SlideShare una empresa de Scribd logo

Saxion Enschedé College Security 2009

Jurgen van der Vlugt
Jurgen van der Vlugt
TecnologíaNoticias y política
1 de 47
Privacy & maatschappelijke systemen Ir.drs. J. (Jurgen) van der Vlugt RE CISA Noordbeek B.V. Jurgen@Noordbeek.com 2 september 2009, Enschedé
College Privacy & maatschappelijke systemen 2009 09 02 2 Intro; ik = • Bedrijfseconomie (Rotterdam, finbel) • Technische Informatica (Delft; KI) • KPMG EDP Auditors / IRM (WinNT, Y2K) • Post-grad IT-auditing (VU) • Sogeti • ABN AMRO (Group Audit, Group Security; projects++, outsourcing, security integration) • Noordbeek • VU, NOREA (VC, CHBr), ISACA, ISSA (NL, Int’l), PvIB
College Privacy & maatschappelijke systemen 2009 09 02 3 Agenda • Security ↔ privacy • Risico’s, controls • ‘Maatschappelijke systemen’ • Wat er te onthouden is
College Privacy & maatschappelijke systemen 2009 09 02 4 Security ↔ privacy • Security: Safeguarding assets / resources against abuse while enabling value realisation • Assets, kwetsbaar: Mensen, informatie, producten, vastgoed, geld (en, misschien, ‘Processen’) • Abuse: Bedreigingen; zelfde categorieën • (Tegenmaatregelen/controls: Idem)
College Privacy & maatschappelijke systemen 2009 09 02 5 Security ↔ privacy • Privacy: Het recht om anoniem te blijven • Vage definitie • Absoluut ↔ relatief (Voor wat hoort wat ..?)
College Privacy & maatschappelijke systemen 2009 09 02 6 Wie wil privacy • Maatschappij • ‘Burgers’ • Hackers, crackers • Bedrijven, MKB • Bedrijven, groot • Overheden Eigen Andermans √ +/- √ +/- √ -- √ - √ -- √ --
College Privacy & maatschappelijke systemen 2009 09 02 7 Privacy ↔ Informatie • ‘Information wants to be free’ • Kennis is macht • Organisatie versus de buitenwereld
College Privacy & maatschappelijke systemen 2009 09 02 8 ‘Interne’ visie ‘Business’ Information Mgt IT Strat Tact Oper
College Privacy & maatschappelijke systemen 2009 09 02 9 Informatiebeveiliging ‘Business’ Information Mgt IT Strat Tact Oper IT-beveiliging
College Privacy & maatschappelijke systemen 2009 09 02 10 Tussenconclusie • Informatie is macht • Privacy is het tegendeel • Alle organisaties willen ‘all take and no give’ • Hoe houden we e.e.a. in de hand?
College Privacy & maatschappelijke systemen 2009 09 02 11 Agenda • Security ↔ privacy • Risico’s, controls • ‘Maatschappelijke systemen’ • Wat er te onthouden is
College Privacy & maatschappelijke systemen 2009 09 02 12 Risico’s • Risico ≈ onzekerheid ( + en - ) • Fact of life; ‘niets is zeker, zoveel is zeker’, etc., etc. • No guts → no glory (NB hét model in de financiële wereld) • No guts ← ‘alles’ dichttimmeren
College Privacy & maatschappelijke systemen 2009 09 02 13 Risico = Bedreiging • Bedreiging van datgene wat iets waard wordt gevonden • Niks waard → geen zorg • Wie vindt het wat waard ..? • Wat is wat waard ..? Asset-classificatie • Assets onbekend (?) • Waarde onbekend (?)
College Privacy & maatschappelijke systemen 2009 09 02 14 Risico-benadering • Bedreigingen: Inbreuken op • Vertrouwelijkheid (C) • Integriteit (I) • Beschikbaarheid (A) • Extern, intern (!) • Kwetsbaarheden • Primaire componenten • Controls
College Privacy & maatschappelijke systemen 2009 09 02 15 Bedreigingen … Sorry! Overstroming Windhoos Aardbeving Grieppandemie Zonder opzet Crackers Fraudeurs Actiegroepen Tegenzin / Geen tijd ?Met opzet Acts of Man Acts of nature (‘Acts of God’)
College Privacy & maatschappelijke systemen 2009 09 02 16 Bedreigingen • Enkelvoudig te eenvoudig • Paniekvoetbal • Aanval / verdediging • Klein maar fijn • Groot maar …? • Verschillende doelen, verschillende middelen
College Privacy & maatschappelijke systemen 2009 09 02 17
College Privacy & maatschappelijke systemen 2009 09 02 18 En dan: Controls = Maatregelen, bijsturingsmiddelen • Organisatorisch (functiescheiding) • Procedureel (afvinken rapporten) • Fysiek (toegang) • IT (…) • Geld (verzekering) • In combinatie (Er is geen silver bullet!)
College Privacy & maatschappelijke systemen 2009 09 02 19 Controls (bescherming) • Afschrikkende • Preventieve, • Detectieve, • Repressieve, • Beperkende en opvangende, • Corrigerende en terugwinnende • Hoe eerder hoe beter • Net beter dan de buren
College Privacy & maatschappelijke systemen 2009 09 02 20 Controls (vervolg) • Accountantshobby, maar niet alleen t.b.v. jaarrekeningcontrole • Taalprobleem: Operationeel doen ↔ Op managementniveau uitleggen • Modes • RBAC • Classificatie • Architectuur
College Privacy & maatschappelijke systemen 2009 09 02 21 Controls: kosten, baten • Schade ↔ kosten van controls (direct, indirect, reputatie?) • Vantevoren cijfers nodig! • Frequentie / kans • Impact, schade (2x) • Kosten → continu → rapporteren (niks merkbaar?) • Effectiviteit • FUD werkt misschien toch beter
College Privacy & maatschappelijke systemen 2009 09 02 22 Niks nieuws • Alleen de techniek is veranderd …? • … Maar oplossingen complexer
College Privacy & maatschappelijke systemen 2009 09 02 23 Privacy-controls • All of the above, om privacygevoelige info te beschermen • “100% security” • Hoe minder privacygevoelige info, hoe minder imperfect te beschermen • Maar zonder, gaat niet (?) • (Informatie- en andere) architectuur to the rescue
College Privacy & maatschappelijke systemen 2009 09 02 24 Controls ontwerpen
College Privacy & maatschappelijke systemen 2009 09 02 25 Tussenconclusie • Mo’ money, mo’ problems • Nog niet eens een goed model • Roeien met de riemen die we hebben • Structureel slimmere oplossingen nodig
College Privacy & maatschappelijke systemen 2009 09 02 26 Agenda • Security ↔ privacy • Risico’s, controls • ‘Maatschappelijke systemen’ • Wat er te onthouden is
College Privacy & maatschappelijke systemen 2009 09 02 27 Maatschappelijke systemen • IB Groep • UWV / Belastingdienst • EPD • OV-chipkaart / NDW … rekeningrijden • Stemcomputers • Justitiële systemen/bestanden (camera’s!) • Kenmerk: Overheid beschikt over databases Risico’s: False positives, false negatives • Kenmerk: Complex, niemand weet alles Risico’s: Niemand beheerst, niemand verantwoordelijk
College Privacy & maatschappelijke systemen 2009 09 02 28 Overheid • Algemeen nut (?) • Politiek, toezicht, verantwoordelijkheden ..? • Beperkte middelen (?) • Macht • Vooraf: Altijd beter weten • Achteraf: Altijd gelijk krijgen
College Privacy & maatschappelijke systemen 2009 09 02 29 (Overheid) • Rijksoverheid • Provincies • Gemeenten • Zelfstandige Bestuursorganen • 1600 instellingen, 956.000 ambtenaren • Maatschappelijk Middenveld
College Privacy & maatschappelijke systemen 2009 09 02 30 (Partijen en )
College Privacy & maatschappelijke systemen 2009 09 02 31 Overheid (II) • Onbeheerste groei van data / koppelingen • ‘Lokale’ optimalisatie / afwegingen • Werking • Privacy • NORA, MARIJ, GEMMA
College Privacy & maatschappelijke systemen 2009 09 02 32 Druk op overheden • Bezuinigen • Andere Overheid • Minder papier • Meer e-diensten • Complexere maatschappij • Meer eisen (Wie wil privacy?) Minder macht (?)
College Privacy & maatschappelijke systemen 2009 09 02 33 Oplossing: NORA • Nederlandse OverheidsReferentieArchitectuur • Bottom-up ontwikkeld • Vrijblijvend • Hopelijk sterker • Afdwingen of Trust but Verify ? • Principes • Wie wint, wie verliest ?
College Privacy & maatschappelijke systemen 2009 09 02 34 Plaatje
College Privacy & maatschappelijke systemen 2009 09 02 35 Plaatje II
College Privacy & maatschappelijke systemen 2009 09 02 36 ‘Externe’ visie ‘Business’ Information Mgt IT‘Overheid’Burger
College Privacy & maatschappelijke systemen 2009 09 02 37 Principes
College Privacy & maatschappelijke systemen 2009 09 02 38 DigiD • DigiD = pseudo-identiteit • ID-theft / verlies • Front-end • Back-end …?
College Privacy & maatschappelijke systemen 2009 09 02 39 Oh ja • Digital natives, migrants, ignorants • Ignorants: Te oud om mee te moeten • Al met pensioen • Kan e-mail niet lezen • Migrants: Geleerd te • William B. Gates, Steve Jobs, Woz, etc. • Grote massa • Natives: Geboren met • Te stom om meer dan 1 knop te gebruiken • Te slim om tool normaal te gebruiken
College Privacy & maatschappelijke systemen 2009 09 02 40 Oh ja - impact • Ontwerp en bouw altijd • Zo simpel bedienbaar mogelijk, • Zo bugfree mogelijk, • Zo transparant mogelijk, • Zo vervangbaar mogelijk • Fool-proofing • Veronderstel nul inzicht • No tool can be fool proof because fools are so ingenious • Het simpelste is het moeilijkste, Maak dingen zo simpel mogelijk, maar niet simpeler! (Beide: © A. Einstein) • Business case-fantasieën
College Privacy & maatschappelijke systemen 2009 09 02 41 Wat is er te doen (Maatschappelijke systemen) • Vrijblijvend → verplicht? • Bouwen ↔ legacy (Organisaties, processen, systemen) • Openheid ↔ geheimhouding • Betere technologie • Beter (slimmer) toezicht
College Privacy & maatschappelijke systemen 2009 09 02 42 Agenda • Security ↔ privacy • Risico’s, controls • ‘Maatschappelijke systemen’ • Wat er te onthouden is
College Privacy & maatschappelijke systemen 2009 09 02 43 Wat er te onthouden is • Risico-benadering en architectuur • Ken uw technologie • Rekening houden met alternatieven • Weet te kiezen en genoeg is genoeg • Ken de context • Klein, directe omgeving • Groot, stakeholders
College Privacy & maatschappelijke systemen 2009 09 02 44 Wat er te onthouden is (II) • Er is nog veel te doen • Ken de, uw beperkingen • Neem verantwoordelijkheid
College Privacy & maatschappelijke systemen 2009 09 02 45 Stellingen ..?
College Privacy & maatschappelijke systemen 2009 09 02 46 Vragen …?
College Privacy & maatschappelijke systemen 2009 09 02 47 The End Meer info: • www.schneier.com • www.security.nl • www.pvib.nl • www.norea.nl • www.jbisa.nl • www.e-overheid.nl • Etc. etc.

Recomendados

Saxion Enschedé College Security 2010
Saxion Enschedé College Security 2010Saxion Enschedé College Security 2010
Saxion Enschedé College Security 2010Jurgen van der Vlugt
 
VU Organisatie van het beroep Reglementering Deel I 21 mei 2010
VU Organisatie van het beroep Reglementering Deel I 21 mei 2010VU Organisatie van het beroep Reglementering Deel I 21 mei 2010
VU Organisatie van het beroep Reglementering Deel I 21 mei 2010Jurgen van der Vlugt
 
Adviesdiensten Norea Regio Noord 2012 05 10
Adviesdiensten Norea Regio Noord 2012 05 10Adviesdiensten Norea Regio Noord 2012 05 10
Adviesdiensten Norea Regio Noord 2012 05 10Jurgen van der Vlugt
 
VU Uitvoering van de audit 28 mei 2010
VU Uitvoering van de audit 28 mei 2010VU Uitvoering van de audit 28 mei 2010
VU Uitvoering van de audit 28 mei 2010Jurgen van der Vlugt
 
VU Information Risk Management Security Management 2010 JvdV
VU Information Risk Management Security Management 2010 JvdVVU Information Risk Management Security Management 2010 JvdV
VU Information Risk Management Security Management 2010 JvdVJurgen van der Vlugt
 
Kansen bedreigingen in beveiliging
Kansen bedreigingen in beveiligingKansen bedreigingen in beveiliging
Kansen bedreigingen in beveiligingSURFnet
 
An introduction to CHI
An introduction to CHIAn introduction to CHI
An introduction to CHIErik Duval
 
Congres Ondernemen in de toekomst - PXL
Congres Ondernemen in de toekomst - PXLCongres Ondernemen in de toekomst - PXL
Congres Ondernemen in de toekomst - PXLBusiness Education
 

Recomendados

Saxion Enschedé College Security 2010
Saxion Enschedé College Security 2010Saxion Enschedé College Security 2010
Saxion Enschedé College Security 2010Jurgen van der Vlugt
 
VU Organisatie van het beroep Reglementering Deel I 21 mei 2010
VU Organisatie van het beroep Reglementering Deel I 21 mei 2010VU Organisatie van het beroep Reglementering Deel I 21 mei 2010
VU Organisatie van het beroep Reglementering Deel I 21 mei 2010Jurgen van der Vlugt
 
Adviesdiensten Norea Regio Noord 2012 05 10
Adviesdiensten Norea Regio Noord 2012 05 10Adviesdiensten Norea Regio Noord 2012 05 10
Adviesdiensten Norea Regio Noord 2012 05 10Jurgen van der Vlugt
 
VU Uitvoering van de audit 28 mei 2010
VU Uitvoering van de audit 28 mei 2010VU Uitvoering van de audit 28 mei 2010
VU Uitvoering van de audit 28 mei 2010Jurgen van der Vlugt
 
VU Information Risk Management Security Management 2010 JvdV
VU Information Risk Management Security Management 2010 JvdVVU Information Risk Management Security Management 2010 JvdV
VU Information Risk Management Security Management 2010 JvdVJurgen van der Vlugt
 
Kansen bedreigingen in beveiliging
Kansen bedreigingen in beveiligingKansen bedreigingen in beveiliging
Kansen bedreigingen in beveiligingSURFnet
 
An introduction to CHI
An introduction to CHIAn introduction to CHI
An introduction to CHIErik Duval
 
Congres Ondernemen in de toekomst - PXL
Congres Ondernemen in de toekomst - PXLCongres Ondernemen in de toekomst - PXL
Congres Ondernemen in de toekomst - PXLBusiness Education
 
Presentatie Erwin derksen over Sovjet IT
Presentatie Erwin derksen over Sovjet IT Presentatie Erwin derksen over Sovjet IT
Presentatie Erwin derksen over Sovjet IT Ngi-NGN, platform voor ict professionals
 
Driestar College en Red Spider
Driestar College en Red SpiderDriestar College en Red Spider
Driestar College en Red SpiderNovell Nederland
 
Congres Ondernemen in de toekomst - PXL
Congres Ondernemen in de toekomst - PXLCongres Ondernemen in de toekomst - PXL
Congres Ondernemen in de toekomst - PXLBusiness Education
 
Presentatie Veilige Stad werksessie, Interviews gemeenten (7 maart 2013)
Presentatie Veilige Stad werksessie, Interviews gemeenten (7 maart 2013)Presentatie Veilige Stad werksessie, Interviews gemeenten (7 maart 2013)
Presentatie Veilige Stad werksessie, Interviews gemeenten (7 maart 2013)ysprick
 
20200221 cybersecurity een praktische introductie
20200221 cybersecurity een praktische introductie20200221 cybersecurity een praktische introductie
20200221 cybersecurity een praktische introductieAgentschap Innoveren & Ondernemen
 
Presentatie over meldplicht datalekken en ecryptie door Sophos
Presentatie over meldplicht datalekken en ecryptie door SophosPresentatie over meldplicht datalekken en ecryptie door Sophos
Presentatie over meldplicht datalekken en ecryptie door SophosSLBdiensten
 
Slides van webinar Privacy by Design: leerling centraal
Slides van webinar Privacy by Design: leerling centraalSlides van webinar Privacy by Design: leerling centraal
Slides van webinar Privacy by Design: leerling centraalKennisnet
 
Iot in de zorg the next step - fit for purpose
Iot in de zorg the next step - fit for purpose Iot in de zorg the next step - fit for purpose
Iot in de zorg the next step - fit for purpose Getting value from IoT, Integration and Data Analytics
 
200916 (wr) v1 gastcollege implementatie e learning avans plus september 2020
200916 (wr) v1 gastcollege implementatie e learning avans plus september 2020200916 (wr) v1 gastcollege implementatie e learning avans plus september 2020
200916 (wr) v1 gastcollege implementatie e learning avans plus september 2020WilfredRubens.com
 
Bijeenkomst social media in onderwijs 25 mei cloud en veiligheid
Bijeenkomst social media in onderwijs 25 mei cloud en veiligheidBijeenkomst social media in onderwijs 25 mei cloud en veiligheid
Bijeenkomst social media in onderwijs 25 mei cloud en veiligheidWillem van Dinther
 
Mi connect 21 oktober 2014 Assisted Living
Mi connect 21 oktober 2014 Assisted LivingMi connect 21 oktober 2014 Assisted Living
Mi connect 21 oktober 2014 Assisted LivingD3 Consutling
 
OWD2012 - 4 - 3e Generatie ontwikkel-portfolio: op maat, gebruiksvriendelijk,...
OWD2012 - 4 - 3e Generatie ontwikkel-portfolio: op maat, gebruiksvriendelijk,...OWD2012 - 4 - 3e Generatie ontwikkel-portfolio: op maat, gebruiksvriendelijk,...
OWD2012 - 4 - 3e Generatie ontwikkel-portfolio: op maat, gebruiksvriendelijk,...SURF Events
 
Big Data - een kijk in jouw toekomst
Big Data - een kijk in jouw toekomstBig Data - een kijk in jouw toekomst
Big Data - een kijk in jouw toekomstOscar Wijsman
 
Webinar: De Smart Society: over een slimme, veilige en toekomstbestendige in...
Webinar: De Smart Society: over een slimme, veilige en toekomstbestendige in...Webinar: De Smart Society: over een slimme, veilige en toekomstbestendige in...
Webinar: De Smart Society: over een slimme, veilige en toekomstbestendige in...Eurofiber
 
20130327 Het gezonde net: e health, op naar fysiotherapie2.0
20130327 Het gezonde net: e health, op naar fysiotherapie2.020130327 Het gezonde net: e health, op naar fysiotherapie2.0
20130327 Het gezonde net: e health, op naar fysiotherapie2.0Changing Healthcare
 
Het begint allemaal bij gezond verstand
Het begint allemaal bij gezond verstandHet begint allemaal bij gezond verstand
Het begint allemaal bij gezond verstandB.A.
 
Als zoeken te fanatiek wordt: een digitale analyse van het toeslagenschandaal
Als zoeken te fanatiek wordt: een digitale analyse van het toeslagenschandaalAls zoeken te fanatiek wordt: een digitale analyse van het toeslagenschandaal
Als zoeken te fanatiek wordt: een digitale analyse van het toeslagenschandaalvoginip
 
Centric seminar: Zorg voor veilige informatie (juni 2014)
Centric seminar: Zorg voor veilige informatie (juni 2014)Centric seminar: Zorg voor veilige informatie (juni 2014)
Centric seminar: Zorg voor veilige informatie (juni 2014)Centric
 
07 integere identiteit kristien verbraeken
07 integere identiteit kristien verbraeken07 integere identiteit kristien verbraeken
07 integere identiteit kristien verbraekenKortom vzw
 
Online gastcollege implementatie e learning avans plus maart 2020
Online gastcollege implementatie e learning avans plus maart 2020Online gastcollege implementatie e learning avans plus maart 2020
Online gastcollege implementatie e learning avans plus maart 2020WilfredRubens.com
 
Permanent open depot rijks in kpmg gebouw v0.3
Permanent open depot rijks in kpmg gebouw v0.3Permanent open depot rijks in kpmg gebouw v0.3
Permanent open depot rijks in kpmg gebouw v0.3Jurgen van der Vlugt
 
IDC Amsterdam 2013 09 12 Smart Security Solutions require Ditto Designs
IDC Amsterdam 2013 09 12 Smart Security Solutions require Ditto DesignsIDC Amsterdam 2013 09 12 Smart Security Solutions require Ditto Designs
IDC Amsterdam 2013 09 12 Smart Security Solutions require Ditto DesignsJurgen van der Vlugt
 

Más contenido relacionado

Similar a Saxion Enschedé College Security 2009

Driestar College en Red Spider
Driestar College en Red SpiderDriestar College en Red Spider
Driestar College en Red SpiderNovell Nederland
 
Congres Ondernemen in de toekomst - PXL
Congres Ondernemen in de toekomst - PXLCongres Ondernemen in de toekomst - PXL
Congres Ondernemen in de toekomst - PXLBusiness Education
 
Presentatie Veilige Stad werksessie, Interviews gemeenten (7 maart 2013)
Presentatie Veilige Stad werksessie, Interviews gemeenten (7 maart 2013)Presentatie Veilige Stad werksessie, Interviews gemeenten (7 maart 2013)
Presentatie Veilige Stad werksessie, Interviews gemeenten (7 maart 2013)ysprick
 
Presentatie over meldplicht datalekken en ecryptie door Sophos
Presentatie over meldplicht datalekken en ecryptie door SophosPresentatie over meldplicht datalekken en ecryptie door Sophos
Presentatie over meldplicht datalekken en ecryptie door SophosSLBdiensten
 
Slides van webinar Privacy by Design: leerling centraal
Slides van webinar Privacy by Design: leerling centraalSlides van webinar Privacy by Design: leerling centraal
Slides van webinar Privacy by Design: leerling centraalKennisnet
 
200916 (wr) v1 gastcollege implementatie e learning avans plus september 2020
200916 (wr) v1 gastcollege implementatie e learning avans plus september 2020200916 (wr) v1 gastcollege implementatie e learning avans plus september 2020
200916 (wr) v1 gastcollege implementatie e learning avans plus september 2020WilfredRubens.com
 
Bijeenkomst social media in onderwijs 25 mei cloud en veiligheid
Bijeenkomst social media in onderwijs 25 mei cloud en veiligheidBijeenkomst social media in onderwijs 25 mei cloud en veiligheid
Bijeenkomst social media in onderwijs 25 mei cloud en veiligheidWillem van Dinther
 
Mi connect 21 oktober 2014 Assisted Living
Mi connect 21 oktober 2014 Assisted LivingMi connect 21 oktober 2014 Assisted Living
Mi connect 21 oktober 2014 Assisted LivingD3 Consutling
 
OWD2012 - 4 - 3e Generatie ontwikkel-portfolio: op maat, gebruiksvriendelijk,...
OWD2012 - 4 - 3e Generatie ontwikkel-portfolio: op maat, gebruiksvriendelijk,...OWD2012 - 4 - 3e Generatie ontwikkel-portfolio: op maat, gebruiksvriendelijk,...
OWD2012 - 4 - 3e Generatie ontwikkel-portfolio: op maat, gebruiksvriendelijk,...SURF Events
 
Big Data - een kijk in jouw toekomst
Big Data - een kijk in jouw toekomstBig Data - een kijk in jouw toekomst
Big Data - een kijk in jouw toekomstOscar Wijsman
 
Webinar: De Smart Society: over een slimme, veilige en toekomstbestendige in...
Webinar: De Smart Society: over een slimme, veilige en toekomstbestendige in...Webinar: De Smart Society: over een slimme, veilige en toekomstbestendige in...
Webinar: De Smart Society: over een slimme, veilige en toekomstbestendige in...Eurofiber
 
20130327 Het gezonde net: e health, op naar fysiotherapie2.0
20130327 Het gezonde net: e health, op naar fysiotherapie2.020130327 Het gezonde net: e health, op naar fysiotherapie2.0
20130327 Het gezonde net: e health, op naar fysiotherapie2.0Changing Healthcare
 
Het begint allemaal bij gezond verstand
Het begint allemaal bij gezond verstandHet begint allemaal bij gezond verstand
Het begint allemaal bij gezond verstandB.A.
 
Als zoeken te fanatiek wordt: een digitale analyse van het toeslagenschandaal
Als zoeken te fanatiek wordt: een digitale analyse van het toeslagenschandaalAls zoeken te fanatiek wordt: een digitale analyse van het toeslagenschandaal
Als zoeken te fanatiek wordt: een digitale analyse van het toeslagenschandaalvoginip
 
Centric seminar: Zorg voor veilige informatie (juni 2014)
Centric seminar: Zorg voor veilige informatie (juni 2014)Centric seminar: Zorg voor veilige informatie (juni 2014)
Centric seminar: Zorg voor veilige informatie (juni 2014)Centric
 
07 integere identiteit kristien verbraeken
07 integere identiteit kristien verbraeken07 integere identiteit kristien verbraeken
07 integere identiteit kristien verbraekenKortom vzw
 
Online gastcollege implementatie e learning avans plus maart 2020
Online gastcollege implementatie e learning avans plus maart 2020Online gastcollege implementatie e learning avans plus maart 2020
Online gastcollege implementatie e learning avans plus maart 2020WilfredRubens.com
 

Similar a Saxion Enschedé College Security 2009 (20)

Presentatie Erwin derksen over Sovjet IT
Presentatie Erwin derksen over Sovjet IT Presentatie Erwin derksen over Sovjet IT
Presentatie Erwin derksen over Sovjet IT
 
Driestar College en Red Spider
Driestar College en Red SpiderDriestar College en Red Spider
Driestar College en Red Spider
 
Congres Ondernemen in de toekomst - PXL
Congres Ondernemen in de toekomst - PXLCongres Ondernemen in de toekomst - PXL
Congres Ondernemen in de toekomst - PXL
 
Presentatie Veilige Stad werksessie, Interviews gemeenten (7 maart 2013)
Presentatie Veilige Stad werksessie, Interviews gemeenten (7 maart 2013)Presentatie Veilige Stad werksessie, Interviews gemeenten (7 maart 2013)
Presentatie Veilige Stad werksessie, Interviews gemeenten (7 maart 2013)
 
20200221 cybersecurity een praktische introductie
20200221 cybersecurity een praktische introductie20200221 cybersecurity een praktische introductie
20200221 cybersecurity een praktische introductie
 
Presentatie over meldplicht datalekken en ecryptie door Sophos
Presentatie over meldplicht datalekken en ecryptie door SophosPresentatie over meldplicht datalekken en ecryptie door Sophos
Presentatie over meldplicht datalekken en ecryptie door Sophos
 
Slides van webinar Privacy by Design: leerling centraal
Slides van webinar Privacy by Design: leerling centraalSlides van webinar Privacy by Design: leerling centraal
Slides van webinar Privacy by Design: leerling centraal
 
Iot in de zorg the next step - fit for purpose
Iot in de zorg the next step - fit for purpose Iot in de zorg the next step - fit for purpose
Iot in de zorg the next step - fit for purpose
 
200916 (wr) v1 gastcollege implementatie e learning avans plus september 2020
200916 (wr) v1 gastcollege implementatie e learning avans plus september 2020200916 (wr) v1 gastcollege implementatie e learning avans plus september 2020
200916 (wr) v1 gastcollege implementatie e learning avans plus september 2020
 
Bijeenkomst social media in onderwijs 25 mei cloud en veiligheid
Bijeenkomst social media in onderwijs 25 mei cloud en veiligheidBijeenkomst social media in onderwijs 25 mei cloud en veiligheid
Bijeenkomst social media in onderwijs 25 mei cloud en veiligheid
 
Mi connect 21 oktober 2014 Assisted Living
Mi connect 21 oktober 2014 Assisted LivingMi connect 21 oktober 2014 Assisted Living
Mi connect 21 oktober 2014 Assisted Living
 
OWD2012 - 4 - 3e Generatie ontwikkel-portfolio: op maat, gebruiksvriendelijk,...
OWD2012 - 4 - 3e Generatie ontwikkel-portfolio: op maat, gebruiksvriendelijk,...OWD2012 - 4 - 3e Generatie ontwikkel-portfolio: op maat, gebruiksvriendelijk,...
OWD2012 - 4 - 3e Generatie ontwikkel-portfolio: op maat, gebruiksvriendelijk,...
 
Big Data - een kijk in jouw toekomst
Big Data - een kijk in jouw toekomstBig Data - een kijk in jouw toekomst
Big Data - een kijk in jouw toekomst
 
Webinar: De Smart Society: over een slimme, veilige en toekomstbestendige in...
Webinar: De Smart Society: over een slimme, veilige en toekomstbestendige in...Webinar: De Smart Society: over een slimme, veilige en toekomstbestendige in...
Webinar: De Smart Society: over een slimme, veilige en toekomstbestendige in...
 
20130327 Het gezonde net: e health, op naar fysiotherapie2.0
20130327 Het gezonde net: e health, op naar fysiotherapie2.020130327 Het gezonde net: e health, op naar fysiotherapie2.0
20130327 Het gezonde net: e health, op naar fysiotherapie2.0
 
Het begint allemaal bij gezond verstand
Het begint allemaal bij gezond verstandHet begint allemaal bij gezond verstand
Het begint allemaal bij gezond verstand
 
Als zoeken te fanatiek wordt: een digitale analyse van het toeslagenschandaal
Als zoeken te fanatiek wordt: een digitale analyse van het toeslagenschandaalAls zoeken te fanatiek wordt: een digitale analyse van het toeslagenschandaal
Als zoeken te fanatiek wordt: een digitale analyse van het toeslagenschandaal
 
Centric seminar: Zorg voor veilige informatie (juni 2014)
Centric seminar: Zorg voor veilige informatie (juni 2014)Centric seminar: Zorg voor veilige informatie (juni 2014)
Centric seminar: Zorg voor veilige informatie (juni 2014)
 
07 integere identiteit kristien verbraeken
07 integere identiteit kristien verbraeken07 integere identiteit kristien verbraeken
07 integere identiteit kristien verbraeken
 
Online gastcollege implementatie e learning avans plus maart 2020
Online gastcollege implementatie e learning avans plus maart 2020Online gastcollege implementatie e learning avans plus maart 2020
Online gastcollege implementatie e learning avans plus maart 2020
 

Más de Jurgen van der Vlugt

Permanent open depot rijks in kpmg gebouw v0.3
Permanent open depot rijks in kpmg gebouw v0.3Permanent open depot rijks in kpmg gebouw v0.3
Permanent open depot rijks in kpmg gebouw v0.3Jurgen van der Vlugt
 
IDC Amsterdam 2013 09 12 Smart Security Solutions require Ditto Designs
IDC Amsterdam 2013 09 12 Smart Security Solutions require Ditto DesignsIDC Amsterdam 2013 09 12 Smart Security Solutions require Ditto Designs
IDC Amsterdam 2013 09 12 Smart Security Solutions require Ditto DesignsJurgen van der Vlugt
 
ISSA NL event 2013 06 06 Limits, Not Rails
ISSA NL event 2013 06 06 Limits, Not RailsISSA NL event 2013 06 06 Limits, Not Rails
ISSA NL event 2013 06 06 Limits, Not RailsJurgen van der Vlugt
 
Wat ruist er door uw data-zee ISACA NL roundtable 2013 06 03
Wat ruist er door uw data-zee ISACA NL roundtable 2013 06 03Wat ruist er door uw data-zee ISACA NL roundtable 2013 06 03
Wat ruist er door uw data-zee ISACA NL roundtable 2013 06 03Jurgen van der Vlugt
 
ACAM-VDA NOREA Adviesdiensten 21 juni 2012
ACAM-VDA NOREA Adviesdiensten 21 juni 2012ACAM-VDA NOREA Adviesdiensten 21 juni 2012
ACAM-VDA NOREA Adviesdiensten 21 juni 2012Jurgen van der Vlugt
 
Van Plank Misslaan Naar Spijker Op De Kop V0.3
Van Plank Misslaan Naar Spijker Op De Kop V0.3Van Plank Misslaan Naar Spijker Op De Kop V0.3
Van Plank Misslaan Naar Spijker Op De Kop V0.3Jurgen van der Vlugt
 
Advies Assurance September 2011 V0.97
Advies Assurance September 2011 V0.97Advies Assurance September 2011 V0.97
Advies Assurance September 2011 V0.97Jurgen van der Vlugt
 
NGI Regio Rdam / Afd IT-A: Stuxnet - Beveiliging en Audit van Proces IT
NGI Regio Rdam / Afd IT-A: Stuxnet - Beveiliging en Audit van Proces ITNGI Regio Rdam / Afd IT-A: Stuxnet - Beveiliging en Audit van Proces IT
NGI Regio Rdam / Afd IT-A: Stuxnet - Beveiliging en Audit van Proces ITJurgen van der Vlugt
 
NOREA Update congres 2007 incl notes
NOREA Update congres 2007 incl notesNOREA Update congres 2007 incl notes
NOREA Update congres 2007 incl notesJurgen van der Vlugt
 
NOREA Regiosessie Reglementen 2010
NOREA Regiosessie Reglementen 2010NOREA Regiosessie Reglementen 2010
NOREA Regiosessie Reglementen 2010Jurgen van der Vlugt
 

Más de Jurgen van der Vlugt (15)

Permanent open depot rijks in kpmg gebouw v0.3
Permanent open depot rijks in kpmg gebouw v0.3Permanent open depot rijks in kpmg gebouw v0.3
Permanent open depot rijks in kpmg gebouw v0.3
 
IDC Amsterdam 2013 09 12 Smart Security Solutions require Ditto Designs
IDC Amsterdam 2013 09 12 Smart Security Solutions require Ditto DesignsIDC Amsterdam 2013 09 12 Smart Security Solutions require Ditto Designs
IDC Amsterdam 2013 09 12 Smart Security Solutions require Ditto Designs
 
ISSA NL event 2013 06 06 Limits, Not Rails
ISSA NL event 2013 06 06 Limits, Not RailsISSA NL event 2013 06 06 Limits, Not Rails
ISSA NL event 2013 06 06 Limits, Not Rails
 
Wat ruist er door uw data-zee ISACA NL roundtable 2013 06 03
Wat ruist er door uw data-zee ISACA NL roundtable 2013 06 03Wat ruist er door uw data-zee ISACA NL roundtable 2013 06 03
Wat ruist er door uw data-zee ISACA NL roundtable 2013 06 03
 
Much Data 0.95
Much Data 0.95Much Data 0.95
Much Data 0.95
 
Risk Managers Of The Universe
Risk Managers Of The UniverseRisk Managers Of The Universe
Risk Managers Of The Universe
 
ACAM-VDA NOREA Adviesdiensten 21 juni 2012
ACAM-VDA NOREA Adviesdiensten 21 juni 2012ACAM-VDA NOREA Adviesdiensten 21 juni 2012
ACAM-VDA NOREA Adviesdiensten 21 juni 2012
 
ISSA ORM 2012 June 20 v0.3
ISSA ORM 2012 June 20 v0.3ISSA ORM 2012 June 20 v0.3
ISSA ORM 2012 June 20 v0.3
 
Van Plank Misslaan Naar Spijker Op De Kop V0.3
Van Plank Misslaan Naar Spijker Op De Kop V0.3Van Plank Misslaan Naar Spijker Op De Kop V0.3
Van Plank Misslaan Naar Spijker Op De Kop V0.3
 
Down the Blind Alley (PDF)
Down the Blind Alley (PDF)Down the Blind Alley (PDF)
Down the Blind Alley (PDF)
 
Advies Assurance September 2011 V0.97
Advies Assurance September 2011 V0.97Advies Assurance September 2011 V0.97
Advies Assurance September 2011 V0.97
 
NGI Regio Rdam / Afd IT-A: Stuxnet - Beveiliging en Audit van Proces IT
NGI Regio Rdam / Afd IT-A: Stuxnet - Beveiliging en Audit van Proces ITNGI Regio Rdam / Afd IT-A: Stuxnet - Beveiliging en Audit van Proces IT
NGI Regio Rdam / Afd IT-A: Stuxnet - Beveiliging en Audit van Proces IT
 
NOREA Update congres 2007 incl notes
NOREA Update congres 2007 incl notesNOREA Update congres 2007 incl notes
NOREA Update congres 2007 incl notes
 
NOREA ALV Symposium Advies 2010
NOREA ALV Symposium Advies 2010NOREA ALV Symposium Advies 2010
NOREA ALV Symposium Advies 2010
 
NOREA Regiosessie Reglementen 2010
NOREA Regiosessie Reglementen 2010NOREA Regiosessie Reglementen 2010
NOREA Regiosessie Reglementen 2010
 

Saxion Enschedé College Security 2009

  • 1. Privacy & maatschappelijke systemen Ir.drs. J. (Jurgen) van der Vlugt RE CISA Noordbeek B.V. Jurgen@Noordbeek.com 2 september 2009, Enschedé
  • 2. College Privacy & maatschappelijke systemen 2009 09 02 2 Intro; ik = • Bedrijfseconomie (Rotterdam, finbel) • Technische Informatica (Delft; KI) • KPMG EDP Auditors / IRM (WinNT, Y2K) • Post-grad IT-auditing (VU) • Sogeti • ABN AMRO (Group Audit, Group Security; projects++, outsourcing, security integration) • Noordbeek • VU, NOREA (VC, CHBr), ISACA, ISSA (NL, Int’l), PvIB
  • 3. College Privacy & maatschappelijke systemen 2009 09 02 3 Agenda • Security ↔ privacy • Risico’s, controls • ‘Maatschappelijke systemen’ • Wat er te onthouden is
  • 4. College Privacy & maatschappelijke systemen 2009 09 02 4 Security ↔ privacy • Security: Safeguarding assets / resources against abuse while enabling value realisation • Assets, kwetsbaar: Mensen, informatie, producten, vastgoed, geld (en, misschien, ‘Processen’) • Abuse: Bedreigingen; zelfde categorieën • (Tegenmaatregelen/controls: Idem)
  • 5. College Privacy & maatschappelijke systemen 2009 09 02 5 Security ↔ privacy • Privacy: Het recht om anoniem te blijven • Vage definitie • Absoluut ↔ relatief (Voor wat hoort wat ..?)
  • 6. College Privacy & maatschappelijke systemen 2009 09 02 6 Wie wil privacy • Maatschappij • ‘Burgers’ • Hackers, crackers • Bedrijven, MKB • Bedrijven, groot • Overheden Eigen Andermans √ +/- √ +/- √ -- √ - √ -- √ --
  • 7. College Privacy & maatschappelijke systemen 2009 09 02 7 Privacy ↔ Informatie • ‘Information wants to be free’ • Kennis is macht • Organisatie versus de buitenwereld
  • 8. College Privacy & maatschappelijke systemen 2009 09 02 8 ‘Interne’ visie ‘Business’ Information Mgt IT Strat Tact Oper
  • 9. College Privacy & maatschappelijke systemen 2009 09 02 9 Informatiebeveiliging ‘Business’ Information Mgt IT Strat Tact Oper IT-beveiliging
  • 10. College Privacy & maatschappelijke systemen 2009 09 02 10 Tussenconclusie • Informatie is macht • Privacy is het tegendeel • Alle organisaties willen ‘all take and no give’ • Hoe houden we e.e.a. in de hand?
  • 11. College Privacy & maatschappelijke systemen 2009 09 02 11 Agenda • Security ↔ privacy • Risico’s, controls • ‘Maatschappelijke systemen’ • Wat er te onthouden is
  • 12. College Privacy & maatschappelijke systemen 2009 09 02 12 Risico’s • Risico ≈ onzekerheid ( + en - ) • Fact of life; ‘niets is zeker, zoveel is zeker’, etc., etc. • No guts → no glory (NB hét model in de financiële wereld) • No guts ← ‘alles’ dichttimmeren
  • 13. College Privacy & maatschappelijke systemen 2009 09 02 13 Risico = Bedreiging • Bedreiging van datgene wat iets waard wordt gevonden • Niks waard → geen zorg • Wie vindt het wat waard ..? • Wat is wat waard ..? Asset-classificatie • Assets onbekend (?) • Waarde onbekend (?)
  • 14. College Privacy & maatschappelijke systemen 2009 09 02 14 Risico-benadering • Bedreigingen: Inbreuken op • Vertrouwelijkheid (C) • Integriteit (I) • Beschikbaarheid (A) • Extern, intern (!) • Kwetsbaarheden • Primaire componenten • Controls
  • 15. College Privacy & maatschappelijke systemen 2009 09 02 15 Bedreigingen … Sorry! Overstroming Windhoos Aardbeving Grieppandemie Zonder opzet Crackers Fraudeurs Actiegroepen Tegenzin / Geen tijd ?Met opzet Acts of Man Acts of nature (‘Acts of God’)
  • 16. College Privacy & maatschappelijke systemen 2009 09 02 16 Bedreigingen • Enkelvoudig te eenvoudig • Paniekvoetbal • Aanval / verdediging • Klein maar fijn • Groot maar …? • Verschillende doelen, verschillende middelen
  • 17. College Privacy & maatschappelijke systemen 2009 09 02 17
  • 18. College Privacy & maatschappelijke systemen 2009 09 02 18 En dan: Controls = Maatregelen, bijsturingsmiddelen • Organisatorisch (functiescheiding) • Procedureel (afvinken rapporten) • Fysiek (toegang) • IT (…) • Geld (verzekering) • In combinatie (Er is geen silver bullet!)
  • 19. College Privacy & maatschappelijke systemen 2009 09 02 19 Controls (bescherming) • Afschrikkende • Preventieve, • Detectieve, • Repressieve, • Beperkende en opvangende, • Corrigerende en terugwinnende • Hoe eerder hoe beter • Net beter dan de buren
  • 20. College Privacy & maatschappelijke systemen 2009 09 02 20 Controls (vervolg) • Accountantshobby, maar niet alleen t.b.v. jaarrekeningcontrole • Taalprobleem: Operationeel doen ↔ Op managementniveau uitleggen • Modes • RBAC • Classificatie • Architectuur
  • 21. College Privacy & maatschappelijke systemen 2009 09 02 21 Controls: kosten, baten • Schade ↔ kosten van controls (direct, indirect, reputatie?) • Vantevoren cijfers nodig! • Frequentie / kans • Impact, schade (2x) • Kosten → continu → rapporteren (niks merkbaar?) • Effectiviteit • FUD werkt misschien toch beter
  • 22. College Privacy & maatschappelijke systemen 2009 09 02 22 Niks nieuws • Alleen de techniek is veranderd …? • … Maar oplossingen complexer
  • 23. College Privacy & maatschappelijke systemen 2009 09 02 23 Privacy-controls • All of the above, om privacygevoelige info te beschermen • “100% security” • Hoe minder privacygevoelige info, hoe minder imperfect te beschermen • Maar zonder, gaat niet (?) • (Informatie- en andere) architectuur to the rescue
  • 24. College Privacy & maatschappelijke systemen 2009 09 02 24 Controls ontwerpen
  • 25. College Privacy & maatschappelijke systemen 2009 09 02 25 Tussenconclusie • Mo’ money, mo’ problems • Nog niet eens een goed model • Roeien met de riemen die we hebben • Structureel slimmere oplossingen nodig
  • 26. College Privacy & maatschappelijke systemen 2009 09 02 26 Agenda • Security ↔ privacy • Risico’s, controls • ‘Maatschappelijke systemen’ • Wat er te onthouden is
  • 27. College Privacy & maatschappelijke systemen 2009 09 02 27 Maatschappelijke systemen • IB Groep • UWV / Belastingdienst • EPD • OV-chipkaart / NDW … rekeningrijden • Stemcomputers • Justitiële systemen/bestanden (camera’s!) • Kenmerk: Overheid beschikt over databases Risico’s: False positives, false negatives • Kenmerk: Complex, niemand weet alles Risico’s: Niemand beheerst, niemand verantwoordelijk
  • 28. College Privacy & maatschappelijke systemen 2009 09 02 28 Overheid • Algemeen nut (?) • Politiek, toezicht, verantwoordelijkheden ..? • Beperkte middelen (?) • Macht • Vooraf: Altijd beter weten • Achteraf: Altijd gelijk krijgen
  • 29. College Privacy & maatschappelijke systemen 2009 09 02 29 (Overheid) • Rijksoverheid • Provincies • Gemeenten • Zelfstandige Bestuursorganen • 1600 instellingen, 956.000 ambtenaren • Maatschappelijk Middenveld
  • 30. College Privacy & maatschappelijke systemen 2009 09 02 30 (Partijen en )
  • 31. College Privacy & maatschappelijke systemen 2009 09 02 31 Overheid (II) • Onbeheerste groei van data / koppelingen • ‘Lokale’ optimalisatie / afwegingen • Werking • Privacy • NORA, MARIJ, GEMMA
  • 32. College Privacy & maatschappelijke systemen 2009 09 02 32 Druk op overheden • Bezuinigen • Andere Overheid • Minder papier • Meer e-diensten • Complexere maatschappij • Meer eisen (Wie wil privacy?) Minder macht (?)
  • 33. College Privacy & maatschappelijke systemen 2009 09 02 33 Oplossing: NORA • Nederlandse OverheidsReferentieArchitectuur • Bottom-up ontwikkeld • Vrijblijvend • Hopelijk sterker • Afdwingen of Trust but Verify ? • Principes • Wie wint, wie verliest ?
  • 34. College Privacy & maatschappelijke systemen 2009 09 02 34 Plaatje
  • 35. College Privacy & maatschappelijke systemen 2009 09 02 35 Plaatje II
  • 36. College Privacy & maatschappelijke systemen 2009 09 02 36 ‘Externe’ visie ‘Business’ Information Mgt IT‘Overheid’Burger
  • 37. College Privacy & maatschappelijke systemen 2009 09 02 37 Principes
  • 38. College Privacy & maatschappelijke systemen 2009 09 02 38 DigiD • DigiD = pseudo-identiteit • ID-theft / verlies • Front-end • Back-end …?
  • 39. College Privacy & maatschappelijke systemen 2009 09 02 39 Oh ja • Digital natives, migrants, ignorants • Ignorants: Te oud om mee te moeten • Al met pensioen • Kan e-mail niet lezen • Migrants: Geleerd te • William B. Gates, Steve Jobs, Woz, etc. • Grote massa • Natives: Geboren met • Te stom om meer dan 1 knop te gebruiken • Te slim om tool normaal te gebruiken
  • 40. College Privacy & maatschappelijke systemen 2009 09 02 40 Oh ja - impact • Ontwerp en bouw altijd • Zo simpel bedienbaar mogelijk, • Zo bugfree mogelijk, • Zo transparant mogelijk, • Zo vervangbaar mogelijk • Fool-proofing • Veronderstel nul inzicht • No tool can be fool proof because fools are so ingenious • Het simpelste is het moeilijkste, Maak dingen zo simpel mogelijk, maar niet simpeler! (Beide: © A. Einstein) • Business case-fantasieën
  • 41. College Privacy & maatschappelijke systemen 2009 09 02 41 Wat is er te doen (Maatschappelijke systemen) • Vrijblijvend → verplicht? • Bouwen ↔ legacy (Organisaties, processen, systemen) • Openheid ↔ geheimhouding • Betere technologie • Beter (slimmer) toezicht
  • 42. College Privacy & maatschappelijke systemen 2009 09 02 42 Agenda • Security ↔ privacy • Risico’s, controls • ‘Maatschappelijke systemen’ • Wat er te onthouden is
  • 43. College Privacy & maatschappelijke systemen 2009 09 02 43 Wat er te onthouden is • Risico-benadering en architectuur • Ken uw technologie • Rekening houden met alternatieven • Weet te kiezen en genoeg is genoeg • Ken de context • Klein, directe omgeving • Groot, stakeholders
  • 44. College Privacy & maatschappelijke systemen 2009 09 02 44 Wat er te onthouden is (II) • Er is nog veel te doen • Ken de, uw beperkingen • Neem verantwoordelijkheid
  • 45. College Privacy & maatschappelijke systemen 2009 09 02 45 Stellingen ..?
  • 46. College Privacy & maatschappelijke systemen 2009 09 02 46 Vragen …?
  • 47. College Privacy & maatschappelijke systemen 2009 09 02 47 The End Meer info: • www.schneier.com • www.security.nl • www.pvib.nl • www.norea.nl • www.jbisa.nl • www.e-overheid.nl • Etc. etc.