Basismaatregelen Informatiebeveiliging

Questions and Answers

Wat is de verantwoordelijk van een werknemer met betrekking tot eigen (BYOD - Bring Your Own Device)-apparaten?

De werknemer hoeft zich geen zorgen te maken over beveiligingspatches.

De werknemer is verantwoordelijk voor het up-to-date houden van het device. (correct)

De werknemer mag persoonlijke informatie op het apparaat bewaren.

More Than Gifts is verantwoordelijk voor de beveiliging van BYOD-apparaten.

Wat moet een werknemer doen als zijn/haar laptop zoek is of gestolen?

Wachten tot de laptop is teruggevonden.

Dit melden bij de IT-afdeling. (correct)

Direct een nieuwe laptop aanvragen.

De IT-afdeling negeren omdat het zijn/haar eigen apparaat is.

Wat is een vereiste voor het gebruik van MacBooks binnen het bedrijf?

Het is toegestaan om ongeautoriseerde software te installeren.

Alleen met een sterk wachtwoord of biometrische beveiliging mag worden ingelogd. (correct)

Werknemers mogen alleen inloggen zonder wachtwoord.

Werknemers mogen de MacBooks zonder updates gebruiken.

Wat wordt er van jou verwacht bij het constateren van een beveiligingsprobleem?

Je licht het management tijdig in bij een beveiligingsprobleem.

Waar kan je de huisregels en gedragscode vinden?

In de Kennis app van More Than Gifts.

Wat is de belangrijkste reden voor informatieclassificatie binnen een organisatie?

Het beheren van toegang en beveiligingsmaatregelen voor verschillende soorten informatie.

Welke informatie valt onder 'zeer vertrouwelijke informatie' volgens de classificatie?

Personeelsdossiers en contracten.

Wat is een vereiste voor het labelen van informatie in documenten?

Documenten moeten voorzien zijn van classificatie, versienummer, status en een eigenaar.

Welke maatregel wordt genomen voor de veilige toegang tot het More Than Gifts pand?

De toegang wordt beveiligd door een EVVA Airkey cilinder.

Welke categorie bevat informatie die voor iedereen toegankelijk is zonder beperkingen?

Openbare informatie.

Wie is verantwoordelijk voor beveiligingsincidenten veroorzaakt door een bezoeker?

Een More Than Gifts medewerker

Wat is de juiste actie na het ontdekken van een beveiligingsincident op je werkplekdevice?

De internetverbinding verbreken

Welke van de onderstaande maatregelen is relevant voor veilig thuiswerken?

Ervoor zorgen dat bedrijfsinformatie niet zichtbaar is voor derden

Wat moeten medewerkers gebruiken als ze op afstand werken in een openbare ruimte?

VPN-software voor een beveiligde verbinding

Wat zijn de gevolgen voor een werknemer die de gedragscode schendt?

De werkgever kan passende maatregelen nemen afhankelijk van de ernst van de schending.

Wat houdt het 'need-to-know' principe in?

Toegang tot informatie is beperkt tot geautoriseerde medewerkers op basis van hun rol.

Waar sla je wachtwoorden veilig op volgens het beleid?

In 1Password.

Wat doe je als iemand over je schouder meekijkt terwijl je een wachtwoord intypt?

Je vraagt de persoon vriendelijk weg te kijken.

Wanneer vergrendel je je MacBook volgens het ‘Clean Screen’-beleid?

Wanneer je weggaat, zelfs al is het voor korte tijd.

Welke toegangsmethode is verplicht voor kritieke systemen?

Multifactor-authenticatie (MFA).

Wat moet je doen als een collega moeite heeft om securityrichtlijnen na te leven?

Helpen om de richtlijnen na te leven.

Wat is de belangrijkste regel bij het delen van vertrouwelijke informatie?

Een link delen naar de interne opslagplaats zoals SharePoint en voorzien van een wachtwoord.

Wat doe je als je een phishing-e-mail ontvangt?

Het direct rapporteren aan de IT-afdeling.

Hoe vaak moet je je wachtwoord wijzigen?

Regelmatig, volgens het beleid van de organisatie.

Wat is vereist voordat je software mag installeren op een bedrijfsapparaat?

Goedkeuring van de IT-afdeling.

Wat is de ‘Clean Desk’-regel?

Alle papieren documenten en media moeten veilig worden opgeborgen als je weggaat.

Wie is verantwoordelijk voor het volgen van de informatiebeveiligingsregels?

Alle medewerkers van More Than Gifts.

Study Notes

Informatiebeveiligingsmaatregelen (Baseline)

• Doel: Vastleggen van basismaatregelen voor informatiebeveiliging bij More Than Gifts. Document wordt continu geüpdate. Regelmatig controleren op updates.
• Verantwoordelijkheid: Iedere medewerker is verantwoordelijk voor informatiebeveiliging. Professionele houding en verantwoordelijkheid nemen. Onduidelijkheden melden vooraf. Eventuele problemen aan het management melden. Collega’s ondersteunen bij veiligheidsrichtlijnen. Uitzonderingen vereisen schriftelijke toestemming van een manager (of achteraf bij noodzaak).
• Verwachtingen van More Than Gifts: Ondersteuning bij kennisvergroting, professionele werkgever met continuïteit, waardering voor medewerkers en faciliterende werksetting.
• ISO27001: Het bedrijf volgt de norm en legt beveiligingsmaatregelen vast in lijn met de norm; 93 beheersmaatregelen zijn van toepassing.
• Organisatie van de Baseline: Hoofdstuk 1 & 2 voor iedereen, hoofdstuk 3 voor IT-medewerkers met account, en verdere hoofdstukken voor medewerkers met verhoogde IT-rechten.

Informatieclassificatie

• Doel: Risicoberekening voor vertrouwelijkheid, integriteit, en beschikbaarheid van informatie.

• Classificatiesysteem (4-stappen):

  • Openbare Informatie: Geen vertrouwelijkheidseisen; minimale beveiliging (toegangsbeheer).
  • Interne Informatie: Alleen intern; basisbeveiliging (toegang beperkt tot medewerkers, wachtwoordbeveiliging). Alleen in Microsoft Sharepoint op te slaan.
  • Vertrouwelijke Informatie: Gevoelige informatie; beperkte toegang, MFA, bestanden encryptie, logging.
  • Zeer Vertrouwelijke Informatie: Kritieke informatie; strenge beperking, verplichte MFA, beperkt aantal medewerkers met toegang, logging.

• Verantwoordelijkheid: Applicatie-eigenaar/data-eigenaar is verantwoordelijk voor classificatie.

Labelen van informatie

• Procedures: Ontwikkel en implementeer procedures voor het toepassen van het classificatieschema.
• Elementen labels: Classificatie, versienummer, status, en eigenaar op documenten (presentaties, pdf's etc.).
• Versienummering: V01, V02 etc. voor concepten, V10, V20 etc. voor definitieve versies. Status vermelden (concept, goedgekeurd).
• Distributie: Alleen goedgekeurde versies naar de klant.

Overdragen van informatie

• Openbare informatie: Geen extra restricties buiten de algemene bedrijfsregels en gedragscode.
• Interne informatie: Via interne zakelijke kanalen: Office 365 (Sharepoint, Teams, Mail), ERP-systeem (Odoo), en bedrijfsrooster.
• Vertrouwelijke/Zeer vertrouwelijke informatie: Beveiligingsmaatregelen zijn afhankelijk van de classificatie (zie tabel informatieclassificatie). Deel enkel de link met het document, niet het document zelf.
• Personeelsgegevens: Gebruik Sharepoint-optie 'bestandaanvraag' voor externe verzoeken.

Gebouw - Bezoekers

• Toegang: EVVA Airkey-cilinder, elektronisch bedienbare roldeur, hek (automatisch).
• Werkuren: Automatica openen/sluiten van hek, 07:00-18:00.
• Toegang medewerkers: Elektronische Airkey.
• Buiten kantooruren: Alarmcode + app voor hek opening.
• Bezoekers: Onder begeleiding van werknemer; verantwoordelijkheid voor incidenten.
• WiFi: Gastnetwerk voor bezoekers.
• Opslag MacBooks: Slot, bij aangewezen gebouwbeheerder.

Melden van beveiliging incidents

• Meldingsplicht: Beveiligingsincidenten onmiddellijk melden.

• Soorten Meldingen:

  • Beschikbaarheidsproblemen: Directe melding aan het MT.
  • Overige incidenten: Aan de informatiebeveiligingsmanager (IB-manager).
  • Anonieme melding: Via brief aan het secretariaat.

• Definitie incident: Verstoring vertrouwelijkheid, integriteit, of beschikbaarheid.

• Voorbeelden incidenten: Schending beveiligingsbeleid, toegangspogingen, DDoS-aanvallen, malware, ongeautoriseerde data-toegang.

Thuiswerken

• Vereist toestemming: Leidinggevende. Outlook agenda gebruiken.
• Aanbevolen: Functies waar thuiswerken de productiviteit kan bevorderen.
• Veiligheid: Veilige thuiswerkplek (ergonomie, omgeving), geen zichtbaarheid voor derden, gebruik goedgekeurde hardware/software, beveiligde internetconnectie.
• VPN: Verplicht gebruik in openbare ruimtes.
• Software: Updates en antivirus verplicht.
• Bereikbaarheid: Binnen werkuren. Communicatie & feedback van leidinggevenden.
• Melding incidenten: Direct melden aan de IB-manager.
• Intellectuele Eigendom: Illegale software of auteursrechtelijk materiaal niet gebruiken of distribueren zonder toestemming.

Sancties bij overtredingen

• Disciplinaire procedure: Procedures die worden gevolgd bij overtredingen van het informatiebeveiligingsbeleid.
• Passende maatregelen: Afhankelijk van de ernst van de overtreding. Zie ook arbeidscontract.

Toegang tot het More Than Gifts netwerk

• Indiensttreding: Verplichte training op informatiebeveiliging bij aanvang.
• Beoordeling training: Passende beoordeling.
• Training link: Gegeven in de tekst.
• Identificatie & accounts: Toewijzing van een gebruikersidentiteit bij indiensttreding (gebruikersnaam, wachtwoord, en toegangsrechten).
• Aanpassingen: Herschikking van rechten bij functiewijzigingen of promotie.

Wachtwoordbeleid

• Sterk wachtwoord: 10+ karakters, geen onderdeel van gebruikersnaam, minimum: 1 hoofdletter, 1 kleine letter, 1 cijfer, 1 vreemd teken.
• Opslag: 1Password.
• 2FA: Verplicht voor kritieke systemen en gevoelige gegevens. Toegewezen via beveiligd proces.
• Verlies 2FA: Onmiddellijk melden aan IT. Gebruikers zijn verantwoordelijk.
• Wachtwoorden: Alleen bekend bij de gebruiker, nooit opschrijven of verzenden in plain text.
• Reset wachtwoord: Alleen via gebruiker zelf , directe leidinggevende , of IT-afdeling.
• Nieuw wachtwoord van administrator: Mag direct een persoonlijk wachtwoord zijn.
• Eerste keer inloggen: Tijdelijk wachtwoord direct wijzigen.

Mobiele en werkplek devices

• MacBooks: bedrijfseigendom.
• BYOD's: Prive eigendom, maar More Than Gifts-informatie is bezit van More Than Gifts.
• Risico’s BYOD: Groter risico op data-lekkage dan met bedrijfstechnologie.
• BYOD beveiliging: Medewerkers zijn verantwoordelijk voor updates.
• Verlies device: Direct melden aan IT voor back-ups en wissen gegevens.
• Beveiliging Devices: Pincode (min 6 cijfers of 4) of biometrische beveiliging verplicht.
• Bijverkoop/Weggeven devices: Alle (bedrijf)informatie veilig verwijderen.
• Niet-bedrijfsinformatie op devices: Niet toegestaan.

Clean Desk en Clear Screen

• Clear desk policy: Papieren documenten en opslagmedia veilig opbergen.
• Clear screen policy: Scherm vergrendelen bij verlaten werkplek.

Applicaties, aanschaf en beheer

• Applicatie eigenaar: Aangewezen voor applicaties/systemen, met verantwoordelijkheid voor beveiligingseisen; toegangscontrole, autorisatie, encryptie, logging, back-ups, monitoring, etc.
• Classificering: Bepaald door de eigenaar.
• Registratie: Opname in een applicatie register.

Beperking toegang tot informatie

• Minimum rechten: Enig toegestaan toegang.

Inventarisatie bedrijfsmiddelen

• Inventarislijst: Van alle bedrijfsmiddelen, met eigenaren, bij te houden en te updaten .

Sharepoint

• Site eigenaren: Aangewezen voor elke site, met verantwoordelijkheid voor toegang en rechten gebruikers.
• Max. eigenaren: Maximaal 2 eigenaren per site.
• Sharepoint beheerder: Verantwoordelijk voor creatie van sites en toezicht op toegang.

OneDrive

• Doel: Opslaan van persoonlijke zakelijke informatie.
• Toegang: Alle medewerkers.
• Persoonlijk zakelijk gebruik: Bestanden (oa. onkostendeclaraties, rapporten) alleen voor de medewerker.

Privacy

• Privacy bescherming: Volgende geldende wet & regelgeving.
• Toegang tot informatie: Behouden in geval van verdenking van incidenten.

Description

Dit quiz vraagt naar de basismaatregelen voor informatiebeveiliging die zijn vastgesteld bij More Than Gifts. Test je kennis over de verantwoordelijkheden van medewerkers, ISO27001 normen en de organisatie van de baseline. Blijf op de hoogte van de veiligheidsrichtlijnen en documentatie.