logo

parallax-small

Infosecurity: een korte recap

 

Door Ferry Stelte

Afgelopen 1 en 2 November ben ik te gast geweest bij de InfoSecurity beurs in de Jaarbeurs te Utrecht. Naast de InfoSecurity beurs was er ook een Data & Cloud Expo. Het thema van de beurs dit jaar was: Digital Drive Transformation.

Ik heb een aantal seminars bijgewoond waar ik in dit verhaal een korte toelichting over zal geven.

 

Infosecurity

Architectual concepts and Security requirements

Het eerste seminar ging over “Architectural Concepts and Security requirements”. Deze seminar werd gegeven door een trainer van ISC2. De inhoud van het seminar had vooral betrekking op de CCSP (Certified Cloud Security Specialist). De belangrijkste drivers voor cloud werden aangehaald, welke vormen van cloud er zijn, namelijk privé, publiek en community.

Ook werd duidelijk gemaakt dat als uw cloud provider een compliancy heeft (met bijvoorbeeld GDPR of ISO27001) dat dit niet per definitie betekend dat uw applicatie die op het platform staat, die compliancy ook heeft.

De architectuur van een secure service organisatie

Het tweede seminar wat ik bijgewoond heb ging over “de Architectuur van een secure serviceorganisatie”. Tijdens dit seminar heeft de bedenker en voorzitter van de stichting SERVUZ Jan van Bon toegelicht hoe dienstverleners met een eenvoudig model in maar 8 processen de gehele dienstverlening kan optuigen en inrichten.

How an early warning system reduces your business risk

De derde seminar was van Fox-IT en ging over “how an early warning system reduces your business risk”. Hierin heeft Krijn de Mik uitgelegd hoe ze bij Fox-IT zo vroeg mogelijk de killchain van hackers/exploiters proberen te detecteren door gebruik te maken van de sensoren en bronnen die Fox-IT heeft. Vorig jaar september zijn zij een PoC begonnen bij een 6-tal van hun klanten en september dit jaar is de PoC succesvol afgerond. Fox-IT gaat de dienstverlening nu aanbieden en de gebruikte bronnen uitbreiden, zodat zij nog beter kunnen detecteren wanneer er een aanval op stapel staat.

How to tackle the GDPR: A Typical Privacy & Security roadmap

De een-na-laatste presentatie was van de CEO Kabir Barday van OneTrust. OneTrust heeft software om bedrijven te helpen GDPR compliancy te bereiken. Voor mij persoonlijk was de grootste eye-opener hierin dat GDPR géén security vraagstuk is, maar een privacyvraagstuk, die deels met security opgelost kan worden. Het belangrijkste van GDPR is dat dataverwerkingsprocessen (en de risico’s daarbij) gedocumenteerd worden en dat er acties voor uit gezet worden. Feitelijk als het documenteren gedaan is, is dat al voldoende voor GDPR compliancy!
Sterker nog, als je heel veel techniek in hebt gezet om GDRP compliancy te bereiken en geen documentatie hebt, ben je niet compliant voor de Autoriteit Persoonsgegevens als er een data breach is.

6 steps to GDRP compliance

De laatste sessie ging over “6 steps to GDPR compliance”. Deze sessie besprak een methodiek om in 6 stappen richting GDPR compliancy te werken. Een leuke take-away en vooral interessant voor marketeers denk ik. Bestaande instemmingen voor wat betreft gebruik van persoonsgegevens die verkregen zijn, moeten voor GDPR opnieuw verkregen worden. Er moeten ook processen ingeregeld worden om de data te kunnen verwijderen, te vergeten etc.

Op de tweede dag heb ik twee seminars gevolgd, de eerste van Deloitte waar zij in 45 minuten een hacking challange hebben gedaan met een groep hackers. Hier waren de hackers een capture the flag spelletje aan het spelen. Tijdens de challange werd er ook uitgelegd wat Deloitte doet: Beveiliging zit niet alleen in de Cyberhoek, maar ook voor een groot deel bestaat uit fysieke zaken (toegang, sloten etc.) en een menselijke factor heeft.

De hele killchain werd hierbij uitgelegd (verkenning, scannen, toegang krijgen, bevoegdheden verhogen en vervolgens jackpot) waarbij een klein deel het hacken is zoals u het misschien van TV kent.

Detecting the enemy within

De laatste sessie was er één van Varonis genaamd “Detecting the Enemy within”. Omdat de meeste data lekken van binnen uit komen (door malware, boze medewerkers etc.) is het nodig te wapenen tegen bedreigingen van buitenaf en zeker ook van binnenuit (zeker als u weet dat bedrijven als Deloitte bij de strengst beveiligde bedrijven ook gewoon binnen komen door te verkleden als schoonmakers..). Varonis heeft een data governance suite die afwijkingen in gedrag wat als ‘normaal voor gebruikers’ wordt gezien detecteert en daarop rapportages of acties kan afgeven.

Wat cloud ons biedt

De cloud biedt ons mogelijkheden en uitdagingen. De uitdagingen zijn enerzijds het aanbieden van diensten die on-premise draaien en in de cloud (welke cloud dat ook is). Anderzijds is op dit moment GDPR een punt waar veel organisaties bewust of onbewust veel last van kunnen krijgen. Als u overstapt op de cloud, moet u nadenken over hoe u deze uitdagingen gaat aanvliegen.

 

Referenties

  • KPN logo bw   HVA Amsterdam university of applied sciences bw   logo rug
  • mammoet logo bw   kennemer   moeller group logo bw
Cookies make it easier for us to provide you with our services. With the usage of our services you permit us to use cookies.
More information Ok