SlideShare ist ein Scribd-Unternehmen logo

Presentatie over meldplicht datalekken en ecryptie door Sophos

SLBdiensten
SLBdiensten

Presentatie door Sophos over: - de Nederlandse meldplicht voor datalekken, die op 1 januari 2016 is ingegaan - hoe encryptie een eerste belangrijke stap richting adequate databeveiliging kan zijn. Deze presentatie werd gegeven door Harm van Koppen van Sophos op de Securitydag van SLBdiensten op 15 april 2016 bij Aventus te Apeldoorn

Bildung
1 von 27
Downloaden Sie, um offline zu lesen
Workshop Versleuteling Harm van Koppen Distribution Channel manager April 2016
Agenda • Versleuteling, 256 AES • Meldplicht Datalekken • Sophos SafeGuard Enterprise • Versleuteling in de praktijk 1102 -
256 AES 𝐹𝐺|𝑔 >= 𝜌,𝑖,𝑗 𝑑 𝜌 |𝐺| 𝜌 𝑔 𝑖, 𝑗|𝜌, 𝑖, 𝑗 >, 𝑋 𝜌 ≝ 𝑑 𝜌 𝐺 𝑋 𝑥∈𝑋 𝜌 𝑥 = 𝑑 𝜌 𝑋 𝐺 Π 𝜌 𝑋. 65984532658953215695412365745896541236954123657458541236954123654123697 45478547854785412595412364541236589512452554567465146574165741357351438 76541378354135743541327486411965354537265435474321338543245654115768450 7415463543545684357435546574651326456879746
Mythe: Encryptie is verwarrend en complex
Meldplicht Datalekken 6
IT Security Survey SLB Diensten
Quiz Een inbraak bij een school. De server wordt meegenomen en de data op de server is versleuteld. Een backup van de server staat fysiek 80km verder op. Alle data kan teruggehaald worden. De versleutelde laptop van een financieel directeur is uit de auto gestolen. Financiële gegevens (budgetten, salarissen, leningen) van 1000 personen waren betrokken. Hoewel het wachtwoord van de laptop niet gecompromitteerd is, was er geen back-up voorhanden. Een journalistiek programma confronteert een school met het feit dat als gevolg van een beveiligingslek onder andere persoonlijke gegevens (zoals kopieën van paspoorten of rijbewijzen, BSN nummers en wachtwoorden) van studenten en docenten op de server van de school door onbevoegden zijn ingezien. Een docent laat een koffer met daarin een USB stick met een e-mailadressenbestand achter in de trein. De koffer is voorzien van een deugdelijk slot, en komt via 'gevonden voorwerpen' ongeopend na 2 dagen terug bij de rechtmatige eigenaar.
Meldplicht Datalekken Bron: beleidsregels meldplicht datalekken
Persoonsgegevens Bijzondere persoonsgegevens zoals bedoeld in artikel 16 Wbp Het gaat hierbij om persoonsgegevens over iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, lidmaatschap van een vakvereniging en om strafrechtelijke persoonsgegevens en persoonsgegevens over onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag. • Gegevens over de financiële of economische situatie van de betrokkene Hieronder vallen bijvoorbeeld gegevens over (problematische) schulden, salarissen betalingsgegevens. • (Andere) gegevens die kunnen leiden tot stigmatisering of uitsluiting van de betrokkene Hieronder vallen bijvoorbeeld gegevens over gokverslaving, prestaties op school of werk of relatieproblemen. • Gebruikersnamen, wachtwoorden en andere inloggegevens De mogelijke gevolgen voor betrokkenen hangen af van de verwerkingen en van de persoonsgegevens waar de inloggegevens toegang toe geven. Bij de afweging moet worden betrokken dat veel mensen wachtwoorden hergebruiken voor verschillende verwerkingen. • Gegevens die kunnen worden misbruikt voor (identiteits)fraude Het gaat hierbij onder meer om biometrische gegevens, kopieën van identiteitsbewijzen en om het Burgerservicenummer (bsn).
De sleutel is versleuteling Technische en organisatorische maatregelen dienen cumulatief te worden getroffen. Software is een belangrijk instrument tot beveiliging. Dit wetsvoorstel geeft de normen die mede met behulp van software dienen te worden gehandhaafd. Klassieke technische beveiligingsmaatregelen omvatten mede de fysieke afscherming van de randapparatuur die toegang geeft tot de te beveiligen gegevens. Daarnaast zijn er de modernere informatietechnologische maatregelen zoals beveiliging met een «password» en door middel van encryptie. Grotere bedrijven zullen een eigen beveiligingsafdeling hebben. Kleinere bedrijven zullen beveiligingsexpertise van buitenaf inhuren. Wat betreft encryptie zijn de initiatieven vermeldenswaard van de Europese Commissie om te komen tot een min of meer uniform systeem van vertrouwenstussenpersonen (trusted third parties) binnen de Europese Unie. (Bron: Richtsnoeren AP: beveiliging persoonsgegevens)
IT Security Survey SLB Diensten (vervolg)
Sophos SafeGuard Enterprise 13
Verloren of Gestolen Apparaat Onversleuteld Versleuteld • Verlies of diefstal van een apparaat kan iedereen overkomen, en overkomt dus ook velen van ons. • Alleen geauthoriseerde gebruikers zouden iets met deze apparaten moeten kunnen. • Hoeveel apparaten heb jij verloren?
Zet bestanden op Removable Media • Op deze kleine apparaatjes past heel veel data, maar je bent ze zo kwijt • Blokkeer je ze of bescherm je de data erop? • Waar is je eerste USB stick en wat staat erop?
Zet bestanden in E-Mail • We emailen allemaal & we maken allemaal wel eens een foutje (het gebeurt) • Wat kan het gevolg zijn van het verkeerde bijvoegsel aan de verkeerde persoon sturen? • Versleutel je bestanden, of inspecteer je op de Gateway?
Zet bestanden op een Network Share • De huidige Operating Systems maken het delen van data op het Network zeer eenvoudig. • Bescherm tegen interne dreigingen. • Wie is bevoegd voor bedrijfs- of persoonsgegevens?
Zet bestanden in de Cloud • Cloud Storage heeft de manier waarop data tussen gebruikers een apparaten wordt gedeeld gerevolutioneerd. • Wat heb jij in de Cloud staan, en wat gebeurt er als iemand het steelt? • Versleutel de data voordat je het in de Cloud zet.
Sophos SafeGuard – simpel & beter Werkt op verschillende apparaten o Windows, OS X, iOS & Android o Integratie met Sophos Secure Workspace en Mobile Control o Inclusief centraal beheer van Microsoft Bitlocker en Apple FileVault2 Gebruikers blijven productief o Op school, onderweg, met ieder apparaat Nog steeds beveiligd o Betrouwbaar apparaat bepaalt toegang tot data. Een apparaat met risico? Werk met een ander apparaat
Device / User / Process
Versleuteling in de praktijk
Sleutelbeheer 1102 -
Beleid maken:
Om je gratis verder te helpen • EU Data Security Compliance Check in 60 seconden • Whitepaper over EU Data Protection Regulation • Sophos Home: studenten docenten buren vrienden Te vinden op www.sophos.com/public-sector-benelux
Vragen?
27

Empfohlen

Survey
SurveySurvey
SurveySLBdiensten
 
Cloud en datacenter security (infosecurity 2013)
Cloud en datacenter security (infosecurity 2013)Cloud en datacenter security (infosecurity 2013)
Cloud en datacenter security (infosecurity 2013)Motiv
 
IT Security Awareness - Veteris IT Services
IT Security Awareness - Veteris IT ServicesIT Security Awareness - Veteris IT Services
IT Security Awareness - Veteris IT ServicesJochen den Ouden
 
Nieuwsbrief #8 Sebyde Academy: 10 vuistregels voor cybersecurity
Nieuwsbrief #8 Sebyde Academy: 10 vuistregels voor cybersecurityNieuwsbrief #8 Sebyde Academy: 10 vuistregels voor cybersecurity
Nieuwsbrief #8 Sebyde Academy: 10 vuistregels voor cybersecurityDerk Yntema
 
Drieluik sebyde security 2 pagina's
Drieluik sebyde security 2 pagina'sDrieluik sebyde security 2 pagina's
Drieluik sebyde security 2 pagina'sSebyde
 
Parallelsessie awareness
Parallelsessie awarenessParallelsessie awareness
Parallelsessie awarenessSURFnet
 
Data Security: hoe kan het beter?
Data Security: hoe kan het beter?Data Security: hoe kan het beter?
Data Security: hoe kan het beter?Nucleus
 
Sebyde security quickscan
Sebyde security quickscanSebyde security quickscan
Sebyde security quickscanSebyde
 

Empfohlen

Survey
SurveySurvey
SurveySLBdiensten
 
Cloud en datacenter security (infosecurity 2013)
Cloud en datacenter security (infosecurity 2013)Cloud en datacenter security (infosecurity 2013)
Cloud en datacenter security (infosecurity 2013)Motiv
 
IT Security Awareness - Veteris IT Services
IT Security Awareness - Veteris IT ServicesIT Security Awareness - Veteris IT Services
IT Security Awareness - Veteris IT ServicesJochen den Ouden
 
Nieuwsbrief #8 Sebyde Academy: 10 vuistregels voor cybersecurity
Nieuwsbrief #8 Sebyde Academy: 10 vuistregels voor cybersecurityNieuwsbrief #8 Sebyde Academy: 10 vuistregels voor cybersecurity
Nieuwsbrief #8 Sebyde Academy: 10 vuistregels voor cybersecurityDerk Yntema
 
Drieluik sebyde security 2 pagina's
Drieluik sebyde security 2 pagina'sDrieluik sebyde security 2 pagina's
Drieluik sebyde security 2 pagina'sSebyde
 
Parallelsessie awareness
Parallelsessie awarenessParallelsessie awareness
Parallelsessie awarenessSURFnet
 
Data Security: hoe kan het beter?
Data Security: hoe kan het beter?Data Security: hoe kan het beter?
Data Security: hoe kan het beter?Nucleus
 
Sebyde security quickscan
Sebyde security quickscanSebyde security quickscan
Sebyde security quickscanSebyde
 
Parallelsessie Crisismanagement - Cyber Security Congres
Parallelsessie Crisismanagement - Cyber Security CongresParallelsessie Crisismanagement - Cyber Security Congres
Parallelsessie Crisismanagement - Cyber Security CongresSURFnet
 
Nieuwsbrief #11
Nieuwsbrief #11Nieuwsbrief #11
Nieuwsbrief #11Derk Yntema
 
20200221 cybersecurity een praktische introductie
20200221 cybersecurity een praktische introductie20200221 cybersecurity een praktische introductie
20200221 cybersecurity een praktische introductieAgentschap Innoveren & Ondernemen
 
Securitytips
SecuritytipsSecuritytips
SecuritytipsTechne IT Solutions
 
Drieluik sebyde academy 2 pagina's
Drieluik sebyde academy 2 pagina'sDrieluik sebyde academy 2 pagina's
Drieluik sebyde academy 2 pagina'sSebyde
 
Members magazine q3 2015 zekerheid
Members magazine q3 2015 zekerheidMembers magazine q3 2015 zekerheid
Members magazine q3 2015 zekerheidSebyde
 
Uw Persoonsgegevens tijdens systeemontwikkeling
Uw Persoonsgegevens tijdens systeemontwikkelingUw Persoonsgegevens tijdens systeemontwikkeling
Uw Persoonsgegevens tijdens systeemontwikkelingSuprida
 
Presentatie meldplicht datalekken Aces
Presentatie meldplicht datalekken Aces Presentatie meldplicht datalekken Aces
Presentatie meldplicht datalekken Aces Robbert Hoendervanger ✓
 
Webinar de balans tussen security en gebruiksvriendelijkheid
Webinar de balans tussen security en gebruiksvriendelijkheidWebinar de balans tussen security en gebruiksvriendelijkheid
Webinar de balans tussen security en gebruiksvriendelijkheidDelta-N
 
Presentatie Meldplicht Datalekken door Sophos
Presentatie Meldplicht Datalekken door SophosPresentatie Meldplicht Datalekken door Sophos
Presentatie Meldplicht Datalekken door SophosSLBdiensten
 
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...HOlink
 
Office-Magazine-blog
Office-Magazine-blogOffice-Magazine-blog
Office-Magazine-blogDennis Kabbedijk RDM
 
Infographic: Veeam backup voor office 365 | HET IT
Infographic: Veeam backup voor office 365 | HET ITInfographic: Veeam backup voor office 365 | HET IT
Infographic: Veeam backup voor office 365 | HET ITNick Putman
 
Het begint allemaal bij gezond verstand
Het begint allemaal bij gezond verstandHet begint allemaal bij gezond verstand
Het begint allemaal bij gezond verstandB.A.
 
AVG in de praktijk - 26 juni 2018
AVG in de praktijk - 26 juni 2018AVG in de praktijk - 26 juni 2018
AVG in de praktijk - 26 juni 2018Andre Cardinaal
 
Cyberincidenten - Verhalen uit de loopgraven
Cyberincidenten - Verhalen uit de loopgravenCyberincidenten - Verhalen uit de loopgraven
Cyberincidenten - Verhalen uit de loopgravenB.A.
 
O4S maakt ICT Leuk
O4S maakt ICT LeukO4S maakt ICT Leuk
O4S maakt ICT Leuktontognolli
 
Veilig op internet
Veilig op internetVeilig op internet
Veilig op internetRuud Van Oorschot
 
Safeshops ? Nadenken over veiligheidsaspecten van E-shops/Commerce
Safeshops ? Nadenken over veiligheidsaspecten van E-shops/CommerceSafeshops ? Nadenken over veiligheidsaspecten van E-shops/Commerce
Safeshops ? Nadenken over veiligheidsaspecten van E-shops/CommerceB.A.
 
Aanpak en activiteiten avg
Aanpak en activiteiten avgAanpak en activiteiten avg
Aanpak en activiteiten avgAad Weesenaar (CS)
 
Aanpak en activiteiten avg
Aanpak en activiteiten avgAanpak en activiteiten avg
Aanpak en activiteiten avgAad Weesenaar (CS)
 
USG Professionals - Data Protection GDPR
USG Professionals - Data Protection GDPRUSG Professionals - Data Protection GDPR
USG Professionals - Data Protection GDPRGuyVanderSande
 

Weitere ähnliche Inhalte

Was ist angesagt?

Parallelsessie Crisismanagement - Cyber Security Congres
Parallelsessie Crisismanagement - Cyber Security CongresParallelsessie Crisismanagement - Cyber Security Congres
Parallelsessie Crisismanagement - Cyber Security CongresSURFnet
 
Drieluik sebyde academy 2 pagina's
Drieluik sebyde academy 2 pagina'sDrieluik sebyde academy 2 pagina's
Drieluik sebyde academy 2 pagina'sSebyde
 
Members magazine q3 2015 zekerheid
Members magazine q3 2015 zekerheidMembers magazine q3 2015 zekerheid
Members magazine q3 2015 zekerheidSebyde
 

Was ist angesagt? (6)

Parallelsessie Crisismanagement - Cyber Security Congres
Parallelsessie Crisismanagement - Cyber Security CongresParallelsessie Crisismanagement - Cyber Security Congres
Parallelsessie Crisismanagement - Cyber Security Congres
 
Nieuwsbrief #11
Nieuwsbrief #11Nieuwsbrief #11
Nieuwsbrief #11
 
20200221 cybersecurity een praktische introductie
20200221 cybersecurity een praktische introductie20200221 cybersecurity een praktische introductie
20200221 cybersecurity een praktische introductie
 
Securitytips
SecuritytipsSecuritytips
Securitytips
 
Drieluik sebyde academy 2 pagina's
Drieluik sebyde academy 2 pagina'sDrieluik sebyde academy 2 pagina's
Drieluik sebyde academy 2 pagina's
 
Members magazine q3 2015 zekerheid
Members magazine q3 2015 zekerheidMembers magazine q3 2015 zekerheid
Members magazine q3 2015 zekerheid
 

Ähnlich wie Presentatie over meldplicht datalekken en ecryptie door Sophos

Uw Persoonsgegevens tijdens systeemontwikkeling
Uw Persoonsgegevens tijdens systeemontwikkelingUw Persoonsgegevens tijdens systeemontwikkeling
Uw Persoonsgegevens tijdens systeemontwikkelingSuprida
 
Webinar de balans tussen security en gebruiksvriendelijkheid
Webinar de balans tussen security en gebruiksvriendelijkheidWebinar de balans tussen security en gebruiksvriendelijkheid
Webinar de balans tussen security en gebruiksvriendelijkheidDelta-N
 
Presentatie Meldplicht Datalekken door Sophos
Presentatie Meldplicht Datalekken door SophosPresentatie Meldplicht Datalekken door Sophos
Presentatie Meldplicht Datalekken door SophosSLBdiensten
 
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...HOlink
 
Infographic: Veeam backup voor office 365 | HET IT
Infographic: Veeam backup voor office 365 | HET ITInfographic: Veeam backup voor office 365 | HET IT
Infographic: Veeam backup voor office 365 | HET ITNick Putman
 
Het begint allemaal bij gezond verstand
Het begint allemaal bij gezond verstandHet begint allemaal bij gezond verstand
Het begint allemaal bij gezond verstandB.A.
 
AVG in de praktijk - 26 juni 2018
AVG in de praktijk - 26 juni 2018AVG in de praktijk - 26 juni 2018
AVG in de praktijk - 26 juni 2018Andre Cardinaal
 
Cyberincidenten - Verhalen uit de loopgraven
Cyberincidenten - Verhalen uit de loopgravenCyberincidenten - Verhalen uit de loopgraven
Cyberincidenten - Verhalen uit de loopgravenB.A.
 
O4S maakt ICT Leuk
O4S maakt ICT LeukO4S maakt ICT Leuk
O4S maakt ICT Leuktontognolli
 
Safeshops ? Nadenken over veiligheidsaspecten van E-shops/Commerce
Safeshops ? Nadenken over veiligheidsaspecten van E-shops/CommerceSafeshops ? Nadenken over veiligheidsaspecten van E-shops/Commerce
Safeshops ? Nadenken over veiligheidsaspecten van E-shops/CommerceB.A.
 
USG Professionals - Data Protection GDPR
USG Professionals - Data Protection GDPRUSG Professionals - Data Protection GDPR
USG Professionals - Data Protection GDPRGuyVanderSande
 
171031 fex - op tijd compliant met gdpr - presentatie valid
171031 fex - op tijd compliant met gdpr - presentatie valid171031 fex - op tijd compliant met gdpr - presentatie valid
171031 fex - op tijd compliant met gdpr - presentatie validFlevum
 
The good, the Bad & the Ugly : ICT-beveiliging en privacy bij lokale besturen
The good, the Bad & the Ugly : ICT-beveiliging en privacy bij lokale besturenThe good, the Bad & the Ugly : ICT-beveiliging en privacy bij lokale besturen
The good, the Bad & the Ugly : ICT-beveiliging en privacy bij lokale besturenB.A.
 
Overzicht diensten Sebyde
Overzicht diensten SebydeOverzicht diensten Sebyde
Overzicht diensten SebydeSebyde
 
Space Shelter! Webinar training #1 over account privacy en beveiliging
Space Shelter! Webinar training #1 over account privacy en beveiligingSpace Shelter! Webinar training #1 over account privacy en beveiliging
Space Shelter! Webinar training #1 over account privacy en beveiligingSOCIALware Benelux
 

Ähnlich wie Presentatie over meldplicht datalekken en ecryptie door Sophos (20)

Uw Persoonsgegevens tijdens systeemontwikkeling
Uw Persoonsgegevens tijdens systeemontwikkelingUw Persoonsgegevens tijdens systeemontwikkeling
Uw Persoonsgegevens tijdens systeemontwikkeling
 
Presentatie meldplicht datalekken Aces
Presentatie meldplicht datalekken Aces Presentatie meldplicht datalekken Aces
Presentatie meldplicht datalekken Aces
 
Webinar de balans tussen security en gebruiksvriendelijkheid
Webinar de balans tussen security en gebruiksvriendelijkheidWebinar de balans tussen security en gebruiksvriendelijkheid
Webinar de balans tussen security en gebruiksvriendelijkheid
 
Presentatie Meldplicht Datalekken door Sophos
Presentatie Meldplicht Datalekken door SophosPresentatie Meldplicht Datalekken door Sophos
Presentatie Meldplicht Datalekken door Sophos
 
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
 
Office-Magazine-blog
Office-Magazine-blogOffice-Magazine-blog
Office-Magazine-blog
 
Infographic: Veeam backup voor office 365 | HET IT
Infographic: Veeam backup voor office 365 | HET ITInfographic: Veeam backup voor office 365 | HET IT
Infographic: Veeam backup voor office 365 | HET IT
 
Het begint allemaal bij gezond verstand
Het begint allemaal bij gezond verstandHet begint allemaal bij gezond verstand
Het begint allemaal bij gezond verstand
 
AVG in de praktijk - 26 juni 2018
AVG in de praktijk - 26 juni 2018AVG in de praktijk - 26 juni 2018
AVG in de praktijk - 26 juni 2018
 
Cyberincidenten - Verhalen uit de loopgraven
Cyberincidenten - Verhalen uit de loopgravenCyberincidenten - Verhalen uit de loopgraven
Cyberincidenten - Verhalen uit de loopgraven
 
O4S maakt ICT Leuk
O4S maakt ICT LeukO4S maakt ICT Leuk
O4S maakt ICT Leuk
 
Veilig op internet
Veilig op internetVeilig op internet
Veilig op internet
 
Safeshops ? Nadenken over veiligheidsaspecten van E-shops/Commerce
Safeshops ? Nadenken over veiligheidsaspecten van E-shops/CommerceSafeshops ? Nadenken over veiligheidsaspecten van E-shops/Commerce
Safeshops ? Nadenken over veiligheidsaspecten van E-shops/Commerce
 
Aanpak en activiteiten avg
Aanpak en activiteiten avgAanpak en activiteiten avg
Aanpak en activiteiten avg
 
Aanpak en activiteiten avg
Aanpak en activiteiten avgAanpak en activiteiten avg
Aanpak en activiteiten avg
 
USG Professionals - Data Protection GDPR
USG Professionals - Data Protection GDPRUSG Professionals - Data Protection GDPR
USG Professionals - Data Protection GDPR
 
171031 fex - op tijd compliant met gdpr - presentatie valid
171031 fex - op tijd compliant met gdpr - presentatie valid171031 fex - op tijd compliant met gdpr - presentatie valid
171031 fex - op tijd compliant met gdpr - presentatie valid
 
The good, the Bad & the Ugly : ICT-beveiliging en privacy bij lokale besturen
The good, the Bad & the Ugly : ICT-beveiliging en privacy bij lokale besturenThe good, the Bad & the Ugly : ICT-beveiliging en privacy bij lokale besturen
The good, the Bad & the Ugly : ICT-beveiliging en privacy bij lokale besturen
 
Overzicht diensten Sebyde
Overzicht diensten SebydeOverzicht diensten Sebyde
Overzicht diensten Sebyde
 
Space Shelter! Webinar training #1 over account privacy en beveiliging
Space Shelter! Webinar training #1 over account privacy en beveiligingSpace Shelter! Webinar training #1 over account privacy en beveiliging
Space Shelter! Webinar training #1 over account privacy en beveiliging
 

Mehr von SLBdiensten

INFORMATIEBEVEILIGING EN PRIVACY IN HET ONDERWIJS
INFORMATIEBEVEILIGING EN PRIVACY IN HET ONDERWIJSINFORMATIEBEVEILIGING EN PRIVACY IN HET ONDERWIJS
INFORMATIEBEVEILIGING EN PRIVACY IN HET ONDERWIJSSLBdiensten
 
21E EEUWSE VAARDIGHEDEN MET ADOBE
21E EEUWSE VAARDIGHEDEN MET ADOBE21E EEUWSE VAARDIGHEDEN MET ADOBE
21E EEUWSE VAARDIGHEDEN MET ADOBESLBdiensten
 
VERGROOT DE ICT-VAARDIGHEDEN VAN UW LEERLINGEN MET MICROSOFT OFFICE SPECIALIS...
VERGROOT DE ICT-VAARDIGHEDEN VAN UW LEERLINGEN MET MICROSOFT OFFICE SPECIALIS...VERGROOT DE ICT-VAARDIGHEDEN VAN UW LEERLINGEN MET MICROSOFT OFFICE SPECIALIS...
VERGROOT DE ICT-VAARDIGHEDEN VAN UW LEERLINGEN MET MICROSOFT OFFICE SPECIALIS...SLBdiensten
 
Presentatie eduard beck
Presentatie eduard beckPresentatie eduard beck
Presentatie eduard beckSLBdiensten
 
Office 365 in de Klas
Office 365 in de KlasOffice 365 in de Klas
Office 365 in de KlasSLBdiensten
 
Digital transformation & Education
Digital transformation & EducationDigital transformation & Education
Digital transformation & EducationSLBdiensten
 
Presentatie Breinwave Microsoft cloudportfolio
Presentatie Breinwave Microsoft cloudportfolioPresentatie Breinwave Microsoft cloudportfolio
Presentatie Breinwave Microsoft cloudportfolioSLBdiensten
 
SketchUp Pro Educatief, 4 oktober 2016
SketchUp Pro Educatief, 4 oktober 2016SketchUp Pro Educatief, 4 oktober 2016
SketchUp Pro Educatief, 4 oktober 2016SLBdiensten
 
Referentiecase Office 365 op het Pius X College
Referentiecase Office 365 op het Pius X College Referentiecase Office 365 op het Pius X College
Referentiecase Office 365 op het Pius X College SLBdiensten
 
Presentatie BeveiligMij over ICT beveiliging
Presentatie BeveiligMij over ICT beveiligingPresentatie BeveiligMij over ICT beveiliging
Presentatie BeveiligMij over ICT beveiligingSLBdiensten
 
Presentatie Kennisnet over informatiebeveiliging in mbo en vo
Presentatie Kennisnet over informatiebeveiliging in mbo en vo Presentatie Kennisnet over informatiebeveiliging in mbo en vo
Presentatie Kennisnet over informatiebeveiliging in mbo en vo SLBdiensten
 
Presentatie Jabra door Glenn Tjebbes op 10 maartr 2016
Presentatie Jabra door Glenn Tjebbes op 10 maartr 2016Presentatie Jabra door Glenn Tjebbes op 10 maartr 2016
Presentatie Jabra door Glenn Tjebbes op 10 maartr 2016SLBdiensten
 
Presentatie MBO Utrecht over Skype implementatie vs Jabra
Presentatie MBO Utrecht over Skype implementatie vs Jabra Presentatie MBO Utrecht over Skype implementatie vs Jabra
Presentatie MBO Utrecht over Skype implementatie vs Jabra SLBdiensten
 
Presentatie adobe informatiesessie ipon
Presentatie adobe informatiesessie iponPresentatie adobe informatiesessie ipon
Presentatie adobe informatiesessie iponSLBdiensten
 
Van laptopkar tot laptopklas, lessen uit het Surface PROject
Van laptopkar tot laptopklas, lessen uit het Surface PROjectVan laptopkar tot laptopklas, lessen uit het Surface PROject
Van laptopkar tot laptopklas, lessen uit het Surface PROjectSLBdiensten
 
Privacy goed geregeld
Privacy goed geregeldPrivacy goed geregeld
Privacy goed geregeldSLBdiensten
 
Onderwijs maken met Office 365
Onderwijs maken met Office 365Onderwijs maken met Office 365
Onderwijs maken met Office 365SLBdiensten
 
Internet of Things, Coderen in de klas en 3D printing
Internet of Things, Coderen in de klas en 3D printingInternet of Things, Coderen in de klas en 3D printing
Internet of Things, Coderen in de klas en 3D printingSLBdiensten
 
Coderen met Microsoft
Coderen met MicrosoftCoderen met Microsoft
Coderen met MicrosoftSLBdiensten
 
Presentatie vanbuurt ICT, Microsoft Office Specialist bijeenkomst 10 december...
Presentatie vanbuurt ICT, Microsoft Office Specialist bijeenkomst 10 december...Presentatie vanbuurt ICT, Microsoft Office Specialist bijeenkomst 10 december...
Presentatie vanbuurt ICT, Microsoft Office Specialist bijeenkomst 10 december...SLBdiensten
 

Mehr von SLBdiensten (20)

INFORMATIEBEVEILIGING EN PRIVACY IN HET ONDERWIJS
INFORMATIEBEVEILIGING EN PRIVACY IN HET ONDERWIJSINFORMATIEBEVEILIGING EN PRIVACY IN HET ONDERWIJS
INFORMATIEBEVEILIGING EN PRIVACY IN HET ONDERWIJS
 
21E EEUWSE VAARDIGHEDEN MET ADOBE
21E EEUWSE VAARDIGHEDEN MET ADOBE21E EEUWSE VAARDIGHEDEN MET ADOBE
21E EEUWSE VAARDIGHEDEN MET ADOBE
 
VERGROOT DE ICT-VAARDIGHEDEN VAN UW LEERLINGEN MET MICROSOFT OFFICE SPECIALIS...
VERGROOT DE ICT-VAARDIGHEDEN VAN UW LEERLINGEN MET MICROSOFT OFFICE SPECIALIS...VERGROOT DE ICT-VAARDIGHEDEN VAN UW LEERLINGEN MET MICROSOFT OFFICE SPECIALIS...
VERGROOT DE ICT-VAARDIGHEDEN VAN UW LEERLINGEN MET MICROSOFT OFFICE SPECIALIS...
 
Presentatie eduard beck
Presentatie eduard beckPresentatie eduard beck
Presentatie eduard beck
 
Office 365 in de Klas
Office 365 in de KlasOffice 365 in de Klas
Office 365 in de Klas
 
Digital transformation & Education
Digital transformation & EducationDigital transformation & Education
Digital transformation & Education
 
Presentatie Breinwave Microsoft cloudportfolio
Presentatie Breinwave Microsoft cloudportfolioPresentatie Breinwave Microsoft cloudportfolio
Presentatie Breinwave Microsoft cloudportfolio
 
SketchUp Pro Educatief, 4 oktober 2016
SketchUp Pro Educatief, 4 oktober 2016SketchUp Pro Educatief, 4 oktober 2016
SketchUp Pro Educatief, 4 oktober 2016
 
Referentiecase Office 365 op het Pius X College
Referentiecase Office 365 op het Pius X College Referentiecase Office 365 op het Pius X College
Referentiecase Office 365 op het Pius X College
 
Presentatie BeveiligMij over ICT beveiliging
Presentatie BeveiligMij over ICT beveiligingPresentatie BeveiligMij over ICT beveiliging
Presentatie BeveiligMij over ICT beveiliging
 
Presentatie Kennisnet over informatiebeveiliging in mbo en vo
Presentatie Kennisnet over informatiebeveiliging in mbo en vo Presentatie Kennisnet over informatiebeveiliging in mbo en vo
Presentatie Kennisnet over informatiebeveiliging in mbo en vo
 
Presentatie Jabra door Glenn Tjebbes op 10 maartr 2016
Presentatie Jabra door Glenn Tjebbes op 10 maartr 2016Presentatie Jabra door Glenn Tjebbes op 10 maartr 2016
Presentatie Jabra door Glenn Tjebbes op 10 maartr 2016
 
Presentatie MBO Utrecht over Skype implementatie vs Jabra
Presentatie MBO Utrecht over Skype implementatie vs Jabra Presentatie MBO Utrecht over Skype implementatie vs Jabra
Presentatie MBO Utrecht over Skype implementatie vs Jabra
 
Presentatie adobe informatiesessie ipon
Presentatie adobe informatiesessie iponPresentatie adobe informatiesessie ipon
Presentatie adobe informatiesessie ipon
 
Van laptopkar tot laptopklas, lessen uit het Surface PROject
Van laptopkar tot laptopklas, lessen uit het Surface PROjectVan laptopkar tot laptopklas, lessen uit het Surface PROject
Van laptopkar tot laptopklas, lessen uit het Surface PROject
 
Privacy goed geregeld
Privacy goed geregeldPrivacy goed geregeld
Privacy goed geregeld
 
Onderwijs maken met Office 365
Onderwijs maken met Office 365Onderwijs maken met Office 365
Onderwijs maken met Office 365
 
Internet of Things, Coderen in de klas en 3D printing
Internet of Things, Coderen in de klas en 3D printingInternet of Things, Coderen in de klas en 3D printing
Internet of Things, Coderen in de klas en 3D printing
 
Coderen met Microsoft
Coderen met MicrosoftCoderen met Microsoft
Coderen met Microsoft
 
Presentatie vanbuurt ICT, Microsoft Office Specialist bijeenkomst 10 december...
Presentatie vanbuurt ICT, Microsoft Office Specialist bijeenkomst 10 december...Presentatie vanbuurt ICT, Microsoft Office Specialist bijeenkomst 10 december...
Presentatie vanbuurt ICT, Microsoft Office Specialist bijeenkomst 10 december...
 

Presentatie over meldplicht datalekken en ecryptie door Sophos

  • 1.
  • 3. Agenda • Versleuteling, 256 AES • Meldplicht Datalekken • Sophos SafeGuard Enterprise • Versleuteling in de praktijk 1102 -
  • 4. 256 AES 𝐹𝐺|𝑔 >= 𝜌,𝑖,𝑗 𝑑 𝜌 |𝐺| 𝜌 𝑔 𝑖, 𝑗|𝜌, 𝑖, 𝑗 >, 𝑋 𝜌 ≝ 𝑑 𝜌 𝐺 𝑋 𝑥∈𝑋 𝜌 𝑥 = 𝑑 𝜌 𝑋 𝐺 Π 𝜌 𝑋. 65984532658953215695412365745896541236954123657458541236954123654123697 45478547854785412595412364541236589512452554567465146574165741357351438 76541378354135743541327486411965354537265435474321338543245654115768450 7415463543545684357435546574651326456879746
  • 5. Mythe: Encryptie is verwarrend en complex
  • 7. IT Security Survey SLB Diensten
  • 8. Quiz Een inbraak bij een school. De server wordt meegenomen en de data op de server is versleuteld. Een backup van de server staat fysiek 80km verder op. Alle data kan teruggehaald worden. De versleutelde laptop van een financieel directeur is uit de auto gestolen. Financiële gegevens (budgetten, salarissen, leningen) van 1000 personen waren betrokken. Hoewel het wachtwoord van de laptop niet gecompromitteerd is, was er geen back-up voorhanden. Een journalistiek programma confronteert een school met het feit dat als gevolg van een beveiligingslek onder andere persoonlijke gegevens (zoals kopieën van paspoorten of rijbewijzen, BSN nummers en wachtwoorden) van studenten en docenten op de server van de school door onbevoegden zijn ingezien. Een docent laat een koffer met daarin een USB stick met een e-mailadressenbestand achter in de trein. De koffer is voorzien van een deugdelijk slot, en komt via 'gevonden voorwerpen' ongeopend na 2 dagen terug bij de rechtmatige eigenaar.
  • 10. Persoonsgegevens Bijzondere persoonsgegevens zoals bedoeld in artikel 16 Wbp Het gaat hierbij om persoonsgegevens over iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, lidmaatschap van een vakvereniging en om strafrechtelijke persoonsgegevens en persoonsgegevens over onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag. • Gegevens over de financiële of economische situatie van de betrokkene Hieronder vallen bijvoorbeeld gegevens over (problematische) schulden, salarissen betalingsgegevens. • (Andere) gegevens die kunnen leiden tot stigmatisering of uitsluiting van de betrokkene Hieronder vallen bijvoorbeeld gegevens over gokverslaving, prestaties op school of werk of relatieproblemen. • Gebruikersnamen, wachtwoorden en andere inloggegevens De mogelijke gevolgen voor betrokkenen hangen af van de verwerkingen en van de persoonsgegevens waar de inloggegevens toegang toe geven. Bij de afweging moet worden betrokken dat veel mensen wachtwoorden hergebruiken voor verschillende verwerkingen. • Gegevens die kunnen worden misbruikt voor (identiteits)fraude Het gaat hierbij onder meer om biometrische gegevens, kopieën van identiteitsbewijzen en om het Burgerservicenummer (bsn).
  • 11. De sleutel is versleuteling Technische en organisatorische maatregelen dienen cumulatief te worden getroffen. Software is een belangrijk instrument tot beveiliging. Dit wetsvoorstel geeft de normen die mede met behulp van software dienen te worden gehandhaafd. Klassieke technische beveiligingsmaatregelen omvatten mede de fysieke afscherming van de randapparatuur die toegang geeft tot de te beveiligen gegevens. Daarnaast zijn er de modernere informatietechnologische maatregelen zoals beveiliging met een «password» en door middel van encryptie. Grotere bedrijven zullen een eigen beveiligingsafdeling hebben. Kleinere bedrijven zullen beveiligingsexpertise van buitenaf inhuren. Wat betreft encryptie zijn de initiatieven vermeldenswaard van de Europese Commissie om te komen tot een min of meer uniform systeem van vertrouwenstussenpersonen (trusted third parties) binnen de Europese Unie. (Bron: Richtsnoeren AP: beveiliging persoonsgegevens)
  • 12. IT Security Survey SLB Diensten (vervolg)
  • 14.
  • 15. Verloren of Gestolen Apparaat Onversleuteld Versleuteld • Verlies of diefstal van een apparaat kan iedereen overkomen, en overkomt dus ook velen van ons. • Alleen geauthoriseerde gebruikers zouden iets met deze apparaten moeten kunnen. • Hoeveel apparaten heb jij verloren?
  • 16. Zet bestanden op Removable Media • Op deze kleine apparaatjes past heel veel data, maar je bent ze zo kwijt • Blokkeer je ze of bescherm je de data erop? • Waar is je eerste USB stick en wat staat erop?
  • 17. Zet bestanden in E-Mail • We emailen allemaal & we maken allemaal wel eens een foutje (het gebeurt) • Wat kan het gevolg zijn van het verkeerde bijvoegsel aan de verkeerde persoon sturen? • Versleutel je bestanden, of inspecteer je op de Gateway?
  • 18. Zet bestanden op een Network Share • De huidige Operating Systems maken het delen van data op het Network zeer eenvoudig. • Bescherm tegen interne dreigingen. • Wie is bevoegd voor bedrijfs- of persoonsgegevens?
  • 19. Zet bestanden in de Cloud • Cloud Storage heeft de manier waarop data tussen gebruikers een apparaten wordt gedeeld gerevolutioneerd. • Wat heb jij in de Cloud staan, en wat gebeurt er als iemand het steelt? • Versleutel de data voordat je het in de Cloud zet.
  • 20. Sophos SafeGuard – simpel & beter Werkt op verschillende apparaten o Windows, OS X, iOS & Android o Integratie met Sophos Secure Workspace en Mobile Control o Inclusief centraal beheer van Microsoft Bitlocker en Apple FileVault2 Gebruikers blijven productief o Op school, onderweg, met ieder apparaat Nog steeds beveiligd o Betrouwbaar apparaat bepaalt toegang tot data. Een apparaat met risico? Werk met een ander apparaat
  • 21. Device / User / Process
  • 25. Om je gratis verder te helpen • EU Data Security Compliance Check in 60 seconden • Whitepaper over EU Data Protection Regulation • Sophos Home: studenten docenten buren vrienden Te vinden op www.sophos.com/public-sector-benelux
  • 27. 27

Hinweis der Redaktion

  1. Wat is een datalek én moet sowieso worden gemeld worden aan de Autoriteit Persoonsgegevens en aan de betrokkenen. In ROOD zijn voorbeeld welke gemeld moeten worden. Niet alleen bij AP maar ook bij de betrokkenen. In GROEN is de melding bij de AP nodig, de betrokkenen hoeven niet ingelicht te worden. ORANJE is twijfel omdat het gaat om een e-mailadres. Dit is niet per definitie een persoonsgegeven maar kan wel een inlog zijn.
  2. Wanneer is er sprake van een incident en wanneer van een datalek. Daarnaast is de volgorde dat de Autoriteit Persoonsgegevens op de hoogte gebracht wordt. Hiermee wordt de melding dus verplicht. Het informeren van betrokkene is pas noodzakelijk wanneer het ernstige nadelige gevolgen kan hebben.
  3. Hierboven de definities van wat persoonsgegevens zij. Niet alleen de bijzondere persoonsgegevens zoals genoemd in het Wbp artikel 16 maar ook wat nog meer gegevens zijn die nadelige gevolgen kunnen hebben voor de betrokkene.
  4. Volgens de richtisnoeren van het AP is beveiliging van data door middel van een password en/of versleuteling van data het beste middel om onbevoegden geen toegang te geven tot data.
  5. Diefstal of verlies van een apparaat gebeurt elke dag, overal, en overkomt bijna iedereen wel eens: Bij de securityscanner op het vliegveld achtergelaten? Telefoon in restaurant of bar vergeten? Gestolen uit kantoor, hotel of auto? Onder bedreiging van je afgepakt? Alleen geauthoriseerde gebruikers hebben toegang tot de apparaten! Bedenk eens met welke apparaten de medewerkers hun werk doen: Laptops Desktops Smartphones Tablets Wat hier mis kan gaan is een verloren of gestolen apparaat. De dreiging is in dit geval een externe, laten we zeggen een dief die het apparaat gestolen heeft. We zijn allemaal mensen. Een gebruiker kan zijn laptop per ongeluk laten liggen bij de securityscanner op het vliegveld; of het wordt gestolen uit hun auto of hotelkamer. In geen van deze scenario´s wil je dat een onbevoegde toegang tot de digitale inhoud van het apparaat kan verkijgen, en daarmee toegang tot je data. Denk aan dit simpele voorbeeld: wanneer je haast hebt en door de security van het vliegveld moet, van welk object en zijn lokatie ben je je dan het meest bewust? En als je moet rennen, wat pak je dan eerst? Voor de meeste mensen is het hun portemonnee, paspoort of smartphone. Aan laptops wordt vaak pas in tweede instantie gedacht. Vragen die je jezelf kunt stellen: Is je organisatie recentelijk van die apparaten kwijtgeraakt? Wat voor apparaten waren het precies? Wat stond er op? Stond er vertrouwelijke informatie op? Hoeveel verschillende platforms zijn er in gebruik? Windows? Mac OS X? iOS? Android? Het principe van deze vereiste is dat je alleen bevoegde gebruikers toegang hebben tot een apparaat. Hoewel de meerderheid van deze gevallen aan eenvoudige en menselijke fouten te wijten zijn is dit een algemene vector voor datalekkage. Met de grote opslagcapaciteit van hedendaagse apparaten kan er een enorme hoeveelheid data lekken, door een onschuldige handeling. Historisch is dit hoe versleuteling werd toegepast, voor de harde schijf in laptops omdat dit de enige apparaten waren die de organisatie uitgingen. Nu zijn er meer apparaten met data buiten de organisatie. In een databeschermingsbeleid zul je over allemaal iets moeten bedenken. En hoewel het meestal niet de bedoeling is dat desktops de organisatie verlaten, moet je rekening houden met de mogelijkheid dat deze gestolen worden. Dit geldt overigens ook voor een server. Voor laptops en desktops begin je met versleuteling van de harde schijf. De schijf is versleuteld, en voordat het Operating System opstart moet de gebruiker zich authenticeren. Dit verzekert dat alleen bevoegde gebruikers toegang hebben. En omdat de schijf versleuteld is heeft het geen zin de harde schijf uit het apparaat te sleutelen en via een kabeltje op een ander systeem uit te lezen. Op smartphones of tablets zet je de ingebouwde versleuteling aan, en verplicht de gebruiker een PIN of een wachtwoord te gebruiken. Dit is de eerste verdedigingslaag in een databeschermingsstrategie.
  6. Removable Media (zoals bijvoorbeeld USB Sticks) kunnen ook een vector voor datalekkage zijn. Op kleine apparaten passen grote hoeveelheden data, en ze raken makkelijk uit het zicht. Weet jij waar je eerste USB stick ligt? Ben je wel eens een USB Stick kwijtgeraakt? Nog belangrijker, weet je nog wat er op stond? Twee basale keuzes: Sta gebruikers niet toe removable media aan te sluiten Bescherm data wanneer deze naar removable media wordt gekopiëerd Het kopiëren van data naar removable media, zoals een USB stick, is een zeer eenvoudige handeling en gebruikers hebben geleerd dat het een makkelijke manier is om data, veel of weinig, te delen met een collega, klant of partner. Omdat het meestal de bedoeling is dat data er maar tijdelijk op staat houden gebruikers meestal niet bij wat er allemaal op staat. Maar het zou ook zomaar een backup van een laptop kunnen zijn. Omdat de tijd en de techniek niet stil staat kan een removable media apparaat, zo klein als je vingernagel, of zo groot als een smartphone, gigabytes dan wel terabytes aan data bevatten. En omdat deze handige dingen zo lekker klein zijn, worden ze net zo makkelijk verloren. Je doet de USB stick in je broekzak. Je haalt je autosleutels uit je broekzak en je USB stick wordt meegetrokken en valt op de grond. Zou je dat merken? Het is heel interessant om deze basisvragen te stellen: weet je waar je eerst USB stick is, en wat erop staat? Dit is een goed voorbeeld omdat de meeste mensen hier geen antwoord op hebben. Het toont aan dat voor de meeste mensen de locatie van dit soort apparaten een secundaire overweging is, laat staan wat er allemaal op staat. Dus wat kan je organisatie doen? Een methode is simpelweg het gebruik van deze apparaten verbieden. Als ze geen USB stick aan kunnen sluiten, kunnen ze er ook geen data op zetten. Dit is een prima oplossing om van deze vector voor datalekkage af te komen, maar ontneemt de gebruikers deze mogelijkheid om data te delen, en kan op weerstand stuiten van deze gebruikers. Als je baas vraagt waarom hij een USB stick niet kan gebruiken, wat is dan het antwoord? Ook zijn er alternatieve oplossing zoals Device Control zodat je onderscheid kunt maken tussen welke apparaten wel en welke niet aan je laptops en desktops mogen worden aangesloten. Er zijn zelfs bijzonder beveiligingsbewuste bedrijven die zover gaan dat ze de USBpoorten dichtlijmen, zodat er echt niets meer in gestoken kan worden. Dat brengt me bij de tweede optie: wanneer het gebruikers toegestaan is removable media apparaten aan te sluiten, bescherm dan de data die erop geschreven wordt, door middel van versleuteling. Denk even terug aan onze definitie voor een datalek: zorg dat data geschreven wordt zodat het voor onbevoegden onbruikbaar is. Oh ja, heeft er iemand wel eens een USB stick op de grond zien liggen, en opgeraapt? Zo ja, heb je gekeken wat er op stond? Zo ja, gefeliciteerd, je kunt nu een malware infectie hebben opgelopen. Zorg dat je anti-malware software up to date is. Op deze manier zijn heel wat nucleaire centrifuges maar ook kassasystemen beschadigd.
  7. We sturen allemaal mail, en we maken allemaal wel eens een foutje. Behalve Sheldon Cooper misschien. Onbedoelde menselijke fout: Per ongeluk het verkeerde bestand aan een e-mail gehangen? Ging dat mailtje toevallig naar buiten de organisatie? Per ongeluk een mail naar de verkeerde persoon gestuurd? Ook al was dat binnen de organisatie, wat betekent het dat deze persoon nu over deze informatie beschikt? Twee keuzes: Versleutel bestanden bij aan e-mails gevoegd worden Inspecteer e-mails op de gateway Er is geen e-mailgebruiker die nooit een bestand gemaild heeft. Dit is een standaard methode om data te delen. E-mailtechnologie is een van die tweesnijdende zwaarden. Het is geweldig om makkelijk data te delen, zowel binnen als buiten een organisatie. Helaas is het net zo makkelijk om er een datalek mee op te lopen, per ongeluk of door een kwaadwillende gebruiker. We zijn allemaal menselijk en het is zo makkelijk om per ongeluk het verkeerde bestand aan een mail te plakken. Wat voor kwaad zou dat nou kunnen? Stel je voor dat je met een overname of fusie bezig bent, iemand stuurt een bod en de deal mislukt omdat het gepubliceerd werd? Of het bijvoegsel was je prijslijst, of financiële gegevens, of de details van je voorsprong op je concurrentie? Het komt neer op de vraag: welke data is belangrijk voor de organisatie en wat zijn de consequenties als het in verkeerde handen valt. Je kunt denken dat het minder erg is om het verkeerde bestand binnen de organisatie te versturen, maar wat als je PZ of de juridische afdeling deze fout maakt, en informatie stuurt aan iemand die er geen toegang toe zou moeten hebben? Het is dus altijd een goed idee om data ook binnen de organisatie te versleutelen. Er zijn vele bestandstypen waar gebruikers mee werken gedurende de dag, en die kunnen allemaal versleuteld zijn. Bijvoorbeeld: De office documenten (Word, Excel, Powerpoint) en de Adobe documenten (PDF, InDesign, Photoshop, etc.).
  8. Moderne Operating Systems maken het delen van data op het bedrijfsnetwerk erg eenvoudig: Heb je data die andere onderdelen van de organisatie niets aangaan? Is er een wettelijke verplichting aangaande bevoegde toegang tot data? Bescherm tegen interne dreigingen: IT beheerder die bij alle PZ documenten kan Alleen de juridische afdeling hoort bij de inhoud van juridische documenten op de juristenshare te kunnen Alleen bevoegde gebruikers kunnen bij patientengegevens Versleutel je data om deze te beschermen tegen interne dreigingen Iedereen heeft wel eens data op een netwerkshare gezet, of benaderd. Dit is een ontzettend makkelijke manier om data binnen een organisatie te delen. En door moderne operating systemen kost dit geen enkele moeite. Soms zie je weinig verschil tussen het lokaal of via een netwerk kopiëren van data. Denk nu aan interne dreigingen. Deze zijn niet per se kwaadaardig, maar men kan per ongeluk data benaderen waarvoor men niet bevoegd is, en die men niet nodig heeft voor de dagelijkse werkzaamheden. Nu kun je denken, nou en, wat maakt dat nu uit? Heel veel, eigenlijk. In sommige regelingen is er specifieke tekst die bepaalt wie toegang mag hebben tot klantengegevens, en welk gedeelte daarvan (voorbeeld: PCI-DSS. Hier moet je aan voldoen als je credit card betalingen accepteert). Een voorbeeld: IT beheerders hebben over het algemeen goddelijke rechten op interne infrastructuur. Stel je voor dat de IT beheerder het interessant vindt om te weten wat iedereen verdient, of welke optieregelingen er getroffen zijn voor de collega´s? Uiteraard is dit een PZ- en ethische kwestie. Gebruikers verwachten privacy. Een tweede voorbeeld: Mogen niet-leden van de juridische afdeling toegang hebben tot de juridische documenten van de organisatie, lopende zaken, etcetera? Een derde voorbeeld: Je bezoekt je dokter eenmaal of vaker per jaar. Vaak zit een dokter in een praktijk met meerdere dokters. En dan heb je net een bloedtest gedaan, of iets dergelijks. Vind je het goed dat hun It-er de resultaten kan zien, of verwacht je hier toch dat je privégegevens vertrouwelijk blijven? Maar hoe kun je je data beschermen op je netwerk? De eerste stap is natuurlijk ervoor te zorgen dat de toegangsrechten correct zijn ingesteld, maar dit houdt systeembeheerders of hosting providers niet uit je data. Het is een goede praktijk om te verzekeren dat data versleuteld is. Vooral waar het gaat om data waar de systeembeheerder niet in hoort te kunnen lezen, dus waar het instellen van toegangsrechten ontoereikend is.
  9. Cloudopslagdiensten bieden een makkelijke manier om data tussen gebruikers en apparaten te delen. Dropbox, Onedrive, Googledrive, etc. Deze diensten bevinden zich buiten de bedrijfsperimeter Wie heeft er toegang toe? Wat voor data is er opgeslagen? Wat is de impact wanneer accounts worden gehackt en de data gestolen? Versleutel de data voordat je het de Cloud instuurt. Deze Cloudopslagdiensten zijn makkelijk, handig en dus zeer populair geworden. Helaas zijn ze ook een vector voor datalekken. Je moet jezelf de volgende vragen stellen: Mag je organisatie het gebruik van deze diensten toestaan? Wie in de organisatie zou deze diensten mogen gebruiken? Welke soorten data mogen wel en welke niet op deze diensten worden opgeslagen? Wat zijn de gevolgen wanneer accounts gehackt en de data gestolen wordt? Dat laatste kan een officiëel data lek genoemd worden, en dan heb je als organisatie een probleem. De bewijslast, dat de data onbruikbaar zou zijn, ligt bij de organisatie. Kun je dat niet wordt er vanuit gegaan dat de data gelekt is. Het is al vaak voorgekomen dat dergelijke accounts gehackt zijn, of dat een Cloudopslagdienst een foutje maakt. De CEO van Box raadt zelfs al hun klanten aan dat ze hun data versleutelen voordat ze het op Box zetten. Dus wat kun je doen? Zorg ervoor dat alle data die richting wat voor Cloudopslagdienst dan ook versleuteld is, voordat het ook maar je apparaat verlaat. Dat betekent het versleutelen van bestanden nog voordat ze gesychroniseerd worden (misschien beginnen jullie een patroon te zien). Uiteraard wil je het niet pas versleutelen wanneer het bij de dienst is aangekomen, want dat zou betekenen dat de data onversleuteld over het internet is gegaan. Wat geen goede zaak is. En tegelijkertijd moeten de medewerkers productief kunnen blijven.
  10. Continuing the theme of encryption everywhere, but now with Next-Gen Data Protection Next-Gen Data Protection continues to support more devices across more OS’s ensuring your workforce can work to productivity, only now with much more security. The threat protection technology enabled by Next-Gen Data Protection is a constant, so should a device become compromised the necessary actions are taken to secure the device (data), productivity continues as one can work on another device. Next-Gen Data Protection continues and strengthens our story of protection without slowing you down.
  11. These four lines represents 4 different use cases and shows whether the user will have access to encrypted or plain text data. There are many other use cases available, however these four demonstrate examples. The first column represents the various platforms that will be supported. Columns 2-4 represent the three pillars; Trusted Device, User, and Process. The last column indicates whether the user will see plain text or encrypted data. The first example is a Mac user who is on a trusted device; the user is trusted; and Microsoft Word is a trusted application. Therefore are all of the three pillars are trusted, the user will have access to the plain text version of the Word document. The second example is a windows user who is infected by malware. The device and user is trusted, however the process requesting access to that Word document is not. Therefore it will only receive the encrypted version of the file. The second example is where a user has jailbroken their iOS device. Any jailbroken device is not to be trusted. So even though the user is trusted, and the iOS app accessing the encrypted data is trusted, they will still only see the encrypted data because the device is not trusted. The last example is on Android, however this use case is the same on Windows or OS X. The device is trusted, but the user is not. Even though the app they are using is trusted, because the user is not they only have access to the plain text data. These simple use case demonstrate how the next-generation data protection offering from Sophos is reactive to integrity. This is required to respond to the threats in today’s threat landscape and how users make use of corporate data. This next-generation data protection technology is coming in Sophos SafeGuard version 8!
  12. Sophos heeft zowel in het Nederlands en het Engels een voorbeeld van hoe je beleid kunt maken over informatiebeveiliging. Met een aantal basis vragen kun je werken aan beleid binnen je eigen organisatie. Je kunt dit zien als ´kapstok´ om het beleid te definiëren. We kunnen geen standaard beleid aanbieden omdat dit per branche en bedrijf verschilt.