Informatieveiligheid tentamenvoorbereiding – blok A
Inhoudsopgave
Week A1 – introductie ................................................................................................................... 2
Begrippen: ...................................................................................................................................... 2
Uitwerking presentatie ..................................................................................................................... 2
Week A2 – organisaties ................................................................................................................. 4
Begrippen: ...................................................................................................................................... 4
Uitwerking presentatie: .................................................................................................................... 4
Week A3 – privacy ........................................................................................................................ 11
Begrippen: .....................................................................................................................................11
Uitwerking presentatie: ...................................................................................................................11
Week A4 – big data, AI en DPIA ...................................................................................................... 18
Begrippen: .....................................................................................................................................18
Uitwerking presentatie: ...................................................................................................................18
Week A5 – (inter)nationaal en risicomanagement .......................................................................... 22
Begrippen: .....................................................................................................................................22
Uitwerking presentatie: ...................................................................................................................22
Week A6 – cybercrime en regisseren ............................................................................................. 26
Begrippen: .....................................................................................................................................26
Uitwerking presentatie: ...................................................................................................................26
Week A7 – herhaling ..................................................................................................................... 29
Uitwerking leerdoelen:................................................................................................................. 32
,Week A1 – introductie
Begrippen:
Informatieveiligheid: Bescherming van data tegen ongeautoriseerde toegang en het
waarborgen van vertrouwelijkheid, integriteit en beschikbaarheid.
Data: Registraties van de werkelijkheid, zoals GPS-coördinaten of demografische
gegevens.
Informatie: Betekenisvolle gegevens die zijn geanalyseerd en geïnterpreteerd.
BIV-principes:
- Beschikbaarheid: Data is toegankelijk wanneer nodig.
- Integriteit: Data is accuraat en niet onrechtmatig gewijzigd.
- Vertrouwelijkheid: Data is alleen toegankelijk voor bevoegde personen
Uitwerking presentatie
Het (informatieveiligheid) wordt een steeds groter en belangrijker onderdeel van het
werk van een IVK'er.
Informatieveiligheid bevat twee belangrijke begrippen:
- Data/gegevens
- Risico
Data = registraties van de werkelijkheid, dus kale observaties
- Je kunt betekenis toekennen als je ze voor een bepaalde context of voor een bepaald
doel gaat analyseren of structureren
- Je kan kennis krijgen door de informatie te interpreteren en begrijpen
Dataficatie = de trend van alsmaar toenemende verzameling van gegevens
- Is een maatschappelijke ontwikkeling omdat er steeds meer apparaten komen die
data verzamelen, analyseren en genereren
- Het is ook een denkwijze dat we met data alles kunnen oplossen
- Er zijn nieuwe mogelijkheden om data te analyseren, gebruiken en op te slaan
- Data is iets wat je moet beveiligen
Er is altijd een samenspel tussen data en gebruiker
“Informatiebeveiliging is te beschouwen als risicomanagement ten aanzien van de
informatievoorziening”
De mens is de zwakte schakel doordat iemand bijvoorbeeld makkelijk op een linkje kan
klikken
,Informatiebeveiliging bestaat uit drie
aspecten:
- Integriteit: Informatie is tijdig, juist en
volledig.
- Beschikbaarheid: Informatie moet
beschikbaar zijn, op het moment dat
we het nodig hebben.
- Vertrouwelijkheid: Informatie is
exclusief toegankelijk voor de personen, die dit mogen gebruiken voor het werk.
Incidentcyclus:
- Bedreiging: iets wat zou kunnen gebeuren
- Verstoring: verstoring betrouwbaarheid
informatievoorziening
- Schade: directe schade of indirecte schade
- Herstel: evaluatie
Maatregelen:
- Preventieve maatregelen
- Detectieve maatregelen: Wanneer zich een veiligheidsprobleem heeft voorgedaan,
dan is het belangrijk dit zo snel mogelijk te ontdekken
- Repressieve maatregelen: maatregelen die worden genomen als er een verstoring
heeft voorgedaan, minimaliseren de negatieve invloed
- Correctieve maatregelen: Als de tot dan toe genomen maatregelen niet gewerkt
hebben en er toch schade optreedt, moet deze hersteld worden
- Preventieve analyse
Door deze fases te doorlopen en te analyseren waar
risico's zich voordoen en hoe deze tot schade
kunnen leiden, kunnen organisaties hun
risicomanagement verbeteren en incidenten in de
toekomst mogelijk voorkomen.
Beveiligingsmaatregelen:
- Organisatorische maatregelen: Dit zijn
beleidsregels, procedures en richtlijnen die zijn
ontworpen om de informatieveiligheid te waarborgen.
à Bewustwordingsprogramma’s voor medewerkers, training en het vaststellen van
beveiligingsbeleid
- Logische maatregelen: Dit zijn maatregelen die technisch zijn ingesteld om de
toegang tot informatie te reguleren
à Toegangscontrole, authenticatie, autorisatie en het gebruik van firewalls en
encryptie
- Fysieke maatregelen: Dit zijn maatregelen die de fysieke toegang tot de IT- en
gegevensinfrastructuur beschermen
à Beveiligingsmechanismen zoals sloten, cameratoezicht en beveiligingspersoneel
, Week A2 – organisaties
Begrippen:
Risicomanagement: Proces van identificeren, analyseren en beheersen van risico’s om
de impact van bedreigingen te minimaliseren.
Incidentcyclus: Model met de fasen:
- Bedreiging: Potentiële gebeurtenis die een risico vormt.
- Verstoring: Tijdelijke impact op de informatievoorziening.
- Schade: Directe of indirecte gevolgen.
- Herstel en evaluatie: Het proces om van een incident te leren en toekomstig risico
te verminderen.
Kroonjuwelenanalyse: Methode om de meest kritieke data van een organisatie te
identificeren en bijbehorende bedreigingen te analyseren.
Business Impact Analyse (BIA):
- RTO (Recovery Time Objective): Maximale tijd dat een proces o[line mag zijn.
- RPO (Recovery Point Objective): Maximaal toegestaan gegevensverlies bij een
incident
E[ectief risicomanagement vereist het identificeren van relevante dreigingen en het
nemen van proportionele maatregelen, rekening houdend met de waarde van de te
beschermen data (informatie).
Uitwerking presentatie:
Bedreigingen voor systemen kunnen menselijk of niet-menselijk zijn
- Menselijke bedreigingen: zijn opzettelijk (cybercriminaliteit) of onopzettelijk
(menselijke fouten)
- Niet-menselijke bedreigingen: stroomuitval en softwarefouten
Informatieveiligheid bevat drie aspecten (BIV-driehoek):
- Beschikbaarheid: Beschikbaarheidsproblemen ontstaan wanneer informatie niet
tijdig of helemaal niet toegankelijk is
- Integriteit: Integriteit is in het geding wanneer gegevens onvolledig, onjuist of
gemanipuleerd zijn
- Vertrouwelijkheid: Vertrouwelijkheid wordt geschonden wanneer onbevoegden
toegang krijgen tot informatie.
à Bedreigingen kunnen één, twee of alle drie de aspecten bevatten
Schade
- Indirecte schade: (bijvoorbeeld reputatieschade) kan ontstaan wanneer bedrijven
aarzelen om incidenten te melden uit angst voor negatieve publiciteit
- Directe schade
Inhoudsopgave
Week A1 – introductie ................................................................................................................... 2
Begrippen: ...................................................................................................................................... 2
Uitwerking presentatie ..................................................................................................................... 2
Week A2 – organisaties ................................................................................................................. 4
Begrippen: ...................................................................................................................................... 4
Uitwerking presentatie: .................................................................................................................... 4
Week A3 – privacy ........................................................................................................................ 11
Begrippen: .....................................................................................................................................11
Uitwerking presentatie: ...................................................................................................................11
Week A4 – big data, AI en DPIA ...................................................................................................... 18
Begrippen: .....................................................................................................................................18
Uitwerking presentatie: ...................................................................................................................18
Week A5 – (inter)nationaal en risicomanagement .......................................................................... 22
Begrippen: .....................................................................................................................................22
Uitwerking presentatie: ...................................................................................................................22
Week A6 – cybercrime en regisseren ............................................................................................. 26
Begrippen: .....................................................................................................................................26
Uitwerking presentatie: ...................................................................................................................26
Week A7 – herhaling ..................................................................................................................... 29
Uitwerking leerdoelen:................................................................................................................. 32
,Week A1 – introductie
Begrippen:
Informatieveiligheid: Bescherming van data tegen ongeautoriseerde toegang en het
waarborgen van vertrouwelijkheid, integriteit en beschikbaarheid.
Data: Registraties van de werkelijkheid, zoals GPS-coördinaten of demografische
gegevens.
Informatie: Betekenisvolle gegevens die zijn geanalyseerd en geïnterpreteerd.
BIV-principes:
- Beschikbaarheid: Data is toegankelijk wanneer nodig.
- Integriteit: Data is accuraat en niet onrechtmatig gewijzigd.
- Vertrouwelijkheid: Data is alleen toegankelijk voor bevoegde personen
Uitwerking presentatie
Het (informatieveiligheid) wordt een steeds groter en belangrijker onderdeel van het
werk van een IVK'er.
Informatieveiligheid bevat twee belangrijke begrippen:
- Data/gegevens
- Risico
Data = registraties van de werkelijkheid, dus kale observaties
- Je kunt betekenis toekennen als je ze voor een bepaalde context of voor een bepaald
doel gaat analyseren of structureren
- Je kan kennis krijgen door de informatie te interpreteren en begrijpen
Dataficatie = de trend van alsmaar toenemende verzameling van gegevens
- Is een maatschappelijke ontwikkeling omdat er steeds meer apparaten komen die
data verzamelen, analyseren en genereren
- Het is ook een denkwijze dat we met data alles kunnen oplossen
- Er zijn nieuwe mogelijkheden om data te analyseren, gebruiken en op te slaan
- Data is iets wat je moet beveiligen
Er is altijd een samenspel tussen data en gebruiker
“Informatiebeveiliging is te beschouwen als risicomanagement ten aanzien van de
informatievoorziening”
De mens is de zwakte schakel doordat iemand bijvoorbeeld makkelijk op een linkje kan
klikken
,Informatiebeveiliging bestaat uit drie
aspecten:
- Integriteit: Informatie is tijdig, juist en
volledig.
- Beschikbaarheid: Informatie moet
beschikbaar zijn, op het moment dat
we het nodig hebben.
- Vertrouwelijkheid: Informatie is
exclusief toegankelijk voor de personen, die dit mogen gebruiken voor het werk.
Incidentcyclus:
- Bedreiging: iets wat zou kunnen gebeuren
- Verstoring: verstoring betrouwbaarheid
informatievoorziening
- Schade: directe schade of indirecte schade
- Herstel: evaluatie
Maatregelen:
- Preventieve maatregelen
- Detectieve maatregelen: Wanneer zich een veiligheidsprobleem heeft voorgedaan,
dan is het belangrijk dit zo snel mogelijk te ontdekken
- Repressieve maatregelen: maatregelen die worden genomen als er een verstoring
heeft voorgedaan, minimaliseren de negatieve invloed
- Correctieve maatregelen: Als de tot dan toe genomen maatregelen niet gewerkt
hebben en er toch schade optreedt, moet deze hersteld worden
- Preventieve analyse
Door deze fases te doorlopen en te analyseren waar
risico's zich voordoen en hoe deze tot schade
kunnen leiden, kunnen organisaties hun
risicomanagement verbeteren en incidenten in de
toekomst mogelijk voorkomen.
Beveiligingsmaatregelen:
- Organisatorische maatregelen: Dit zijn
beleidsregels, procedures en richtlijnen die zijn
ontworpen om de informatieveiligheid te waarborgen.
à Bewustwordingsprogramma’s voor medewerkers, training en het vaststellen van
beveiligingsbeleid
- Logische maatregelen: Dit zijn maatregelen die technisch zijn ingesteld om de
toegang tot informatie te reguleren
à Toegangscontrole, authenticatie, autorisatie en het gebruik van firewalls en
encryptie
- Fysieke maatregelen: Dit zijn maatregelen die de fysieke toegang tot de IT- en
gegevensinfrastructuur beschermen
à Beveiligingsmechanismen zoals sloten, cameratoezicht en beveiligingspersoneel
, Week A2 – organisaties
Begrippen:
Risicomanagement: Proces van identificeren, analyseren en beheersen van risico’s om
de impact van bedreigingen te minimaliseren.
Incidentcyclus: Model met de fasen:
- Bedreiging: Potentiële gebeurtenis die een risico vormt.
- Verstoring: Tijdelijke impact op de informatievoorziening.
- Schade: Directe of indirecte gevolgen.
- Herstel en evaluatie: Het proces om van een incident te leren en toekomstig risico
te verminderen.
Kroonjuwelenanalyse: Methode om de meest kritieke data van een organisatie te
identificeren en bijbehorende bedreigingen te analyseren.
Business Impact Analyse (BIA):
- RTO (Recovery Time Objective): Maximale tijd dat een proces o[line mag zijn.
- RPO (Recovery Point Objective): Maximaal toegestaan gegevensverlies bij een
incident
E[ectief risicomanagement vereist het identificeren van relevante dreigingen en het
nemen van proportionele maatregelen, rekening houdend met de waarde van de te
beschermen data (informatie).
Uitwerking presentatie:
Bedreigingen voor systemen kunnen menselijk of niet-menselijk zijn
- Menselijke bedreigingen: zijn opzettelijk (cybercriminaliteit) of onopzettelijk
(menselijke fouten)
- Niet-menselijke bedreigingen: stroomuitval en softwarefouten
Informatieveiligheid bevat drie aspecten (BIV-driehoek):
- Beschikbaarheid: Beschikbaarheidsproblemen ontstaan wanneer informatie niet
tijdig of helemaal niet toegankelijk is
- Integriteit: Integriteit is in het geding wanneer gegevens onvolledig, onjuist of
gemanipuleerd zijn
- Vertrouwelijkheid: Vertrouwelijkheid wordt geschonden wanneer onbevoegden
toegang krijgen tot informatie.
à Bedreigingen kunnen één, twee of alle drie de aspecten bevatten
Schade
- Indirecte schade: (bijvoorbeeld reputatieschade) kan ontstaan wanneer bedrijven
aarzelen om incidenten te melden uit angst voor negatieve publiciteit
- Directe schade
