HC1_2024 Security Essentials 1 week 2 - Begrippenkader PDF
Document Details
Uploaded by Deleted User
The Hague University of Applied Sciences
Tags
Related
- Introduction to CEH Edited PDF
- GT101 Learning and Information Technology - Computing Essentials (PDF)
- GT101 Learning and Information Technology - Computing Essentials PDF
- Security Essentials Prüfungsvorbereitung 020-100 PDF
- CISC Cybersecurity Essentials v1.1 Chapter 2 PDF
- Computer Security Module 13, Saudi Electronic University 2011-1432 PDF
Summary
This document is a lecture on security essentials, specifically for an HBO-ICT Propedeuse 2024-2025 course. It explains core information security concepts, including the importance of information security management, and details different types of security risks.
Full Transcript
Hoorcollege Security Essentials HC 1 HBO-ICT Propedeuse 2024-2025 Periode 1 Security Essentials Security Essentials 1: Hoorcollege 1 1. Introductie: Wie ben ik? Security Essentials 1: Hoorcollege 1 Agenda - § Lee...
Hoorcollege Security Essentials HC 1 HBO-ICT Propedeuse 2024-2025 Periode 1 Security Essentials Security Essentials 1: Hoorcollege 1 1. Introductie: Wie ben ik? Security Essentials 1: Hoorcollege 1 Agenda - § Leerdoelen blok en les § Wat is informatiebeveiliging § Kernbegrippen nader toegelicht § Information security management Security Essentials 1: Hoorcollege 1 Leerdoelen blok § De student kan uitleggen wat de betrouwbaarheid betekent en snapt wat de BIV-factoren inhouden. § De student kent het verschil tussen kwetsbaarheid, bedreiging en risico § De student kan uitleggen wat de verschillende Security Essentials-invalshoeken zijn (mens, organisatie, techniek) § De student kan uitleggen wat de juridische aspecten van informatiebeveiliging zijn. Security Essentials 1: Hoorcollege 1 Leerdoelen les § Inzicht geven in het belang van informatiebeveiliging § Inzicht geven in de grondbeginselen/begrippenkader van informatiebeveiliging Security Essentials 1: Hoorcollege 1 1. Introductie: Security Essentials 1 in een vogelvlucht Kijk op Brightspace! Per week: 1x hoorcollege en 1x werkcollege Security Essentials 1: Hoorcollege 1 1. Introductie: Security Essentials & The Challenge Tijdens The Challenge zul je de stof gaan toepassen door het maken van een aantal producten die zullen worden beoordeeld. ‘Mes snijdt aan twee kanten’ Als je de theorie goed bestudeert worden je producten voor The Challenge beter! En als je serieus aan de producten van The Challenge werkt, zul je de theorie ook beter gaan begrijpen! Security Essentials 1: Hoorcollege 1 2. Wat is IB? Hoe beveilig jij je fiets als je thuis komt? Security Essentials 1: Hoorcollege 1 2. Wat is IB? Informatiebeveiliging wordt steeds belangrijker.. Van industrial naar digital economy Afhankelijkheid van informatiesystemen groeit Dataopslag neemt toe Waarom betaalde Facebook $ 19 miljard (2014)of betaalde Microsoft $ 26 miljard (2016) voor bedrijven die geen geld verdienden? (WhatsApp, Linkedin) Waarom investeert Google 3 keer meer geld in datacenters dan 4 jaar geleden? ($ 7,5 miljard / 2016) Meer geld gemoeid Recente onderzoeken hebben aangetoond dat de gemiddelde kosten van een datalek meer dan $ 3,79 miljoen bedragen - een stijging van 23% sinds 2013 Security Essentials 1: Hoorcollege 1 2. Wat is IB? Informatiebeveiliging wordt steeds belangrijker.. Hackers worden steeds slimmer Dreigingen nemen toe https://www.nrc.nl/dossier/wannacry-virus/ Security Essentials 1: Hoorcollege 1 2. Wat is IB? 5th domain of warfare Cyber Security Essentials 1: Hoorcollege 1 2. Wat is IB? Informatiebeveiliging vs Cyber Security Security Essentials 1: Hoorcollege 1 2. Wat is IB? Informatiebeveiliging is zo sterk als de zwakste schakel Volgende week the human factor “Extra sloten op de voordeur hebben nauwelijks zin als de achterdeur gewoon open staat” Security Essentials 1: Hoorcollege 1 2. Wat is IB? Informatie / gegevens en beveiliging §Wat betekent het getal 2711? Security Essentials 1: Hoorcollege 1 2. Wat is IB? Informatie / gegevens en beveiliging § Gegevens zijn cruciaal in elke organisatie § Vanuit gegevens ontstaat informatie § Afhankelijk van interpretatie en bewerking § Ontvangers kunnen verschillende informatie uit gegevens ontlenen § Security bril: Waarde van gegevens § Factoren die een rol spelen: Procesbelang, Onmisbaarheid, Herstelbaarheid, Belang voor derden Security Essentials 1: Hoorcollege 1 2. Wat is IB? Organisatiearchitectuur Mensen Bedrijfsprocessen Informatie/Data/Applicatie Infrastructuur Security Essentials 1: Hoorcollege 1 2. Wat is IB? Definiëren van informatiebeveiliging Definitie van informatiebeveiliging Het treffen en onderhouden van een samenhangend pakket maatregelen om de betrouwbaarheid van de informatievoorziening te waarborgen. Samenhangend pakket Organisatorisch, logisch, fysiek Preventief, detectief, repressief, correctief Betrouwbaarheid Beschikbaarheid, Availability Integriteit, Integrity Vertrouwelijkheid, Confidentiality Waarborgen − P–D–C–A Security Essentials 1: Hoorcollege 1 Wat is IB – verschillende invalshoeken Eventuele externe lVakgebieden (globaal genomen) Wet en partijen l Cyber security regelgeving l Risk management l Human Factor – Awareness MISSIE, VISIE, l Compliance & auditing STRATEGIE, Drukt op l IT-Security DOELSTELLINGEN l Security Management RISICO’S ORGANISATIE MENSEN Bedreigingen BEDRIJFSPROCESSEN (maken gebruik van APPLICATIE/DATA/INFO kwetsbaarheid) Security Essentials 1: Hoorcollege 1 INFRASTRUCTUUR 2. Wat is IB? Dilemma – IB op een gespannen voet met de business § Informatiebeveiliging v.s. Openheid § Informatiebeveiliging v.s. Gebruiksvriendelijkheid § Informatiebeveiliging v.s. Efficiency § Informatiebeveiliging v.s. Productiviteit § Het vinden van het goede niveau is een kwestie van balans Security Essentials 1: Hoorcollege 1 2. Wat is IB? Voorbeeld dilemma BYOD Ontwikkeling waarin personeel overal en dus ook buiten de werkomgeving toegang wil tot systemen en apparaten. Verschillende mobiele devices krijgen toegang tot systemen en data. “Dichttimmeren” gaat ten koste van klanttevredenheid en performance Security Essentials 1: Hoorcollege 1 2. Wat is IB? Waarom informatiebeveiliging? § Wanneer de beveiliging van de informatie niet op orde is kan dit grote gevolgen hebben voor een organisatie § Incidenten voorkomen of schade beperken door passende maatregelen te treffen § Kwaliteitszorg, want betrouwbaarheid van informatie is een kwaliteitsaspect § Interne beheersing van organisaties (corporate governance), informatiebeveiliging is een noodzakelijke voorwaarde Security Essentials 1: Hoorcollege 1 2. Wat is IB? Informatiebeveiliging continue in verandering? § Raakvlakken met ontwikkelingen § Technologie § Nieuwe dreigingen en nieuwe maatregelen § Organisatie § Interne beheersing, fusies, overnames, verantwoordelijkheid individu en uitbesteding § Maatschappij § Wetgeving, marktwerking, deregulering, privacy, individualisering en terrorisme § Economie § Globalisering en digitale handel Security Essentials 1: Hoorcollege 1 3. Kernbegrippen: Identificeren van Assets Afgeleid van de bedrijfsdoelstellingen Assets identificatie is een belangrijk proces Bepalen van de meest kritische assets altijd in samenspraak met senior management. − A.d.h.v. interviews workshops etc. Security Essentials 1: Hoorcollege 1 3. Kernbegrippen: identificeren van Assets Voorbeeld Amazon Assets Mission statement: “serve consumers through online Software developers, Verkoopmedewerkers etc. and physical stores and focus on selection, price, and convenience.” Ontwikkelen online platform, Amazon vision statement is “to be Earth’s most verkoopproces etc. customer-centric company, where customers can Website, verkoop- en find and discover anything they might want to buy debiteurensysteem etc. online, and endeavors to offer its customers the lowest possible prices.” Datacenter, vliegtuigen etc. Security Essentials 1: Hoorcollege 1 3. Kernbegrippen: Kroonjuwelen / Assets Assets. − Alles wat waarde heeft voor een organisatie met betrekking tot informatie − Een waardevol object dat waarde heeft en eigendom is van een organisatie Kroonjuwelen − Meest belangrijke assets − Verschilt per organisatie Security Essentials 1: Hoorcollege 1 3. Kernbegrippen: Bedreigingen § Bedreiging § Is een proces of een gebeurtenis met een potentieel verstorende invloed op de betrouwbaarheid § Menselijke bedreigingen § Onopzettelijk foutief handelen § Misbruik en criminaliteit § Verschillende categorieën aanvallers § Amateur tot staatsorganisatie § Niet-menselijke bedreigingen § Invloed van buitenaf § Storing in basisinfrastructuur Security Essentials 1: Hoorcollege 1 3. Kernbegrippen: Betrouwbaarheid van informatie Beschikbaarheid Is de mate waarin gegevens of functionaliteit op de juiste momenten beschikbaar zijn voor gebruikers Integriteit Is de mate waarin gegevens of functionaliteit juist en volledig Vertrouwelijkheid De mate waarin de toegang tot gegevens en functionaliteit beperkt is tot degenen die daartoe bevoegd zijn. Security Essentials 1: Hoorcollege 1 3. Kernbegrippen: Betrouwbaarheid van informatie Welke BIV factor(en) zijn in het geding bij de volgende bedreigingen: 1. Stroomuitval in een datacenter waardoor er twee uur niet gewerkt kan worden. 2. Afluisteren van het netwerk Security Essentials 1: Hoorcollege 1 3. Kernbegrippen: Kwetsbaarheden (weakness) § De mate waarin een object gevoelig is voor een bedreiging Mensen § Een bedreiging maakt Bedrijfsprocessen misbruik van een kwetsbaarheid Informatie/Data/Applicatie § Karakteristieken van het object maken het mogelijk dat een bedreiging een Infrastructuur negatieve invloed kan uitoefenen op het objecten § Op elke organisatielaag tref je kwetsbaarheden aan Security Essentials 1: Hoorcollege 1 Wat kan hier een bedreiging zijn of een kwetsbaarheid: EEN HACKER DIE GEBRUIK MAAKT VAN OUDERE WINDOWS SYSTEMEN ZOALS XP? Security Essentials 1: Hoorcollege 1 3. Kernbegrippen: Risico (risk) § De gemiddelde schade over een gegeven tijdsperiode die verwacht wordt doordat een of meerdere bedreigingen leiden tot een verstoring van een of meer objecten van de informatievoorziening § Grootte van het risico = Kans op schade X Impact bij optreden § Risico = Kans X Impact § Schade kan van financiële aard zijn en omvat: § Directe schade (rechtstreeks) § Indirecte schade (gevolgschade) Security Essentials 1: Hoorcollege 1 3. Kernbegrippen: Bedreiging / kwetsbaarheid / maatregel Security Essentials 1: Hoorcollege 1 3. Kernbegrippen: Risico § Heeft altijd betrekking op een of meer objecten § Van de informatievoorziening § Een schadeverwachting op jaarbasis wordt aangeduid met de eenheid ‘Jaarlijkse Schade Verwachting’ (JSV) Security Essentials 1: Hoorcollege 1 3. Kernbegrippen: Risico § Een organisatie kan beveiligingsmaatregelen nemen om risico’s te mitigeren § Een organisatie kan op verschillende manieren omgaan met risico’s § Risicostrategie Security Essentials 1: Hoorcollege 1 16 Vragen / opmerkingen? Security Essentials 1: Hoorcollege 1 Huiswerk - Lees hoofdstuk 2 + 3 van het boek informatiebeveiliging onder controle 5e editie - Tijdens het instructiecollege wordt er geoefend met de Security Essentials begrippen.