Leerdoelen
• De student legt het belang van informatie, informatieveiligheid en informatiebeveiliging
voor organisaties uit, zodanig dat de student organisaties adviseert waarom zij hier
aandacht aan dienen te besteden.
• De student legt begrippen, concepten en bouwstenen uit het vakgebied
informatiebeveiliging uit, zodanig dat de student in enkelvoudige casussen (over één bedrijf
of één informatiesysteem) met betrekking tot informatiebeveiliging verbeteringen voorstelt.
• De student herkent dreigingen en kwetsbaarheden met betrekking tot de beschikbaarheid,
integriteit en vertrouwelijkheid van de informatievoorziening, zodanig dat de student deze
identificeert in een enkelvoudige casus en mogelijkheden benoemt om de hieruit
voortkomende risico’s te beperken voor een organisatie.
• De student beschrijft vormen van cybercrime, zodanig dat de gevaren en impact van
cybercrime uitgelegd kunnen worden aan mogelijke doelwitten.
Samenvattingen lessen en PowerPoints
Les 1
De informatie afschermen voor de vijand = informatie beveiligen
Informatiebeveiliging heeft verband met:
- Technologie (trends in de veiligheid, dit zijn kansen maar ook bedreigingen
(nieuwe dingen komen op nieuwe gevaren))
- Organisatie (fusies, overnames, uitbestedingen, het nieuwe werken thuis)
- Maatschappij (wet- en regelgeving, marktwering, privacy, terrorisme,
individualisering (ieder voor zich door de telefoon))
- Economie (meer globalisering (internet over de hele wereld) en digitale handel)
Privacy discussie in de maatschappij: sleepwet. Het in de gaten houden van
Facebook accounts.
Informatie:
Met elkaar in verband gebrachte en geïnterpreteerde gegevens door de
ontvanger. (is subjectief, iedereen vindt iets anders en iedereen heeft zijn eigen
beleving bij iets)
Gegevens (‘data’) = grondstof
Informatie = eindproduct
Door analyse van informatie krijg je kennis, wat weer leidt tot wijsheid. Data
moet toegekend worden met een betekenis.
Gegevens (data, grondstof) vastgelegde feiten (datum, naam) op een bepaald
medium (usb, papier).
Gegevens in een organisatie:
Productiegegevens (grondstoffen, herkomst)
Verkoopgegevens
Inkoopgegevens
Klantgegevens
Medewerkersgegevens
Financiële gegevens
Klantgegevens en medewerkersgegevens zijn persoonsgegevens
Belangen van gegevens voor een organisatie:
1
, Nodig voor het uitvoeren van bedrijfsprocessen (inkoopgegevens voor de
processen)
Nodig voor het behalen van concurrentievoordeel (goedkoper dan de
buurman)
Belang voor derden
Van wie zijn de gegevens afkomstig en hoe gaat de organisatie
er mee om?
Informatiebehoeften begint bij een basis infrastructuur (een ruimte, kast)
1) IT- infrastructuur: apparatuur (hardware, kun je vasthouden),
basisprogrammatuur (software (windows)) Informatievoorzienin
2) Gegevens infrastructuur: gegevensverzameling (databases) g
3) Applicaties: software met specifieke functionaliteit (word)
4) Procedures: organisatie en mensen
Informatiesysteem:
Een samenhangende, gegevensverwerkende functionaliteit die wordt gebruikt
om bedrijfsprocessen te kennen, ondersteunen en besturen door de
componenten apparatuur en netwerken.
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
^^^^^^^^^^^
Soorten informatiesystemen:
Operationele informatiesysteem: bieden van ondersteuning bij de
gegevensverwerking bij het daadwerkelijk uitvoeren van de dagelijkse
werkzaamheden. (bij een auto: benzine)
Management informatie systeem (MIS): bieden ondersteuning bij het nemen van
beslissingen door de leiding. Een MIS is strategisch en tactisch van aard. (voor
verbetering van de bedrijfsvoering en voor het krijgen van een strategische
doelstelling. Gedrag sturen door het hebben van informatie)
Operationeel: de kassa slaat een product aan en geeft het aan op de kassabon.
Management informatie systeem: het systeem geeft aan wat besteld moet
worden.
Asset = Dingen die we beveiligen. Het zijn bedrijfseigendommen die waarde
hebben. Dit zijn mensen, eigendommen, informatie of reputatie.
Informatieveiligheid belangen: individuele belangen (privacy), organisatorische
belangen (producten en diensten, reputatie), maatschappelijke belangen.
Les 2
Incidentencyclus:
- Bedreiging = iets dat zou kunnen gebeuren
- Verstoring = als de bedreiging leidt tot een incident
- Schade = door een incident kan schade ontstaan aan informatie of
middelen
- Herstel = het herstellen van ontstane schade
Gevaar overkomt je en bij een dreiging doet iemand iets met opzet.
Een dreiging is een proces of gebeurtenis die in potentie een verstorende invloed
heeft op een object van de informatievoorziening (apparatuur, programmatuur,
gegevens, procedures en mensen)
2
, De dreiging kan zowel van buiten (een hacker) als van binnen (een frauderende
medewerker) komen.
Een dreiging wordt pas relevant als sprake is van een kwetsbaarheid voor een
belang (asset) en een kwaadwillende die de intentie heeft om het belang aan te
vallen.
Menselijke bedreigingen:
Niet opzettelijk (fouten, back-up vergeten, wissen, loslippigheid)
Opzettelijk (inbraak, sabotage, fraude)
Niet menselijke bedreigingen:
Invloeden van buitenaf (natuur)
Storingen in basisinfrastructuur (stoom valt uit)
Storingen in apparatuur, programmatuur, gegevensbestanden
Informatieveiligheid = alle processen die ingericht worden om de
betrouwbaarheid van de informatievoorziening te beschermen tegen al dan niet
opzettelijke verstoring. Betrouwbaarheidsaspecten: beschikbaarheid, integriteit
en vertrouwelijkheid. BIV
Aspecten:
Beschikbaarheid = de mate waarin gegevens of functionaliteiten (processen) op
het juiste moment beschikbaar zijn voor de gebruikers. Tijdigheid, continuïteit
(het moet er altijd zijn) en vindbaarheid.
Integriteit = de mate waarin gegevens of functionaliteiten (processen) juist zijn
ingevuld. Juistheid is correctheid, volledigheid, geldigheid, authenticiteit (de
gebruiker is daadwerkelijk degene die hij beweert te zijn (door een wachtwoord,
id kaart) en onweerlegbaarheid (je kunt aantonen dat iets is ontvangen en van
wie)
Vertrouwelijkheid = is de toegang tot gegevens of functionaliteit beperkt tot
degenen die daartoe bevoegd zijn? Exclusiviteit en privacy.
Beveiligingscyclus:
Preventief: voorkomen dat een bedreiging tot een verstoring leidt
Detectief: een incident zo snel mogelijk ontdekken
Repressief: de schade beperken als een incident zich voordoet
Correctief: de schade herstellen na een incident
De wijze waarop gerealiseerd wordt:
Organisatorische maatregelen: hebben betrekking op organisatie, mensen,
procedures. Iets wat je regelt. (spullen opruimen)
Logische maatregelen: zijn opgenomen in de programmatuur
(applicaties/software) (een back-up, wachtwoord)
Fysieke maatregelen: zijn gerealiseerd met apparatuur of andere materiele
middelen. Iets wat je beet kan pakken. (alarm, kluis, brandblusser)
Les 3
Cybercrime = criminele activiteiten waarbij gebruik wordt gemaakt van ICT. De
criminele activiteiten kunnen gericht zijn tegen personen, eigendommen en
organisaties of tegen elektronische communicatienetwerken en
informatiesystemen.
Is niet alleen op computers, maar ook op mobiele telefoons, pinautomaten, een
ketel thuis, auto.
3
• De student legt het belang van informatie, informatieveiligheid en informatiebeveiliging
voor organisaties uit, zodanig dat de student organisaties adviseert waarom zij hier
aandacht aan dienen te besteden.
• De student legt begrippen, concepten en bouwstenen uit het vakgebied
informatiebeveiliging uit, zodanig dat de student in enkelvoudige casussen (over één bedrijf
of één informatiesysteem) met betrekking tot informatiebeveiliging verbeteringen voorstelt.
• De student herkent dreigingen en kwetsbaarheden met betrekking tot de beschikbaarheid,
integriteit en vertrouwelijkheid van de informatievoorziening, zodanig dat de student deze
identificeert in een enkelvoudige casus en mogelijkheden benoemt om de hieruit
voortkomende risico’s te beperken voor een organisatie.
• De student beschrijft vormen van cybercrime, zodanig dat de gevaren en impact van
cybercrime uitgelegd kunnen worden aan mogelijke doelwitten.
Samenvattingen lessen en PowerPoints
Les 1
De informatie afschermen voor de vijand = informatie beveiligen
Informatiebeveiliging heeft verband met:
- Technologie (trends in de veiligheid, dit zijn kansen maar ook bedreigingen
(nieuwe dingen komen op nieuwe gevaren))
- Organisatie (fusies, overnames, uitbestedingen, het nieuwe werken thuis)
- Maatschappij (wet- en regelgeving, marktwering, privacy, terrorisme,
individualisering (ieder voor zich door de telefoon))
- Economie (meer globalisering (internet over de hele wereld) en digitale handel)
Privacy discussie in de maatschappij: sleepwet. Het in de gaten houden van
Facebook accounts.
Informatie:
Met elkaar in verband gebrachte en geïnterpreteerde gegevens door de
ontvanger. (is subjectief, iedereen vindt iets anders en iedereen heeft zijn eigen
beleving bij iets)
Gegevens (‘data’) = grondstof
Informatie = eindproduct
Door analyse van informatie krijg je kennis, wat weer leidt tot wijsheid. Data
moet toegekend worden met een betekenis.
Gegevens (data, grondstof) vastgelegde feiten (datum, naam) op een bepaald
medium (usb, papier).
Gegevens in een organisatie:
Productiegegevens (grondstoffen, herkomst)
Verkoopgegevens
Inkoopgegevens
Klantgegevens
Medewerkersgegevens
Financiële gegevens
Klantgegevens en medewerkersgegevens zijn persoonsgegevens
Belangen van gegevens voor een organisatie:
1
, Nodig voor het uitvoeren van bedrijfsprocessen (inkoopgegevens voor de
processen)
Nodig voor het behalen van concurrentievoordeel (goedkoper dan de
buurman)
Belang voor derden
Van wie zijn de gegevens afkomstig en hoe gaat de organisatie
er mee om?
Informatiebehoeften begint bij een basis infrastructuur (een ruimte, kast)
1) IT- infrastructuur: apparatuur (hardware, kun je vasthouden),
basisprogrammatuur (software (windows)) Informatievoorzienin
2) Gegevens infrastructuur: gegevensverzameling (databases) g
3) Applicaties: software met specifieke functionaliteit (word)
4) Procedures: organisatie en mensen
Informatiesysteem:
Een samenhangende, gegevensverwerkende functionaliteit die wordt gebruikt
om bedrijfsprocessen te kennen, ondersteunen en besturen door de
componenten apparatuur en netwerken.
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
^^^^^^^^^^^
Soorten informatiesystemen:
Operationele informatiesysteem: bieden van ondersteuning bij de
gegevensverwerking bij het daadwerkelijk uitvoeren van de dagelijkse
werkzaamheden. (bij een auto: benzine)
Management informatie systeem (MIS): bieden ondersteuning bij het nemen van
beslissingen door de leiding. Een MIS is strategisch en tactisch van aard. (voor
verbetering van de bedrijfsvoering en voor het krijgen van een strategische
doelstelling. Gedrag sturen door het hebben van informatie)
Operationeel: de kassa slaat een product aan en geeft het aan op de kassabon.
Management informatie systeem: het systeem geeft aan wat besteld moet
worden.
Asset = Dingen die we beveiligen. Het zijn bedrijfseigendommen die waarde
hebben. Dit zijn mensen, eigendommen, informatie of reputatie.
Informatieveiligheid belangen: individuele belangen (privacy), organisatorische
belangen (producten en diensten, reputatie), maatschappelijke belangen.
Les 2
Incidentencyclus:
- Bedreiging = iets dat zou kunnen gebeuren
- Verstoring = als de bedreiging leidt tot een incident
- Schade = door een incident kan schade ontstaan aan informatie of
middelen
- Herstel = het herstellen van ontstane schade
Gevaar overkomt je en bij een dreiging doet iemand iets met opzet.
Een dreiging is een proces of gebeurtenis die in potentie een verstorende invloed
heeft op een object van de informatievoorziening (apparatuur, programmatuur,
gegevens, procedures en mensen)
2
, De dreiging kan zowel van buiten (een hacker) als van binnen (een frauderende
medewerker) komen.
Een dreiging wordt pas relevant als sprake is van een kwetsbaarheid voor een
belang (asset) en een kwaadwillende die de intentie heeft om het belang aan te
vallen.
Menselijke bedreigingen:
Niet opzettelijk (fouten, back-up vergeten, wissen, loslippigheid)
Opzettelijk (inbraak, sabotage, fraude)
Niet menselijke bedreigingen:
Invloeden van buitenaf (natuur)
Storingen in basisinfrastructuur (stoom valt uit)
Storingen in apparatuur, programmatuur, gegevensbestanden
Informatieveiligheid = alle processen die ingericht worden om de
betrouwbaarheid van de informatievoorziening te beschermen tegen al dan niet
opzettelijke verstoring. Betrouwbaarheidsaspecten: beschikbaarheid, integriteit
en vertrouwelijkheid. BIV
Aspecten:
Beschikbaarheid = de mate waarin gegevens of functionaliteiten (processen) op
het juiste moment beschikbaar zijn voor de gebruikers. Tijdigheid, continuïteit
(het moet er altijd zijn) en vindbaarheid.
Integriteit = de mate waarin gegevens of functionaliteiten (processen) juist zijn
ingevuld. Juistheid is correctheid, volledigheid, geldigheid, authenticiteit (de
gebruiker is daadwerkelijk degene die hij beweert te zijn (door een wachtwoord,
id kaart) en onweerlegbaarheid (je kunt aantonen dat iets is ontvangen en van
wie)
Vertrouwelijkheid = is de toegang tot gegevens of functionaliteit beperkt tot
degenen die daartoe bevoegd zijn? Exclusiviteit en privacy.
Beveiligingscyclus:
Preventief: voorkomen dat een bedreiging tot een verstoring leidt
Detectief: een incident zo snel mogelijk ontdekken
Repressief: de schade beperken als een incident zich voordoet
Correctief: de schade herstellen na een incident
De wijze waarop gerealiseerd wordt:
Organisatorische maatregelen: hebben betrekking op organisatie, mensen,
procedures. Iets wat je regelt. (spullen opruimen)
Logische maatregelen: zijn opgenomen in de programmatuur
(applicaties/software) (een back-up, wachtwoord)
Fysieke maatregelen: zijn gerealiseerd met apparatuur of andere materiele
middelen. Iets wat je beet kan pakken. (alarm, kluis, brandblusser)
Les 3
Cybercrime = criminele activiteiten waarbij gebruik wordt gemaakt van ICT. De
criminele activiteiten kunnen gericht zijn tegen personen, eigendommen en
organisaties of tegen elektronische communicatienetwerken en
informatiesystemen.
Is niet alleen op computers, maar ook op mobiele telefoons, pinautomaten, een
ketel thuis, auto.
3
