Artikelen informatiebeveiliging

De Algemene verordening gegevensbescherming uitgewerkt

De Algemene verordening gegevensbescherming uitgewerkt

Inleiding Algemene verordening gegevensbescherming uitgewerkt. In mijn voorbereiding voor het CIPP/E examen heb ik een uitwerking gemaakt van de Algemene verordening gegevensbescherming. Ik gebruik het als een naslag. Mogelijk kun je er je voordeel mee doen. Persoonsgegevens en toepasselijkheid De algemene verordening gegevensbescherming (AVG) gaat over de bescherming van natuurlijke personen i.v.m. gegevensverwerking en het vrije verkeer van persoonsgegevens en is van toepassing op de geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of gaan worden opgenomen. Het…

Read More Read More

Richtlijn netwerk- en informatiebeveiliging

Richtlijn netwerk- en informatiebeveiliging

Inleiding richtlijn netwerk- en informatiebeveiliging Op dit moment is er veel aandacht voor de Algemene Verordening Gegevensbescherming. Echter in mei 2018 wordt er nog een richtlijn voor netwerk- en informatiebeveiliging van kracht. Dit artikel poogt een beeld te geven wat deze richtlijn gaat betekenen voor Nederlandse organisaties. De richtlijn is in Europees verband opgesteld en gericht op organisaties die deel uitmaken van de vitale infrastructuur en organisaties die een digitale dienst aanbieden. Deze richtlijn met EU code 2016/1148/ dient door…

Read More Read More

Cloud security

Cloud security

Cloud security Op een ISACA bijeenkomst in Assen heb ik bijgesloten presentatie gegeven over Cloud security. Als je meer inzicht wilt in het verschil tussen traditionele hosting en Cloud en de gevolgen daarvan voor informatiebeveiliging raad ik je aan om de presentatie eens te bekijken. Als Cloud omgeving heb ik in deze presentatie Public Azure als voorbeeld gebruikt, om daarmee het verschil tussen traditionele hosting en Cloud duidelijk inzichtelijk te maken. De presentatie gaat in op de architectuur van traditionele…

Read More Read More

Algemene verordening gegevensbescherming

Algemene verordening gegevensbescherming

Algemene verordening gegevensbescherming In de EU hebben landen wetten om de privacy van haar burgers te beschermen. Deze wetten hebben allemaal de Europese privacy verordening van 1995 als basis. Deze laatste is herzien en gaat nu gelden voor alle EU landen. Daarmee worden de verschillende privacy wetten gelijk getrokken in de Europese Unie. In Nederland gebruiken we hiervoor de naam “ algemene verordening gegevensbescherming” die per mei 2018 van toepassing zal gaan worden. De Wet Bescherming Persoonsgegevens (WBP) maakt daarmee…

Read More Read More

ISO27017, de norm voor Cloud dienstverleners

ISO27017, de norm voor Cloud dienstverleners

Inleiding ISO27017 De ISO27017 norm is specifiek voor Cloud dienstverlening tot stand gekomen. Diverse partijen waaronder bijvoorbeeld de Cloud Security Alliance hebben hier aan meegewerkt. De norm is in 2015 gepubliceerd. Relatie met ISO27001 Om deze certificering te kunnen behalen dient een Cloud dienstverlener in het bezit te zijn van een ISO27001 certificering. De ISO27017 norm kent geen ISMS, daar is de ISO27001 voor. Feitelijk is het een uitbreiding op de ISO27002 norm. ISO27017 is daarmee een addendum op het…

Read More Read More

Verplichte ISO27001 documentatie

Verplichte ISO27001 documentatie

Inleiding Wat moet je nu aan verplichte ISO27001 documentatie hebben opgesteld om door een audit te komen? Verplichte ISO27001 documentatie ISO27001 stelt verplicht dat een aantal zaken gedocumenteerd zijn. Als je in de norm gaat zoeken op het woord gedocumenteerd kom je onderstaande tegen: Toepassingsgebied van het ISMS. Dit is de scope waarvoor je gecertificeerd wilt worden. Informatiebeveiligingsbeleid. Beschrijving hoe de risico analyse wordt uitgevoerd. Resultaten van de risico analyse. Hoe geconstateerde risico’s worden behandeld. Procedure beveiligingsincidenten. Beveiligingsdoelstellingen. Capaciteiten van…

Read More Read More

Agile, DevOps en informatiebeveiliging

Agile, DevOps en informatiebeveiliging

Agile, DevOps en informatiebeveiliging De Agile methode is bedacht om kostbare IT projecten die eindigen in het niets te voorkomen. Agile methoden kennen zogenaamde sprints die worden uitgevoerd in kleine teams. Sprints zijn korte periodes waarin een product wordt opgeleverd. Doel van de methode is dat de opdrachtgever zich vroegtijdig een beeld kan vormen of men op de juiste weg is. Bij het ontwikkelen van software kom je deze methode vaak tegen. Deze methodiek heeft ook zijn weg gevonden naar…

Read More Read More

A&K methode – Risico analyse voor de overheid

A&K methode – Risico analyse voor de overheid

Inleiding A&K methode De A&K methode is een risico analyse methode. A&K staat voor afhankelijkheids- en kwetsbaarheidsanalyse. Het is een analyse die bedacht is door de Nederlandse overheid. Op basis van dit model zijn diverse risico analyses gebaseerd. Het NAVI heeft deze methode bijvoorbeeld gebruikt als basis voor de risico analyse voor de vitale infrastructuur sector. Stappen A&K methode De A&K methode kent de volgende stappen: Stap 1: Afhankelijkheidsanalyse: Deze analyse levert een overzicht van de afhankelijkheden van een onderneming…

Read More Read More

Bug Bounty programma’s

Bug Bounty programma’s

Inleiding Een nieuwe ontwikkeling op het gebied van testen op IT kwetsbaarheden begint in opkomst te raken. Bedrijven als HackerOne, Synack en Bugcrowd bieden hiervoor diensten aan. Bug bounty programma’s is de term die hiervoor wordt gebruikt. De genoemde bedrijven zijn intermediair. Ondernemingen die haar IT dienstverlening op kwetsbaarheden willen testen worden verbonden met ethische hackers. De communicatie, rapportage, opvolging van kwetsbaarheden en uitbetaling van beloningen voor een ontdekte kwetsbaarheid worden via het bug bounty platform van deze intermediairs gefaciliteerd….

Read More Read More

Wet Bescherming Persoonsgegevens (WBP)

Wet Bescherming Persoonsgegevens (WBP)

Inleiding WBP De Wet Bescherming Persoonsgegevens (WBP) is sinds 2001 van toepassing. Deze wet moet er voor zorgen dat persoonsgegevens alleen in overeenstemming met de wet worden verzameld en verwerkt. Daarbij moet het verzamelen verenigbaar zijn met het doel. Organisaties die persoonsgegevens opslaan dienen hiervan een melding te maken bij het CBP en dienen deze gegevens passend te beveiligen. Passende beveiliging? De WBP zegt dat gegevens op een passende manier moeten worden beveiligd, maar wat is dit eigenlijk en hoe…

Read More Read More

Hacking Team

Hacking Team

Inleiding Hacking Team is een Italiaans bedrijf dat afluistersoftware maakt. Het bedrijf is echter ergens zomer 2015 gehackt waarbij 400GB aan data op straat is komen te liggen. Hiermee kwamen ook de handleidingen beschikbaar van deze afluistersoftware. Ik was wel benieuwd wat deze software nu voor mogelijkheden heeft en vooral hoe men er voor kan zorgen dat computers en mobiele apparatuur ongemerkt voorzien worden van deze software. Ik heb daarom de handleidingen eens doorgenomen en er onderstaand artikel over geschreven….

Read More Read More

NEN7512 en NEN7513

NEN7512 en NEN7513

Inleiding We kennen de NEN7510 waarschijnlijk allemaal wel. Dit is de code voor informatiebeveiliging (ISO27001), maar dan gericht op de medische wereld. Ten opzichte van de ISO27001 kent de NEN7510 een aantal specifieke toevoegingen. Een aantal daarvan worden weer nader uitgewerkt in de NEN7512 en NEN7513. Je kunt deze toevoegingen gratis bemachtigen op de website van het NEN: https://www.nen.nl/ Certificering NEN7512 en NEN7513? Je kunt je alleen tegen de NEN7510 norm certificeren niet tegen de NEN7512 en NEN7513. NEN7512 Deze…

Read More Read More

Vitale infrastructuur

Vitale infrastructuur

Inleiding vitale infrastructuur Vitale infrastructuur is een term die ik zo nu en dan in relatie tot informatiebeveiliging voorbij zie komen. Maar wat is het eigenlijk en wat is de link met informatiebeveiliging? Onderstaand een korte toelichting over de term vitale infrastructuur. Onder vitale infrastructuur wordt verstaan een dienst of product dat indien het niet zou functioneren maatschappelijke ontwrichting teweeg zal brengen in Nederland. De volgende 12 vitale infrastructuur sectoren worden onderkend door de overheid: 1. Chemische en nucleaire industrie 2….

Read More Read More

Informatiebeveiliging voor rijksdiensten: BIR en VIR-BI

Informatiebeveiliging voor rijksdiensten: BIR en VIR-BI

BIR De overheid heeft een eigen baseline voor informatiebeveiliging ontworpen. Deze wordt kortweg de BIR genoemd en staat voor Baseline Informatiebeveiliging Rijksoverheid. De BIR  gaat uit van de ISO27001/27002 norm. Naast de bestaande maatregelen uit ISO27001 zijn er extra maatregelen of aanscherpingen aan deze baseline toegevoegd. Zoals de naam al aangeeft betreft het een baseline. De rijskoverheden dienen dit te implementeren voor de IT voorzieningen of dienen bij uitbesteding deze eisen te vertalen in aanbestedingseisen. VIR-BI De BIR geeft de…

Read More Read More

Effectieve analyse output van kwetsbaarheidscanners

Effectieve analyse output van kwetsbaarheidscanners

Inleiding Het is noodzakelijk om met regelmaat IT systemen te controleren op kwetsbaarheden. Dit kan met kwetsbaarheidscanners als bijvoorbeeld Nessus of OpenVAS. Het probleem (of de uitdaging) begint eigenlijk zodra de scan gereed is en de output moet worden geanalyseerd. Vaak zijn het enorme hoeveelheden bevindingen die uit de output van kwetsbaarheidscanners komen. Effectief de output van kwetsbaarheidscanners beoordelen Uiteraard is het beoordelen van de eerste scan veel werk, maar hoe voorkom je dat je bij de volgende scan weer de…

Read More Read More

Stappenplan ISO27001 implementatie

Stappenplan ISO27001 implementatie

Inleiding Om een ISO27001 implementatie uit te voeren en het certificaat te behalen dienen diverse stappen te worden doorlopen. Onderstaand een overzicht van de ISO27001 implementatie stappen en per fase een toelichting hierop. Scope bepaling Dit is de start van het ISO27001 implementatie traject. De scope bepaalt waar je voor gecertificeerd wilt worden. Deze scope wordt normaal gesproken met 5 tot 10 zinnen omschreven en dit is ook de tekst die op het ISO27001 certificaat zal worden afgedrukt. De scope…

Read More Read More

ISAE3402 versus ISO27001

ISAE3402 versus ISO27001

Inleiding ISAE3402 versus ISO27001 Regelmatig krijg ik de vraag of een ISAE3402 en een ISO27001 elkaar zouden kunnen vervangen, of er verschillen of juist overeenkomsten zijn. Er zijn diverse overeenkomsten te onderkennen tussen ISAE3402 versus ISO27001. De belangrijkste passeren hieronder de revue. Certificaat vs assurance rapportage ISO27001 kent een certificaat dat aan een organisatie wordt uitgereikt na een geslaagde audit. ISAE3402 is een assurance rapportage en wordt over het algemeen alleen door financiële instellingen gebruikt. Scope vs systeem ISO27001 noemt…

Read More Read More

Wat is ISAE3402?

Wat is ISAE3402?

Inleiding ISAE3402 is een assurance standaard. Dat wil zeggen er wordt een rapportage opgesteld waarmee een belanghebbende een redelijke mate van zekerheid kan verkrijgen over de uitvoering van een dienst of service. In ISAE3402 termen wordt de dienst of service het systeem genoemd. Het zijn veelal service organisaties die een dergelijke assurance rapportage beschikbaar stellen aan klanten om deze zekerheid te bieden dat de geleverde dienst voldoet aan bepaalde criteria. Dit wordt door de afnemende organisaties veelal gebruikt als onderdeel…

Read More Read More

Risico analyse ISO27001 en NEN7510

Risico analyse ISO27001 en NEN7510

Risico analyse ISO27001 en NEN7510 Hoe wordt een risico analyse ISO27001 of NEN7510 uitgevoerd? Een veel gemaakte fout is dat men simpelweg gaat afstrepen welke van de ISO27002 maatregelen wel of niet van toepassing zijn. Daarmee wordt niet voldaan aan de eisen die deze normen stellen. In dit artikel wordt beschreven hoe een risico analyse ISO27001 of NEN7510 op een eenvoudige manier kan worden uitgevoerd. ISO27001 / NEN7510 geeft aan dat je een risico analyse moet uitvoeren op bedrijfsmiddelen. Lees…

Read More Read More

SSL encryptie toegelicht

SSL encryptie toegelicht

Inleiding SSL encryptie In dit artikel licht ik een aantal technische aspecten van SSL encryptie toe zonder diep in de materie te duiken. Na het lezen van dit document ben je geen expert, maar zullen hopenlijk een aantal zaken hieromtrent duidelijker worden waarmee het principe te begrijpen is. SSL encryptie, de basis SSL staat voor secure socker layer. Het is een protocol dat data encrypt en verstuurd en vervolgens weer decrypt. Het is in het verleden begonnen met SSL versie…

Read More Read More

Security incident proces

Security incident proces

Security incident proces Organisaties en ondernemingen die informatiebeveiliging hebben ingericht dienen minimaal een security incident proces beschikbaar te hebben. Wat is een security incident? Leg van te voren vast wat een security incident is. Dit voorkomt dat ieder incident een security incident wordt genoemd en zodanig wordt opgepakt of dat incidenten juist niet gemeld worden bij de betreffende persoon of afdeling. Maar wat is dan een security incident? Dit is specifiek voor iedere organisatie, maar gemiddeld kan men toch wel…

Read More Read More

Voorbeeld risico, maatregel en controle

Voorbeeld risico, maatregel en controle

Inleiding risico, maatregel en controle Regelmatig gebruik ik in de artikelen de woorden als risico, maatregel en controle. Hierbij een voorbeeld om dit te verduidelijken. Voorbeeld risico, maatregel en controle Stel een onderneming heeft een e-commerce applicatie. E-commerce applicaties zijn vaak aangesloten op het internet zodat leveranciers, klanten etc. er gebruik van kunnen maken. Risico Als hierop een risico analyse wordt uitgevoerd dan is het te verwachten dat er een risico uitkomt als: “ een systeem verbonden met het internet loopt…

Read More Read More

Opzet van een security programma

Opzet van een security programma

Aan de volgende onderdelen moet gedacht worden bij de opzet van een security programma binnen een organisatie. Doel van een dergelijk security programma is om informatiebeveiliging te borgen of te verbeteren. Twee basisvoorwaarden voor de opzet van een security programma Management commitment Een voorwaarde is management commitment. Of het nu security programma’s zijn die opgezet gaan worden of projecten die moeten gaan lopen. Waarom?, heel eenvoudig, zonder ondersteuning van het management zijn er geen resources en budget beschikbaar en daarmee…

Read More Read More

Opleidingen en certificering voor informatiebeveiliging

Opleidingen en certificering voor informatiebeveiliging

Opleidingen en certificering voor informatiebeveiliging De manier om aan te tonen dat je op een bepaald vlak kennis hebt is het behalen van certificeringen. In Nederland zien we, dat als het gaat om informatiebeveiliging, de volgende opleidingen en certificeringen de toon voeren. RE opleiding Als we het hebben over een opleiding dan is dat de RE opleiding tot IT auditor. Dit is een opleiding op universitair niveau die 2 tot 2,5 jaar in beslag neemt. CISA & CISM certificering voor…

Read More Read More

Wat is een ISMS?

Wat is een ISMS?

Wat is een ISMS? ISMS staat voor information security management system en wordt bijvoorbeeld gebruikt als ISO27001 toegepast wordt. Maar wat is nu eigenlijk een ISMS? Een ISMS is de manier waarop je, in het geval van ISO27001, de informatiebeveiliging kunt besturen. Deze besturing kun je naar eigen inzicht inrichten. Wel zijn er aan aantal ISMS activiteiten die verplicht zijn. Denk daarbij aan het uitvoeren van bijvoorbeeld een interne audit of een risico analyse. Belangrijk is dat je het aantoonbaar…

Read More Read More

Tooling voor technische informatiebeveiliging

Tooling voor technische informatiebeveiliging

Tooling voor technische informatiebeveiliging Er bestaat diverse applicaties om controles uit te voeren op de staat van de informatiebeveiliging. Onderstaand behandel ik een aantal nuttige tools die voor deze controles kunnen worden ingezet. NMAP security scanner. De basis functie van NMAP is om te detecteren op een systeem of firewall welke poorten er open staan. Dit geeft een idee welke applicaties er draaien en of deze worden afgeschermd. Middels diverse scripts die er beschikbaar zijn kan additionele informatie ingewonnen worden over…

Read More Read More

Overwegingen gebruik kwetsbaarheid scanners

Overwegingen gebruik kwetsbaarheid scanners

Overwegingen gebruik kwetsbaarheid scanners Kwetsbaarheid scanners zoals OpenVAS of Nessus zijn onmisbaar om de staat van de informatiebeveiliging te controleren. Wel wil ik met dit artikel een aantal overwegingen mee geven alvorens dergelijke scans te gaan starten. Intern of extern scannen Je hebt de mogelijkheid om externe te scannen, dus vanaf het internet richting de systemen van de onderneming die zijn aangesloten op het internet. In dat geval zal er een firewall tussen zitten die het merendeel van de poorten…

Read More Read More

Het verschil tussen ISO27001 en ISO27002

Het verschil tussen ISO27001 en ISO27002

Het verschil tussen ISO27001 en ISO27002. ISO27001 beschrijft het ISMS, het information security management systeem. Voor een uitleg over het ISMS, zie het artikel “wat is een ISMS” op deze site. ISO27002:2005 beschrijft 133 maatregelen die je kunt nemen ten aanzien van informatiebeveiliging. De nieuwe norm ISO27001:2013 kent er 114. Het is voornamelijk een samenvoeging van een aantal maatregelen uit de eerdere norm die maakt dat het aantal maatregelen minder is geworden. Je moet deze maatregelen beoordelen en op basis…

Read More Read More