Security
College 1 Introductie & BIV
BIV
Beschikbaarheid
Integriteit (betrouwbaarheid
Vertrouwelijkheid (exclusiviteit)
Interruptie = aanval op: beschikbaarheid
Beschikbaarheid
Kun je altijd bij de informatie komen?
− Tijdigheid Zijn ze beschikbaar tijdens werktijd?
− Continuïteit Blijven ze de hele tijd beschikbaar als ze nodig zijn?
− Robuustheid Is er voldoende capaciteit voor iedereen die er mee
wil werken?
Modificatie = aanval op: integriteit
Fabricage = aanval op integriteit
Integriteit (betrouwbaarheid)
Is de informatie (het bericht) betrouwbaar?
− Juistheid Is ze zonder fouten en ongewijzigd?
− Tijdigheid Is ze actueel, niet verouderd?
− Volledigheid Is ze compleet?
Is de afzender van de informatie betrouwbaar?
− Authenticiteit Is het echt afkomstig van de zender?
− Onweerlegbaarheid Kan de zender ontkennen het gestuurd te hebben,
een valse ontkenning?
Interceptie = aanval op: vertrouwelijkheid
Vertrouwelijkheid (exclusiviteit)
Is de informatie exclusief?
− Ongeautoriseerde toegang Kunnen derden ze inzien of gebruiken?
− Bescherming van privacy Zijn persoonlijke gegevens alleen gebruikt voor het
doel waarvoor ze zijn achtergelaten?
,Toegangscontrole
− Identificatie
• Wie ben je? Username
• Publiek gegeven
− Authenticatie
• Ben je het echt? Wachtwoord
• Privégegeven
− Autorisatie
• Wat mag je nu?
− Accounting
• Verantwoording en rekenschap
− Auditing
• Controle, toezicht
,Maatregeltypen
− Administratief
• Soft controls
• Managementgeoriënteerd
− Fysiek
• Physical controls
• Gebouwen, personeel, middelen
− Technisch
• Logical controls
• Software en hardware
Beschikbaarheid (maatregelen)
− Data in de cloud opslaan
− Back-ups
− Redundantie
• Stroom
• Datalijnen
• Opslag (disks)
• Servers
− Uitwijklocatie
Integriteit (maatregelen)
− Wijzigingen autoriseren
− Configuration management
− Toegangscontrole
− Data checksums
− Cryptografische hashes
− Monitoring
− Antivirus
Vertrouwelijkheid (maatregelen)
− Clean desk policy
− Netwerkscheiding met firewalls
− Security awareness
− Alleen toegang geven tot wat je nodig hebt (least privilege principle)
− Functiescheiding
− Versleuteling van data
• Transmissie
• Opslag
− Fysieke toegang
,Definities
Informatie = al wat van buitenaf als bericht, als overdracht
van kennis of gegeven tot iemand komt
Data = gegevens die door ICT verwerkt worden
Gegevens = worden pas informatie als ze geïnterpreteerd
worden tot een zinvolle boodschap
Informatie kan vorm hebben van tekst, foto, video, spraak,
geur, ...
De waarde van informatie
De waarde van informatie wordt bepaald door de ontvanger
Voor sommige bedrijven is informatie een productiefactor en informatie speelt dus een rol
binnen bedrijfsprocessen
De informatieanalyse brengt in kaart op welke wijze een organisatie omgaat met
informatie; hoe loopt de informatiestroom door de organisatie heen
De kosten voor eventuele beschermingsmaatregelen zijn afhankelijk van de waarde van
informatie
Informatiesystemen
Een informatiesysteem is een set samenhangende componenten die informatie
verzamelt, verwerkt, opslaat, opvraagt en communiceert ter ondersteuning van
besluitvorming, coördinatie en besturing van een organisatie.
Informatiesystemen hoeven niet per definitie ICT-systemen te zijn
Definitie Informatiebeveiliging
Informatiebeveiliging betreft het definiëren, implementeren, onderhouden, handhaven en
evalueren van een samenhangend stelsel van maatregelen die de beschikbaarheid, de
integriteit en de vertrouwelijkheid van de (handmatige en geautomatiseerde)
informatievoorziening waarborgen.
Dit betreft zowel de technische, de organisatorische, als de menselijke aspecten.
Wat moet je kennen/kunnen?
− Je bent bekent met soorten aanvallen in de ICT
− Je kent de begrippen informatie, gegevens en data
− Je weet wat de aarde van informatie is voor de ontvangers
− Je kent het begrip informatiebeveiliging
− Je kent de begrippen beschikbaarheid, integriteit en vertrouwelijkheid
− Je kent een aantal maatregelen om informatie te beschermen
− Je kent de begrippen identificatie, authenticatie en autorisatie
, College 2 Risicomanagement
Elementen van risico
Risico: het gevaar voor schade aan, verlies of lekken van informatie.
Risico wordt bepaald door:
− Dreiging
− Kans dat dreiging zich voordoet (kan op blootstelling)
− Schade die incident tot gevolg heeft
Risicomanagement: het continue proces om van dreigingen naar risico’s en naar
beveiligingsmaatregelen te gaan.
Risicoanalyse:
1. Wat is de waarde van de beveiligde middelen (assets)
2. Welke dreigingen en zwakheden zijn relevant voor welke bedrijfsprocessen (threat)
3. Wat is de kans op het werkelijkheid worden van een dreiging (likelihood)
4. Wat zijn de gevolgen voor de bedrijfsprocessen, BIV (impact)
5. Bepaal het risico (risk = likelihood x impact)
Een risicoanalyse kan op twee manieren worden uitgevoerd:
− Kwantitatief: berekenen
− Kwalitatief: op “gevoel”
College 1 Introductie & BIV
BIV
Beschikbaarheid
Integriteit (betrouwbaarheid
Vertrouwelijkheid (exclusiviteit)
Interruptie = aanval op: beschikbaarheid
Beschikbaarheid
Kun je altijd bij de informatie komen?
− Tijdigheid Zijn ze beschikbaar tijdens werktijd?
− Continuïteit Blijven ze de hele tijd beschikbaar als ze nodig zijn?
− Robuustheid Is er voldoende capaciteit voor iedereen die er mee
wil werken?
Modificatie = aanval op: integriteit
Fabricage = aanval op integriteit
Integriteit (betrouwbaarheid)
Is de informatie (het bericht) betrouwbaar?
− Juistheid Is ze zonder fouten en ongewijzigd?
− Tijdigheid Is ze actueel, niet verouderd?
− Volledigheid Is ze compleet?
Is de afzender van de informatie betrouwbaar?
− Authenticiteit Is het echt afkomstig van de zender?
− Onweerlegbaarheid Kan de zender ontkennen het gestuurd te hebben,
een valse ontkenning?
Interceptie = aanval op: vertrouwelijkheid
Vertrouwelijkheid (exclusiviteit)
Is de informatie exclusief?
− Ongeautoriseerde toegang Kunnen derden ze inzien of gebruiken?
− Bescherming van privacy Zijn persoonlijke gegevens alleen gebruikt voor het
doel waarvoor ze zijn achtergelaten?
,Toegangscontrole
− Identificatie
• Wie ben je? Username
• Publiek gegeven
− Authenticatie
• Ben je het echt? Wachtwoord
• Privégegeven
− Autorisatie
• Wat mag je nu?
− Accounting
• Verantwoording en rekenschap
− Auditing
• Controle, toezicht
,Maatregeltypen
− Administratief
• Soft controls
• Managementgeoriënteerd
− Fysiek
• Physical controls
• Gebouwen, personeel, middelen
− Technisch
• Logical controls
• Software en hardware
Beschikbaarheid (maatregelen)
− Data in de cloud opslaan
− Back-ups
− Redundantie
• Stroom
• Datalijnen
• Opslag (disks)
• Servers
− Uitwijklocatie
Integriteit (maatregelen)
− Wijzigingen autoriseren
− Configuration management
− Toegangscontrole
− Data checksums
− Cryptografische hashes
− Monitoring
− Antivirus
Vertrouwelijkheid (maatregelen)
− Clean desk policy
− Netwerkscheiding met firewalls
− Security awareness
− Alleen toegang geven tot wat je nodig hebt (least privilege principle)
− Functiescheiding
− Versleuteling van data
• Transmissie
• Opslag
− Fysieke toegang
,Definities
Informatie = al wat van buitenaf als bericht, als overdracht
van kennis of gegeven tot iemand komt
Data = gegevens die door ICT verwerkt worden
Gegevens = worden pas informatie als ze geïnterpreteerd
worden tot een zinvolle boodschap
Informatie kan vorm hebben van tekst, foto, video, spraak,
geur, ...
De waarde van informatie
De waarde van informatie wordt bepaald door de ontvanger
Voor sommige bedrijven is informatie een productiefactor en informatie speelt dus een rol
binnen bedrijfsprocessen
De informatieanalyse brengt in kaart op welke wijze een organisatie omgaat met
informatie; hoe loopt de informatiestroom door de organisatie heen
De kosten voor eventuele beschermingsmaatregelen zijn afhankelijk van de waarde van
informatie
Informatiesystemen
Een informatiesysteem is een set samenhangende componenten die informatie
verzamelt, verwerkt, opslaat, opvraagt en communiceert ter ondersteuning van
besluitvorming, coördinatie en besturing van een organisatie.
Informatiesystemen hoeven niet per definitie ICT-systemen te zijn
Definitie Informatiebeveiliging
Informatiebeveiliging betreft het definiëren, implementeren, onderhouden, handhaven en
evalueren van een samenhangend stelsel van maatregelen die de beschikbaarheid, de
integriteit en de vertrouwelijkheid van de (handmatige en geautomatiseerde)
informatievoorziening waarborgen.
Dit betreft zowel de technische, de organisatorische, als de menselijke aspecten.
Wat moet je kennen/kunnen?
− Je bent bekent met soorten aanvallen in de ICT
− Je kent de begrippen informatie, gegevens en data
− Je weet wat de aarde van informatie is voor de ontvangers
− Je kent het begrip informatiebeveiliging
− Je kent de begrippen beschikbaarheid, integriteit en vertrouwelijkheid
− Je kent een aantal maatregelen om informatie te beschermen
− Je kent de begrippen identificatie, authenticatie en autorisatie
, College 2 Risicomanagement
Elementen van risico
Risico: het gevaar voor schade aan, verlies of lekken van informatie.
Risico wordt bepaald door:
− Dreiging
− Kans dat dreiging zich voordoet (kan op blootstelling)
− Schade die incident tot gevolg heeft
Risicomanagement: het continue proces om van dreigingen naar risico’s en naar
beveiligingsmaatregelen te gaan.
Risicoanalyse:
1. Wat is de waarde van de beveiligde middelen (assets)
2. Welke dreigingen en zwakheden zijn relevant voor welke bedrijfsprocessen (threat)
3. Wat is de kans op het werkelijkheid worden van een dreiging (likelihood)
4. Wat zijn de gevolgen voor de bedrijfsprocessen, BIV (impact)
5. Bepaal het risico (risk = likelihood x impact)
Een risicoanalyse kan op twee manieren worden uitgevoerd:
− Kwantitatief: berekenen
− Kwalitatief: op “gevoel”
