ݺߣ

ݺߣShare a Scribd company logo

Saxion Enschedé College Security 2009

Jurgen van der Vlugt
Jurgen van der Vlugt
1 of 47
Privacy & maatschappelijke systemen Ir.drs. J. (Jurgen) van der Vlugt RE CISA Noordbeek B.V. Jurgen@Noordbeek.com 2 september 2009, Enschedé
College Privacy & maatschappelijke systemen 2009 09 02 2 Intro; ik = • Bedrijfseconomie (Rotterdam, finbel) • Technische Informatica (Delft; KI) • KPMG EDP Auditors / IRM (WinNT, Y2K) • Post-grad IT-auditing (VU) • Sogeti • ABN AMRO (Group Audit, Group Security; projects++, outsourcing, security integration) • Noordbeek • VU, NOREA (VC, CHBr), ISACA, ISSA (NL, Int’l), PvIB
College Privacy & maatschappelijke systemen 2009 09 02 3 Agenda • Security ↔ privacy • Risico’s, controls • ‘Maatschappelijke systemen’ • Wat er te onthouden is
College Privacy & maatschappelijke systemen 2009 09 02 4 Security ↔ privacy • Security: Safeguarding assets / resources against abuse while enabling value realisation • Assets, kwetsbaar: Mensen, informatie, producten, vastgoed, geld (en, misschien, ‘Processen’) • Abuse: Bedreigingen; zelfde categorieën • (Tegenmaatregelen/controls: Idem)
College Privacy & maatschappelijke systemen 2009 09 02 5 Security ↔ privacy • Privacy: Het recht om anoniem te blijven • Vage definitie • Absoluut ↔ relatief (Voor wat hoort wat ..?)
College Privacy & maatschappelijke systemen 2009 09 02 6 Wie wil privacy • Maatschappij • ‘Burgers’ • Hackers, crackers • Bedrijven, MKB • Bedrijven, groot • Overheden Eigen Andermans √ +/- √ +/- √ -- √ - √ -- √ --
College Privacy & maatschappelijke systemen 2009 09 02 7 Privacy ↔ Informatie • ‘Information wants to be free’ • Kennis is macht • Organisatie versus de buitenwereld
College Privacy & maatschappelijke systemen 2009 09 02 8 ‘Interne’ visie ‘Business’ Information Mgt IT Strat Tact Oper
College Privacy & maatschappelijke systemen 2009 09 02 9 Informatiebeveiliging ‘Business’ Information Mgt IT Strat Tact Oper IT-beveiliging
College Privacy & maatschappelijke systemen 2009 09 02 10 Tussenconclusie • Informatie is macht • Privacy is het tegendeel • Alle organisaties willen ‘all take and no give’ • Hoe houden we e.e.a. in de hand?
College Privacy & maatschappelijke systemen 2009 09 02 11 Agenda • Security ↔ privacy • Risico’s, controls • ‘Maatschappelijke systemen’ • Wat er te onthouden is
College Privacy & maatschappelijke systemen 2009 09 02 12 Risico’s • Risico ≈ onzekerheid ( + en - ) • Fact of life; ‘niets is zeker, zoveel is zeker’, etc., etc. • No guts → no glory (NB hét model in de financiële wereld) • No guts ← ‘alles’ dichttimmeren
College Privacy & maatschappelijke systemen 2009 09 02 13 Risico = Bedreiging • Bedreiging van datgene wat iets waard wordt gevonden • Niks waard → geen zorg • Wie vindt het wat waard ..? • Wat is wat waard ..? Asset-classificatie • Assets onbekend (?) • Waarde onbekend (?)
College Privacy & maatschappelijke systemen 2009 09 02 14 Risico-benadering • Bedreigingen: Inbreuken op • Vertrouwelijkheid (C) • Integriteit (I) • Beschikbaarheid (A) • Extern, intern (!) • Kwetsbaarheden • Primaire componenten • Controls
College Privacy & maatschappelijke systemen 2009 09 02 15 Bedreigingen … Sorry! Overstroming Windhoos Aardbeving Grieppandemie Zonder opzet Crackers Fraudeurs Actiegroepen Tegenzin / Geen tijd ?Met opzet Acts of Man Acts of nature (‘Acts of God’)
College Privacy & maatschappelijke systemen 2009 09 02 16 Bedreigingen • Enkelvoudig te eenvoudig • Paniekvoetbal • Aanval / verdediging • Klein maar fijn • Groot maar …? • Verschillende doelen, verschillende middelen
College Privacy & maatschappelijke systemen 2009 09 02 17
College Privacy & maatschappelijke systemen 2009 09 02 18 En dan: Controls = Maatregelen, bijsturingsmiddelen • Organisatorisch (functiescheiding) • Procedureel (afvinken rapporten) • Fysiek (toegang) • IT (…) • Geld (verzekering) • In combinatie (Er is geen silver bullet!)
College Privacy & maatschappelijke systemen 2009 09 02 19 Controls (bescherming) • Afschrikkende • Preventieve, • Detectieve, • Repressieve, • Beperkende en opvangende, • Corrigerende en terugwinnende • Hoe eerder hoe beter • Net beter dan de buren
College Privacy & maatschappelijke systemen 2009 09 02 20 Controls (vervolg) • Accountantshobby, maar niet alleen t.b.v. jaarrekeningcontrole • Taalprobleem: Operationeel doen ↔ Op managementniveau uitleggen • Modes • RBAC • Classificatie • Architectuur
College Privacy & maatschappelijke systemen 2009 09 02 21 Controls: kosten, baten • Schade ↔ kosten van controls (direct, indirect, reputatie?) • Vantevoren cijfers nodig! • Frequentie / kans • Impact, schade (2x) • Kosten → continu → rapporteren (niks merkbaar?) • Effectiviteit • FUD werkt misschien toch beter
College Privacy & maatschappelijke systemen 2009 09 02 22 Niks nieuws • Alleen de techniek is veranderd …? • … Maar oplossingen complexer
College Privacy & maatschappelijke systemen 2009 09 02 23 Privacy-controls • All of the above, om privacygevoelige info te beschermen • “100% security” • Hoe minder privacygevoelige info, hoe minder imperfect te beschermen • Maar zonder, gaat niet (?) • (Informatie- en andere) architectuur to the rescue
College Privacy & maatschappelijke systemen 2009 09 02 24 Controls ontwerpen
College Privacy & maatschappelijke systemen 2009 09 02 25 Tussenconclusie • Mo’ money, mo’ problems • Nog niet eens een goed model • Roeien met de riemen die we hebben • Structureel slimmere oplossingen nodig
College Privacy & maatschappelijke systemen 2009 09 02 26 Agenda • Security ↔ privacy • Risico’s, controls • ‘Maatschappelijke systemen’ • Wat er te onthouden is
College Privacy & maatschappelijke systemen 2009 09 02 27 Maatschappelijke systemen • IB Groep • UWV / Belastingdienst • EPD • OV-chipkaart / NDW … rekeningrijden • Stemcomputers • Justitiële systemen/bestanden (camera’s!) • Kenmerk: Overheid beschikt over databases Risico’s: False positives, false negatives • Kenmerk: Complex, niemand weet alles Risico’s: Niemand beheerst, niemand verantwoordelijk
College Privacy & maatschappelijke systemen 2009 09 02 28 Overheid • Algemeen nut (?) • Politiek, toezicht, verantwoordelijkheden ..? • Beperkte middelen (?) • Macht • Vooraf: Altijd beter weten • Achteraf: Altijd gelijk krijgen
College Privacy & maatschappelijke systemen 2009 09 02 29 (Overheid) • Rijksoverheid • Provincies • Gemeenten • Zelfstandige Bestuursorganen • 1600 instellingen, 956.000 ambtenaren • Maatschappelijk Middenveld
College Privacy & maatschappelijke systemen 2009 09 02 30 (Partijen en )
College Privacy & maatschappelijke systemen 2009 09 02 31 Overheid (II) • Onbeheerste groei van data / koppelingen • ‘Lokale’ optimalisatie / afwegingen • Werking • Privacy • NORA, MARIJ, GEMMA
College Privacy & maatschappelijke systemen 2009 09 02 32 Druk op overheden • Bezuinigen • Andere Overheid • Minder papier • Meer e-diensten • Complexere maatschappij • Meer eisen (Wie wil privacy?) Minder macht (?)
College Privacy & maatschappelijke systemen 2009 09 02 33 Oplossing: NORA • Nederlandse OverheidsReferentieArchitectuur • Bottom-up ontwikkeld • Vrijblijvend • Hopelijk sterker • Afdwingen of Trust but Verify ? • Principes • Wie wint, wie verliest ?
College Privacy & maatschappelijke systemen 2009 09 02 34 Plaatje
College Privacy & maatschappelijke systemen 2009 09 02 35 Plaatje II
College Privacy & maatschappelijke systemen 2009 09 02 36 ‘Externe’ visie ‘Business’ Information Mgt IT‘Overheid’Burger
College Privacy & maatschappelijke systemen 2009 09 02 37 Principes
College Privacy & maatschappelijke systemen 2009 09 02 38 DigiD • DigiD = pseudo-identiteit • ID-theft / verlies • Front-end • Back-end …?
College Privacy & maatschappelijke systemen 2009 09 02 39 Oh ja • Digital natives, migrants, ignorants • Ignorants: Te oud om mee te moeten • Al met pensioen • Kan e-mail niet lezen • Migrants: Geleerd te • William B. Gates, Steve Jobs, Woz, etc. • Grote massa • Natives: Geboren met • Te stom om meer dan 1 knop te gebruiken • Te slim om tool normaal te gebruiken
College Privacy & maatschappelijke systemen 2009 09 02 40 Oh ja - impact • Ontwerp en bouw altijd • Zo simpel bedienbaar mogelijk, • Zo bugfree mogelijk, • Zo transparant mogelijk, • Zo vervangbaar mogelijk • Fool-proofing • Veronderstel nul inzicht • No tool can be fool proof because fools are so ingenious • Het simpelste is het moeilijkste, Maak dingen zo simpel mogelijk, maar niet simpeler! (Beide: © A. Einstein) • Business case-fantasieën
College Privacy & maatschappelijke systemen 2009 09 02 41 Wat is er te doen (Maatschappelijke systemen) • Vrijblijvend → verplicht? • Bouwen ↔ legacy (Organisaties, processen, systemen) • Openheid ↔ geheimhouding • Betere technologie • Beter (slimmer) toezicht
College Privacy & maatschappelijke systemen 2009 09 02 42 Agenda • Security ↔ privacy • Risico’s, controls • ‘Maatschappelijke systemen’ • Wat er te onthouden is
College Privacy & maatschappelijke systemen 2009 09 02 43 Wat er te onthouden is • Risico-benadering en architectuur • Ken uw technologie • Rekening houden met alternatieven • Weet te kiezen en genoeg is genoeg • Ken de context • Klein, directe omgeving • Groot, stakeholders
College Privacy & maatschappelijke systemen 2009 09 02 44 Wat er te onthouden is (II) • Er is nog veel te doen • Ken de, uw beperkingen • Neem verantwoordelijkheid
College Privacy & maatschappelijke systemen 2009 09 02 45 Stellingen ..?
College Privacy & maatschappelijke systemen 2009 09 02 46 Vragen …?
College Privacy & maatschappelijke systemen 2009 09 02 47 The End Meer info: • www.schneier.com • www.security.nl • www.pvib.nl • www.norea.nl • www.jbisa.nl • www.e-overheid.nl • Etc. etc.

Recommended

Saxion Enschedé College Security 2010
Saxion Enschedé College Security 2010Saxion Enschedé College Security 2010
Saxion Enschedé College Security 2010
Jurgen van der Vlugt
VU Organisatie van het beroep Reglementering Deel I 21 mei 2010
VU Organisatie van het beroep Reglementering Deel I 21 mei 2010VU Organisatie van het beroep Reglementering Deel I 21 mei 2010
VU Organisatie van het beroep Reglementering Deel I 21 mei 2010
Jurgen van der Vlugt
Adviesdiensten Norea Regio Noord 2012 05 10
Adviesdiensten Norea Regio Noord 2012 05 10Adviesdiensten Norea Regio Noord 2012 05 10
Adviesdiensten Norea Regio Noord 2012 05 10
Jurgen van der Vlugt
VU Uitvoering van de audit 28 mei 2010
VU Uitvoering van de audit 28 mei 2010VU Uitvoering van de audit 28 mei 2010
VU Uitvoering van de audit 28 mei 2010
Jurgen van der Vlugt
VU Information Risk Management Security Management 2010 JvdV
VU Information Risk Management Security Management 2010 JvdVVU Information Risk Management Security Management 2010 JvdV
VU Information Risk Management Security Management 2010 JvdV
Jurgen van der Vlugt
Kansen bedreigingen in beveiliging
Kansen bedreigingen in beveiligingKansen bedreigingen in beveiliging
Kansen bedreigingen in beveiliging
SURFnet
An introduction to CHI
An introduction to CHIAn introduction to CHI
An introduction to CHI
Erik Duval
Congres Ondernemen in de toekomst - PXL
Congres Ondernemen in de toekomst - PXLCongres Ondernemen in de toekomst - PXL
Congres Ondernemen in de toekomst - PXL
Business Education
Presentatie Erwin derksen over Sovjet IT
Presentatie Erwin derksen over Sovjet IT Presentatie Erwin derksen over Sovjet IT
Presentatie Erwin derksen over Sovjet IT
Ngi-NGN, platform voor ict professionals
241106 (WR) v1 Gastcollege e-learning trends november 2024.pdf
241106 (WR) v1 Gastcollege e-learning trends november 2024.pdf241106 (WR) v1 Gastcollege e-learning trends november 2024.pdf
241106 (WR) v1 Gastcollege e-learning trends november 2024.pdf
WilfredRubens.com
Driestar College en Red Spider
Driestar College en Red SpiderDriestar College en Red Spider
Driestar College en Red Spider
Novell Nederland
Congres Ondernemen in de toekomst - PXL
Congres Ondernemen in de toekomst - PXLCongres Ondernemen in de toekomst - PXL
Congres Ondernemen in de toekomst - PXL
Business Education
Presentatie Veilige Stad werksessie, Interviews gemeenten (7 maart 2013)
Presentatie Veilige Stad werksessie, Interviews gemeenten (7 maart 2013)Presentatie Veilige Stad werksessie, Interviews gemeenten (7 maart 2013)
Presentatie Veilige Stad werksessie, Interviews gemeenten (7 maart 2013)
ysprick
20200221 cybersecurity een praktische introductie
20200221 cybersecurity een praktische introductie20200221 cybersecurity een praktische introductie
20200221 cybersecurity een praktische introductie
Agentschap Innoveren & Ondernemen
Presentatie over meldplicht datalekken en ecryptie door Sophos
Presentatie over meldplicht datalekken en ecryptie door SophosPresentatie over meldplicht datalekken en ecryptie door Sophos
Presentatie over meldplicht datalekken en ecryptie door Sophos
SLBdiensten
ݺߣs van webinar Privacy by Design: leerling centraal
ݺߣs van webinar Privacy by Design: leerling centraalݺߣs van webinar Privacy by Design: leerling centraal
ݺߣs van webinar Privacy by Design: leerling centraal
Kennisnet
Iot in de zorg the next step - fit for purpose
Iot in de zorg the next step - fit for purpose Iot in de zorg the next step - fit for purpose
Iot in de zorg the next step - fit for purpose
Getting value from IoT, Integration and Data Analytics
200916 (wr) v1 gastcollege implementatie e learning avans plus september 2020
200916 (wr) v1 gastcollege implementatie e learning avans plus september 2020200916 (wr) v1 gastcollege implementatie e learning avans plus september 2020
200916 (wr) v1 gastcollege implementatie e learning avans plus september 2020
WilfredRubens.com
Bijeenkomst social media in onderwijs 25 mei cloud en veiligheid
Bijeenkomst social media in onderwijs 25 mei cloud en veiligheidBijeenkomst social media in onderwijs 25 mei cloud en veiligheid
Bijeenkomst social media in onderwijs 25 mei cloud en veiligheid
Willem van Dinther
Mi connect 21 oktober 2014 Assisted Living
Mi connect 21 oktober 2014 Assisted LivingMi connect 21 oktober 2014 Assisted Living
Mi connect 21 oktober 2014 Assisted Living
D3 Consutling
OWD2012 - 4 - 3e Generatie ontwikkel-portfolio: op maat, gebruiksvriendelijk,...
OWD2012 - 4 - 3e Generatie ontwikkel-portfolio: op maat, gebruiksvriendelijk,...OWD2012 - 4 - 3e Generatie ontwikkel-portfolio: op maat, gebruiksvriendelijk,...
OWD2012 - 4 - 3e Generatie ontwikkel-portfolio: op maat, gebruiksvriendelijk,...
SURF Events
Big Data - een kijk in jouw toekomst
Big Data - een kijk in jouw toekomstBig Data - een kijk in jouw toekomst
Big Data - een kijk in jouw toekomst
Oscar Wijsman
Webinar: De Smart Society: over een slimme, veilige en toekomstbestendige in...
Webinar: De Smart Society: over een slimme, veilige en toekomstbestendige in...Webinar: De Smart Society: over een slimme, veilige en toekomstbestendige in...
Webinar: De Smart Society: over een slimme, veilige en toekomstbestendige in...
Eurofiber
20130327 Het gezonde net: e health, op naar fysiotherapie2.0
20130327 Het gezonde net: e health, op naar fysiotherapie2.020130327 Het gezonde net: e health, op naar fysiotherapie2.0
20130327 Het gezonde net: e health, op naar fysiotherapie2.0
Changing Healthcare
Het begint allemaal bij gezond verstand
Het begint allemaal bij gezond verstandHet begint allemaal bij gezond verstand
Het begint allemaal bij gezond verstand
B.A.
Als zoeken te fanatiek wordt: een digitale analyse van het toeslagenschandaal
Als zoeken te fanatiek wordt: een digitale analyse van het toeslagenschandaalAls zoeken te fanatiek wordt: een digitale analyse van het toeslagenschandaal
Als zoeken te fanatiek wordt: een digitale analyse van het toeslagenschandaal
voginip
Centric seminar: Zorg voor veilige informatie (juni 2014)
Centric seminar: Zorg voor veilige informatie (juni 2014)Centric seminar: Zorg voor veilige informatie (juni 2014)
Centric seminar: Zorg voor veilige informatie (juni 2014)
Centric
07 integere identiteit kristien verbraeken
07 integere identiteit kristien verbraeken07 integere identiteit kristien verbraeken
07 integere identiteit kristien verbraeken
Kortom vzw
Permanent open depot rijks in kpmg gebouw v0.3
Permanent open depot rijks in kpmg gebouw v0.3Permanent open depot rijks in kpmg gebouw v0.3
Permanent open depot rijks in kpmg gebouw v0.3
Jurgen van der Vlugt
IDC Amsterdam 2013 09 12 Smart Security Solutions require Ditto Designs
IDC Amsterdam 2013 09 12 Smart Security Solutions require Ditto DesignsIDC Amsterdam 2013 09 12 Smart Security Solutions require Ditto Designs
IDC Amsterdam 2013 09 12 Smart Security Solutions require Ditto Designs
Jurgen van der Vlugt

More Related Content

Similar to Saxion Enschedé College Security 2009 (20)

Presentatie Erwin derksen over Sovjet IT
Presentatie Erwin derksen over Sovjet IT Presentatie Erwin derksen over Sovjet IT
Presentatie Erwin derksen over Sovjet IT
Ngi-NGN, platform voor ict professionals
241106 (WR) v1 Gastcollege e-learning trends november 2024.pdf
241106 (WR) v1 Gastcollege e-learning trends november 2024.pdf241106 (WR) v1 Gastcollege e-learning trends november 2024.pdf
241106 (WR) v1 Gastcollege e-learning trends november 2024.pdf
WilfredRubens.com
Driestar College en Red Spider
Driestar College en Red SpiderDriestar College en Red Spider
Driestar College en Red Spider
Novell Nederland
Congres Ondernemen in de toekomst - PXL
Congres Ondernemen in de toekomst - PXLCongres Ondernemen in de toekomst - PXL
Congres Ondernemen in de toekomst - PXL
Business Education
Presentatie Veilige Stad werksessie, Interviews gemeenten (7 maart 2013)
Presentatie Veilige Stad werksessie, Interviews gemeenten (7 maart 2013)Presentatie Veilige Stad werksessie, Interviews gemeenten (7 maart 2013)
Presentatie Veilige Stad werksessie, Interviews gemeenten (7 maart 2013)
ysprick
20200221 cybersecurity een praktische introductie
20200221 cybersecurity een praktische introductie20200221 cybersecurity een praktische introductie
20200221 cybersecurity een praktische introductie
Agentschap Innoveren & Ondernemen
Presentatie over meldplicht datalekken en ecryptie door Sophos
Presentatie over meldplicht datalekken en ecryptie door SophosPresentatie over meldplicht datalekken en ecryptie door Sophos
Presentatie over meldplicht datalekken en ecryptie door Sophos
SLBdiensten
ݺߣs van webinar Privacy by Design: leerling centraal
ݺߣs van webinar Privacy by Design: leerling centraalݺߣs van webinar Privacy by Design: leerling centraal
ݺߣs van webinar Privacy by Design: leerling centraal
Kennisnet
Iot in de zorg the next step - fit for purpose
Iot in de zorg the next step - fit for purpose Iot in de zorg the next step - fit for purpose
Iot in de zorg the next step - fit for purpose
Getting value from IoT, Integration and Data Analytics
200916 (wr) v1 gastcollege implementatie e learning avans plus september 2020
200916 (wr) v1 gastcollege implementatie e learning avans plus september 2020200916 (wr) v1 gastcollege implementatie e learning avans plus september 2020
200916 (wr) v1 gastcollege implementatie e learning avans plus september 2020
WilfredRubens.com
Bijeenkomst social media in onderwijs 25 mei cloud en veiligheid
Bijeenkomst social media in onderwijs 25 mei cloud en veiligheidBijeenkomst social media in onderwijs 25 mei cloud en veiligheid
Bijeenkomst social media in onderwijs 25 mei cloud en veiligheid
Willem van Dinther
Mi connect 21 oktober 2014 Assisted Living
Mi connect 21 oktober 2014 Assisted LivingMi connect 21 oktober 2014 Assisted Living
Mi connect 21 oktober 2014 Assisted Living
D3 Consutling
OWD2012 - 4 - 3e Generatie ontwikkel-portfolio: op maat, gebruiksvriendelijk,...
OWD2012 - 4 - 3e Generatie ontwikkel-portfolio: op maat, gebruiksvriendelijk,...OWD2012 - 4 - 3e Generatie ontwikkel-portfolio: op maat, gebruiksvriendelijk,...
OWD2012 - 4 - 3e Generatie ontwikkel-portfolio: op maat, gebruiksvriendelijk,...
SURF Events
Big Data - een kijk in jouw toekomst
Big Data - een kijk in jouw toekomstBig Data - een kijk in jouw toekomst
Big Data - een kijk in jouw toekomst
Oscar Wijsman
Webinar: De Smart Society: over een slimme, veilige en toekomstbestendige in...
Webinar: De Smart Society: over een slimme, veilige en toekomstbestendige in...Webinar: De Smart Society: over een slimme, veilige en toekomstbestendige in...
Webinar: De Smart Society: over een slimme, veilige en toekomstbestendige in...
Eurofiber
20130327 Het gezonde net: e health, op naar fysiotherapie2.0
20130327 Het gezonde net: e health, op naar fysiotherapie2.020130327 Het gezonde net: e health, op naar fysiotherapie2.0
20130327 Het gezonde net: e health, op naar fysiotherapie2.0
Changing Healthcare
Het begint allemaal bij gezond verstand
Het begint allemaal bij gezond verstandHet begint allemaal bij gezond verstand
Het begint allemaal bij gezond verstand
B.A.
Als zoeken te fanatiek wordt: een digitale analyse van het toeslagenschandaal
Als zoeken te fanatiek wordt: een digitale analyse van het toeslagenschandaalAls zoeken te fanatiek wordt: een digitale analyse van het toeslagenschandaal
Als zoeken te fanatiek wordt: een digitale analyse van het toeslagenschandaal
voginip
Centric seminar: Zorg voor veilige informatie (juni 2014)
Centric seminar: Zorg voor veilige informatie (juni 2014)Centric seminar: Zorg voor veilige informatie (juni 2014)
Centric seminar: Zorg voor veilige informatie (juni 2014)
Centric
07 integere identiteit kristien verbraeken
07 integere identiteit kristien verbraeken07 integere identiteit kristien verbraeken
07 integere identiteit kristien verbraeken
Kortom vzw
Presentatie Erwin derksen over Sovjet IT
Presentatie Erwin derksen over Sovjet IT Presentatie Erwin derksen over Sovjet IT
Presentatie Erwin derksen over Sovjet IT
Ngi-NGN, platform voor ict professionals
241106 (WR) v1 Gastcollege e-learning trends november 2024.pdf
241106 (WR) v1 Gastcollege e-learning trends november 2024.pdf241106 (WR) v1 Gastcollege e-learning trends november 2024.pdf
241106 (WR) v1 Gastcollege e-learning trends november 2024.pdf
WilfredRubens.com
Driestar College en Red Spider
Driestar College en Red SpiderDriestar College en Red Spider
Driestar College en Red Spider
Novell Nederland
Congres Ondernemen in de toekomst - PXL
Congres Ondernemen in de toekomst - PXLCongres Ondernemen in de toekomst - PXL
Congres Ondernemen in de toekomst - PXL
Business Education
Presentatie Veilige Stad werksessie, Interviews gemeenten (7 maart 2013)
Presentatie Veilige Stad werksessie, Interviews gemeenten (7 maart 2013)Presentatie Veilige Stad werksessie, Interviews gemeenten (7 maart 2013)
Presentatie Veilige Stad werksessie, Interviews gemeenten (7 maart 2013)
ysprick
20200221 cybersecurity een praktische introductie
20200221 cybersecurity een praktische introductie20200221 cybersecurity een praktische introductie
20200221 cybersecurity een praktische introductie
Agentschap Innoveren & Ondernemen
Presentatie over meldplicht datalekken en ecryptie door Sophos
Presentatie over meldplicht datalekken en ecryptie door SophosPresentatie over meldplicht datalekken en ecryptie door Sophos
Presentatie over meldplicht datalekken en ecryptie door Sophos
SLBdiensten
ݺߣs van webinar Privacy by Design: leerling centraal
ݺߣs van webinar Privacy by Design: leerling centraalݺߣs van webinar Privacy by Design: leerling centraal
ݺߣs van webinar Privacy by Design: leerling centraal
Kennisnet
Iot in de zorg the next step - fit for purpose
Iot in de zorg the next step - fit for purpose Iot in de zorg the next step - fit for purpose
Iot in de zorg the next step - fit for purpose
Getting value from IoT, Integration and Data Analytics
200916 (wr) v1 gastcollege implementatie e learning avans plus september 2020
200916 (wr) v1 gastcollege implementatie e learning avans plus september 2020200916 (wr) v1 gastcollege implementatie e learning avans plus september 2020
200916 (wr) v1 gastcollege implementatie e learning avans plus september 2020
WilfredRubens.com
Bijeenkomst social media in onderwijs 25 mei cloud en veiligheid
Bijeenkomst social media in onderwijs 25 mei cloud en veiligheidBijeenkomst social media in onderwijs 25 mei cloud en veiligheid
Bijeenkomst social media in onderwijs 25 mei cloud en veiligheid
Willem van Dinther
Mi connect 21 oktober 2014 Assisted Living
Mi connect 21 oktober 2014 Assisted LivingMi connect 21 oktober 2014 Assisted Living
Mi connect 21 oktober 2014 Assisted Living
D3 Consutling
OWD2012 - 4 - 3e Generatie ontwikkel-portfolio: op maat, gebruiksvriendelijk,...
OWD2012 - 4 - 3e Generatie ontwikkel-portfolio: op maat, gebruiksvriendelijk,...OWD2012 - 4 - 3e Generatie ontwikkel-portfolio: op maat, gebruiksvriendelijk,...
OWD2012 - 4 - 3e Generatie ontwikkel-portfolio: op maat, gebruiksvriendelijk,...
SURF Events
Big Data - een kijk in jouw toekomst
Big Data - een kijk in jouw toekomstBig Data - een kijk in jouw toekomst
Big Data - een kijk in jouw toekomst
Oscar Wijsman
Webinar: De Smart Society: over een slimme, veilige en toekomstbestendige in...
Webinar: De Smart Society: over een slimme, veilige en toekomstbestendige in...Webinar: De Smart Society: over een slimme, veilige en toekomstbestendige in...
Webinar: De Smart Society: over een slimme, veilige en toekomstbestendige in...
Eurofiber
20130327 Het gezonde net: e health, op naar fysiotherapie2.0
20130327 Het gezonde net: e health, op naar fysiotherapie2.020130327 Het gezonde net: e health, op naar fysiotherapie2.0
20130327 Het gezonde net: e health, op naar fysiotherapie2.0
Changing Healthcare
Het begint allemaal bij gezond verstand
Het begint allemaal bij gezond verstandHet begint allemaal bij gezond verstand
Het begint allemaal bij gezond verstand
B.A.
Als zoeken te fanatiek wordt: een digitale analyse van het toeslagenschandaal
Als zoeken te fanatiek wordt: een digitale analyse van het toeslagenschandaalAls zoeken te fanatiek wordt: een digitale analyse van het toeslagenschandaal
Als zoeken te fanatiek wordt: een digitale analyse van het toeslagenschandaal
voginip
Centric seminar: Zorg voor veilige informatie (juni 2014)
Centric seminar: Zorg voor veilige informatie (juni 2014)Centric seminar: Zorg voor veilige informatie (juni 2014)
Centric seminar: Zorg voor veilige informatie (juni 2014)
Centric
07 integere identiteit kristien verbraeken
07 integere identiteit kristien verbraeken07 integere identiteit kristien verbraeken
07 integere identiteit kristien verbraeken
Kortom vzw

More from Jurgen van der Vlugt (15)

Permanent open depot rijks in kpmg gebouw v0.3
Permanent open depot rijks in kpmg gebouw v0.3Permanent open depot rijks in kpmg gebouw v0.3
Permanent open depot rijks in kpmg gebouw v0.3
Jurgen van der Vlugt
IDC Amsterdam 2013 09 12 Smart Security Solutions require Ditto Designs
IDC Amsterdam 2013 09 12 Smart Security Solutions require Ditto DesignsIDC Amsterdam 2013 09 12 Smart Security Solutions require Ditto Designs
IDC Amsterdam 2013 09 12 Smart Security Solutions require Ditto Designs
Jurgen van der Vlugt
ISSA NL event 2013 06 06 Limits, Not Rails
ISSA NL event 2013 06 06 Limits, Not RailsISSA NL event 2013 06 06 Limits, Not Rails
ISSA NL event 2013 06 06 Limits, Not Rails
Jurgen van der Vlugt
Wat ruist er door uw data-zee ISACA NL roundtable 2013 06 03
Wat ruist er door uw data-zee ISACA NL roundtable 2013 06 03Wat ruist er door uw data-zee ISACA NL roundtable 2013 06 03
Wat ruist er door uw data-zee ISACA NL roundtable 2013 06 03
Jurgen van der Vlugt
Much Data 0.95
Much Data 0.95Much Data 0.95
Much Data 0.95
Jurgen van der Vlugt
Risk Managers Of The Universe
Risk Managers Of The UniverseRisk Managers Of The Universe
Risk Managers Of The Universe
Jurgen van der Vlugt
ACAM-VDA NOREA Adviesdiensten 21 juni 2012
ACAM-VDA NOREA Adviesdiensten 21 juni 2012ACAM-VDA NOREA Adviesdiensten 21 juni 2012
ACAM-VDA NOREA Adviesdiensten 21 juni 2012
Jurgen van der Vlugt
ISSA ORM 2012 June 20 v0.3
ISSA ORM 2012 June 20 v0.3ISSA ORM 2012 June 20 v0.3
ISSA ORM 2012 June 20 v0.3
Jurgen van der Vlugt
Van Plank Misslaan Naar Spijker Op De Kop V0.3
Van Plank Misslaan Naar Spijker Op De Kop V0.3Van Plank Misslaan Naar Spijker Op De Kop V0.3
Van Plank Misslaan Naar Spijker Op De Kop V0.3
Jurgen van der Vlugt
Down the Blind Alley (PDF)
Down the Blind Alley (PDF)Down the Blind Alley (PDF)
Down the Blind Alley (PDF)
Jurgen van der Vlugt
Advies Assurance September 2011 V0.97
Advies Assurance September 2011 V0.97Advies Assurance September 2011 V0.97
Advies Assurance September 2011 V0.97
Jurgen van der Vlugt
NGI Regio Rdam / Afd IT-A: Stuxnet - Beveiliging en Audit van Proces IT
NGI Regio Rdam / Afd IT-A: Stuxnet - Beveiliging en Audit van Proces ITNGI Regio Rdam / Afd IT-A: Stuxnet - Beveiliging en Audit van Proces IT
NGI Regio Rdam / Afd IT-A: Stuxnet - Beveiliging en Audit van Proces IT
Jurgen van der Vlugt
NOREA Update congres 2007 incl notes
NOREA Update congres 2007 incl notesNOREA Update congres 2007 incl notes
NOREA Update congres 2007 incl notes
Jurgen van der Vlugt
NOREA ALV Symposium Advies 2010
NOREA ALV Symposium Advies 2010NOREA ALV Symposium Advies 2010
NOREA ALV Symposium Advies 2010
Jurgen van der Vlugt
NOREA Regiosessie Reglementen 2010
NOREA Regiosessie Reglementen 2010NOREA Regiosessie Reglementen 2010
NOREA Regiosessie Reglementen 2010
Jurgen van der Vlugt
Permanent open depot rijks in kpmg gebouw v0.3
Permanent open depot rijks in kpmg gebouw v0.3Permanent open depot rijks in kpmg gebouw v0.3
Permanent open depot rijks in kpmg gebouw v0.3
Jurgen van der Vlugt
IDC Amsterdam 2013 09 12 Smart Security Solutions require Ditto Designs
IDC Amsterdam 2013 09 12 Smart Security Solutions require Ditto DesignsIDC Amsterdam 2013 09 12 Smart Security Solutions require Ditto Designs
IDC Amsterdam 2013 09 12 Smart Security Solutions require Ditto Designs
Jurgen van der Vlugt
ISSA NL event 2013 06 06 Limits, Not Rails
ISSA NL event 2013 06 06 Limits, Not RailsISSA NL event 2013 06 06 Limits, Not Rails
ISSA NL event 2013 06 06 Limits, Not Rails
Jurgen van der Vlugt
Wat ruist er door uw data-zee ISACA NL roundtable 2013 06 03
Wat ruist er door uw data-zee ISACA NL roundtable 2013 06 03Wat ruist er door uw data-zee ISACA NL roundtable 2013 06 03
Wat ruist er door uw data-zee ISACA NL roundtable 2013 06 03
Jurgen van der Vlugt
Much Data 0.95
Much Data 0.95Much Data 0.95
Much Data 0.95
Jurgen van der Vlugt
Risk Managers Of The Universe
Risk Managers Of The UniverseRisk Managers Of The Universe
Risk Managers Of The Universe
Jurgen van der Vlugt
ACAM-VDA NOREA Adviesdiensten 21 juni 2012
ACAM-VDA NOREA Adviesdiensten 21 juni 2012ACAM-VDA NOREA Adviesdiensten 21 juni 2012
ACAM-VDA NOREA Adviesdiensten 21 juni 2012
Jurgen van der Vlugt
ISSA ORM 2012 June 20 v0.3
ISSA ORM 2012 June 20 v0.3ISSA ORM 2012 June 20 v0.3
ISSA ORM 2012 June 20 v0.3
Jurgen van der Vlugt
Van Plank Misslaan Naar Spijker Op De Kop V0.3
Van Plank Misslaan Naar Spijker Op De Kop V0.3Van Plank Misslaan Naar Spijker Op De Kop V0.3
Van Plank Misslaan Naar Spijker Op De Kop V0.3
Jurgen van der Vlugt
Down the Blind Alley (PDF)
Down the Blind Alley (PDF)Down the Blind Alley (PDF)
Down the Blind Alley (PDF)
Jurgen van der Vlugt
Advies Assurance September 2011 V0.97
Advies Assurance September 2011 V0.97Advies Assurance September 2011 V0.97
Advies Assurance September 2011 V0.97
Jurgen van der Vlugt
NGI Regio Rdam / Afd IT-A: Stuxnet - Beveiliging en Audit van Proces IT
NGI Regio Rdam / Afd IT-A: Stuxnet - Beveiliging en Audit van Proces ITNGI Regio Rdam / Afd IT-A: Stuxnet - Beveiliging en Audit van Proces IT
NGI Regio Rdam / Afd IT-A: Stuxnet - Beveiliging en Audit van Proces IT
Jurgen van der Vlugt
NOREA Update congres 2007 incl notes
NOREA Update congres 2007 incl notesNOREA Update congres 2007 incl notes
NOREA Update congres 2007 incl notes
Jurgen van der Vlugt
NOREA ALV Symposium Advies 2010
NOREA ALV Symposium Advies 2010NOREA ALV Symposium Advies 2010
NOREA ALV Symposium Advies 2010
Jurgen van der Vlugt
NOREA Regiosessie Reglementen 2010
NOREA Regiosessie Reglementen 2010NOREA Regiosessie Reglementen 2010
NOREA Regiosessie Reglementen 2010
Jurgen van der Vlugt

Saxion Enschedé College Security 2009

  • 1. Privacy & maatschappelijke systemen Ir.drs. J. (Jurgen) van der Vlugt RE CISA Noordbeek B.V. Jurgen@Noordbeek.com 2 september 2009, Enschedé
  • 2. College Privacy & maatschappelijke systemen 2009 09 02 2 Intro; ik = • Bedrijfseconomie (Rotterdam, finbel) • Technische Informatica (Delft; KI) • KPMG EDP Auditors / IRM (WinNT, Y2K) • Post-grad IT-auditing (VU) • Sogeti • ABN AMRO (Group Audit, Group Security; projects++, outsourcing, security integration) • Noordbeek • VU, NOREA (VC, CHBr), ISACA, ISSA (NL, Int’l), PvIB
  • 3. College Privacy & maatschappelijke systemen 2009 09 02 3 Agenda • Security ↔ privacy • Risico’s, controls • ‘Maatschappelijke systemen’ • Wat er te onthouden is
  • 4. College Privacy & maatschappelijke systemen 2009 09 02 4 Security ↔ privacy • Security: Safeguarding assets / resources against abuse while enabling value realisation • Assets, kwetsbaar: Mensen, informatie, producten, vastgoed, geld (en, misschien, ‘Processen’) • Abuse: Bedreigingen; zelfde categorieën • (Tegenmaatregelen/controls: Idem)
  • 5. College Privacy & maatschappelijke systemen 2009 09 02 5 Security ↔ privacy • Privacy: Het recht om anoniem te blijven • Vage definitie • Absoluut ↔ relatief (Voor wat hoort wat ..?)
  • 6. College Privacy & maatschappelijke systemen 2009 09 02 6 Wie wil privacy • Maatschappij • ‘Burgers’ • Hackers, crackers • Bedrijven, MKB • Bedrijven, groot • Overheden Eigen Andermans √ +/- √ +/- √ -- √ - √ -- √ --
  • 7. College Privacy & maatschappelijke systemen 2009 09 02 7 Privacy ↔ Informatie • ‘Information wants to be free’ • Kennis is macht • Organisatie versus de buitenwereld
  • 8. College Privacy & maatschappelijke systemen 2009 09 02 8 ‘Interne’ visie ‘Business’ Information Mgt IT Strat Tact Oper
  • 9. College Privacy & maatschappelijke systemen 2009 09 02 9 Informatiebeveiliging ‘Business’ Information Mgt IT Strat Tact Oper IT-beveiliging
  • 10. College Privacy & maatschappelijke systemen 2009 09 02 10 Tussenconclusie • Informatie is macht • Privacy is het tegendeel • Alle organisaties willen ‘all take and no give’ • Hoe houden we e.e.a. in de hand?
  • 11. College Privacy & maatschappelijke systemen 2009 09 02 11 Agenda • Security ↔ privacy • Risico’s, controls • ‘Maatschappelijke systemen’ • Wat er te onthouden is
  • 12. College Privacy & maatschappelijke systemen 2009 09 02 12 Risico’s • Risico ≈ onzekerheid ( + en - ) • Fact of life; ‘niets is zeker, zoveel is zeker’, etc., etc. • No guts → no glory (NB hét model in de financiële wereld) • No guts ← ‘alles’ dichttimmeren
  • 13. College Privacy & maatschappelijke systemen 2009 09 02 13 Risico = Bedreiging • Bedreiging van datgene wat iets waard wordt gevonden • Niks waard → geen zorg • Wie vindt het wat waard ..? • Wat is wat waard ..? Asset-classificatie • Assets onbekend (?) • Waarde onbekend (?)
  • 14. College Privacy & maatschappelijke systemen 2009 09 02 14 Risico-benadering • Bedreigingen: Inbreuken op • Vertrouwelijkheid (C) • Integriteit (I) • Beschikbaarheid (A) • Extern, intern (!) • Kwetsbaarheden • Primaire componenten • Controls
  • 15. College Privacy & maatschappelijke systemen 2009 09 02 15 Bedreigingen … Sorry! Overstroming Windhoos Aardbeving Grieppandemie Zonder opzet Crackers Fraudeurs Actiegroepen Tegenzin / Geen tijd ?Met opzet Acts of Man Acts of nature (‘Acts of God’)
  • 16. College Privacy & maatschappelijke systemen 2009 09 02 16 Bedreigingen • Enkelvoudig te eenvoudig • Paniekvoetbal • Aanval / verdediging • Klein maar fijn • Groot maar …? • Verschillende doelen, verschillende middelen
  • 17. College Privacy & maatschappelijke systemen 2009 09 02 17
  • 18. College Privacy & maatschappelijke systemen 2009 09 02 18 En dan: Controls = Maatregelen, bijsturingsmiddelen • Organisatorisch (functiescheiding) • Procedureel (afvinken rapporten) • Fysiek (toegang) • IT (…) • Geld (verzekering) • In combinatie (Er is geen silver bullet!)
  • 19. College Privacy & maatschappelijke systemen 2009 09 02 19 Controls (bescherming) • Afschrikkende • Preventieve, • Detectieve, • Repressieve, • Beperkende en opvangende, • Corrigerende en terugwinnende • Hoe eerder hoe beter • Net beter dan de buren
  • 20. College Privacy & maatschappelijke systemen 2009 09 02 20 Controls (vervolg) • Accountantshobby, maar niet alleen t.b.v. jaarrekeningcontrole • Taalprobleem: Operationeel doen ↔ Op managementniveau uitleggen • Modes • RBAC • Classificatie • Architectuur
  • 21. College Privacy & maatschappelijke systemen 2009 09 02 21 Controls: kosten, baten • Schade ↔ kosten van controls (direct, indirect, reputatie?) • Vantevoren cijfers nodig! • Frequentie / kans • Impact, schade (2x) • Kosten → continu → rapporteren (niks merkbaar?) • Effectiviteit • FUD werkt misschien toch beter
  • 22. College Privacy & maatschappelijke systemen 2009 09 02 22 Niks nieuws • Alleen de techniek is veranderd …? • … Maar oplossingen complexer
  • 23. College Privacy & maatschappelijke systemen 2009 09 02 23 Privacy-controls • All of the above, om privacygevoelige info te beschermen • “100% security” • Hoe minder privacygevoelige info, hoe minder imperfect te beschermen • Maar zonder, gaat niet (?) • (Informatie- en andere) architectuur to the rescue
  • 24. College Privacy & maatschappelijke systemen 2009 09 02 24 Controls ontwerpen
  • 25. College Privacy & maatschappelijke systemen 2009 09 02 25 Tussenconclusie • Mo’ money, mo’ problems • Nog niet eens een goed model • Roeien met de riemen die we hebben • Structureel slimmere oplossingen nodig
  • 26. College Privacy & maatschappelijke systemen 2009 09 02 26 Agenda • Security ↔ privacy • Risico’s, controls • ‘Maatschappelijke systemen’ • Wat er te onthouden is
  • 27. College Privacy & maatschappelijke systemen 2009 09 02 27 Maatschappelijke systemen • IB Groep • UWV / Belastingdienst • EPD • OV-chipkaart / NDW … rekeningrijden • Stemcomputers • Justitiële systemen/bestanden (camera’s!) • Kenmerk: Overheid beschikt over databases Risico’s: False positives, false negatives • Kenmerk: Complex, niemand weet alles Risico’s: Niemand beheerst, niemand verantwoordelijk
  • 28. College Privacy & maatschappelijke systemen 2009 09 02 28 Overheid • Algemeen nut (?) • Politiek, toezicht, verantwoordelijkheden ..? • Beperkte middelen (?) • Macht • Vooraf: Altijd beter weten • Achteraf: Altijd gelijk krijgen
  • 29. College Privacy & maatschappelijke systemen 2009 09 02 29 (Overheid) • Rijksoverheid • Provincies • Gemeenten • Zelfstandige Bestuursorganen • 1600 instellingen, 956.000 ambtenaren • Maatschappelijk Middenveld
  • 30. College Privacy & maatschappelijke systemen 2009 09 02 30 (Partijen en )
  • 31. College Privacy & maatschappelijke systemen 2009 09 02 31 Overheid (II) • Onbeheerste groei van data / koppelingen • ‘Lokale’ optimalisatie / afwegingen • Werking • Privacy • NORA, MARIJ, GEMMA
  • 32. College Privacy & maatschappelijke systemen 2009 09 02 32 Druk op overheden • Bezuinigen • Andere Overheid • Minder papier • Meer e-diensten • Complexere maatschappij • Meer eisen (Wie wil privacy?) Minder macht (?)
  • 33. College Privacy & maatschappelijke systemen 2009 09 02 33 Oplossing: NORA • Nederlandse OverheidsReferentieArchitectuur • Bottom-up ontwikkeld • Vrijblijvend • Hopelijk sterker • Afdwingen of Trust but Verify ? • Principes • Wie wint, wie verliest ?
  • 34. College Privacy & maatschappelijke systemen 2009 09 02 34 Plaatje
  • 35. College Privacy & maatschappelijke systemen 2009 09 02 35 Plaatje II
  • 36. College Privacy & maatschappelijke systemen 2009 09 02 36 ‘Externe’ visie ‘Business’ Information Mgt IT‘Overheid’Burger
  • 37. College Privacy & maatschappelijke systemen 2009 09 02 37 Principes
  • 38. College Privacy & maatschappelijke systemen 2009 09 02 38 DigiD • DigiD = pseudo-identiteit • ID-theft / verlies • Front-end • Back-end …?
  • 39. College Privacy & maatschappelijke systemen 2009 09 02 39 Oh ja • Digital natives, migrants, ignorants • Ignorants: Te oud om mee te moeten • Al met pensioen • Kan e-mail niet lezen • Migrants: Geleerd te • William B. Gates, Steve Jobs, Woz, etc. • Grote massa • Natives: Geboren met • Te stom om meer dan 1 knop te gebruiken • Te slim om tool normaal te gebruiken
  • 40. College Privacy & maatschappelijke systemen 2009 09 02 40 Oh ja - impact • Ontwerp en bouw altijd • Zo simpel bedienbaar mogelijk, • Zo bugfree mogelijk, • Zo transparant mogelijk, • Zo vervangbaar mogelijk • Fool-proofing • Veronderstel nul inzicht • No tool can be fool proof because fools are so ingenious • Het simpelste is het moeilijkste, Maak dingen zo simpel mogelijk, maar niet simpeler! (Beide: © A. Einstein) • Business case-fantasieën
  • 41. College Privacy & maatschappelijke systemen 2009 09 02 41 Wat is er te doen (Maatschappelijke systemen) • Vrijblijvend → verplicht? • Bouwen ↔ legacy (Organisaties, processen, systemen) • Openheid ↔ geheimhouding • Betere technologie • Beter (slimmer) toezicht
  • 42. College Privacy & maatschappelijke systemen 2009 09 02 42 Agenda • Security ↔ privacy • Risico’s, controls • ‘Maatschappelijke systemen’ • Wat er te onthouden is
  • 43. College Privacy & maatschappelijke systemen 2009 09 02 43 Wat er te onthouden is • Risico-benadering en architectuur • Ken uw technologie • Rekening houden met alternatieven • Weet te kiezen en genoeg is genoeg • Ken de context • Klein, directe omgeving • Groot, stakeholders
  • 44. College Privacy & maatschappelijke systemen 2009 09 02 44 Wat er te onthouden is (II) • Er is nog veel te doen • Ken de, uw beperkingen • Neem verantwoordelijkheid
  • 45. College Privacy & maatschappelijke systemen 2009 09 02 45 Stellingen ..?
  • 46. College Privacy & maatschappelijke systemen 2009 09 02 46 Vragen …?
  • 47. College Privacy & maatschappelijke systemen 2009 09 02 47 The End Meer info: • www.schneier.com • www.security.nl • www.pvib.nl • www.norea.nl • www.jbisa.nl • www.e-overheid.nl • Etc. etc.