LW 6 - #3.1 t/m 3.4 Flashcards
wat is de doelstelling van risicomanagement
om risico’s tot een aanvaardbaar niveau terug te brengen
Volledig wegnemen van risico’s is feitelijk niet haalbaar
Risico’s nemen is onlosmakelijk verbonden met ondernemen.
wat zijn voorbeelden van middelen die een organisatie aanwendt om zijn strategische doelstellingen te bereiken?
personeel
materieel
informatie
financien
noem bedreigingen die voorkomen bij het middel PERSONEEL
ziekte
motivatie
kennis
productiviteit
noem bedreigingen die voorkomen bij het middel MATERIEEL
brand
inbraak
diefstal
aardbeving
noem bedreigingen die voorkomen bij het middel FINANCIEN
valuta
rente
betalingen
schadeclaims
noem bedreigingen die voorkomen bij het middel INFORMATIE
afluisteren
vervalsen
wijzigen
hacking
wat is informatiebeveiliging
informatiebeveiliging is te beschouwen als risicomanagement ten aanzien van de informatievoorziening. Het is een onderdeel van integraal risicomanagement.
waar zorgt beveiliging voor?
beveiliging zorgt voor het treffen en onderhouden van (beveiligings)maatregelen in een organisatie, tbv de bescherming van deze organisatie tegen verstoringen die schade op kunnen leveren voor (een deel van) de organisatie.
Het gaat hierbij om alle activiteiten die nodig zijn om de juiste maatregelen op de juiste wijze gerealiseerd te krijgen, het zoeken, selecteren, implementeren, bewaken en evalueren van de maatregelen.
wat is informatiebeveiliging
informatiebeveiliging is het treffen en onderhouden van een samenhangend pakket aan maatregelen om de betrouwbaarheid (BIV) van de informatievoorziening te waarborgen.
[het richt zich op de BIV van informatiesystemen, de gegevens daarin en de daarvoor benodigde IT-infrastructuur]
het is te beschouwen als een proces waarbinnen een heel scala aan maatregelen, of liever processen, te vinden is die zich bevinden op alle niveaus van de organisatie en die daarin geïntegreerd dienen te worden.
betrouwbaarheid
de betrouwbaarheid van de informatievoorziening geeft de mate aan waarin een organisatie zich kan verlaten op die informatievoorziening.
wat omvat de informatievoorziening?
apparatuur, programmatuur, gegevens, procedures en mensen
informatiebeveiliging proces
Beveiligingseisen en –randvoorwaarden; Informatiebeveiligingsbeleid; Inrichten van de informatiebeveiligingsorganisatie; Dreigingsanalyse; Maatregelenanalyse; Selectie en implementatie maatregelen; Naleven bewaken; Evaluatie.
wat moet er gedaan worden om ervoor te zorgen dat er een adequaat niveau van informatiebeveiliging gehandhaafd blijft?
het proces van informatiebeveiliging dient steeds weer opnieuw doorlopen te worden.
wat kunnen we als een iteratief proces beschouwen?
informatiebeveiliging
Deming-cyclus
plan - planning en ondersteuning
do - uitvoering
check - evaluatie van de prestaties
act - verbetering
wat wordt er bedoelt met PLAN
Deming-cyclus
het formuleren van een strategie tav de bescherming vd informatievoorziening, waarbij het gaat om het specificeren van de soorten gegevens en informatiesystemen en het belang daarvan voor de organisatie, de wijze waarop de organisatie deze wil beschermen, de risico’s die de organisatie op dit gebied wil en kan nemen en de risico’s die de organisatie zeker wil beperken.
obv deze strategie wordt het beleid voor de organisatie opgesteld en die informatiebeveiliging van de organisatie georganiseerd
wat wordt er bedoelt met DO
Deming-cyclus
Binnen DO worden de maatregelen die de informatie van de organisatie moeten beschermen geselecteerd, geïmplementeerd en bewaakt.
wat wordt er bedoelt met CHECK
Deming-cyclus
Bij CHECK wordt de effectiviteit van de maatregelen geëvalueerd, oftewel het effect dat met de getroffen maatregelen wordt bereikt.
wat wordt er bedoelt met ACT
Deming-cyclus
als bij CHECK tekortkomingen zijn geconstateerd, dan wordt op basis daarvan in ACT bijgestuurd
wanneer functioneert het proces informatiebeveiliging optimaal?
als het tezamen met andere ondersteunende processen geïntegreerd is in de primaire bedrijfsprocessen
waarom is controle en bijsturing nodig voor maatregelen?
om te voorkomen dat maatregelen aan effectiviteit verliezen
stilstand bij maatregelen betekent;
achteruitgang
wat zou een betere benaming zijn van beveiligingsmaatregel en waarom?
beveiligingsproces; omdat het suggereert dat de beveiligingsproblematiek kan worden opgelost door eenmalig ingrijpen, waar in feite voortdurende aandacht en zorg vereist zijn.
wat zal de hoogste leiding van een organisatie moeten doen?
sturing moeten geven aan de doelstellingen en de uitvoering van de beveiligingsprocessen, alsmede het aanwijzen van de daarvoor verantwoordelijke functionarissen en het toewijzen van de middelen die zij hiervoor nodig hebben.
waar is het middelmanagement verantwoordelijk voor?
voor het goed organiseren en aansturen van de beveiligingsprocessen, alsmede voor het toewijzen van de daarvoor benodigde middelen.
strategisch niveau
strategie, missie en visie op het gebied van informatiebeveiliging
Sturing geven aan doelstellingen en uitvoering van beveiligingsprocessen
moet door het topmanagement van de org worden goedgekeurd
tactisch niveau
op dit niveau wordt de informatiebeveiliging georganiseerd, worden richtlijnen en standaarden vastgesteld en worden de taken, verantwoordelijkheden en bevoegdheden toegewezen.
Toewijzen benodigde middelen
uitgevoerd door persoon/organisatieonderdeel dat verantwoordelijk is voor informatiebeveiliging
operationeel niveau
hier worden procedures en werkinstructies voor de informatiebeveiliging uitgewerkt en worden en hulpmiddelen ingezet.
met name ontwikkeld en vastgesteld door informatiebeveiligingsfunctionaris of -afdeling
waarom hebben managers de neiging om meer aandacht te besteden aan productie dan aan beveiliging
- de middelen die ingezet worden voor productie leiden doorgaans tot voorspelbare resultaten, in tegenstelling tot de middelen die ingezet worden voor informatiebeveiliging
- de feedback die voortkomt uit inspanningen tbv productie is zichtbaar, positief, direct, goed meetbaar en stimulerend. in tegenstelling tot de feedback die voortkomt uit inspanningen tbv informatiebeveiliging
gegevensinfrastructuur
een gegevensinfrastructuur is het geheel van één of meer gegevensverzamelingen, inclusief de daarop van toepassing zijnde procedures en documentatie, dat beschikbaar is voor één of meer informatiesystemen.
noem voorbeelden van gegevens
Personeelsgegevens Klantgegevens Leveranciersgegevens Contractgegevens Financiële gegevens Marktgegevens Correspondentie Archieven
voorbeelden van applicaties in organisaties
Inkoop/ verkoop systeem Logistieke (voorraadbeheer, bezorging etc.) Webbased (email, office 365 etc.) CRM systeem Boekhouding applicatie Payroll systeem
wat is een applicatie
een applicatie is de programmatuur waarin de specifieke functionaliteit van een informatiesysteem is geprogrammeerd, inclusief de daarop van toepassing zijnde procedures en documentatie. Een applicatie omvat de toepassingsprogrammatuur en de bijbehorende gegevensverzamelingen.
top 10 grootste cyberbedreigingen
- Phishing (22%)
- Malware (20%)
- Cyberattacks (verstoring) (13%)
- Cyberattacks (om geld te stelen) (12%)
- Fraude (10%)
- Cyberattacks (IP te stelen)(8%)
- Spam(6%)
- Interne aanvallen(5%)
- Natuurrampen(2%)
- Digitale spionage(2%)
wat is malware
kwaadaardige programmatuur
noem een aantal voorbeelden van malware
Virus Spyware Worm Adware Bot Ransomware Trojaans paard Keylogger
Website spoofing
is het nabootsen van een bestaande website. Vaak door het nabootsen van de URL.
Telefoonnummerspoofing
Bij spoofing met telefoonnummers nemen de oplichters een ander telefoonnummer aan. Ze bellen bijvoorbeeld met een Nederlands nummer terwijl zij zich helemaal niet in Nederland bevinden.
IP-adresspoofing
Bij IP-adres spoofing neemt de crimineel een IP-adres van iemand anders over.
wat is een SQL-injectie?
SQL-injectie is het plaatsen van schadelijke code in SQL-instructies, via webpagina-invoer.
