft tot een groep van IT-middelen (bv. Netwerken, servers, opslag, applicaties, services,…). Deze kunnen snel voorzien en terug vrijgegeven worden met een minimum aan moeite voor beheer en beperkte interactie met de service provider.” – NIST definitie van Cloud computing Afhankelijkheid van derde partijen Betrouwbaarheid en continuïteit Informatiestroom is oncontroleerbaar

Hoe gaan organisaties hiermee om? ► ► ►

Page 22

52% van de organisaties zegt geen specifieke controles toe te passen (GISS 2011) Risicobeheersing d.m.v. contracten is een belangrijke peiler Verhoogd gebruik van encryptie


Cloud computing ►

Ons perspectief: ► ► ► ►

Page 23

Doe een risicoanalyse en adresseer de risico’s Besteed voldoende aandacht aan continuïteit Hergebruik bestaande controles in de cloud Controleer de cloud service provider


Mobile computing ►

Definitie ►

►

Belangrijkste risico’s ► ►

►

“Mobile computing is een vorm van interactie tussen mens en computer waarbij men verwacht dat het toestel tijdens het gebruik verplaatst wordt.” Verlies of diefstal van het toestel en de informatie Ongecontroleerde netwerktoegang

Hoe gaan organisaties hiermee om? ► ► ►

Page 24

Encryptietechnieken Aanpassen van het beleid rond het gebruik van deze toestellen Bewustmaking van medewerkers rond de risico’s


Mobile computing ►

Ons perspectief ► ►

Page 25

Security awareness bij gebruikers als een belangrijke peiler Gebruik encryptie als fundamentele controle


Sociale media ►

Definitie ►

►

Risico’s ► ► ► ►

►

“Een groep van applicaties die gebouwd zijn op de ideologische en technologische fundamenten van Web 2.0, en die gebruikers toelaten om zelf content aan te maken en te delen met anderen.” – Andreas Kaplan & Michael Haenlein Snelle en oncontroleerbare verspreiding van gevoelige informatie Snelle verspreiding van negatieve publiciteit (reputatie!) “Impersonation” Nieuwe bron van malware en phishing

Hoe gaan organisaties hiermee om? ► ► ► ►

Page 26

Bewustmaking van medewerkers over de risico’s Wijziging van het beleid rond sociale media Monitoren van toegang tot sociale media 53% van de organisaties blokkeert toegang tot sociale media (niet houdbaar)


Sociale media ►

Ons perspectief ► ► ► ►

Page 27

De inburgering van sociale media is niet tegen te gaan Wees niet blind voor risico’s en informeer de werknemers Bewustzijn is van belang Maak gebruik van de voordelen van sociale media


Nabeschouwing

Hoe kan men aan goede informatiebeveiliging doen? ►

Implementeren van een ISMS (Information Security Management System) ► ► ► ► ►

Risicobeheer als cruciaal onderdeel Uitstippelen van een beleid Uitschrijven van procedures en policies Training Testen van de effectiviteit testen, zoals bv. ► ►

Page 29

Social engineering Attack and penetration testing


Enkele recente publicaties Ook beschikbaar via EY Insights iPad app

Page 30


Ernst & Young Assurance | Tax | Transactions | Advisory Over Ernst & Young’s Advisory Services Om het maximale uit uw onderneming te halen, moet uw organisatie op effectieve wijze omgaan met fundamentele uitdagingen op het gebied van risico's en prestaties. Ernst & Young Advisory biedt een breed palet van diensten die u helpen de risico’s te managen en de prestaties van uw organisatie en de processen waarvoor u verantwoordelijk bent te verbeteren, tot en met de (her)inrichting van uw bedrijfsprocessen. Onze dienstverlening is gebaseerd op specialistische sectorkennis en een uitgebreid internationaal netwerk. Of u zich nu richt op bedrijfstransformatie of op het vasthouden van resultaten, het feit dat de juiste adviseurs voor u werken, geeft zonder meer de doorslag. Onze 20.000 professionele adviseurs wereldwijd vormen samen een van de grootste mondiale adviesnetwerken. Zij leveren uiterst ervaren multidisciplinaire teams die met onze klanten samenwerken om een gedegen klantenervaring te bieden. Daarvan staan vanuit Ernst & Young Advisory België/Nederland circa 600 adviseurs tot uw dienst. Dankzij ons sterke internationale netwerk hebben we specifieke kennis en ervaring in huis van uw sector. Zodat resulteert wat verwacht mag worden: verrassende oplossingen gebaseerd op aantoonbare uitvoerbaarheid. Alleen zo wordt het beste uit de beschikbare mensen en middelen gehaald en optimaal geprofiteerd van de kansen in de markt, nu en in de toekomst.

www.ey.com © 2011 EYGM Limited. All Rights Reserved.

This publication contains information in summary form and is therefore intended for general guidance only. It is not intended to be a substitute for detailed research or the exercise of professional judgment. Neither EYGM Limited nor any other member of the global Ernst & Young organization can accept any responsibility for loss occasioned to any person acting or refraining from action as a result of any material in this publication. On any specific matter, reference should be made to the appropriate advisor.

Contactgegevens

Andy Deprez

Tim Wulgaert

Partner

Director

[email protected]

[email protected]

+32 477 627 848

+32 497 597 270

Security en risk management. VLHORA studiedag -The Eduction Highway Andy Deprez

Recommend Documents