Week 4: Gegevens en Informatiebeveiliging

Questions and Answers

Wat is een voorbeeld van opzettelijke menselijke fouten?

• Hacken of stelen van informatie (correct)
• Verlies van data door brand
• Slijtage van hardware
• Per ongeluk gevoelige informatie blootstellen

Wat is een zero day exploit?

• Een type ransomware aanvalling
• Een onbekende fout waar criminelen gebruik van maken (correct)
• Een software-update met nieuwe functies
• Een fout die al gepatcht is

Welke laag van digitale gegevensverwerking is het meest kwetsbaar voor hacking?

• Toepassing software en digitale gegevens (correct)
• Besturingssystemen
• Netwerken
• Computers en randapparatuur

Wat kan een fysieke bedreiging zijn voor computers en randapparatuur?

Wateroverlast (B)

Hoe kunnen criminelen communiceren tussen jou en je bank manipuleren?

Door af te luisteren naar netwerken (C)

Wat zijn persoonsgegevens?

Informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. (C)

Welke drie aspecten vormen samen de betrouwbaarheid van gegevens?

Beschikbaarheid, integriteit, en vertrouwelijkheid. (B)

Wat kan een gevolg zijn van het kwijtraken van bedrijfsadministratie voor een organisatie?

Overzicht verliezen van betaalde facturen en leveringen. (C)

Wat is een onopzettelijke menselijke bedreiging?

Een typfout maken of organisatorische fouten. (D)

Welke van de volgende maatregelen kan helpen bij informatiebeveiliging?

Fysieke en digitale back-ups maken. (C)

Waarom is informatiebeveiliging belangrijk voor de samenleving?

Het zorgt voor een verhoogde afhankelijkheid van technologie. (C)

Wat zijn de gevolgen van een gebrek aan informatieveiligheid?

Identiteitsdiefstal en chantage. (D)

Wat is een van de belangrijkste redenen voor de toenemende hoeveelheid te beschermen digitale gegevens?

Toegenomen digitalisering en verbondenheid via het internet. (B)

Wat is de rol van de informatiebeveiliging functionaris?

Beleid opstellen en risicoanalyses voorbereiden. (D)

Welke maatregel draagt bij aan een verbeterde bewustwording van gegevensbeveiliging?

Het opstellen van gedragsregels. (A)

Wat is een belangrijke stap in toegangsregulering?

Identiteit vaststellen van de gebruiker. (D)

Wat houdt 'privacy by default' in?

Bewust kiezen of een sociale media account openbaar toegankelijk is. (C)

Wat is een voorbeeld van een technische maatregel voor communicatiebeveiliging?

Gebruik maken van firewalls. (C)

Wat moet een organisatie doen bij een datalek volgens de AVG?

De Autoriteit persoonsgegevens binnen 72 uur informeren. (C)

Wie is verantwoordelijk voor het toetsen van de uitvoering van informatiebeveiliging?

Auditors. (C)

Wat is een voorbeeld van een organisatorische maatregel?

Bewustwordingstraining voor medewerkers. (B)

Flashcards

Zero-day exploit

Fouten in software en systemen die misbruikt kunnen worden om gevoelige gegevens te stelen.

Patches

Software die gebruikt wordt om fouten in software en systemen te repareren.

Ransomware

Een aanval waarbij kwaadaardige software wordt gebruikt om toegang te krijgen tot een computer en de bestanden te versleutelen.

Overtreding te goeder trouw

Het onbedoeld of opzettelijk overtreden van regels, bijvoorbeeld door het meenemen van gevoelige informatie.

Aanvallen op ongepatchte systemen

Wanneer criminelen ongepatchte systemen aanvallen voordat er een oplossing beschikbaar is.

Lijnmanagement rol in Informatiebeveiliging

De verantwoordelijkheid om informatiebeveiliging in de organisatie te organiseren, te sturen en de benodigde middelen te verschaffen.

Informatiebeveiliging functionaris

De rol die verantwoordelijk is voor het opstellen van beleid, uitvoeren van risicoanalyses en ondersteuning van het lijnmanagement.

Functionaris Gegevensbescherming

De rol die toezicht houdt op de naleving van de AVG (Algemene Verordening Gegevensbescherming) en het melden van datalekken.

Informatiebeveiligingsspecialist

De rol die verantwoordelijk is voor het ontwerpen, implementeren en onderhouden van informatiebeveiligingsmaatregelen en -producten.

Auditor informatiebeveiliging

De rol die de uitvoering van informatiebeveiligingsmaatregelen controleert.

Fair Information Principle in de AVG

De AVG beschrijft dat er een duidelijk en specifiek doel moet zijn voor het verwerken van persoonsgegevens.

Datalek melden volgens AVG

Het melden van een inbreuk op de bescherming van persoonsgegevens aan de Autoriteit Persoonsgegevens binnen 72 uur.

Privacy by design

In de AVG staat dat je bij het ontwerp van systemen al moet nadenken over een privacyvriendelijke manier van gegevensverwerking.

Wat zijn gegevens?

Gegevens zijn ruwe observaties uit de realiteit die worden vastgelegd. Denk aan de locaties die je telefoon opneemt via Google Maps.

Wat is het verschil tussen gegevens en informatie?

Informatie is het resultaat van het analyseren en structureren van gegevens in een specifieke context. Bijvoorbeeld: de snelste route berekenen met Google Maps.

Wat zijn persoonsgegevens?

Alle informatie over een geïdentificeerde of identificeerbare persoon. Denk aan naam, adres, telefoonnummer, maar ook ras, politieke overtuiging, etc.

Wat zijn de BIV-principes?

Beschikbaarheid, integriteit en vertrouwelijkheid. Deze drie aspecten bepalen de betrouwbaarheid van informatie.

Wat is de incidentencyclus?

De incidentencyclus beschrijft het proces van bedreiging, verstoring, schade en herstel bij een informatieveiligheidsincident.

Wat zijn bedreigingen voor de informatieveiligheid?

Bedreigingen voor de informatieveiligheid zijn acties die de veiligheid en integriteit van gegevens in gevaar brengen.

Wat zijn menselijke bedreigingen?

Menselijke fouten zijn de meest voorkomende bedreigingen. Dit kan onopzettelijk zijn door typfouten of vergeten zaken, of organisatorisch door hoge werkdruk of onvoldoende training.

Waarom is informatiebeveiliging belangrijk?

De noodzaak om gegevens te beschermen is van belang voor mensen, organisaties en de samenleving. Ontbrekende informatie, identiteitsdiefstal, bedrijfsverlies en cyberaanvallen zijn enkele voorbeelden van de gevolgen van het niet beschermen van informatie.

Study Notes

Week 4: Gegevens en Informatiebeveiliging

• Gegevens: Observaties, data, geregistreerde informatie. Beschouwt gegevens in context.
• Informatie: Gegevens geanalyseerd en gestructureerd in een bepaalde context. Voorbeeld: snelste route van A naar B. De hoeveelheid digitale informatie neemt toe door digitalisering en internetgebruik.
• Persoonsgegevens: Alle informatie over een geïdentificeerde of identificeerbare persoon. Dit omvat naam, telefoonnummer, adres, ras, politieke overtuiging, lidmaatschap, etc.
• Betrouwbaarheid van gegevens (BIV): Besluitvorming gebaseerd op drie aspecten: Beschikbaarheid (gegevens beschikbaar wanneer nodig), Integriteit (gegevens juist en compleet), en Vertrouwelijkheid (gegevens alleen beschikbaar voor gemachtigden).
• Incidentencyclus: Proces voor beveiligingsproblemen: bedreiging, verstoring, schade, herstel.
• Belang van informatiebeveiliging: Belang voor individuen (verlies van documenten, identiteitsdiefstal, chantage), organisaties (verlies van bedrijfsgegevens, faillissement), en samenleving (stilstand van processen door incidenten, cyberspionage).
• Bedreigingen: Menselijke fouten (onopzettelijk: typfouten, organisatorische fouten; opzettelijk: misdaad, hacking, overtredingen).
• Verschillende lagen bij gegevensverwerking: Toepassingssoftware, besturingssystemen, computers/apparaten, netwerken, kwetsbaarheid van deze lagen voor bedreigingen (ransomware, hacking).
• Computervoorbeelden van bedreigingen: Problemen met hardware (slijtage, storingen, wateroverlast), diefstal of sabotage.
• Netwerkbedreigingen: Draadloze en bedrade netwerken kunnen worden afgeluisterd. Criminelen kunnen communicatie manipuleren (jou/je bank).
• Organisatorische maatregelen: Informatiebeveiligingspersonaal, lijnmanagement legt de richting, duidelijk beleidsdocumenten.
• Technische maatregelen: Toegangscontrole (identiteitsvalidatie, 2-factor authenticatie), fysieke beveiliging (beveiliging van de omgeving), communicatiebeveiliging (filters/firewall), Back-ups.
• Privacy Maatregelen (AVG): Gebruik van persoonsgegevens, plichten, rechten, regeling voor gebruik data.
• Kwalitatieve Risico Analyse: Stappenplan om risico's te identificeren: object kiezen, impact van verstoringen bepalen, relevante bedreigingen bepalen, kwetsbaarheid van object bepalen, kansberekening op schade, onacceptabele risico's selecteren, maatregelen definiëren.
• Privacy by default: Kiezen of een sociale media account openbaar toegankelijk is of niet.

Pagina 4 - Risico Analyse

• Stapsgewijze procedure voor een kwalitatieve risicoanalyse.