Basismaatregelen Informatiebeveiliging

Questions and Answers

Wat is de verantwoordelijk van een werknemer met betrekking tot eigen (BYOD - Bring Your Own Device)-apparaten?

• De werknemer hoeft zich geen zorgen te maken over beveiligingspatches.
• De werknemer is verantwoordelijk voor het up-to-date houden van het device. (correct)
• De werknemer mag persoonlijke informatie op het apparaat bewaren.
• More Than Gifts is verantwoordelijk voor de beveiliging van BYOD-apparaten.

Wat moet een werknemer doen als zijn/haar laptop zoek is of gestolen?

• Wachten tot de laptop is teruggevonden.
• Dit melden bij de IT-afdeling. (correct)
• Direct een nieuwe laptop aanvragen.
• De IT-afdeling negeren omdat het zijn/haar eigen apparaat is.

Wat is een vereiste voor het gebruik van MacBooks binnen het bedrijf?

• Het is toegestaan om ongeautoriseerde software te installeren.
• Alleen met een sterk wachtwoord of biometrische beveiliging mag worden ingelogd. (correct)
• Werknemers mogen alleen inloggen zonder wachtwoord.
• Werknemers mogen de MacBooks zonder updates gebruiken.

Wat wordt er van jou verwacht bij het constateren van een beveiligingsprobleem?

Je licht het management tijdig in bij een beveiligingsprobleem. (A)

Waar kan je de huisregels en gedragscode vinden?

In de Kennis app van More Than Gifts. (A)

Wat is de belangrijkste reden voor informatieclassificatie binnen een organisatie?

Het beheren van toegang en beveiligingsmaatregelen voor verschillende soorten informatie. (A)

Welke informatie valt onder 'zeer vertrouwelijke informatie' volgens de classificatie?

Personeelsdossiers en contracten. (D)

Wat is een vereiste voor het labelen van informatie in documenten?

Documenten moeten voorzien zijn van classificatie, versienummer, status en een eigenaar. (C)

Welke maatregel wordt genomen voor de veilige toegang tot het More Than Gifts pand?

De toegang wordt beveiligd door een EVVA Airkey cilinder. (C)

Welke categorie bevat informatie die voor iedereen toegankelijk is zonder beperkingen?

Openbare informatie. (C)

Wie is verantwoordelijk voor beveiligingsincidenten veroorzaakt door een bezoeker?

Een More Than Gifts medewerker (B)

Wat is de juiste actie na het ontdekken van een beveiligingsincident op je werkplekdevice?

De internetverbinding verbreken (C)

Welke van de onderstaande maatregelen is relevant voor veilig thuiswerken?

Ervoor zorgen dat bedrijfsinformatie niet zichtbaar is voor derden (D)

Wat moeten medewerkers gebruiken als ze op afstand werken in een openbare ruimte?

VPN-software voor een beveiligde verbinding (B)

Wat zijn de gevolgen voor een werknemer die de gedragscode schendt?

De werkgever kan passende maatregelen nemen afhankelijk van de ernst van de schending. (B)

Wat houdt het 'need-to-know' principe in?

Toegang tot informatie is beperkt tot geautoriseerde medewerkers op basis van hun rol. (C)

Waar sla je wachtwoorden veilig op volgens het beleid?

In 1Password. (C)

Wat doe je als iemand over je schouder meekijkt terwijl je een wachtwoord intypt?

Je vraagt de persoon vriendelijk weg te kijken. (B)

Wanneer vergrendel je je MacBook volgens het ‘Clean Screen’-beleid?

Wanneer je weggaat, zelfs al is het voor korte tijd. (B)

Welke toegangsmethode is verplicht voor kritieke systemen?

Multifactor-authenticatie (MFA). (C)

Wat moet je doen als een collega moeite heeft om securityrichtlijnen na te leven?

Helpen om de richtlijnen na te leven. (B)

Wat is de belangrijkste regel bij het delen van vertrouwelijke informatie?

Een link delen naar de interne opslagplaats zoals SharePoint en voorzien van een wachtwoord. (B)

Wat doe je als je een phishing-e-mail ontvangt?

Het direct rapporteren aan de IT-afdeling. (C)

Hoe vaak moet je je wachtwoord wijzigen?

Regelmatig, volgens het beleid van de organisatie. (C)

Wat is vereist voordat je software mag installeren op een bedrijfsapparaat?

Goedkeuring van de IT-afdeling. (C)

Wat is de ‘Clean Desk’-regel?

Alle papieren documenten en media moeten veilig worden opgeborgen als je weggaat. (A)

Wie is verantwoordelijk voor het volgen van de informatiebeveiligingsregels?

Alle medewerkers van More Than Gifts. (C)

Flashcards

Baseline informatiebeveiliging

De basismaatregelen die More Than Gifts neemt om informatiebeveiliging te waarborgen.

Gedragscode More Than Gifts

De regels voor een veilige en prettige werkomgeving bij More Than Gifts, inclusief informatiebeveiliging.

Professionele grondhouding

More Than Gifts verwacht van je dat je volwassen handelt en verantwoordelijkheid neemt voor je acties inzake informatiebeveiliging.

Verantwoordelijkheid nemen (IB)

Als je iets mis ziet gaan inzake informatiebeveiliging, moet je dit tijdig aan het management melden.

Onduidelijkheden melden

Duidelijkheid is cruciaal. Bij onduidelijkheden in de informatiebeveiliging moet je vooraf je twijfels aankaarten.

"Tenzij" beleid (IB)

Uitzonderingen op de informatiebeveiligingsbaseline vereisen voorafgaande schriftelijke toestemming van een manager. Bij calamiteiten kan deze toestemming achteraf gevraagd worden.

Collegiale hulp (IB)

Collega's helpen bij het naleven van de securityrichtlijnen.

Informatieclassificatie

Het sorteren van informatie op basis van gevoeligheid (vertrouwelijkheid, integriteit, beschikbaarheid) om passende beveiligingsmaatregelen te bepalen.

Openbare informatie

Informatie die geen beperkingen op vertrouwelijkheid heeft en door iedereen mag worden bekeken.

Interne informatie

Informatie die alleen voor interne gebruikers bestemd is, met beperkte, maar noodzakelijke beveiliging.

Vertrouwelijke informatie

Informatie die gevoelig is en alleen toegankelijk is voor geautoriseerd personeel.

Zeer vertrouwelijke informatie

De meest gevoelige informatie, met grote schade bij openbaarmaking, toegankelijk voor een klein aantal medewerkers.

Document labelen

Documenten voorzien van classificatie, versienummer, status en eigenaar.

Informatie overdragen

Regels en procedures voor het delen van informatie, afhankelijk van de classificatie.

Toegangsbeveiliging pand

Fysieke beveiliging van het pand, zoals deuren en hek.

Beheersmaatregelen (ISO27001)

Set van regels en procedures om de beveiliging van informatie volgens de ISO27001 norm te waarborgen.

Elektronische Airkey toegang

Een elektronisch systeem dat toegang tot het pand regelt voor medewerkers.

Alarmcode buiten kantooruren

Een speciale code voor medewerkers die het pand buiten kantooruren moeten openen.

Beveiligingsincident melden

Rapporteren van (dreigende) verstoringen van de beveiliging, zoals toegangsproblemen of pogingen tot ongeoorloofde toegang.

Bezoekersverantwoordelijkheid

More Than Gifts medewerkers zijn verantwoordelijk voor de veiligheid van bezoekers.

Gastnetwerk WiFi

Een apart WiFi-netwerk voor bezoekers.

MacBooks opslag

Aangewezen locatie voor niet-gebruikte MacBooks. De opslag is standaard op slot.

Thuiswerken

Werken buiten het kantoor.

Beveiligde Thuiswerkplek

Een veilige omgeving voor thuiswerk, vrij van verstoringen en ongeautoriseerde toegang.

Up-to-date antivirussoftware

Antivirusprogramma's moeten geüpdatete versies zijn.

VPN-software op afstand

Een vereiste als je via openbare Wi-Fi een verbinding maakt.

Toegangsrechten (groepen)

Je krijgt toegang tot specifieke informatie die relevant is voor je werk binnen More Than Gifts, gebaseerd op je afdeling (bv. inkoop, verkoop).

BYOD (Bring Your Own Device)

Het gebruik van eigen mobiele telefoons voor werk bij More Than Gifts.

Verantwoordelijkheid Device Beveiliging

Je bent verantwoordelijk voor de beveiliging van je eigen mobiele device, in tegenstelling tot bedrijfseigen devices.

Bedrijfsmiddelen (MacBooks)

De MacBooks zijn eigendom van More Than Gifts, en mogen alleen voor werk doeleinden worden gebruikt.

Wachtwoordbeleid (IB)

Sterke wachtwoorden en biometrische inlogmethoden (zoals vingerafdruk) zijn verplicht voor bedrijfsmiddelen.

Illegale software downloaden

Het is verboden om software te downloaden die niet legaal is.

Beschermde foto's/documenten

Het gebruik van foto's en documenten die auteursrechtelijk beschermd zijn, zonder toestemming is verboden.

Bedieningsprocedures

Instructies voor het gebruik van informatie-verwerkende systemen.

Disciplinaire procedure

Formele procedure voor het aanpakken van schendingen van het informatiebeveiligingsbeleid.

2FA (twee-factor authenticatie)

Twee factoren nodig voor toegang tot gevoelige systemen.

Sterk wachtwoord

Wachtwoord dat minstens 10 karakters lang is, met een hoofdletter, kleine letter, cijfer en een vreemd teken.

Toegangsrechten

Beperkte toegang tot informatie gebaseerd op je rol binnen de organisatie.

1Password

Veilige applicatie voor opslaan van wachtwoorden.

Gebruikersnamen & wachtwoorden

Identiteitsbeheersysteem voor toegang tot IT systemen.

Informatiebeveiliging training

Verplichte training bij indiensttreding om bewustzijn te vergroten.

Study Notes

Informatiebeveiligingsmaatregelen (Baseline)

• Doel: Vastleggen van basismaatregelen voor informatiebeveiliging bij More Than Gifts. Document wordt continu geüpdate. Regelmatig controleren op updates.
• Verantwoordelijkheid: Iedere medewerker is verantwoordelijk voor informatiebeveiliging. Professionele houding en verantwoordelijkheid nemen. Onduidelijkheden melden vooraf. Eventuele problemen aan het management melden. Collega’s ondersteunen bij veiligheidsrichtlijnen. Uitzonderingen vereisen schriftelijke toestemming van een manager (of achteraf bij noodzaak).
• Verwachtingen van More Than Gifts: Ondersteuning bij kennisvergroting, professionele werkgever met continuïteit, waardering voor medewerkers en faciliterende werksetting.
• ISO27001: Het bedrijf volgt de norm en legt beveiligingsmaatregelen vast in lijn met de norm; 93 beheersmaatregelen zijn van toepassing.
• Organisatie van de Baseline: Hoofdstuk 1 & 2 voor iedereen, hoofdstuk 3 voor IT-medewerkers met account, en verdere hoofdstukken voor medewerkers met verhoogde IT-rechten.

Informatieclassificatie

• Doel: Risicoberekening voor vertrouwelijkheid, integriteit, en beschikbaarheid van informatie.

• Classificatiesysteem (4-stappen):

  • Openbare Informatie: Geen vertrouwelijkheidseisen; minimale beveiliging (toegangsbeheer).
  • Interne Informatie: Alleen intern; basisbeveiliging (toegang beperkt tot medewerkers, wachtwoordbeveiliging). Alleen in Microsoft Sharepoint op te slaan.
  • Vertrouwelijke Informatie: Gevoelige informatie; beperkte toegang, MFA, bestanden encryptie, logging.
  • Zeer Vertrouwelijke Informatie: Kritieke informatie; strenge beperking, verplichte MFA, beperkt aantal medewerkers met toegang, logging.

• Verantwoordelijkheid: Applicatie-eigenaar/data-eigenaar is verantwoordelijk voor classificatie.

Labelen van informatie

• Procedures: Ontwikkel en implementeer procedures voor het toepassen van het classificatieschema.
• Elementen labels: Classificatie, versienummer, status, en eigenaar op documenten (presentaties, pdf's etc.).
• Versienummering: V01, V02 etc. voor concepten, V10, V20 etc. voor definitieve versies. Status vermelden (concept, goedgekeurd).
• Distributie: Alleen goedgekeurde versies naar de klant.

Overdragen van informatie

• Openbare informatie: Geen extra restricties buiten de algemene bedrijfsregels en gedragscode.
• Interne informatie: Via interne zakelijke kanalen: Office 365 (Sharepoint, Teams, Mail), ERP-systeem (Odoo), en bedrijfsrooster.
• Vertrouwelijke/Zeer vertrouwelijke informatie: Beveiligingsmaatregelen zijn afhankelijk van de classificatie (zie tabel informatieclassificatie). Deel enkel de link met het document, niet het document zelf.
• Personeelsgegevens: Gebruik Sharepoint-optie 'bestandaanvraag' voor externe verzoeken.

Gebouw - Bezoekers

• Toegang: EVVA Airkey-cilinder, elektronisch bedienbare roldeur, hek (automatisch).
• Werkuren: Automatica openen/sluiten van hek, 07:00-18:00.
• Toegang medewerkers: Elektronische Airkey.
• Buiten kantooruren: Alarmcode + app voor hek opening.
• Bezoekers: Onder begeleiding van werknemer; verantwoordelijkheid voor incidenten.
• WiFi: Gastnetwerk voor bezoekers.
• Opslag MacBooks: Slot, bij aangewezen gebouwbeheerder.

Melden van beveiliging incidents

• Meldingsplicht: Beveiligingsincidenten onmiddellijk melden.

• Soorten Meldingen:

  • Beschikbaarheidsproblemen: Directe melding aan het MT.
  • Overige incidenten: Aan de informatiebeveiligingsmanager (IB-manager).
  • Anonieme melding: Via brief aan het secretariaat.

• Definitie incident: Verstoring vertrouwelijkheid, integriteit, of beschikbaarheid.

• Voorbeelden incidenten: Schending beveiligingsbeleid, toegangspogingen, DDoS-aanvallen, malware, ongeautoriseerde data-toegang.

Thuiswerken

• Vereist toestemming: Leidinggevende. Outlook agenda gebruiken.
• Aanbevolen: Functies waar thuiswerken de productiviteit kan bevorderen.
• Veiligheid: Veilige thuiswerkplek (ergonomie, omgeving), geen zichtbaarheid voor derden, gebruik goedgekeurde hardware/software, beveiligde internetconnectie.
• VPN: Verplicht gebruik in openbare ruimtes.
• Software: Updates en antivirus verplicht.
• Bereikbaarheid: Binnen werkuren. Communicatie & feedback van leidinggevenden.
• Melding incidenten: Direct melden aan de IB-manager.
• Intellectuele Eigendom: Illegale software of auteursrechtelijk materiaal niet gebruiken of distribueren zonder toestemming.

Sancties bij overtredingen

• Disciplinaire procedure: Procedures die worden gevolgd bij overtredingen van het informatiebeveiligingsbeleid.
• Passende maatregelen: Afhankelijk van de ernst van de overtreding. Zie ook arbeidscontract.

Toegang tot het More Than Gifts netwerk

• Indiensttreding: Verplichte training op informatiebeveiliging bij aanvang.
• Beoordeling training: Passende beoordeling.
• Training link: Gegeven in de tekst.
• Identificatie & accounts: Toewijzing van een gebruikersidentiteit bij indiensttreding (gebruikersnaam, wachtwoord, en toegangsrechten).
• Aanpassingen: Herschikking van rechten bij functiewijzigingen of promotie.

Wachtwoordbeleid

• Sterk wachtwoord: 10+ karakters, geen onderdeel van gebruikersnaam, minimum: 1 hoofdletter, 1 kleine letter, 1 cijfer, 1 vreemd teken.
• Opslag: 1Password.
• 2FA: Verplicht voor kritieke systemen en gevoelige gegevens. Toegewezen via beveiligd proces.
• Verlies 2FA: Onmiddellijk melden aan IT. Gebruikers zijn verantwoordelijk.
• Wachtwoorden: Alleen bekend bij de gebruiker, nooit opschrijven of verzenden in plain text.
• Reset wachtwoord: Alleen via gebruiker zelf , directe leidinggevende , of IT-afdeling.
• Nieuw wachtwoord van administrator: Mag direct een persoonlijk wachtwoord zijn.
• Eerste keer inloggen: Tijdelijk wachtwoord direct wijzigen.

Mobiele en werkplek devices

• MacBooks: bedrijfseigendom.
• BYOD's: Prive eigendom, maar More Than Gifts-informatie is bezit van More Than Gifts.
• Risico’s BYOD: Groter risico op data-lekkage dan met bedrijfstechnologie.
• BYOD beveiliging: Medewerkers zijn verantwoordelijk voor updates.
• Verlies device: Direct melden aan IT voor back-ups en wissen gegevens.
• Beveiliging Devices: Pincode (min 6 cijfers of 4) of biometrische beveiliging verplicht.
• Bijverkoop/Weggeven devices: Alle (bedrijf)informatie veilig verwijderen.
• Niet-bedrijfsinformatie op devices: Niet toegestaan.

Clean Desk en Clear Screen

• Clear desk policy: Papieren documenten en opslagmedia veilig opbergen.
• Clear screen policy: Scherm vergrendelen bij verlaten werkplek.

Applicaties, aanschaf en beheer

• Applicatie eigenaar: Aangewezen voor applicaties/systemen, met verantwoordelijkheid voor beveiligingseisen; toegangscontrole, autorisatie, encryptie, logging, back-ups, monitoring, etc.
• Classificering: Bepaald door de eigenaar.
• Registratie: Opname in een applicatie register.

Beperking toegang tot informatie

• Minimum rechten: Enig toegestaan toegang.

Inventarisatie bedrijfsmiddelen

• Inventarislijst: Van alle bedrijfsmiddelen, met eigenaren, bij te houden en te updaten .

Sharepoint

• Site eigenaren: Aangewezen voor elke site, met verantwoordelijkheid voor toegang en rechten gebruikers.
• Max. eigenaren: Maximaal 2 eigenaren per site.
• Sharepoint beheerder: Verantwoordelijk voor creatie van sites en toezicht op toegang.

OneDrive

• Doel: Opslaan van persoonlijke zakelijke informatie.
• Toegang: Alle medewerkers.
• Persoonlijk zakelijk gebruik: Bestanden (oa. onkostendeclaraties, rapporten) alleen voor de medewerker.

Privacy

• Privacy bescherming: Volgende geldende wet & regelgeving.
• Toegang tot informatie: Behouden in geval van verdenking van incidenten.

Description

Dit quiz vraagt naar de basismaatregelen voor informatiebeveiliging die zijn vastgesteld bij More Than Gifts. Test je kennis over de verantwoordelijkheden van medewerkers, ISO27001 normen en de organisatie van de baseline. Blijf op de hoogte van de veiligheidsrichtlijnen en documentatie.