Oefenen PDF

Summary

Dit document is een samenvatting van informatieveiligheid. De tekst beschrijft verschillende aspecten van databeveiliging, privacy en de beveiliging van digitale gegevens.

Full Transcript

Week 4:​
Gegevens= observatie van de werkelijk die worden geregistreerd (ook wel
data)​
-> denk aan je navigatie op Maps​
Als gegevens in een bepaalde context voor iemand worden geanalyseerd en
gestructureerd noemen we de informatie​
->de snelste route van A naar B

De hoeveelheid te beschermen digitale gegevens neemt toe als gevolg van de
toegenomen digitalisering en verbondenheid door middel van het internet.​
-> nieuwe bedreigingen

Persoonsgegevens= alle informatie over een geïdentificeerde of een
identificeerbare natuurlijke persoon.​
-> denk hierbij aan naam, telefoonnummer, adres​
-> maar ook aan ras, politieke overtuiging, lidmaatschap etc.​
BIV:​
-Beschikbaarheid: de gegevens zijn er op het moment dat ze nodig zijn​
-Integriteit: de gegevens zijn juist en compleet​
-vertrouwelijkheid: de gegevens zijn alleen beschikbaar voor geautoriseerde.​
Deze 3 aspecten vormen de betrouwbaarheid.

De informatieveiligheid maakt gebruik van de incidentencyclus. (Bedreiging,
verstoring, schade, herstel)​
​

Belang van informatiebeveiliging en privacy voor mens, organisatie en
samenleving​
-Mens-> als jij niet kunt beschikken over je informatie (bijvoorbeeld je
document van je opleiding is weg). Kan dat ernaar zijn, maar het wordt erger
als het gaat om sextoren (chanteren). Of denk aan het stelen van
persoonsgegevens (identiteitsdiefstal)​
-organisaties-> voorbeeld: het kwijtraken van bedrijfsadministratie, het gevolg
kan zijn dat er geen overzicht meer is over welke facturen betaald en welke
leveringen gedaan moet worden. Gevolg: klanten kiezen andere leverancier ->
faillissement. Maatregel: fysieke en digitale back-ups.​
-Samenleving->Het internet en informatietechnologie zijn essentiële
onderdelen geworden. Er ontstaat een steeds meer toenemende
afhankelijkheid. Steeds meer processen worden aan elkaar gekoppeld en bij
interrupties kan een groot deel van onze samenleving stilvallen. Veder is er
een toename in cyberspionage​
Gegevens moeten bescherm worden door een inschatting van de belangen,
kwetsbaarheden en de bedreigingen, waarna uiteindelijk maatregelen getroffen
moeten worden.​
​
Bedreigingen:​
Er zijn 2 menselijke bedreigingen voor organisaties​
-onopzettelijk: Mensen maken wel eens een typfoutje of vergeten iets. Ook zijn
er organisatorische fouten (hoge werkdruk en niet goed inwerken nieuw
personeel) Veel menselijke fouten hebben soms grote gevolgen. Daarom zijn
menselijke fouten een grote schadepot voor organisaties.​
-opzettelijk: mensen kunnen ook crimineel handelen zoals stelen of hacken.
Ook is er de ‘overtredingen te goeder trouw’. Hiermee overtreed je opzettelijk
de regels. Dit kan ook passief zijn (het meenemen van gevoelige informatie
wanneer er brand is.

Er zijn verschillende lagen voor het verwerken van digitale gegevens.​
1. Toepassing software en digitale gegevens​
2. Besturingssystemen​
3. Computers en randapparatuur (printers)​
4. netwerken​
De eerste 2 lagen zijn kwetsbaar voor digitale bedreigingen zoals ransomware
en hacking. Deze softwares en systemen zijn dusdanig complex, dat deze niet
foutloos ontwikkeld kunnen worden. Een deel van de fouten levert verborgens
ongewenste functionaliteit op die misbruikt kan worden om gevoelige
gegevens af te tappen. Regelmatig wordt dit soort fouten ontdekt en wordt
reparatiesoftware (patches) aangeboden.​
Vaak wordt een fout al op het internet geplaats zonder dat de patch al
beschikbaar is. Dir geeft criminelen de kans op ongepatchte systemen aan te
vallen. Daarnaast kunnen ze zelf ook opzoek gaan naar nog onbekend fouten
(=zero day exploit)

Computers en randapparatuur bestaan deels uit hardware en kunnen getroffen
worden door fysieke bedreigingen. Denk aan slijtage, een storing of
wateroverlast. Ook kan het gestolen of gesaboteerd worden.

Netwerken bestaan ook deels uit hardware, Lokale netweken kunnen
gekoppeld worden tot aan mondiale netwerken (=internet).​
Zowel draadloze als beraadde netwerken zijn af te luisteren. Criminelen
kunnen daardoor communicatie manipuleren, bijvoorbeeld die tussen jou en je
bank. Opsporings-en inlichtingenorganisatie kunnen dan ook meekijken met
criminelen communicatie.

Maatregelen informatiebeveiliging​
organisatorisch maatregen:​
Een overzicht van informatiebeveilingfuncties:​
-lijnmanagement: organiseert info beveiliging, stuurt die aan en stelt middelen
beschikbaar​
 -informatiebeveiliging functionaris: bereidt beleid op, risicoanalyses,
ondersteunend lijnmanagement.​
-functionaris gegevensbescherming: toezicht op AVG, meldingsproces
datalekken.​
-informatiebeveiligingsspecialisten: ontwerpen, implementeren en
onderhouden informatiebeveiligingsmaatregelen en – producten.​
-auditors: toetsen de uitvoering van info beveiliging.​
-medewerkers: moeten de maatregelen uitvoeren.​
Enkele maatregelen:​
- verbeteren van de bewustwording ten aanzien van het belang van gegevens
in de organisatie en wat nodig is aan info beveiliging.​
- gedragsregels​
-toegangsregulering. Wie wanneer bij welke info mag.​
- functiescheiding​
-incidentenregistratie​
​
Technische maatregelen​
- toegangsregulering. De belangrijkste stap in de toegangsregulering is het
vaststellen van de identiteit van degen die de gegevens wilt. Iemands id.
vaststellen op basis van alleen een naam en ww. is een zwakke worm van
authenticatie. Maak bijvoorbeeld gebruik van 2 factor-authenticatie of
vingerafdruk.​
-Fysieke beveiliging. De fysieke omgeving van computer- en netwerksystemen
moeten beschermd worden. Voor elektriciteit uitval, wateroverlast en hoge
temperaturen.​
-communicatiebeveiliging. Gegevens gaan tijdens communicatie door de
lucht of door andere netweken, zoals het internet. Daar is het gevaar groot.
Door gebruik te maken van filters, bv firewalls, worden de goede gegevens
gescheiden van de vervuiling.​
-Back-ups.

Maatregelen ter bescherming van privacy​
In de AVG staan regelt over het gebruik van gegevens ->verweken. In de AVG
staan een aantal voorwaarden, plichten en maatregelen beschreven waaraan
moet worden voldaan als persoonsgegevens worden verwerkt​
-> fair information principles: De AVG beschrijft dat er een specifieke en
duidelijk doel moet zijn voor het verwerken van PG.

è Bij een inbreuk op de bescherming van de PG is er sprake van een data lek.
Van de AVG krijg je dan, als organisatie, 72 uur om dit te melden bij
Autoriteit persoonsgegevens.

è Privacy by design houdt in dat bij het onderwerp van systemen al wordt
nagedacht over een privacy vriendelijke manier van gegevensverwerking.
è Privacy by default houdt in dat je bewust moet kiezen of je sociale media
account openbaar toegankelijk is.

De stappen van een kwalitatieve risicoanalyse:

1. Selecteer te analyseren object.

2. Bepaal de impact van verstoringen.

3. Bepaal relevante bedreigingen

4. Bepaal kwetsbaarheid van object voor bedreigingen of bepaal kans van
optreden bedreiging.

5. Bepaald de potentiële schade.

6. Selecteer risico’s die niet acceptabel zijn.

7. Bepaal maatregelen