Categorie: Geen categorie

Beveiligingsbeleid en doelstellingen

  door

De komende 10 (werk)dagen gaan we het anders doen, we gaan nu eens niet in op recent nieuws maar we doorlopen stapsgewijs de vragen uit de quickscan die ingaan op informatiebeveiliging met daarbij steeds een korte toelichting. Aan de hand van deze 10 vragen is eenvoudig te bepalen of we extra aandacht aan informatiebeveiliging moeten besteden.

En voor de oplettende lezer, ja ik weet dat het vandaag pasen is en dat dit geen officiële werkdag is, maar beschouw de komende 10 blogs dan maar als paaskado van mij aan jou, en wat is er dan mooier om op tweede paasdag te beginnen met het uitpakken van je kado?

De eerste vraag die we moeten stellen is:
Is er een actueel integraal beveiligingsbeleid en zijn de doelstellingen die de organisatie heeft met integrale beveiliging vastgelegd?

En het antwoord? Ja, nee of weten we het eigenlijk niet?

Geloof het of niet, maar beveiliging begint toch echt met het opstellen van een beveiligingsbeleid en het afleiden van de beveiligingsdoelstellingen van de algemene doelstellingen van de organisatie. Beleid klinkt natuurlijk al heel snel als een dik pak papier dat in de kast staat te verstoffen en waar niemand naar om kijkt. Ja, helaas is dat inderdaad vaak het geval, maar het kan ook anders, echt, geloof me. Het opstellen van een beveiligingsbeleid hoeft niet saai te zijn, is het dat wel dan doe je dat helaas toch echt helemaal zelf.

De kunst is om de inrichting van je beveiliging aan te laten sluiten bij de missie, strategie en doelstellingen van de organisatie. Dat vraagt denkwerk en is een hele uitdaging. Dus niet, ik herhaal: dus niet, het overschrijven van de Code voor Informatiebeveiliging, maar juist de vertaalslag maken naar de specifieke eigenschappen van de organisatie.

Het overschrijven van de Code voor Informatiebeveiliging is een gemakkelijke opgave, het schrijven van een goed en gedragen informatiebeveiligingsbeleid is al een stuk lastiger. Waarom? Nou simpelweg omdat we dus aansluiting moeten vinden bij de aard van de organisatie…en dat is makkelijker gezegd dan gedaan.

Zoals beloofd ga ik de blogs kort houden. Er is nog zoveel meer over te vertellen, maar dat doe ik graag onder het genot van een bak koffie. Wil je meer weten? Dan hoor ik dat wel. Hop, morgen op naar vraag 2.

Oh ja, voor diegene onder jullie die echt niet 10 dagen willen wachten voordat hun paaskado is uitgepakt, je kunt de quickscan zelf ook al doorlopen door hier te klikken of door me snel uit te nodigen voor die bak koffie.

Mijnenjager vindt zeldzaam explosief

  door

De Nederlandse mijnenjager Hr. Ms. Willemstad heeft tijdens een oefening voor de Schotse kust opnieuw een echt explosief gevonden en opgeblazen. Het was een ruim 3 meter lange Duitse zeemijn met een explosieve lading van omgerekend 1100 kilo, meldt Defensie (bron).

Om het direct maar even in het juiste daglicht te plaatsen: nee, de Duitsers zijn niet de derde wereldoorlog begonnen, het betrof hier nog een mijn uit de tweede wereldoorlog. Onvoorstelbaar dat dergelijke mijnen zoveel jaar na dato nog gewoon op zee ronddobberen en enorme schade aan kunnen richten. Sterker nog: verbazingwekkend dat er niet eerder ongelukken met deze mijn zijn gebeurd.

Het nu geruimde explosief was een van de achttien mijnen die een Duitse onderzeeboot in oktober 1939 daar neerlegde. Drie ervan ontploften en vernielden Britse schepen, waarvan er twee zonken. De andere mijnen werden nooit gevonden. (ANP)

Blijkbaar dobberen er dus nog zo’n 15 van dergelijke mijnen rond. Die kunnen inmiddels natuurlijk de hele wereld over zijn gegaan maar onze jongens moeten blijkbaar nog even doorzoeken…oh nee, de laatste mijnenjagers zijn net wegbezuinigd.

Stel je voor dat je voor de Schotse kust schipbreuk lijdt. Drijft er ineens een 3 meter lang object voorbij waar je je goed aan vast kunt klampen om maar niet te verdrinken. Binnen een paar seconden wordt je afgevuurd en beland je alsnog op de kust van Schotland.

Voor alle reders in de wereld, als je dat nog niet had gedaan moet je nu dus ook het risico van mijnen toevoegen aan je risicolijstje. Heel benieuwd welke tegenmaatregelen je daarvoor gaat nemen.

Goed voorbeeld doet goed volgen

  door

Bij de arrestatie van een man in Eindhoven werd zijn 9-jarige zoon zo kwaad dat hij de agenten bedreigde met een mes (bron).

Dat doet ie anders nooit hoor. Ik hoor het de vader zo zeggen. Vraag is natuurlijk waar al die agressie nu toch vandaan komt? Leren ze het op school, spelen ze teveel computerspelletjes of kijken ze teveel actiefilms? Ach, vader is vast ook niet zo’n lieverdje: waarom zou hij anders gearresteerd worden?

Als we tegenwoordig al bang moeten zijn voor jongetjes van 9 dan zie ik het somber in voor de mensheid. Vroeger speelden we nog gewoon oorlogje, met geweren gemaakt van proppenbuis. Ja, geef het maar toe, dat deed jij ook. Tenzij je misschien een jong meisje was, maar dan heb je die vervelende gastjes met proppenbuizen vast ook wel eens gezien, namens ons allemaal bied ik collectief excuses aan.

Oorlogje spelen is er niet meer bij tegenwoordig, tenminste, niet meer buiten op straat. Als we nu al oorlogje spelen dan doen we dat het liefst 3D met een internetverbinding zodat we interactief bezig zijn. Dat vinden wij nu misschien wat vreemd, maar hoe denk je dat de ouderen er over dachten dat wij oorlogje speelden? Die zullen daar ook aan hebben moeten wennen.

Maar goed, we dwalen wel heel erg af. Feit is dat er blijkbaar in de hoofden van kinderen andere dingen omgaan dan in onze hoofden (of in ieder geval in die van mij). Kijken we terug naar een bericht eerder deze week waarbij een jong meisje werd gefouilleerd dan moeten we misschien toegeven dat de risico’s toch aan het veranderen zijn. En helaas zijn de brave kindertjes daar het slachtoffer van.

Vliegen via Franfurt is nu een stuk veiliger

  door

Een werknemer van de luchthaven van Frankfurt is vorige week op staande voet ontslagen nadat was gebleken dat hij kleine camera’s in twee damestoiletten op de luchthaven had geïnstalleerd (bron).

Op zich natuurlijk niet eens zo’n opmerkelijk bericht, we hebben het al vaker voorbij zien komen en het zal alleen nog maar toenemen. Dergelijke gadgets worden steeds goedkoper en zijn steeds makkelijker te bestellen via internet. Binnen een paar dagen heb je de spullen in huis en kun je naar lieve lust verborgen opnames maken. Misschien nog wel het meest opmerkelijk is dat het bericht geplaatst werd in het gedeelte dat Reiskrant genoemd wordt. Natuurlijk gaat het hier om vliegen en een vliegveld, maar de relatie met lekker op vakantie gaan kan ik zo even niet vinden.

Op zich is er geen hoger recherche werk aan te pas gekomen om deze man te achterhalen trouwens. De camera’s werden per toeval ontdekt…ja, dat kan gebeuren. That’s all in the game, zullen we maar zeggen. Maar om nu jezelf op te nemen is toch wel een beetje erg dom.
De man liep tien dagen geleden tegen de lamp toen een vrouw bij toeval een camera ontdekte. Toen de politie beelden van beveilingscamera’s op de luchthaven nader bekeek, was daarop de dader te zien tijdens het verstoppen van de camera’s.

Je ziet het overigens wel vaker dat daders gepakt worden omdat ze na hun daad hun buit etaleren. Foto’s op Facebook of Hyves, Tweets waarin wordt aangegeven dat ze weer een paar nieuwe fietsen in de aanbieding hebben en ga zo maar door.

Voorlopig zullen we het er maar op houden dat verborgen camera’s een steeds groter risico gaan vormen. Niet alleen omdat je mogelijk in een toilet gefilmd wordt, maar juist ook voor bedrijven. Hoeveel informatie gaat er niet op deze wijze de deur uit? Hoeveel vergaderkamers worden niet afgeluisterd? Komt niet voor? Ehm, think again, misschien goed om er toch maar eens een onderzoekje naar te doen.

De Belastingdienst…boeven zijn het

  door

De politie heeft vorige week een medewerker van de Belastingdienst Zuidwest aangehouden op verdenking van corruptie en overtreding van de Opiumwet. Een tweede belastingambtenaar wordt verdacht van overtreding van de Opiumwet. Hij is dinsdag eveneens aangehouden, maar inmiddels weer vrijgelaten (bron).

Het lijkt er op dat de bezuinigingen bij de Belastingdienst nu toch echt hun tol beginnen te eisen waardoor de ambtenaren naarstig op zoek zijn naar bijverdiensten. Ben natuurlijk ook benieuwd of ze de bijverdiensten netjes op hun formulieren hebben ingevuld, anders kan er nog een aanklacht voor belastingontduiking bij komen.

De ambtenaren zijn tijdens het onderzoek geschorst. Als ze terecht verdacht zijn, worden ze ontslagen. Dat lijkt me niet meer dan logisch, toch? Verder neem ik aan dat ze vervolgd zullen worden als inderdaad blijkt dat hun bijverdiensten in het zwarte circuit plaats hadden.

De Belastingdienst: leuker kunnen ze het niet maken…makkelijker wel. In het licht van bovenstaand bericht geeft dat toch ineens een heel andere invulling aan zo’n slogan.

Zo ziet een terrorist er dus uit…

  door

…althans, volgens de Amerikanen dan.

Altijd al gedacht dat terroristen mannen met lange baarden waren? Het lijkt er nu toch op dat we dit stereotype echt los moeten laten. Natuurlijk kun je terroristen niet herkennen aan de lengte van hun baard, dat zou het allemaal wel erg gemakkelijk maken.

Hoe gek het onderstaande filmpje ook mag lijken (en ja, natuurlijk denk ik er ook het mijne van), maar toch is in het verleden gebleken dat kinderen als koerier gebruikt werden voor drugstransporten. Voor zover ik weet en me kan herinneren nog niet voor terroristische aanslagen overigens (mocht je het filmpje niet direct zien dan even op “vernieuwen” klikken).

Toch blijft het schokkend om te zien dat zelfs onschuldige kinderen al met dit soort maatregelen geconfronteerd moeten worden. Overigens ben ik ook benieuwd of ze huisdieren die met je meevliegen ook zo goed controleren. De hokken waarin ze meevliegen waarschijnlijk wel, maar wat als jouw hond een bolletjesslikker blijkt te zijn…ben jij daar dan verantwoordelijk voor?

Ik wil natuurlijk niemand op ideeën brengen dus ik ga er vanuit dat bij twijfel ook huisdieren even door een scanner gaan ofzo. Maar mochten we in de toekomst zo’n incident tegenkomen dan zie ik de kop in de krant van wakker Nederland al voor me: “Drugshond vindt drugstransporthond”.

Fraude loont…tenzij je gepakt wordt

  door

Gisteren hadden we het er nog over dat je als fraudeur bereid moet zijn om onder een andere naam in een vaag Zuid Amerikaans land te gaan wonen. Jij hebt die zin gelezen en dacht: als de buit maar groot genoeg is dan lukt me dat wel.

Maar weet je dat echt zeker?
De politie in Nieuwegein heeft deze week de voortvluchtige fraudeur Daan B. aangehouden. Hij werd vorig jaar tot vier jaar cel veroordeeld vanwege zijn rol bij de miljoenenfraude met Golden Sun en Royal Dubai, maar was sindsdien spoorloos.

Hoeveel zou jij nodig hebben om te vluchten en nooit meer terug te keren? 1 miljoen, 10 miljoen of nog een beetje meer? En naar welk land zou je vluchten dan?

Daan B. (37) meldde zich spontaan op het politiebureau. Hij stond al ruim een jaar wereldwijd gesignaleerd, sinds hij net als vrijwel alle medeverdachten naar Thailand vluchtte. B., die naast zijn gevangenisstraf werd veroordeeld tot het terugbetalen van 14 miljoen euro aan enkele honderden gedupeerde beleggers, is direct vastgezet.

14 miljoen en een leuk optrekje in Thailand is niet genoeg. Maar kennen we het verhaal van Bernard Madoff nog? Die had zelfs aan 65 miljard nog niet genoeg.

Wist je overigens dat Madoff slechts op de 10de plaats staat van meest beruchte fraudeurs? Laten we het lijstje in vogelvlucht verder even aflopen:
9. Sheridan Cox: De zoon van een Engelse legerofficier lichtte investeerders voor £520 miljoen op door leegstaande beursgenoteerde bv’s op te kopen en de aandelen te verkopen.

8. Graham Halksworth: Halksworth probeerde voor maar liefst $2,5 biljoen aan obligaties te verzilveren die, volgens de man zelf, waren afgegeven door de Amerikaanse overheid tijdens de communistische revolutie in China.

7. Ramón Báez Figueroa: Hij werd veroordeeld voor de grootste witwaspraktijk in de Dominicaanse Republiek ooit, goed voor $2,2 miljard.

6. Bernard Ebbers: Na onderzoek van de Amerikaanse beurswaakhond SEC bleek de fraude $11 miljard groot te zijn.

5. Jerôme Kerviel: Kerviel was werkzaam voor de Franse bank Société Générale en bouwde een positie op van bijna €50 miljard.

4. Alves dos Reis: Hij liet documenten vervalsen, waarop hij het recht kreeg om 100 miljoen Portugese escudobiljetten te drukken. Dos Reis werd in bewaring gebracht, waar hij een Londense drukkerij wist te overtuigen om 200.000 biljetten van 500 escudo te drukken. Maar bedenk: het was pas 1920.

3. Nick Leeson: De aardbeving van Kobe op 17 januari 1995 betekende het einde voor Leeson’s handelingen, de Aziatische aandelenmarkten kelderden en het verlies liep op tot £1,4 miljard

2. Kenneth Lay: Met zijn Enron schreef hij bij elk contract de afgesproken prijs meteen bij als winst. Hierdoor leek het energiebedrijf gigantische omzetten te draaien, en investeerders stapten maar wat graag in.

Tromgeroffel…

1. Charles Ponzi: Hij beloofde beleggers enorme rendementen, die werden betaald van de inleg van nieuwe beleggers. Op het hoogtepunt, zo rond 1920, draaide Charles Ponzi een voor die tijd gigantische omzet van $250.000 per dag.

Fraude loont, tenzij je gepakt wordt.

Drank maakt meer kapot dan je lief is

  door

Als je barman bent, kan ik me nog voorstellen dat je de verleiding niet kunt weerstaan om zelf je beste klant te worden. Maar het overvallen van je eigen bar…het moet toch niet gekker worden. Maakt drank dan echt meer kapot dan je lief is?

De 32-jarige barkeeper die met twee klanten een overval pleegde op zijn eigen café in Stadskanaal is daarvoor door de rechtbank in Groningen veroordeeld tot een werkstraf van 240 uur (bron).

Los van het feit dat het misschien niet heel verstandig is om je eigen kroeg te overvallen (een typisch gevalletje interne fraude) slaat het helemaal nergens op als je dat met 2 anderen doet. Zo moet je de buit nog door drieën delen ook waardoor je er niet rijk van zult worden.

Laten we eens wat meer kijken naar dit soort zaken met interne betrokkenheid en de redenen daarachter. Die reden is overigens niet zo ingewikkeld: geldelijk/persoonlijk gewin. Wat dan wel weer vreemd is, is dat iemand een dergelijk groot risico wil lopen voor een relatief klein bedrag (in dit geval € 2450,-).

Hoewel ik natuurlijk betaald wordt om dit soort incidenten te voorkomen, is mij altijd duidelijk gemaakt dat als je dan toch besluit om het te doen, je het ook goed moet doen. Wat dat betekent? Nou, simpel: je moet een buit weten te bemachtigen die zo groot is dat je nooit meer hoeft te werken en je moet bereid zijn om de rest van je leven in een vaag Zuid Amerikaans land te wonen onder een andere naam.

Het grote voordeel bij fraudebestrijding is dat mensen een te kleine buit kiezen, te lang doorgaan met hun acties en niet bereid zijn om te emigreren. Grote kans dus dat veel fraudeurs op deze wijze tegen de lamp lopen. Geld is leuk, maar je moet er ook wat mee kunnen doen, anders heb je er niets aan. Verdien jij het minimumloon en besluit je een briljante fraude op te zetten…koop daar dan geen nieuwe auto van die niet past bij je salaris.

Wat we daarnaast zien is dat vanwege de briljante wijze van die fraude de fraudeur daar graag erkenning voor wil hebben. Grote kans dat hij ooit zijn mond voorbij praat.

Afsluitend kunnen we stellen dat zowel voor de organisatie als voor de fraudeurs risico analyse een ideale tool is. Schat de kans in dat het gebeurd of lukt en bepaal de impact daarvan. Als het de potentiële fraudeur lukt om objectief naar zijn risico inschatting te kijken dan zou hij wel eens kunnen bepalen dat het misschien toch niet loont.

Oh je wilt het graag wat concreter? Nou dat kan, we hebben genoeg gegevens. Deel de buit door 3 (€ 2450,- : 3 = € 817,-), kijk vervolgens naar de straf (240 uur). Delen we nu de buit door het aantal uren werkstraf dan komen we uit op een uurloon van: € 3,40. In 2010 was het minimumloon voor iemand tussen de 23 en 65 € 65,35 per dag en dus € 8,17 per uur. Vraag je nu nog eens af of deze fraude heeft geloond.

De put dempen als het kalf verdronken is

  door

E-mailaanbieder en marketingbureau Epsilon is na de recente diefstal van miljoenen e-mailadressen weer begonnen met het versturen van marketing e-mails. Aanvallers wisten toegang tot de gegevens van meer dan 50 bedrijven te krijgen die bij Epsilon klant zijn…In een nieuwe verklaring laat Epsilon weten dat er alleen e-mailadressen en namen zijn gestolen, en er geen persoonlijke identificeerbare informatie, zoals social security nummers of creditcards, zijn buitgemaakt…Wel maakt het bedrijf zich zorgen dat vanwege het incident “grote klanten” zullen vertrekken. Het terugwinnen van het vertrouwen van de klanten heeft dan ook op zowel korte als lange termijn de hoogste prioriteit. Daarnaast maakt Epsilon nogmaals excuses voor het datalek (bron).

Excuses niet aanvaard…en nu? Als klant heb je natuurlijk niet zoveel keuze. Je kunt best weglopen bij het bedrijf, maar het leed is al geschied. De e-mailadressen en namen liggen op straat.

Natuurlijk kan ik je hier nogmaals vertellen dat het bij informatiebeveiliging eigenlijk maar om drie zaken gaat: omzet, kosten en imago. Maar dat gaan we niet doen, omdat Epsilon inmiddels ook wel weet dat, dat het echte probleem is.

Nee, laten we nu maar eens de keten aanhalen. Zoals we weten (althans, we zeggen dat we dat weten) is de keten zo zwak als de zwakste schakel. Dat is niet alleen zo in een ketting, maar bijvoorbeeld ook in een logistiek proces. Als de grondstofleverancier niet kan leveren, dan komt mijn eindproduct nooit bij de consument.

Maar trek nu eens de parallel naar informatiebeveiliging? Meer en meer organisaties beschikken over elkaars gegevens of kunnen bij elkaar in de systemen. Hartstikke prettig dat ik als organisatie dan ISO-gecertificeerd ben, maar hoe zit het met mijn leverancier en afnemers? Zijn die wel net zo bezorgd om beveiliging van de gegevens als dat wij dat zijn?

Uiteraard sluiten veel organisaties SLA’s af om zeker te kunnen zijn van een bepaalde mate van dienstverlening. Daarin nemen we ook graag de optie op om de leverancier te mogen auditen. Een goede beveiligingsparagraaf ontbreekt echter nog vaak in de SLA en controleren van de beveiliging doen we al helemaal niet, stel je voor.

Zolang de ketens steeds meer van elkaars systemen gebruik gaan maken is een eenzijdige aanpak van informatiebeveiliging niet voldoende meer. Nee, willen we de risico’s echt afdekken dan zullen we toch echt naar de hele keten moeten kijken.

Is dat dan zo makkelijk? Nee, natuurlijk niet maar het oplossen van je eerste Sudoku puzzel was dat ook niet, nu los je die puzzeltjes in een paar minuten op. Was je er toen nooit mee begonnen dan was het nu nog steeds zo ingewikkeld. Dat zelfde geldt net zo hard voor de controle van de keten: natuurlijk is het niet makkelijk, maar bedenk dat het over een jaar nog net zo ingewikkeld is als we niet nu al beginnen.

Wat ik voor je kan betekenen? Dat leg ik je graag uit, maar laten we eerst beginnen met het op orde brengen van de informatiebeveiliging binnen jouw organisatie voordat we naar de keten kijken…je wilt immers niet tot de conclusie komen dat jij de zwakste schakel bent.

Nederlander verkiest veiligheid boven privacy

  door

Driekwart van de Nederlanders vindt online veiligheid belangrijker dan snelheid en privacy tijdens het surfen, zo blijkt uit onderzoek van Microsoft (bron).

Hoewel je je natuurlijk altijd af moet vragen wat de betrouwbaarheid en het nut van een bepaald onderzoek is, vind ik wel dat je alle beschikbare informatie kunt gebruiken in de beeldvorming. Graag dus nog meer onderzoeken, dan heb ik tenminste weer voer om over te schrijven.

Veiligheid wordt dus belangrijker gevonden dan snelheid en privacy? Ehm, oke, dat zou kunnen maar toch zal daar ook een optimum in te vinden zijn. Het meest veilige (voor dit soort risico’s) is natuurlijk om helemaal niet online te gaan, dan doet de snelheid er ook niet meer toe. Maar goed, laten we er vanuit gaan dat we inderdaad online willen zijn.

Als ik dan iets erg veilig wil doen, dan mag dat dus meer tijd kosten. Ik moet nog zien of dat ook echt werkt of dat we hier met een sociaal wenselijk antwoord te maken hebben. Als de bank nu besluit dat ze echt kiezen voor veilig internetbankieren. Je start je browser op en moet vervolgens een kwartier wachten voordat je in kunt loggen omdat allerlei systemen de veiligheid moeten borgen. Ben benieuwd of je het zo lang volhoudt of toch liever kiest voor een bank die het minder veilig maar wel sneller doet.

Juist als het gaat om veiligheid signaleert het onderzoek ook alarmerend gedrag bij consumenten: een op de drie consumenten geeft toe bestanden te downloaden waarvan zij weten dat ze verdacht zijn. Mensen weten dus dat iets mogelijk onveilig is en toch doen ze het? Dat is raar, zou je zeggen. Maar ook dat valt mee. Vergelijk het maar weer eens met het verkeer. Er zijn mensen die willens en weten door rood licht rijden (bijvoorbeeld omdat ze haast hebben of asociaal zijn). Ze weten dat het mogelijk gevaarlijk is, maar toch doen ze het. Waarom? Daarvoor moeten we terug naar de psyche van de mens: er zit persoonlijk gewin in (bijvoorbeeld omdat ze zo denken sneller thuis te zijn). Datzelfde geldt simpelweg voor het downloaden: men wil het gewoon hebben…althans, dat denken ze als ze de titel lezen…hup, klikken en kijken waarom iemand mij 3 maanden voor mijn verjaardag een kaartje via de mail stuurt.

Gelukkig is er, volgens dit onderzoek, een simpele manier om de risico’s te beperken.
Volgens de poll lopen kinderen in de leeftijd van 14 tot 17 jaar de grootste online risico’s. De meerderheid heeft geen probleem met downloaden van bestanden waarvan zij weten dat die verdacht zijn. Ouders doen er volgens Microsoft daarom verstandig aan om een oogje in het zeil te houden wanneer hun kinderen online zijn. Wakker worden, die kinderen van 14 tot 17 jaar verdienen enerzijds privacy (want die vinden de veiligheid echt minder belangrijk) en zijn anderzijds 10x handiger met de pc dan papa of mama. Kleine kans dat de ouders voor deze leeftijdscategorie nog iets kunnen betekenen.

Ik heb mezelf voorgenomen de blog vandaag niet te lang te maken en als ik eerlijk ben, is hij al veel te lang en is er nog erg veel over te schrijven…maar dat doe ik niet. Wil je er meer over weten dan hoor ik het wel van je.