HOOFDSTUK 1 Informatie, bedrijfsdoelstellingen en kwaliteitseisen Informatiebeveiliging betreft het definiren, implementeren, onderhouden, handhaven en evalueren van een samenhangend stelsel van maatregelen die de beschikbaarheid, de integriteit en de vertrouwelijkheid van de (handmatige en geautomatiseerde) informatievoorziening waarborgen. Kennis die iemand bereikt onderscheidt informatie van gegevens en van data. Data zijn gegevens die in de informatietechniek verwerkt kunnen worden. Gegevens worden pas informatie als deze gegevens genterpreteerd kunnen worden tot een zinvolle boodschap. De waarde van informatie wordt bepaald door de waarde die de ontvanger van deze informatie daaraan toekent. Een informatiesysteemis het geheel van middelen, procedures, regels en mensen dat de informatievoorziening voor een bedrijfsproces verzorgt. In de informatietechnologie en in de informatiebeveiliging is het gebruikelijk ook informatie als productiefactor te zien (naast kapitaal, arbeid en grondstoffen), aangezien bedrijven niet zonder informatie kunnen. Informatie moet betrouwbaar zijn, dat wil zeggen (BIV): beschikbaar (availibility); de mate waarin informatie beschikbaar is voor de gebruiker en het systeem in bedrijf is op het moment dat dat nodig is. Tijdigheid: de informatiesystemen zijn beschikbaar gedurende werktijd, continuiteit: medewerkers kunnen doorwerken en robuustheid: voldoende capaciteit om alle medewerkers met het systeem te laten werken. integer (integrity); de mate waarin de informatie actueel en zonder fouten is. Kenmerken van integriteit zijn de juistheid en de volledigheid van de informatie. vertrouwelijk (exclusiviteit of confidentiality); de mate waarin de toegang tot informatie beperkt is tot een gedefinieerde groep die daar rechten toe heeft. Hieronder vallen ook maatregelen die de privacy beschermen. Inloggen inhet systeem is een voorbeeld van vertrouwelijkheid. Elk bedrijfsproces stelt specifieke eisen aan de informatievoorziening. Websites moeten bijv. een hoge beschikbaarheid hebben, andere processen zijn gebaat bij de correctheid van bijv. productprijzen. Bij ieder verzoek om een risicoanalyse uit te voeren of een beveiligingsadvies te geven, zal de adviseur op basis van deze drie pijlers zijn of haar advies uitbrengen. Uitgangspunt is de invloed die de BIV-eisen hebben op de waarde van de informatie: - Het belang van de informatie voor de bedrijfsprocessen; - De onmisbaarheid van de informatie binnen bedrijfsprocessen; - De herstelbaarheid van de informatie Informatiearchitectuur is het proces dat zich richt op de inrichting van de informatievoorziening binnen een organisatie en richt zich primair op het invullen van de informatiebehoefte van een organisatie en de wijze waarop dit georganiseerd kan worden. Informatiebeveiliging kan dit proces ondersteunen door de integriteit, beschikbaarheid en vertrouwelijkheid van de informatie te waarborgen. Informatieanalyse brengt in kaart op welke wijze een organisatie omgaat met informatie. Hoe loopt de flow van informatie door de organisatie heen. Bijv. het plaatsen van een order en de verwerking. Informatiemanagement formuleert en richt het beleid in rondom de informatievoorziening van een organisatie. Daarbij kan een informatiemanager gebruik maken van de informatiearchitectuur en een informatieanalyse. Dit hoeft zeker niet alleen de geautomatiseerde IV te zijn, ook PR valt hieronder. Informatica heeft betrekking op de wetenschap die zich bezighoudt met de logica die gebruikt wordt bij het structureren van informatie en systemen. Daarbij is van belang dat deze kennis ingezet kan worden in het ontwikkelen van programmatuur. HOOFDSTUK 2 Dreigingen en risicos Met een risicoanalyse worden de risicos voor een organisatie in kaart gebracht. Een risico; de kans op schade maal de hoogte van de schade, wordt bepaald door een aantal factoren. Dit zijn: De dreiging; een proces of gebeurtenis die de BIV van informatie of informatiesysteem kan aantasten. De kans dat een dreiging zich daadwerkelijk voordoet; De gevolgen daarvan. Wanneer een dreiging zich manifesteert spreken we van een incident. Een stroomstoring is een voorbeeld van een groot incident waarbij de continuiteit van het bedrijf in gevaar is. Dit noemen we een calamiteit. Het proces om van dreigingen naar risicos en naar beveiligingsmaatregelen te gaan heet risicomanagement. Dit is een continu proces waarin de risicos worden onderzocht, gedentificeerd en gereduceerd tot een acceptabel niveau. Risicoanalyse heeft als doel inzichtelijk te maken welke dreigingen relevant zijn voor de bedrijfsprocessen en welke risicos hiermee gepaard gaan. Het beveiligingsniveau met de daarbij passende beveiligingsmaatregelenworden vastgesteld. Een risicoanalyse wordt gebruikt om zeker te stellen dat beveiligingsmaatregelen op een kosteneffectieve en tijdige manier worden ingezet en daarmee een goed antwoord vormen op de dreigingen. Een risicoanalyse heeft 4 hoofddoelen: - Het identificeren van middelen en hun waarde; - Het vaststellen van kwetsbaarheden en dreigingen; - Het vaststellen van het risico dat dreigingen werkelijkheid worden en daarmee het bedrijfsproces verstoren; - Het vaststellen van een evenwicht tussen de kosten van een incident en de kosten van een beveiligingsmaatregel. Kwantitatieve risicoanalyse probeert op basis van risicowaardering te berekenen wat het financile verlies is en hoe groot de kans is dat een dreiging een incident wordt (dus dat het zich manifesteert). Kwalitatieve risicoanalyse gaat uit van scenarios en situaties. Hierbij worden de kansen dat een dreiging uitkomt bekeken op gevoel. Dan wordt gekeken naar het bedrijfsproces waarop de dreiging betrekking heeft en naar de beveiligingsmaatregelen die al genomen zijn. Dit alles levert een subjectief dreigingsgevoel op, waarop vervolgens maatregelen worden genomen. Typen beveiligingsmaatregelen: Preventieve maatregelen zijn gericht op het voorkomen van incidenten; Detectieve maatregelen zijn bedoeld om incidenten waar te kunnen nemen (videobewaking); Repressieve maatregelen zijn bedoeld om de gevolgen van een incident te stoppen (backup); Correctieve maatregelen zijn bedoeld om de ontstane schade te herstellen. Soorten dreigingen zijn: Menselijke dreigingen: opzettelijk, niet opzettelijk of social engineering (gebruik maken van mensen door ze informatie te ontfutselen) Niet-menselijke dreigingen: invloeden van buitenaf zoals bliksem, brand, stormschade etc. Soorten schade zijn: Directe schade; heeft direct gevolgen voor de business, bijv. diefstal Indirecte schade; gevolgschade die kan optreden, bijv. waterschade van het brandblussen J aarlijkse Schade Verwachting (J SV) of Annual Loss Expectancy (ALE) Enkelvoudige Schade Verwachting (ESV) of Single Loss Expectancy (SLE) Risicostrategien; we kunnen op verschillende manieren met risicos omgaan. De meest voorkomende strategien zijn: Risicodragend; sommige risicos worden geaccepteerd. Veelal repressieve maatregelen. Risiconeutraal; er worden dusdanige maatregelen genomen dat dreigingen of niet meer manifest worden, of dat de schade ervan geminimaliseerd is. Combinatie van preventieve, detectieve en repressieve maatregelen. Risicomijdend; zorgen dat de dreiging helemaal niet meer leidt tot een incident. Met name preventieve maatregelen worden getroffen. ISO/IEC 27001:2005 gaat over de inrichting van het informatiebeveiligingsproces. ISO/IEC 20000 is de wereldwijde standaard voor IT-servicemanagement. Beide normeringen bieden houvast om de bedrijfsprocessen doelmatig en beveiligd in te richten. In de ISO/IEC 27002:2007, ook wel bekend onder de naam Code voor de Informatiebeveiliging, staan richtlijnen voor maatregelen op het gebied van informatiebeveiliging. De richtlijnen in de ISO/IEC 27002:2007 bestrijken het organisatorisch vlak, het procedurele vlak, het fysieke vlak en het logische vlak van informatiebeveiliging. De overheid heeft regels opgelegd voor de beveiliging van bepaalde informatie. Denk bijvoorbeeld aan de Wet Bescherming Persoonsgegevens (WBP). Voor overheidsinstellingen is er het Voorschrift Informatiebeveiliging Rijksdienst 2007 (VIR 2007) en de VIR-BI voor het omgaan met bijzondere informatie. HOOFDSTUK 3 Informatiebeveiligingsincidenten en -zwakheden Meldingen (incidenten) die binnenkomen bij de servicedesk, nadat is vastgesteld dat het om een informatiebeveiligingsincident gaat, kunnen worden gescaleerd op twee manieren: - Functionele escalatie: horizontaal, wordt gemeldt aan iemand met meer expertise. - Hierarchische escalatie: verticaal, wordt gemeld aan iemand met meer autoriteit. Het doel van het incidentmanagementproces is ervoor zorgen dat gebeurtenissen en -zwakheden die verband houden met informatiesystemen bekend worden zodat op tijd maatregelen worden genomen. Alle betrokken medewerkers behoren gebeurtenissen en zwakke plekken zo snel mogelijk te melden. Het primaire doel is om hiervan te leren, om soortgelijke incidenten te voorkomen. Bovendien is de bedoeling dat er terugkoppeling naar de melder wordt gegeven. Het is van belang eerst het incident te melden en advies te vragen over hoe te handelen. Beveiligingsmaatregelen zijn gericht op een bepaald moment in de incidentcyclus. De maatregelen zijn gericht op het voorkomen van bedreigingen (preventief) of het reduceren van bedreigingen (reductief), detecteren van incidenten (detectief), reageren op incidenten, doen ophouden van bedreigingen (repressief) en het corrigeren van dreigingen (correctief). De maatregelen worden genomen: - Ter waarborging van de beschikbaarheid - Ter waarborging van de integriteit - Ter waarborging van de vertrouwelijkheid HOOFDSTUK 4 Fysieke maatregelen Fysieke beveiliging is een onderdeel van informatiebeveiliging omdat alle bedrijfsmiddelen ook fysieke beveiliging nodig hebben. Fysieke maatregelen worden hier genomen om informatie te beschermen tegen brand, diefstal, vandalisme, sabotage, ongeautoriseerde toegang, ongelukken en natuurgeweld. - Apparatuur: bescherming door klimaatbeheersing (airco), speciale blusmiddelen en schone stroom. Bij schone stroom worden pieken en dalen (vuile stroom) voorkomen en gefilterd. - Bekabeling: hierbij mag geen interferentie optreden, dwz geen ruis en storing opnemen van stroomkabels die parallel lopen. Kabelgoten goed afschermen, evt. server met 2 voedingen. - Materiaal / media: voor medewerkers moet duidelijk zijn hoe ze met gegevensdragers om moeten gaan. Procedures indien dergelijke apparatuur is verloren of gestolen. De te beschermen bedrijfsmiddelen mogen niet eenvoudig bereikt kunnen worden, en hierbij kan het eenvoudigst gedacht worden in ringen: - De buitenring: om het pand heen kan worden beschermd met natuurlijke en bouwkundige hindernissen. Natuurlijke hindernissen zijn bijvoorbeeld dikke begroeiing of een rivier. Bouwkundige hindernissen zijn bijvoorbeeld hekken, prikkeldraad, concertina's (opgerold prikkeldraad dat als een harmonica uiteen wordt getrokken) en muren. Voor alle bouwkundige hindernissen bestaan strikte regels. Het gebied tussen de buitenring en het pand kan gebruikt worden voor bewaking door een persoon. - Het gebouw: voorbeelden om een pand te beschermen zijn braakwerend glas, en deuren met het juiste hang- en sluitwerk. Ook kaartsystemen, code- en cijfersloten en cameratoezicht. Om de toegang tot het pand te beheren zijn er verschillende mogelijkheden: Electronisch toegangsbeheer: bij veel organisaties worden passystemen toegepast met draadloze, zogenaamde RFID-passen (ook wel druppelsgenoemd). Dit zijn momenteel de meest gebruikte systemen. Daarnaast bestaan ook toegangspassen, al dan niet met pasfoto. Bewaking: duurste maatregel voor fysieke beveiliging. Controleert ook op toegangspassen. Speciale ruimten, zoals server- en netwerkruimten, zullen apart bekeken moeten worden voor de fysieke beveiliging. En van de grootste bedreigingen van een serverruimte is brand. Bovendien is het raadzaam in dit soort ruimten verschillende groepen stroom te gebruiken en UPS. Voor bescherming van het object zelf zijn diverse mogelijkheden aanwezig: Clear desk policy: In afwezigheid van een medewerker ligt geen informatie op het bureau en na werktijd wordt alle informatie opgeborgen in een afsluitbare kast. Kast: over het algemeen niet speciaal brandveilig, en weinig braakwerend. Brandkast of waardekast: brandkasten zijn geen kluizen maar kunnen wel gecombineerd worden met extra braakwerende eigenschappen. Onder alarm kan worden verstaan: passieve infrarooddetectie (nemen temperatuurwijzigingen waar binnen een bepaald bereik), cameras, trillingdetectie, glasbreuksensoren en magneetcontacten (sensoren die het openen van een deur of raam detecteerd). De sensoren moeten worden aangesloten op indringerdetectiesystemen en goed worden gemonitord. In alle gevallen moet bij een alarmworden nagekeken waarom het alarm is afgegaan. Van alarmmeldingen wordt een logboek bijgehouden. Emergency planning is het proces dat er voor moet zorgen dat in het geval van een calamiteit, bijvoorbeeld het uitvallen van een hele serverruimte, maatregelen worden genomen. HOOFDSTUK 5 Technische maatregelen Bedrijfsmiddelen zijn noodzakelijk voor een organisatie. Bedrijfsmiddelen kosten geld of vertegenwoordigen een bepaalde waarde. Bedrijfsmiddelen zijn onder andere informatie, programmatuur, apparatuur, media, diensten, imago of reputatie, mensen en hun kennis etc. Bedrijfsmiddelen hebben een classificatie nodig om er beveiligingsniveaus voor te kunnen vaststellen. De eigenaar, iemand die verantwoordelijk is voor een bedrijfsproces en de daarbij behorende bedrijfsmiddelen, dient hiervoor te zorgen. Ieder bedrijfsmiddel moet een eigenaar hebben. Een goede registratie van bedrijfsmiddelen is noodzakelijk voor de risicoanalyse maar ook voor verzekeringen, wettelijke vereisten e.d. Het gebruik van bedrijfsmiddelen is aan regels gebonden. Deze regels zijn bijvoorbeeld vastgelegd in een handleiding. Classificeren is het indelen van informatie naar gevoeligheid. De eigenaar van een bedrijfsmiddel kent hieraan een juiste rubricering toe volgens een vooraf afgesproken lijst met classificaties. De rubricering geeft aan welke vorm van beveiliging noodzakelijk is. Dit wordt onder andere bepaald door gevoeligheid, waarde, wettelijke eisen en belang voor de organisatie. De eigenaar kan ook een bedrijfsmiddels herclassificeren als dat nodig is. Rubricering is de classificatie die aan informatie wordt toegekend, zoals geheim, confidentieel, en personeelsvertrouwelijk. De term rubriceren wordt vaak binnen de overheid gebruikt. Als een bedrijfsmiddel een rubricering heeft, wordt het gemerkt of gelabeld. Dit kan fysiek of elektronisch. Merking is een bijzondere aanduiding, bijvoorbeeld een indeling naar zaak of organisatie of kring van gerechtigden. Logisch toegangsbeheer betreft het verlenen van toegang tot digitale informatie en informatiediensten aan die personen die daartoe geautoriseerd zijn, maar ook het voorkomen dat niet-gerechtigden toegang krijgen tot deze digitale informatie. De eigenaar van de gegevens, over het algemeen een manager, zal in het autorisatieproces de autorisatie verlenen. Bij het verlenen van toegang wordt vaak onderscheid gemaakt tussen identificatie, authenticatie en autorisatie. Identificatie is de eerste stap in het toegangsverleningsproces. Bij de identificatie biedt de persoon of het systeem een token aan, bijvoorbeeld een sleutel of gebruikersnaam/ wachtwoord. Vervolgens bepaalt het systeem waar toegang tot verkregen moet worden en of het token authentiek is (dus of de inloggegevens kloppen). Zodra dit is vastgesteld kunnen autorisaties toegekend worden. Validatie is een belangrijk middel om gebruikersfouten en misbruik te voorkomen. Gegevens die worden ingevoerd in toepassingen behoren te worden gevalideerd om ervoor te zorgen dat ze betrouwbaar zijn. Zakelijke transacties en vaste gegevens kunnen automatisch worden gecontroleerd. Denk bijvoorbeeld aan een invoerveld voor de postcode dat altijd een vast formaat kan hebben. Cryptografie (versleuteling van informatie) is een maatregel die ingezet kan worden door de organisatie als bijvoorbeeld gegevens vertrouwelijk zijn. Over het gebruik van cryptografie moet goed worden nagedacht en dit moet in een beleidsdocument worden beschreven. Soorten cryptografische systemen zijn: Symmetrisch: voor het vercijferen en ontcijferen is slechts 1 sleutel nodig Asymmetrisch: voor het vercijferen en ontcijferen zijn twee verschillende sleutels nodig Eenrichtingsvercijfering: hashfunctie om vast te stellen of bepaalde gegevens niet veranderd zijn. Een bericht wordt omgezet in een numerieke waarde. Hiermee wordt integriteit gecontroleerd (zoals een wachtwoord), maar geen vertrouwelijkheid. Het beheer van de sleutels is een belangrijk onderdeel van het beleid in het gebruik van cryptografische technieken. Cryptografische sleutels behoren te worden beschermd tegen wijziging, verlies en vernietiging. Een digitale handtekening is een methode voor het bevestigen van de juistheid van digitale informatie, vergelijkbaar met het ondertekenen van papieren documenten door middel van een geschreven handtekening. Het is een voorbeeld van asymmetrische cryptografie. Public Key Infrastructure (PKI) is een systeem waarmee uitgiften en beheer van digitale certificaten kan worden gerealiseerd. Een kenmerk van PKI is dat deze door afspraken, procedures en een organisatiestructuur waarborgen biedt over welke persoon of systeem hoort bij een specifieke publieke sleutel. Een Public Key Infrastructure wordt vaak beheerd door een onafhankelijke autoriteit. Vecozo is een Nederlands voorbeeld van een dergelijke autoriteit. Vecozo voorziet in het uitwisselen van vertrouwelijke informatie in de gezondheidszorg, en is daarmee een Certification Authority (CA). Voor de bescherming van data bij testen mag in testsystemen uitsluitend fictieve data voorkomen. Ook de broncodes van systeembestanden dienen zorgvuldig behandeld te worden. De toegang tot broncode van programmatuur behoort te worden beperkt tot alleen de hoogst noodzakelijke medewerkers. HOOFDSTUK 6 Organisatorische maatregelen Door beleid voor de beveiliging van informatie vast te stellen geeft het management van de organisatie richting en ondersteuning. Dit beleid wordt vastgesteld in overeenkomst met de bedrijfsmatige eisen en de relevante wetten en voorschriften. Een document met het informatiebeveiligingsbeleid hoort door de directie te worden goedgekeurd, gepubliceerd en kenbaar gemaakt aan alle werknemers en alle relevante externe partijen zoals klanten en leveranciers. Vanuit het informatiebeveiligingsbeleid (hoofddocument) komt voort: - Regelingen; een regeling is meer gedetailleerd dan een beleidsdocument; - Procedures; ook wel leidraad genoemd. Hoe worden maatregelen genomen. - Richtlijnen; (adviserend) geven aan welke aspecten moeten worden bekeken bij beveiliging. - Standaarden; bevatten bijvoorbeeld de standaardinrichting van bepaalde platform.Een standaard is de ISO/IEC 27001:2005 voor het inrichten van informatiebeveiliging in de organisatie. Personeel Bij sollicitaties voor een functie waarin met gevoelige informatie wordt om gegaan, zullen referenties, identiteit en diplomas gecontroleerd moeten worden. Of iemand strafbare feiten heeft gepleegd kan worden gecontroleerd door een Verklaring Omtrent Gedrag (VOG) verplicht te stellen. Een VOG wordt verstrekt door het Ministerie van J ustitie. Voor specifieke functies kunnen speciale regels gelden. In ieder geval tekenen alle medewerkers met een vertrouwensfunctie een geheimhoudings- verklaring (Non Disclosure Agreement / NDA). Daarnaast kan het nodig zijn een screening of veiligheidsonderzoek te laten doen. En van de meest effectieve maatregelen voor informatiebeveiliging is dat de medewerkers een bewustwordingscursus krijgen wanneer ze in dienst treden, als deel van de interne opleiding. Continuteit Het doel van bedrijfscontinuteitsbeheer (Business Continuity Management, BCM) is het voorkomen dat bedrijfsactiviteiten worden onderbroken, het beschermen van kritische bedrijfsprocessen tegen de gevolgen van omvangrijke storingen in informatiesystemen en tijdig herstel. Continuteitsmanagement wordt in de informatiebeveiliging vaak opgesplitst in twee afzonderlijke, maar wel sterk aan elkaar gerelateerde onderdelen: Business Continuity Planning (BCP) waarin de continuteit van de bedrijfsprocessen gewaarborgd wordt; Disaster Recovery Planning (DRP) waarbij het herstel na een calamiteit geregeld wordt. Het doel van DRP is het minimaliseren van de gevolgen van een calamiteit en het nemen van de noodzakelijke maatregelen om er voor te zorgen dat de middelen, medewerkers en bedrijfs- processen binnen een acceptabele tijd weer beschikbaar zijn. DRP is gericht op het herstel direct na een calamiteit. Het DRP wordt in werking gesteld op het moment dat de calamiteit nog gaande is. Iedereen is druk met het bepalen van de schade en probeert de systemen weer draaiende te krijgen. BCP gaat verder en heeft een bredere focus. In BCP wordt het inrichten van een alternatieve locatie geregeld om te kunnen werken terwijl de originele locatie herbouwd wordt. In BCP is alles er op gericht het bedrijf vanaf het moment dat een calamiteit plaatsvindt weer deels draaiende te krijgen totdat het bedrijf volledig hersteld is. DRP: er is nu een calamiteit en wat doe ik om weer in productie te komen; BCP: we hebben een calamiteit gehad en wat doe ik tot het moment waarop de situatie gelijk is aan de situatie vr de calamiteit. In een bedieningsprocedure, een procedure ter voorkoming van misverstanden over de wijze waarop apparatuur bediend moet worden, staat in ieder geval: - De manier waarop met informatie wordt omgegaan; - Hoe, wanneer en welke soorten back-ups worden gemaakt; - Contactpersonen in geval van een incident; - Beheer van audit trails en logbestanden Change management beheert wijzigingen in systemen. Dit zijn vaak vooraf geplande wijzigingen. Een wijziging heeft gevolgen die vooraf bekend moeten zijn en voorbereid kunnen worden. Taken en verantwoordelijkheidsgebieden moeten worden gescheiden om de kans op onbevoegde of onbedoelde wijziging of misbruik van de bedrijfsmiddelen van de organisatie te verminderen. Bij functiescheiding wordt bekeken of een medewerker besluitvormende, uitvoerende of controlerende taken heeft. Enerzijds wordt gekeken of een medewerker toegang tot informatie nodig heeft. Een andere kant van functiescheiding is dat taken gesplitst kunnen worden om risicos voor de organisatie te verminderen. Bijv. een overboeking van een groot bedrag: de ene medewerker maakt de overboeking klaar, de andere medewerker autoriseert de boeking en verzendt deze. Enkele definities: Malware is een samentrekking van de woorden Malicious (Engels voor kwaadaardig) en Software en vormt een verzamelnaam voor ongewenste software zoals virussen, wormen en spyware. Een standaardmaatregel hiertegen is het gebruik van antivirusscanners en een firewall. Phishing is een vorm van internetfraude. Meestal ontvangt het slachtoffer een mail waarin hem of haar gevraagd wordt een account bij bijvoorbeeld een bank of een service provider te checken en te bevestigen. Ook wordt er wel gebruik gemaakt van instant messaging. Soms wordt telefonisch contact opgenomen. De daders van phishing zijn moeilijk te achterhalen. Spamis een verzamelnaam voor ongewenste berichten. Meestal wordt met de term ongewenste mail bedoeld, maar ook ongewenste reclameboodschappen op websites (oa. fora) vallen onder spam. De kosten worden evenwel verplaatst naar de ontvangers: tegenover een kleine groep genteresseerden staan zeer veel mensen die tijd kwijt zijn met het verwijderen van berichten uit hun mailbox. Virus is een stukje programmatuur dat zichzelf doelbewust, in al dan niet gewijzigde vorm, kan vermenigvuldigen. De nakomelingen van het virus moeten volgens deze definitie zelf ook weer virussen zijn. Voor de verspreiding is het virus afhankelijk van dragers die uitvoerbare code bevatten. Wormis een stukje programmatuur dat zichzelf doelbewust vermenigvuldigd. De nakomelingen van de worm zijn kopieen van het origineel en verspreiden zich door gebruik te maken van de netwerkfaciliteiten van zijn gastheer. De verschillen tussen een worm en een virus zijn: een virus kan via verschillende dragers zijn gastheer aanvallen en infecteert nieuwe dragers door daadwerkelijk code in die geinfecteerde dragers te plaatsen. Een worm daarentegen maakt altijd gebruik van dezelfde drager en infecteert geen andere bestanden. Bovendien is een worm niet afhankelijk van een gebruiker om zichzelf fysiek te kunnen verspreiden: zodra een worm geactiveerd wordt is deze geheel autonoom in staat zichzelf te verspreiden. Hierdoor kunnen wormen in vaak zeer korte tijd grote gebieden te besmetten. Trojan is een programma, dat naast de voorgespiegelde functionaliteit, ongemerkt en bewust niet aan de gebruiker kenbaar gemaakte activiteit ontplooit die mogelijk de integriteit van het geinfecteerde systeem aantast. Vaak installeert de payload van een trojan een zogebaamde "backdoor", waarmee onbekenden zich (zonder daartoe gerechtigd te zijn) toegang tot het geinfecteerde systeem kunnen verschaffen. Een andere veel voorkomende activiteit van trojans bestaat uit het versturen van vertrouwelijke informatie vanaf het geinfecteerde syteem naar een locatie waar deze verzameld en geanalyseerd kan worden. Hoax is een bericht dat probeert de lezer ervan zover te krijgen dat hij de inhoud van het bericht voor waar aanneemt en vervolgens een bepaalde handeling verricht. Voor z'n verspreiding is een hoax afhankelijk van het bewust versturen naar andere potentiele slachtoffers. Logic bomb is iets waarbij een stuk code in een softwaresysteem gebouwd die een functie uitvoert wanneer er aan specifieke voorwaarden wordt voldaan. Dit wordt niet altijd gebruikt voor kwaadaardige doeleinden. Zo kan een programmeur code inbouwen die (gevoelige) bestanden verwijderd wanneer ze het bedrijfsnetwerk verlaten. Virussen en wormen bevatten vaak logic bombs, daarbij is er meestal sprake van een ingebouwde vertraging van de uitvoering van het virus of de verspreiding van de worm. Spyware is een definitie die vaak wordt gebruikt voor computerprogrammas die informatie verzamelen over een computergebruiker en deze info doorsturen naar een externe partij. Het doel daarvan is om geld te verdienen. Hier gaat het dus nadrukkelijk niet om software die schade aan de PC en/of de genstalleerde software veroorzaakt, maar om een privacyprobleem. Botnet is een collectie van aan elkaar gekoppelde computers die software gebruiken die meestal is genstalleerd door een computerworm, Trojaans Paard of backdoor. Rootkit is een set softwaretools die vaak worden gebruikt door een derde partij (meestal een hacker) na toegang te hebben verkregen tot een (computer-) systeem. De rootkit nestelt zich diep in het besturingssysteem, zodat het mogelijk is dat het besturingssysteem instabiel wordt. De rootkit is bijna niet te verwijderen zonder de functie van het besturingssysteem te beschadigen. Back-up en restore Het doel van het maken van back-ups of wel reservekopien is het handhaven van de integriteit en beschikbaarheid van informatie en IT-voorzieningen. Virtual Private Network (VPN) maakt gebruik van een reeds bestaand netwerk, doorgaans het internet, om informatiedeling tussen geografisch afgescheiden netwerken mogelijk te maken alsof er een 'eigen' (bedrijfs)netwerk voorzien was. HOOFDSTUK 7 Wet- en regelgeving Ieder bedrijf heeft zich te houden aan de lokale wet- en regelgeving en aan contractuele verplichtingen. De beveiligingseisen die aan het bedrijf gesteld worden hebben daar een sterke relatie mee. Vooral internationaal opererende bedrijven hebben het beleid vaak wat globaler opgesteld en de onderliggende beleidsstukken aangepast aan de wetgeving die in het land van de vestiging van toepassing is. Compliancy wil zeggen dat een organisatie zowel de interne bedrijfsregelgeving als de wetten van het land en de lokale regelgeving dient na te leven. De organisatie dient beleid te maken waarin zij verklaart aan de (nationale en lokale) wet- en regelgeving te voldoen. Procedures en handreikingen aan de medewerkers maken duidelijk hoe zij in de praktijk die regels moeten toepassen. Risicoanalyses zorgen er voor dat de juiste beveiligingsniveaus worden vastgesteld en de juiste, bij die beveiligingsniveaus passende maatregelsets vastgesteld en gemplementeerd worden. Onder de intellectuele eigendomsrechten vallen auteursrecht op programmatuur of documenten, ontwerprechten, handelsmerken, octrooien en broncodelicenties. Programmatuur waarop eigendomsrechten rusten, wordt doorgaans geleverd op basis van een licentieovereenkomst die de licentievoorwaarden noemt, die bijvoorbeeld het gebruik van programmatuur beperken tot bepaalde machines of het kopiren beperken tot het maken van backupkopien. Belangrijke registraties behoren te worden beschermd tegen verlies, vernietiging en vervalsing, overeenkomstig wettelijke en regelgevende eisen. Datzelfde geldt natuurlijk voor contractuele verplichtingen en bedrijfsmatige eisen. Registraties behoren te worden gecategoriseerd naar type, bijvoorbeeld boekhoudkundige registraties, databaserecords etc. Bij elk type behoort de bewaartermijn en het type opslagmedium te worden vermeld, bijvoorbeeld papier, microfiche, magnetische of optische opslag. Bij de overheid is voor de bescherming van informatie de archiefwet van toepassing. In de archiefwet worden de volgende hoofdonderwerpen behandeld: archief creatie, beheer, vernietiging, overdracht naar het centrale archief, overdracht tussen overheden en toegang tot archieven. De bescherming van gegevens en privacy valt onder de Wet Bescherming Persoonsgegevens (WBP) en de richtlijnen van het College Bescherming Persoonsgegevens (CBP). Daarnaast kunnen contractuele bepalingen met een klant meespelen. Naleving van dit beleid en alle relevante wet- en regelgeving voor gegevensbescherming kan het beste worden bereikt door een verantwoordelijke aan te wijzen, bijvoorbeeld een functionaris die belast is met de bescherming van gegevens en die ondersteuning geeft aan managers, gebruikers en dienstverlenende bedrijven. En belangrijk punt is dat de burger inzagerecht heeft in de over hem/haar geregistreerde gevens. Het is aan te bevelen hiervoor beleid en procedures te hebben. Op het gebied van wetgeving is er ook nog de Wet Computer Criminaliteit (WCC). Deze wet is in 2006 aangepast. Het opzettelijk en wederrechtelijk binnendringen in computer systemen is strafbaar, zelfs als de systemen geen beveiliging bevatten. Ook het onbruikbaar maken van computersystemen met bijvoorbeeld denial of service attacks is aangescherpt in deze herziening. Tot slot komt een interne en / of externe auditor controleren of de organisatie wel aan de regels voldoet. De auditor doet dit door te kijken of de maatregel bestaat. Staat deze in het beleid, wordt deze in de praktijk uitgevoerd en functioneert de maatregel zoals bedoeld etc.
Fundamentele analyse eenvoudig gemaakt: De inleidende gids voor fundamentele analysetechnieken en -strategieën om te anticiperen op de gebeurtenissen die de markten in beweging brengen
Technische analyse voor iedereen: Hoe gebruikt u de grondbeginselen van de technische analyse om grafieken te lezen en de financiële markten beter te begrijpen