Cybersecurity les 1
Leerdoelen
Hieruit ontstaan ook de belangrijkste tentamenvragen.
De belangrijkste technische begrippen (als IP, Botnet, DDOS, worm) rond
cybersecurity toepassen.
Beschouwen en adviseren hoe in een organisatie de cybersecurity kan worden
ingericht, en daarbij de relatie leggen met de ISO 2700x norm en de visie van de
organisatie.
Voorstellen doen hoe informatiebeveiligingsbewustzijn van medewerkers het
best ondersteund kan worden, en daarbij een relatie leggen met concepten als
social engineering, situational awareness, collectieve opmerkzaamheid en
veiligheidscultuur.
Gegevens, informatie en beveiliging (dit zijn globaal hoofdstuk 2 en 3 uit het boek)
H2:
Informatiebeveiliging richt zich op het beschermen van informatiesystemen en de
gegevens daarin. Het werken met gegevens speelt een cruciale rol in elke organisatie.
Gegevens, informatie en informatievoorziening
Gegevens kunnen worden gezien als de objectief waarneembare weerslag van
feiten in een drager. Informatie is de betekenis die de mens aan de hand van
bepaalde afspraken aan gegevens toekent, of de kennistoename als gevolg van
het ontvangen en verwerken van bepaalde gegevens. Hierdoor is informatie
subjectief.
Gegevens kunnen worden verwerkt tot informatie. Daarbij is het mogelijk om
gebruik te maken van een informatiesysteem. Het informatiesysteem kan
gegevens die voor een ontvanger niet direct nuttig zijn, verwerken tot gegevens
die voor de ontvanger een zinvolle betekenis hebben en daarmee voor de
ontvanger informatie zijn. Een informatiesysteem is een samenhangende
gegevensverwerkende functionaliteit die gegevens invoert, verwerkt, uitvoert en
zo nodig een reactie bevat.
Informatie (subjectief) is de betekenis die aan gegevens (objectief) worden
toegekend.
- Een IT-infrastructuur is het geheel van automatiseringsmiddelen voor het
opslaan, bewerken, transporteren en representeren van gegevens ten
behoeve van gegevensinfrastructuren en applicaties.
- Een gegevensinfrastructuur is het geheel van een of meer
gegevensverzamelingen, inclusief de daarop van toepassing zijnde procedures
en documentatie.
, - Een applicatie is de programmatuur waarin de specifieke functionaliteit van
een informatiesysteem geprogrammeerd is.
De informatievoorziening is het geheel van IT-infrastructuur,
gegevensinfrastructuur, applicaties en organisatie (procedures), dat tot doel heeft
om te voorzien in de informatiebehoefte van de processen van een organisatie.
De informatievoorziening van een organisatie kan ook beschouwd worden als de
verzameling informatiesystemen en de gegevens- en IT-infrastructuur van de
betreffende organisatie.
De basisinfrastructuur maakt geen deel uit van de informatievoorziening, maar
schept wel noodzakelijke voorwaarden voor het functioneren van de
informatievoorziening.
Betrouwbaarheid (BIV of CIA) BIV= Beschikbaarheid, Integriteit, Vertrouwelijkheid.
Een bedreiging is een proces of een gebeurtenis die in potentie een verstorende invloed
heeft op de betrouwbaarheid van een object. In het kader van informatiebeveiliging
betreft het dan objecten van de informatievoorziening: apparatuur, programmatuur,
gegevens, procedures en mensen. Bedreigingen kunnen worden onderverdeeld naar de
aspecten die ze negatief beïnvloeden: BIV
Beschikbaarheid: de mate waarin gegevens of functionaliteit op de juiste
momenten beschikbaar zijn voor gebruikers. Tijdigheid, continuïteit, vindbaarheid
(avaliability). (Bijvoorbeeld als je niet bij blackboard kan)
Integriteit: de mate waarin gegevens of functionaliteit juist en volledig ingevuld
zijn. Correctheid, volledigheid, geldigheid, authenticiteit, onweerlegbaarheid
(integrity) (Correctheid, bijvoorbeeld gegevens goed opschrijven)
Vertrouwelijkheid: de mate waarin de toegang tot gegevens of functionaliteit
beperkt is tot degenen die daartoe bevoegd zijn, Exclusiviteit, privacy
(confidentiality) (Bepaalde gegevens die niet voor iedereen beschikbaar zijn)
Vaak vastgelegd in een SLA (Service Level Agreement: afspraken maken over de
dienstverlening). Informatievoorziening is vaak al uitbesteed in een organisatie.
(Omgaan met) Risico’s
Een risico is de gemiddelde schade over een gegeven tijdsperiode die verwacht wordt
doordat een of meer bedreigingen leiden tot een verstoring van een of meer objecten
van de informatievoorziening. Dit betekent dat er sprake is van een risico als een of
meer objecten van de informatievoorziening door een of meer bedreigingen getroffen
kunnen worden. Een schadeverwachting op jaarbasis wordt aangeduid met de eenheid
Jaarlijkse Schade Verwachting. De organisatie kan een zeker kostenniveau verwerken
zonder dat daardoor de bedrijfsprocessen in gevaar gebracht worden. Tot dit niveau zijn
de risico’s acceptabel.
, Risicodragend, risiconeutraal en risicomijdend.
Risicomijdend: Zo min mogelijk risico nemen en je bent bereid om zoveel mogelijk geld
te betalen om het risico te vermijden. Men investeert zo veel in beveiliging als
redelijkerwijze mogelijk is.
Risiconeutraal: als men ervoor kiest om de kosten voor de beveiligingsmaatregelen
vergelijkbaar te laten zijn met de kosten die gemoeid zouden zijn met de schade
waartegen men beveiligt.
Risicodragend: als men onder het motto ‘wie niet waagt, wie niet wint’, meer risico’s
durft te accepteren.
Door het treffen van beveiligingsmaatregelen is het mogelijk om de gelopen risico’s te
verkleinen.
Beveiligingsmaatregelen scheutig ingedeeld naar hun plaats in de beveiligingscyclus en
de wijze waarop ze gerealiseerd worden.
Sommige beveiligingsmaatregelen calculeer je in. Daarnaast heb je organisatorische
maatregelen (bewustwordingsmaatregelen. En fysieke maatregelen: zorgen dat je niet
onbevoegd de server ruimte in kan.
Hoe meer er wordt uitgegeven aan beveiligingsmaatregelen, hoe lager de
schadeverwachting
Bedreigingen
Beschikbaarheid: zorg ervoor dat het tijdig is. Wat is de bedreiging/wat kan er fout gaan?
Dat is vertraging. En wat is een voorbeeld van een bedreiging? Dat is de overbelasting
van de infrastructuur.
Leerdoelen
Hieruit ontstaan ook de belangrijkste tentamenvragen.
De belangrijkste technische begrippen (als IP, Botnet, DDOS, worm) rond
cybersecurity toepassen.
Beschouwen en adviseren hoe in een organisatie de cybersecurity kan worden
ingericht, en daarbij de relatie leggen met de ISO 2700x norm en de visie van de
organisatie.
Voorstellen doen hoe informatiebeveiligingsbewustzijn van medewerkers het
best ondersteund kan worden, en daarbij een relatie leggen met concepten als
social engineering, situational awareness, collectieve opmerkzaamheid en
veiligheidscultuur.
Gegevens, informatie en beveiliging (dit zijn globaal hoofdstuk 2 en 3 uit het boek)
H2:
Informatiebeveiliging richt zich op het beschermen van informatiesystemen en de
gegevens daarin. Het werken met gegevens speelt een cruciale rol in elke organisatie.
Gegevens, informatie en informatievoorziening
Gegevens kunnen worden gezien als de objectief waarneembare weerslag van
feiten in een drager. Informatie is de betekenis die de mens aan de hand van
bepaalde afspraken aan gegevens toekent, of de kennistoename als gevolg van
het ontvangen en verwerken van bepaalde gegevens. Hierdoor is informatie
subjectief.
Gegevens kunnen worden verwerkt tot informatie. Daarbij is het mogelijk om
gebruik te maken van een informatiesysteem. Het informatiesysteem kan
gegevens die voor een ontvanger niet direct nuttig zijn, verwerken tot gegevens
die voor de ontvanger een zinvolle betekenis hebben en daarmee voor de
ontvanger informatie zijn. Een informatiesysteem is een samenhangende
gegevensverwerkende functionaliteit die gegevens invoert, verwerkt, uitvoert en
zo nodig een reactie bevat.
Informatie (subjectief) is de betekenis die aan gegevens (objectief) worden
toegekend.
- Een IT-infrastructuur is het geheel van automatiseringsmiddelen voor het
opslaan, bewerken, transporteren en representeren van gegevens ten
behoeve van gegevensinfrastructuren en applicaties.
- Een gegevensinfrastructuur is het geheel van een of meer
gegevensverzamelingen, inclusief de daarop van toepassing zijnde procedures
en documentatie.
, - Een applicatie is de programmatuur waarin de specifieke functionaliteit van
een informatiesysteem geprogrammeerd is.
De informatievoorziening is het geheel van IT-infrastructuur,
gegevensinfrastructuur, applicaties en organisatie (procedures), dat tot doel heeft
om te voorzien in de informatiebehoefte van de processen van een organisatie.
De informatievoorziening van een organisatie kan ook beschouwd worden als de
verzameling informatiesystemen en de gegevens- en IT-infrastructuur van de
betreffende organisatie.
De basisinfrastructuur maakt geen deel uit van de informatievoorziening, maar
schept wel noodzakelijke voorwaarden voor het functioneren van de
informatievoorziening.
Betrouwbaarheid (BIV of CIA) BIV= Beschikbaarheid, Integriteit, Vertrouwelijkheid.
Een bedreiging is een proces of een gebeurtenis die in potentie een verstorende invloed
heeft op de betrouwbaarheid van een object. In het kader van informatiebeveiliging
betreft het dan objecten van de informatievoorziening: apparatuur, programmatuur,
gegevens, procedures en mensen. Bedreigingen kunnen worden onderverdeeld naar de
aspecten die ze negatief beïnvloeden: BIV
Beschikbaarheid: de mate waarin gegevens of functionaliteit op de juiste
momenten beschikbaar zijn voor gebruikers. Tijdigheid, continuïteit, vindbaarheid
(avaliability). (Bijvoorbeeld als je niet bij blackboard kan)
Integriteit: de mate waarin gegevens of functionaliteit juist en volledig ingevuld
zijn. Correctheid, volledigheid, geldigheid, authenticiteit, onweerlegbaarheid
(integrity) (Correctheid, bijvoorbeeld gegevens goed opschrijven)
Vertrouwelijkheid: de mate waarin de toegang tot gegevens of functionaliteit
beperkt is tot degenen die daartoe bevoegd zijn, Exclusiviteit, privacy
(confidentiality) (Bepaalde gegevens die niet voor iedereen beschikbaar zijn)
Vaak vastgelegd in een SLA (Service Level Agreement: afspraken maken over de
dienstverlening). Informatievoorziening is vaak al uitbesteed in een organisatie.
(Omgaan met) Risico’s
Een risico is de gemiddelde schade over een gegeven tijdsperiode die verwacht wordt
doordat een of meer bedreigingen leiden tot een verstoring van een of meer objecten
van de informatievoorziening. Dit betekent dat er sprake is van een risico als een of
meer objecten van de informatievoorziening door een of meer bedreigingen getroffen
kunnen worden. Een schadeverwachting op jaarbasis wordt aangeduid met de eenheid
Jaarlijkse Schade Verwachting. De organisatie kan een zeker kostenniveau verwerken
zonder dat daardoor de bedrijfsprocessen in gevaar gebracht worden. Tot dit niveau zijn
de risico’s acceptabel.
, Risicodragend, risiconeutraal en risicomijdend.
Risicomijdend: Zo min mogelijk risico nemen en je bent bereid om zoveel mogelijk geld
te betalen om het risico te vermijden. Men investeert zo veel in beveiliging als
redelijkerwijze mogelijk is.
Risiconeutraal: als men ervoor kiest om de kosten voor de beveiligingsmaatregelen
vergelijkbaar te laten zijn met de kosten die gemoeid zouden zijn met de schade
waartegen men beveiligt.
Risicodragend: als men onder het motto ‘wie niet waagt, wie niet wint’, meer risico’s
durft te accepteren.
Door het treffen van beveiligingsmaatregelen is het mogelijk om de gelopen risico’s te
verkleinen.
Beveiligingsmaatregelen scheutig ingedeeld naar hun plaats in de beveiligingscyclus en
de wijze waarop ze gerealiseerd worden.
Sommige beveiligingsmaatregelen calculeer je in. Daarnaast heb je organisatorische
maatregelen (bewustwordingsmaatregelen. En fysieke maatregelen: zorgen dat je niet
onbevoegd de server ruimte in kan.
Hoe meer er wordt uitgegeven aan beveiligingsmaatregelen, hoe lager de
schadeverwachting
Bedreigingen
Beschikbaarheid: zorg ervoor dat het tijdig is. Wat is de bedreiging/wat kan er fout gaan?
Dat is vertraging. En wat is een voorbeeld van een bedreiging? Dat is de overbelasting
van de infrastructuur.
