ISM-4

motivnl
  • No tags were found...

ISM-4

IDENTITEITSDIEFSTALDOOR JAN RIETVELDNormen voor IT-beveiliging en risicomanagement:EEN ABSOLUTEMUSTgingstechnieken’ namens Dekra: “Certificatentegen de oude norm uit 2005vervallen ná 1 oktober 2015. Vanaf datmoment worden er dan ook geen auditsmeer uitgevoerd tegen die verouderdenorm. De schatting is dat momenteel 20%van de Nederlandse bedrijven over is opde nieuwe norm, maar velen stellen hetuit.”Met dagelijks nieuws over hackers en informatielekken in het achterhoofd is het van essentieelbelang dat organisaties hun informatiebeveiliging op orde hebben. Om de bedrijfsvoering veiligte stellen, moet de informatie goed beveiligd zijn. Bovendien verwachten klanten dat privacygevoeligeinformatie zorgvuldig behandeld wordt.NEN, het Nederlands Normalisatie-instituut,organiseerde onlangs een informatiebijeenkomstover diverse ontwikkelingenrondom de normen op het bredegebied van IT-beveiligingstechnieken.Hoe wordt de nieuwe versie van de internationalenormen voor informatiebeveiliging,NEN-ISO/IEC 27001 en NEN-ISO/IEC 27002, gebruikt? Welke gevolgenheeft de nieuwe structuur van deze normenvoor het implementeren ervan? Watis de nieuwe manier van werken bij risicobeoordeling,en wat zijn de ontwikkelingenrond normen voor privacy en cybersecurity?INFORMATIEBEVEILIGINGNEN-ISO/IEC 27001 specificeert eisenvoor de implementatie van beveiligingsmaatregelendie zijn aangepast aan debehoeften van afzonderlijke organisaties.NEN-ISO/IEC 27002 geeft richtlijnenen principes voor het initiëren, hetimplementeren, het onderhouden en hetverbeteren van informatiebeveiligingbinnen een organisatie. Internationaal isvastgesteld dat IT-audits per 1 oktober2014 plaatsvinden tegen NEN-ISO/IEC27001:2013.Henk Keijzer, commissielid ‘IT Beveili-RISICOMANAGEMENT ENPRIVACY-EFFECTBEOORDELINGDe internationale norm voor risicomanagementis NEN-ISO/IEC 27005. RieksJoosten van TNO geeft aan dat deze normin lijn wordt gebracht met ISO 31000. “Deklassieke risicoanalyse aanpak, gebaseerdop bedrijfsmiddelen, dreigingenen kwetsbaarheden, wordt aangevuldmet andere bruikbare methoden. TNOen NEN hebben daarvoor de ‘risk-ownercentric’ Advanced Risk Managementaanpak voorgesteld, die geschikt is voorgenetwerkte omgevingen.”Organisaties moeten privacy risico’s beheersenen dit ook kunnen aantonen. Eénvan de hulpmiddelen daarbij is het PrivacyImpact Assessment (PIA), oftewel deprivacy-effectbeoordeling. De normenreeksvoor privacy van de ISO-commissie‘IT Security techniques’ begint vormte krijgen. Momenteel is er al een normvoor privacy kaders. Er wordt gewerktaan een ‘Code of practice for personallyidentifiable information (PII) protection’en de publicatie van NEN-ISO/IEC29134 ‘Privacy Impact Assessment’ (PIA)wordt verwacht in mei 2016. Deze laatstenorm geeft richtlijnen voor een procesvoor privacy-effectbeoordeling en specificeertde structuur en content van eenPIA-rapport.CYBER SECURITYOp Europees niveau houdt de Cyber SecurityCoordination Group (CSCG) zichbezig met de coördinatie van standaardisatierond cyber security. De EuropeseCommissie heeft gevraagd om technischerichtlijnen en aanbevelingen te ontwikkelenvoor normen en best practicesop het gebied van NIB in de publieke enprivate sector.Piet Donga, Information Risk Managerbij ING en voorzitter NEN-commissie ‘ITBeveiligingstechnieken’, vertelt dat beveiligingsnormenen technische normenervoor moeten zorgen dat nieuwe generatiessoftware en hardware beschikkenover sterkere geïntegreerde en gebruiksvriendelijkebeveiligingskenmerken. Bovendiendient de branche normen op testellen voor de prestaties van bedrijvenop het gebied van cyberbeveiliging. Ookmoet de voor het publiek beschikbareinformatie verbeterd worden door beveiligingslabelsof keurmerken te ontwikkelen,waarmee de consument zich beterop de markt kan oriënteren.De taken van CSCG zijn:• Analyse van bestaande cyber securitystandaarden.• Coördinatie van een gezamenlijkecyber security strategie van de Europesestandaardisatie-organisaties.• Trans-Atlantische samenwerkingmet NIST (National Institute of Standardsand Technology).• Contactpunt voor de EuropeseCommissie voor alle vragen overcyber security en normalisatie.DE BETROKKEN NEN-COMMISSIEOp nationaal niveau is de NEN-commissie‘IT Beveiligingstechnieken’ een onafhankelijkecommissie die meewerkt aande internationale ISO/IEC-normen voorIT-beveiligingstechnieken en aan de EuropeseCSCG. De normcommissie houdtzich onder andere bezig met:• Het bepalen van het Nederlandsestandpunt en het commentaar vaststellenvoor wat betreft de internationaleen Europese normen in ontwikkeling.• Mondiale normen in Nederland implementeren.• Nationale normen op het gebied vaninformatiebeveiliging en cryptografievaststellen.• Het stimuleren van nationale normalisatie-activiteitenop het informatiebeveiligingsgebieden het verstrekkenvan strategische informatie &advies.• Advies geven binnen het werkgebiedvan de commissie.MEER INFORMATIEWilt u meer weten over normen voorIT-beveiliging, of meer informatie overdeelname in de normcommissie? Neemdan contact op met Jan Rietveld, ConsultantE&ICT bij NEN, telefoon (015) 2 690376 of e-mail jan.rietveld@nen.nl.6INFOSECURITY MAGAZINE - NR. 4 - OKTOBER 2014 7


VAN PERIODIEKE SCANS NAAR CONTINUE MONITORINGDe Nederlandse verzekeraar VGZ kwamin juli van dit jaar pijnlijk in het nieuwstoen bleek dat de declaratiegegevensvan ongeveer 27.000 verzekerden tweejaar lang op de privécomputer van eenVGZ-medewerker hadden gestaan. Deblunderende medewerker had de gegevensop de privéserver gezet om nieuwesoftware te testen, maar was vervolgensvergeten om ze daar ook weer te verwijderen.De schade van dit incident, dat eind 2013door VGZ werd opgemerkt, bleef voorzover bekend redelijk beperkt. “We hebbengeen aanwijzingen dat de gegevensdoor kwaadwillenden zijn ingezien”, zoMELDPLICHTNOODZAAKT TOT BETERINZICHT IN DATALEKKENEen systeem dat door een Distributed Denial of Service (DDoS)-aanval ‘omvalt’, blijft niet langonopgemerkt. Dat kan helaas niet worden gezegd over ‘datalekken’; die blijven soms jarenonder de radar. Gelet op de enorme impact die een datalek kan hebben, is dat onacceptabel.Met een combinatie van een continue monitoring van de beveiliging, het creëren van ‘user awareness’en technische maatregelen zoals Data Loss Prevention kan de periode dat een datalekonopgemerkt blijft tot een minimum worden beperkt.liet de verzekeraar in een persverklaringgeruststellend weten. Mede door debrief die VGZ (vanzelfsprekend) stuurdeaan de gedupeerde verzekerden was dereputatieschade echter een feit.Dat het veel erger kan aflopen, bewees deAmerikaanse winkelketen Target begindit jaar. Criminelen waren erin geslaagdom de gegevens van 40 miljoen creditendebetcards en de persoonsgegevensvan 70 miljoen klanten te ontvreemden.Binnen enkele weken waren de kostenvan deze inbraak al opgelopen tot 61 miljoendollar. Het nieuws over deze diefstalwerd extra pijnlijk toen naar buiten kwamdat het securityteam van Target in Minneapolismeerdere meldingen van zowelhet detectiesysteem als van collega’s inIndia in de wind had geslagen.HOGE BOETEBedrijven hebben kortom redenen genoegom alert te zijn op het weglekkenvan bedrijfsgevoelige gegevens. Metde invoering van de nieuwe ‘Meldplichtdatalekken’ – die momenteel als wetsvoorstelin behandeling is bij de TweedeKamer – krijgen bedrijven er nog een extrareden bij. Zowel private als publiekeorganisaties die persoonsgegevens verwerken,worden straks verplicht om inbreukenop de beveiliging die leiden totdiefstal, verlies of misbruik van persoonsgegevenste melden bij het College beschermingpersoonsgegevens (CBP).Daarnaast ontvangt in veel gevallen ookde eigenaar van de persoonsgegevenseen melding als de inbreuk ongunstigegevolgen heeft voor zijn of haar persoonlijkelevenssfeer. Is er sprake van nalatigheidom te melden, dan kan het CBP eenboete opleggen van maximaal 450.000euro (zie ook het kader). Dit bedrag komtbovenop de reputatieschade die door demelding wordt geleden.Helaas leert de praktijk dat het overgrotedeel van de organisaties geen idee heeftof er data weglekken, welke data lekkenen waar die dan naartoe lekken. Demeeste bedrijven en instanties hebbeneen prima inzicht in de aanvallen waarze mee te maken hebben, maar hebbenheel weinig zicht op het verkeer dat deorganisatie verlaat op het moment dat zezijn gecompromitteerd. Dat inzicht is echterwel nodig om te voorkomen dat gevoeligegegevens in verkeerde handenvallen en om te kunnen voldoen aan de‘Meldplicht datalekken’ die in 2015 vankracht moet worden.INZICHT IN DATALEKKENEen eerste stap om te komen tot meerinzicht in (uitgaande) datastromen is hetperiodiek uitvoeren van een scan van debeveiliging. Daarbij is het wel belangrijkom te kijken naar de scope van descan. Heel vaak gaan bedrijven niet verderdan het controleren of alle patcheszijn geïnstalleerd. Een patch kan echterook zijn geïnstalleerd door een hackernadat hij gebruik heeft gemaakt van eenkwetsbaarheid om een systeem binnente dringen. Door de kwetsbaarheid in ditgecompromitteerde systeem te patchen,voorkomt de hacker dat collega-hackersop dezelfde wijze de controle kunnenovernemen. Daarom moet de beveiligingsscanook gericht zijn op het detecterenvan verdacht verkeer, zoals bots dieinformatie sturen naar een Command andControl-server of de uitwisseling van grotehoeveelheden gegevens via dienstenzoals Dropbox en OneDrive. Dit laatste iszeker verdacht als de bedrijfspolicy’s hetgebruik van dergelijke opslagdienstenverbieden.Naast de scope van de scan moet ookworden gekeken naar de frequentie. Eenscan jaarlijks uitvoeren heeft eigenlijkweinig zin. Als er enkele maanden nahet uitvoeren van de jaarlijkse scan eenkwetsbaarheid in de beveiliging ontstaat– bijvoorbeeld door een gemiste patch– hebben hackers alsnog maanden detijd om deze kwetsbaarheid uit te buiten.Beter is het om bijvoorbeeld maandelijksde beveiliging te scannen, of zelfscontinu. Dan komt een lek of een aanvalop een systeem zo snel mogelijk op deradar.Een continue monitoring van de beveiligingkan worden gerealiseerd door hetSecurity Information and Event Management(SIEM) ‘24/7’ te beleggen binneneen eigen Security Operations Center,of door SIEM als een beheerde dienst afte nemen. Voor veel organisaties zal eenvolledige SIEM-dienst echter nog eenstap te ver zijn. Een goed alternatief isdan om een analysetool zoals RiskVisionvan Websense of de Check Point SecurityCheckUp permanent naar de verkeersstromente laten kijken.Drie vormen van Data Loss PreventionDATA LOSS PREVENTIONUiteraard is het ook zaak om maatregelente treffen waarmee kan worden voorkomendat data al dan niet opzettelijk buitende organisatie terechtkomen. Een goedvoorbeeld daarvan is Data Loss Prevention.Hiermee kan bijvoorbeeld wordenvoorkomen dat een document door eentikfout in het e-mailadres bij de verkeerdegeadresseerde terechtkomt, of dat alsvertrouwelijk geadresseerde documentenin een file sharing-omgeving zoalsDOOR RÉMON VERKERKDropbox of Google Drive worden geplaatst.Globaal kunnen we drie vormen van DLPonderscheiden:• ‘Data-in-Motion Network-based DLP’,waarbij wordt gekeken welke gegevenser van het bedrijfsnetwerk naarhet internet gaan. Detectie en hetafdwingen van policy’s – waarin bijvoorbeeldstaat welke bestandtypeshet bedrijfsnetwerk mogen verlaten– vinden op een centraal punt plaats.Het overgrote deel vande organisaties heeftgeen idee of er dataweglekken, welke datalekken en waar naartoe8INFOSECURITY MAGAZINE - NR. 4 - OKTOBER 2014 9


VAN PERIODIEKE SCANS NAAR CONTINUE MONITORING• ‘Data-in-Use Endpoint DLP’, waarbijer wordt gekeken welke data tussende endpoint van zowel de interne alsde remote gebruikers worden uitgewisseld.Detectie en ‘policy enforcement’vinden op meerdere puntenplaats.• ‘Data-at-Rest DLP’, waarbij de detectiezich richt op de statische data inbijvoorbeeld databases en op endpoints.Hoewel de productcategorie DLP al heelwat jaren oud is, staat het bij de meesteorganisaties nog niet heel hoog opde agenda. Met name aan ‘Data-at-RestDLP’ – de variant die zich richt op de statischedata – wordt nog weinig waardegehecht. Toch is het echter wel degelijkvan belang om inzicht te krijgen in waarbedrijfsgevoelige informatie wordt opgeslagenen wie er toegang toe heeft. Opdie manier wordt de kans verkleind datdata met behulp van een usb-stick buitende organisatie worden gebracht.MELDPLICHT DATALEKKENDe meldplicht datalekken - die na behandelingdoor de Tweede en laterEerste Kamer vermoedelijk in 2015 vankracht zal worden - is een toevoeging opde Wet bescherming persoonsgegevens(Wbp). De meldplicht legt ‘verantwoordelijkenvoor de verwerking van persoonsgegevens’- zowel in de publiekeals private sector - de verplichting opom ‘doorbrekingen van de getroffenmaatregelen ter beveiliging van persoonsgegevens’te melden bij het Collegebescherming persoonsgegevens(CBP). In de meeste gevallen moet naasthet CBP ook de betrokkene worden ingelichtals de inbreuk ‘ongunstige gevolgenzal hebben voor diens persoonlijkelevenssfeer’. Als aan deze verplichtingenniet wordt voldaan, kan een ‘bestuurlijkeboete’ worden opgelegd van maximaal450.000 euro.10Rémon Verkerk.SECURITY-AWARENESSOm ‘onopzettelijk lekken’ tegen te gaan,is het ook van belang om de security-awarenessvan de gebruikers te verhogen.Zo is er bij het verkeerd adresserenvan een e-mail doorgaans ook geenkwade opzet in het spel. Ook worden documentendoorgaans niet uit kwade wil ineen file sharing-omgeving zoals Dropboxof OneDrive geplaatst. De meeste gebruikerszijn zich simpelweg niet bewustvan de risico’s. Afgelopen zomer - toenbekend werd dat talloze naaktfoto’s vandiverse Hollywood-beroemdheden vermoedelijkvan Apple’s iCloud waren gejat- werd helaas maar weer eens duidelijkdat de beveiliging van dergelijke omgevingennog wel eens te wensen overlaat.Van een ‘doorbreking’ kan sprake zijn alstechnische en organisatorische beveiligingsmaatregelenniet hebben gefunctioneerd,maar ook als bijvoorbeeld eenlaptop of smartphone met gevoelige gegevenswordt gestolen uit een afgeslotenlocker. De meldplicht zelf zegt niets overde maatregelen die een verantwoordelijkemoet treffen voor de beveiliging vanpersoonsgegevens. Daarvoor wordt verwezennaar de ‘beveiligingsverplichting’zoals die staat omschreven in artikel 13van de Wbp. Deze bepaling verplicht deverantwoordelijke om ‘passende technischeen organisatorische maatregelenten uitvoer te leggen om persoonsgegevenste beveiligen tegen verlies of enigevorm van onrechtmatige verwerking’.EUROPESE MELDPLICHTOverigens is het nog maar de vraag hoeGebruikers die met vertrouwelijke datawerken, moeten bewust worden gemaaktvan de risico’s zodat er twee keer wordtnagedacht voordat er een document naarbuiten wordt gestuurd. Een DLP-oplossingkan helpen bij het creëren van datbewustzijn, bijvoorbeeld door het sturenvan een melding naar de gebruiker.‘Weet u zeker dat u dit wilt versturen?’Het voorkomen van ‘opzettelijk lekken’van data zal in alle situaties lastig blijven,zelfs als er sprake is van een continuemonitoring van de beveiliging en denoodzakelijk maatregelen zijn geïmplementeerd.Zo is het niet (of nauwelijks) tevoorkomen dat iemand met zijn mobieletelefoon een foto maakt van zijn schermen de afbeelding verstuurt. Een dergelijkevorm van diefstal zal de organisatieechter niet op een boete van 450.000euro komen te staan, aangezien het hierniet gaat om een inbreuk op de getroffenbeveiligingsmaatregelen.Rémon Verkerk is Product Manager bijMotivHet voorkomen van‘opzettelijk lekken’ vandata zal in alle situatieslastig blijvenlang de Nederlandse meldplicht datalekkenvan kracht zal zijn. Op 25 januari2012 heeft de Europese Commissieeen voorstel gepresenteerd voor een‘Algemene verordening gegevensbescherming’die de richtlijn 95/46/EG endaarmee ook de Wbp zal vervangen.De beoogde verordening legt strengereprivacyregels op aan organisaties enbedrijven die gegevens van Europeanenverwerken. Verder komt er een strengeretoestemmingseis voor het gebruik vanpersoonsgegevens. Gegevens mogenalleen worden gebruikt voor het doelwaarvoor ze verzameld zijn en wordenopgeslagen gedurende de toegestanebewaartermijn. De nieuwe verordening– die naar verwachting niet eerder danin 2016 in werking zal treden – zal ookeen nieuwe meldplicht voor datalekkenbevatten.Thru side panel for Microsoft OutlookMFT: more than File SharingFile-based AutomationNon-RepudiationExperts inManagedAd Hoc MFTPCI CompliantIntegrated Global File exchange with SalesforceSeamless Enterprise IntegrationTransport Encryption(“Data-in-Transit”)Automate, Integrate and Control Secure File TransferExperts in Managed File Transfer Software and Solutions!OpenPGPMobile File TransferOWASPComprehensive File Transfer for the EnterpriseVIACLOUD BV • BEECH AVENUE 54 • 1119 PW SCHIPHOL-RIJK • THE NETHERLANDSINFOSECURITY MAGAZINE - NR. 4 - OKTOBER 2014 11+31 (0)20-6586421 • WWW.VIACLOUD.NL • INFO@VIACLOUD.NLB2B MFTFile TransferSoftware and Solutionsfor the Enterprise!Secure ManagedFile TransferIntegration and Programmatic File Transfer


TRUSTED DIGITAL IDENTITY SYMPOSIUM 2014‘DE BETROUWBAARHEIDSTAAT TER DISCUSSIE’In 2017 moet het contact tussen burger en overheid volledig digitaal zijn ingericht, zo is in iedergeval de ambitie van het huidige kabinet Rutte II. Ondertussen maakt diezelfde burger zichsteeds grotere zorgen of zijn ‘digitale identiteit’ wel veilig is. “Identiteitsfraude is een serieusprobleem”, aldus Wilma van Dijk, directeur Cyber Security bij de Nationaal Coördinator Terrorismebestrijdingen Veiligheid (NCTV).Van Dijk deed deze uitspraak tijdens hetTrusted Digital Identity Symposium 2014,een door Vasco Data Security georganiseerdevenement dat op 11 septemberplaatsvond in Maarssen. Om aan te tonenwat de gevolgen kunnen zijn van identiteitsfraude,toonde de directeur CyberSecurity een filmpje van ‘Safe internetbanking.be’.Hierin wordt de identiteitvan hoofdrolspeler ‘Tom Degroote’ middelsphishingmails, neptelefoontjes enhet vergaren van informatie op socialmedia overgenomen door een hacker.Aan het einde van het filmpje slaagt dezehacker erin om bij ‘onze Tom’ een kostbareharp af te laten leveren die hij nooitheeft besteld.Van Dijk haalde ook het voorbeeld aanvan Ted Kennedy - tot aan zijn dood in2009 senator van de staat Massachusetts- die in 2004 tot vijf keer toe de toegangtot een vliegtuig werd ontzegd omdat zijnnaam voor zou komen op een lijst metterreurverdachten. “Achteraf bleek datiemand anders zich bediende van zijnidentiteit.”GEZAMENLIJKE AMBITIE“De betrouwbaarheid van de digitaleidentiteit is een zeer heikel onderwerp”,zo constateerde keynotespreker RobbertHoeffnagel, hoofdredacteur vanInfosecurity Magazine. “Na een helereeks aan beveiligingsincidenten makenburgers zich zorgen. Dan kan ministerOpstelten wel met zijn zware basstemzeggen dat het allemaal veilig is, maariedereen merkt dat het anders zit. De betrouwbaarheidstaat ter discussie.”Als het aan Van Dijk ligt, komt daar snelverandering in. “Onze ambitie is om leidendte zijn op het gebied van cybersecurity.”Volgens Van Dijk hebben burgers,private partijen en overheid eengezamenlijke verantwoordelijkheid omdie ambitie, die is neergelegd in het ‘Actieprogramma2014-2016’, te realiseren.“Burgers moeten weten wat cyberhygiëneis, private partijen hebben een zorgplichten de overheid moet faciliteren.”NEDERLANDSE EIDEen voorbeeld van de faciliterende rolvan de overheid is het goed inrichtenvan de ‘elektronische ID’. De ‘eID’ is deopvolger van de DigiD ‘die niet sterk genoegwas’, zo vertelde cryptograaf EricVerheul die betrokken is bij het NederlandseeID-programma. “Doel is om ietsneer te zetten waar niet alleen de overheidmaar ook de private sector iets aanheeft. Bij het publiek is het besef doorgedrongendat een inlog met gebruikersnaamen wachtwoord niet meer afdoendeis; situaties zoals naaktfoto’s die uitlekkenkunnen niet blijven bestaan. Een organisatieals Thuiswinkel.org heeft weer behoefteaan een stelsel waarmee niet alleende identiteit kan worden vastgesteld,maar ook of personen wel of geen 18 jaaroud zijn.”In deze visie kon beleidsmedewerkerElaine Oldhoff van Thuiswinkel.org zichhelemaal vinden. Volgens Oldhoff zijnklanten eerder geneigd om informatiete delen als ze zelf de controle hebbenover hun privacy. “Het eID-stelsel is eengoede manier om transparantie en controlete bieden. Ook hopen we dat deleeftijdsverificatie (bijvoorbeeld bij deaanschaf van alcoholhoudende dranken,red.) wordt opgelost met de eID.”PRIVACY EN CONTROLEBinnen eID worden er meerdere maatregelengenomen om de gebruikerde privacy en controle te bieden waarOldhoff het over had. Om te voorkomendat bijvoorbeeld een webwinkel teveelinformatie ontvangt over de bezoeker -en kan gaan ‘profilen’ - geeft eID een metcryptografie gegenereerde ‘pseudoID’door. “Optioneel kun je attributen toevoegen,zoals een geboortedatum als datnodig is voor de aanschaf van een product”,aldus Verheul. De webwinkel krijgtniet de exacte leeftijd door maar alleenof iemand wel of geen 18 jaar oud is bijvoorbeeld.Ook zijn het niet langer de organisatiesdie bepalen hoe een gebruiker zich aanmeldt,maar de gebruiker zelf. “Het nieuweeID gaat uit van multi-token supporten de gebruiker bepaalt van welk tokenhij gebruikmaakt”, aldus Verheul. “Welktoken je ook gebruikt, je komt altijd opdezelfde plaats uit. Organisaties profiterenzo van elkaars sterke middelen.” Eenbelangrijk uitgangspunt daarbij is dat eIDzoveel mogelijk de bestaande authenticatiemiddelenhergebruikt. “Het is nooitons idee geweest om een ‘DigiD-kaart’ inte voeren als enige authenticatiemiddel.”BELGISCHE EIDTijdens het TDI-symposium passeerdenmeerdere tokens de revue die mogelijkkunnen worden gebruikt voor eID-authenticatie.Zo presenteerde George Poel,bij Rabobank Nederland Adviseur InformationSecurity & Risk Management, denieuwe ‘Rabo Scanner’ voor internetbankierendie in 2015 naar alle klanten wordt‘uitgerold’. Op een vraag uit de zaal of hetnieuwe apparaatje in de toekomst mogelijkook kan worden gebruikt om via eIDin te loggen op de dienstverlening vanderde partijen, moest Poel echter het antwoordschuldig blijven.‘Het eID-stelsel is een goedemanier om transparantie encontrole te bieden’Door de aansluiting op het EuropeseeIDAS - Electronic Identification and Signature(Electronic Trust Services) - moethet in ieder geval wel mogelijk zijn omhet Nederlandse eID-stelsel te gebruikenin combinatie met bijvoorbeeld de BelgischeeID-kaart. Deze elektronische identiteitskaartis al sinds 2003 in gebruik. “Alin 2002 hebben wij de wagen genomennaar Nederland, want daar liep toen eenproject over eID”, merkte Frank Leymanvan de Federale Overheidsdienst Informatie-en Communicatietechnologie (Fedict)bijna vilein op. “Wij zijn toen maarbegonnen want jullie hadden blijkbaariets langer de tijd nodig.”“In tegenstelling tot in Nederland doenwij het wel met één systeem en éénkaart”, constateerde Leyman. “Het is eensleutel om deuren te openen, maar ookom toegang te krijgen tot de plaatselijkemilieustraat, de disco, de bibliotheekof de drankautomaat met bier. In onlinemodus kun je er bijvoorbeeld aangiftesmee doen of bedrijfsinformatie mee opvragen.”“Ik gebruik mijn eID vooral voor het ondertekenenvan documenten”, verteldeJos Dumortier, die als professor ICT-rechtis verbonden aan de Katholieke UniversiteitLeuven. Dumortier raakte daarmeeeen actueel onderwerp aan: het Europesewettelijke kader voor elektronischehandtekeningen dat stelt dat een ‘gekwalificeerdeelektronische handtekening’gelijkstaat aan een geschreven handtekeningop papier. Dit kader bestond inDOOR FERRY WATERKAMPde vorm van een richtlijn maar heeft nu ingewijzigde (ruimere) vorm de status gekregenvan een verordening die in septemberin werking is getreden. “Ik vraagme echter af of we nu niet regelgevingbedenken voor iets wat al lang achterhaaldis. Een handtekening behoort tochvooral toe aan de wereld van papier enhaal je te voorschijn bij een dispuut. In dedigitale wereld gaat het erom dat we systemenbouwen waarmee het makkelijk isom te achterhalen wat er is gebeurd.”ONTNUCHTERENDNa de verschillende presentaties overeID-stelsels en tokens borrelde tijdensde discussies de vraag op of er niet teveelnadruk ligt op de burger die zijnidentiteit moet bewijzen. “Maar hoe weetje als burger dat je ook echt tegen eenoverheidssite zit te praten”, zo vroeg eenvan de aanwezigen zich af. Het meestontnuchterende antwoord op die vraagkwam misschien wel van Maria Genova,columniste en auteur van het boek ‘Komteen vrouw bij de h@cker’. “Er is geenenkel veilig systeem, dat wordt keer opkeer bewezen. En wie denkt dat de burgerwel voor zijn eigen veiligheid zorgt,is naïef.”Ferry Waterkamp is freelance journalist12INFOSECURITY MAGAZINE - NR. 4 - OKTOBER 2014 13


IT SECURITY IS GEEN IT-FEESTJE MEER, MAAR SERIEUZE BOARDROOMDISCUSSIEDOOR HANS VANDAMManaging director Pieter Lacroix vanSophos kondigde hem enthousiast aan:James Lyne, niet zomaar een spreker,maar een fenomeen. Volgens eigen zeggeneen ‘geek’ die bezeten is van technologie.Met branie legt Lyne elke kwetsbaarheidin de digitale wereld bloot. Hij iseen hacker met een nobel motief: ‘I takethe security threat as a direct affront to thepurpose of the web.’ Het publiek hing danook direct ademloos aan zijn lippen, toenLyne vertelde over Warbiking, zijn persoonlijkekruistocht tegen de onveiligedraadloze wereld. Op een speciaal geprepareerderacefiets met wifi-scanners,accesspoints en GPS-ontvangers toerdeLyne onlangs door Londen en San Franciscoom aan te tonen hoe onveilig openwifi-netwerken zijn. Binnenkort is Amsterdamaan de beurt.JAMES LYNESTEELT DE SHOWTIJDENS SOPHOS DAYToeval of niet, de timing van Sophos Day was perfect. Terwijl James Lyne, Global Head ofSecurity Research bij Sophos, in DeFabrique in Utrecht moeiteloos de aandacht vasthield meteen aantal live hacks, gaf minister Hennis-Plasschaert elders het startschot voor het DefensieCyber Commando. De Nederlandse krijgsmacht gaat infiltreren in digitale systemen van derden.Kortom: de cyberoorlog woedt op alle fronten.In zijn openingsspeech ruimde Lyne eenwijdverbreid misverstand uit de weg. Bijeen geïnfecteerde computer wijst menal snel met een beschuldigende vingernaar de gebruiker. ‘Je zult wel pornositeshebben bezocht’. In werkelijkheid wordt86 procent van de malware verspreiddoor bonafide websites van bonafidebedrijven. Spectaculair waren de livehacks die Lyne aan het eind van de middaggaf. Lyne liet zien hoe kwetsbaar demicrofoonfunctie op een Android mobieletelefoon is. Als je eenmaal de controleover het apparaat hebt, kun je vertrouwelijkegesprekken op afstand afluisteren.Ook BitCoins-tegoeden zijn niet veiligvoor cybercriminelen, zo demonstreerdeLyne. Goedkope, maar ook dure, slechtbeveiligde CCTV-camera’s in de openbareruimte kunnen een dankbare inkomstenbronzijn voor cybercriminelen.Door een dergelijke camera te hacken,kun je bijvoorbeeld op afstand inzoomenop een persoon die binnen in een benzinestationnet op het punt staat zijn pincodein te toetsen.IOTMet de komst van The Internet of Things(IoT) ontstaat volgens Lyne een nieuwegoudmijn voor cybercriminelen. ‘If youcan connect to it you can own it’, metandere woorden: elk apparaat is danin principe te hacken. Zo zijn er al honderdduizendenspammails verstuurdvia de inlogggevens van bijvoorbeeldsmart televisies en een met het internetverbonden koelkast. De huidige computervirussenen trojaanse paarden zijn ontworpenom data te stelen, je te bespiedenvia je eigen webcam, of miljoeneneuro’s te stelen. Sommige kwaadaardigescripts richten zich zelfs op energievoorziening,nutsbedrijven en infrastructuur.Niet voor niets staat Infosecurity dit jaarin het teken van The Internet of Things.Netwerkbeveiliging is daarom essentieelom bijvoorbeeld te voorkomen dat cybercriminelende communicatie tussenhet apparaat en de server kunnen onderscheppenen op die manier data stelen.SOPHOS CLOUDHarm van Koppen, channel account executivebij Sophos, ging uitgebreid in opSophos Cloud, een nieuwe dienst vanSophos die net zijn eerste verjaardagheeft gevierd. Logisch dus dat er vanuitde zaal de nodige vragen werdengesteld. Sophos Cloud is de nieuwe securitydienstdie gebruikers essentiëlebescherming biedt tegen hedendaagsebedreigingen. De dienst is vooral gerichtop organisaties die een simpeler aanpakvan IT-beveiliging zoeken. Security madesimple. Gebruikers kunnen veilig werken,ongeacht de plaats waar ze zich bevinden,via de cloudgebaseerde dienst.‘Klanten die naar de cloud overstappenhebben geheel eigen wensen. Om aandie wensen te voldoen heeft Sophos ervoorgekozen om juist niet de bekendeon-premise oplossing naar de cloud teverhuizen maar juist een frisse nieuweomgeving op te zetten. Daarnaast blijftSophos investeren in zijn on-premise securitysoftware’, zo benadrukte Van Koppen.SECURITYMANAGEMENT 3.0‘We leven in een wereld waar grootmachten,terroristen, beroepscriminelen,cybervandalen, hackers en gefrustreerdeex-werknemers uit zijn op uw kroonjuwelen’,zo waarschuwde Ernst-JanZwijnenberg, unitmanager ICT Securitybij Hoffmann Bedrijfsrecherche. Onderhet motto Securitymanagement 3.0 presenteerdehij enkele cijfers. De totaleschade als gevolg van cybercrime wordtalleen in Europa al geschat op jaarlijks290 miljard euro, meer dan er in de wereldwijdedrugshandel om gaat. In Nederlandverdampt 1,5 procent van hetbruto nationaal product als gevolg vancybercrime. Dat is onnodig, want het merendeelvan de incidenten kan volgensZwijnenberg eenvoudig worden voorkomenindien hard- en software bijgewerktzijn met de laatste upgrades. Bij HoffmannBedrijfsrecherche, die een tevredenklant is van Sophos, weten ze al jarendat medewerkers zowel de zwakste alsde sterkste schakel zijn in de strijd tegencybercrime.SYNOLOCKERDe praktijkvoorbeelden liggen voor hetoprapen. De diefstal van 56 miljoen creditcardsbij het Amerikaanse Home Depotis nog vers, net als de nieuwste kwetsbaarheidShellshock in Linux en OS X.Cybercriminelen trekken zich niets aanvan grenzen. Ook Nederlandse ondernemersen particulieren werden onlangsslachtoffer van Synolocker, een vorm vanransomware. NAS-systemen met een internetkoppelingwerden gegijzeld en pasweer vrijgegeven als losgeld werd betaald.De malware versleutelt de bestandenop de NAS en eist een betaling van200 BitCoins om de sleutel te verkrijgenwaarmee de bestanden weer ontsleuteldkunnen worden. Er rest vaak niets andersdan de criminelen te betalen. Om geenslachtoffer te worden van Synolocker adviseertHoffmann om de Synology NASniet met het internet te laten verbinden,steeds de laatste versie firmware op deNAS te installeren en regelmatig eengoede back-up te maken en deze offlinete bewaren.KROONJUWELENZwijnenberg constateerde verder datIT-security gelukkig steeds meer eenserieuze boardroomdiscussie wordt inplaats van een IT-feestje. Het is zaak omde kroonjuwelen van het bedrijf te benoemenen te beschermen, of het nu gaatom klantenbestanden of om intellectueleeigendommen. Security by designen privacy by design zijn volgens hemrandvoorwaarden om de bedreigingenvanuit cyberspace in de toekomst hethoofd te kunnen bieden. Hij sloot af metenkele tips. Ga ervan uit dat uw organisatiewordt gehackt, het is slechts nog devraag wanneer. Richt een incident responsproces in. Laat regelmatig een riskassessment uitvoeren. Maak gebruik vanactieve monitoring en adequate logging.Tot slot: laat de IT-infrastructuur periodiektoetsen en testen door specialisten zoalsSophos.Managing director van Sophos, PieterLacroix, sloot de bijzonder geslaagdeSophos Day af met een oproep om tochvooral Infosecurity 2014 te bezoekenop 29 en 30 oktober aanstaande in deUtrechtse Jaarbeurs, waar James Lyneeen keynote zal verzorgen voor degenendie Sophos Day helaas hebben gemisten waar hij tevens de resultaten van WarbikingAmsterdam presenteert. Tevensnam hij al een voorschot op de dertigsteverjaardag van Sophos die volgend jaargevierd zal worden.14INFOSECURITY MAGAZINE - NR. 4 - OKTOBER 2014 15


ONDERZOEK VAN TREND MICRO:NEDERLANDIN TOP 3 LANDENHOSTING MALAFIDE URL’SWAT BETEKENT HET INTERNET OF EVERYTHING VOOR UW ORGANISATIE?DOOR TONNY ROELOFSUit onderzoek van Trend Micro, specialist op het gebied van beveiligingssoftware, blijkt datNederland in het tweede kwartaal van 2014 populair is als het gaat om het hosten van malafideURL’s. Ons land staat daarmee op een gedeelde tweede plek met onder andere China en Rusland.Het onderzoeksrapport laat daarnaast zien dat Nederland ook behoort tot de tien landenwereldwijd met het hoogste aantal Botnet C&C-servers en Botnet-connecties.Het aantal malafide URL’s dat werd gehostin Nederland groeide van 24 miljoenin het eerste kwartaal van 2014, naar 31miljoen in het tweede kwartaal. Dat is eengroei van bijna 30 procent. In april verdubbeldehet aantal gehoste malafideURL’s zelfs. Hiermee staat Nederland opeen gedeelde tweede plaats van landendie malafide URL’s hosten.GROOTSTE AANTAL C&C-SERVERSNaast dat Nederland in het rapport wordtgenoemd als een van de landen met demeeste botnet-connecties, staat Nederlandook in deze top 5 als het gaat omhet grootste aantal Botnet Command andControl (C&C)-servers.De meerderheid van deze C&C-domeinenzijn verbonden met ofwel ZeuS bankingmalware of Cryptoplocker ransomware.Zeus-Servers staan er om bekendgecompromitteerde servers te gebruikenals C&C-server. Cryptolocker-variantendaarentegen gebruiken juist elkedag nieuwe C&C-domeinen om zo tevoorkomen dat ze worden geblokkeerd.Tonny Roelofs, country manager TrendMicro Nederland: “We zien de afgelopentijd een groot aantal DDOS-aanvallenbij Nederlandse banken. Deze aanvallenworden uitgevoerd door middel vanbotnets. We kunnen in onze bevindingenechter geen direct verband zien tussenhet grote aantal botnet-connecties en botnetC&C-servers in Nederland en dezeDDOS-aanvallen. De botnets die wordengehost in Nederland zijn namelijk vooralgerelateerd aan ZeuS en Cryptolockeren die zijn beide niet verantwoordelijkvoor DDOS-aanvallen. Het zou dus zelfszo kunnen zijn dat je op basis van onzefeiten en cijfers kunt concluderen dat deaanvallen van buiten Nederland komen,maar dit zijn echter in deze fase nog speculaties.”DRIE KEER ZO VEEL ADWAREEr is meer adware, dan malware aanwezigin Nederland. Het aantal soorten adwarein Nederland is drie keer zo grootdan het aantal malware-detecties in hettweede kwartaal van dit jaar. Opvallend isdat er minder DOWNAD-infecties warenin Nederland, dit komt mede door het feitdat Microsoft is gestopt met de supportvan Windows XP. Het feit dat deze malwareechter nog steeds in de top 10 vanmeest voorkomende malware staat, geeftaan dat er nog steeds veel verouderdesystemen, zoals Windows XP, worden gebruiktdoor veel Nederlandse organisaties.OVERHEID BELANGRIJKDOELWITDe overheid blijft ook in het tweedekwartaal van 2014 veruit het belangrijkstedoelwit van cybercriminelen. Ruim 81procent van de gerichte aanvallen richttezich op overheidsinstanties in het tweedekwartaal van dit jaar. Dit is een stijging tenopzichte van het eerste kwartaal van ditjaar waarin 76 procent van de geavanceerdegerichte aanvallen (APT’s) wasgericht op de overheid.TIPS EN CYBERCRIME-ACHTERGRONDENMeer weten over cybercrime, beveiligingvan de cloud en mobile security?Bezoek dan de blog van Trend Micro,speciaal voor Nederlandse IT-specialistenen andere geïnteresseerden incybercrime en security. Op de bloggeeft het lezers tips, handvatten enachtergronden, bijvoorbeeld overhoe om te gaan met het einde van deondersteuning van Windows XP. Blog.trendmicro.nl publiceert wekelijksinteressante blogs en houd je op dehoogte van al het security-nieuws.Voor velen van ons is het ‘Internet ofeverything’ (IoE) een soort wereld van detoekomst waarin allerlei soorten connecteddevices ons leven veilig, gemakkelijkeren productiever maken. Niet voorniets hebben veel CIO’s deze signalenopgepakt en bekijken ze op dit momentde mogelijkheden voor hun bedrijf. Eris alleen een belangrijk probleem datwe eerst ook kenden met smartphones.Veel van deze apparaten zijn namelijkniet ontworpen voor gebruik in het bedrijfsleven.Vaak zijn de apparaten nietstevig genoeg en al helemaal niet getestvolgens de security-standaardenvan de betreffende organisatie. Tochzullen deze apparaten ongetwijfeld ookhun weg vinden naar een bedrijf. U kunten wilt immers niet al uw medewerkerscontroleren op deze gadgets voordat zehet bedrijf binnenlopen en waarschijnlijkook nog eens verbinding gaan makenmet het bedrijfsnetwerk.SECURITY GEEN PRIORITEITBedrijven die IoE-apparaten maken,ontwikkelen deze producten vaak voorcommerciële doeleinden en dus om zoveelmogelijk te verkopen. En geef zeeens ongelijk, dat is het bestaansrechtvan alle commerciële organisaties. Erzijn maar weinig fabrikanten die veelaandacht geven aan security omdat nogweinig consumenten hier echt om vragen.Recentelijk werd Nest, een smartdevice-producent die onlangs werdovergenomen door Google, gedwongen400.000 rookmelders terug te roepennadat er een bug werd ontdekt waardoormensen hun rookmelder per ongeluk uitkonden zetten. En vanuit security-oogpuntwordt dit nog interessanter als uzich bedenkt dat Google ook de leverancieris van het meest onveilige mobieleecosysteem dat er is, namelijk Android.WAAR BLIJFT DE INFORMATIE?Een bijkomend probleem is namelijk datbijna alle informatie op de smart deviceswordt doorgestuurd naar het hoofdkantoorvan de leverancier. En dat het vaakheel onduidelijk is wat daar precieswordt opgeslagen en hoe deze informatiewordt beveiligd. Weet u bijvoorbeeldwelke informatie er vanaf uw slimmeprinter wordt teruggestuurd naar hethoofdkantoor van de leverancier in deVerenigde Staten? En hoe zit dat metde videoconferencing apparatuur in deverschillende kantoren? KlokkenluiderEdward Snowden maakte menig organisatienerveus met zijn onthullingen vande NSA, en niet voor niets want er zijngewoon genoeg redenen om waakzaamte zijn.TIPS OM VOORBEREID TE ZIJNMaar wat kunnen CIO’s doen om dezepotentiële risico’s voor de waardevollebedrijfsdata te minimaliseren? Ten eersteis het belangrijk te weten dat de risico’sop dit moment nog redelijk kleinzijn. Daarentegen groeit het aantal slimmeinternet-connected apparaten snelen zijn er waarschijnlijk al wel een aantalte vinden in uw organisatie. Het is belangrijkdat een weloverwogen en goeduitgedacht plan wordt gemaakt als hetgaat om deze nieuwe apparaten in uworganisatie. En wees daarbij nu al bijzonderkritisch op de zaken die wellichtin de nieuwe EU-wetgeving over databeschermingkomen te staan. Dan is hetnog zaak te gaan zitten met alle facilitaireteams om te bespreken dat alle nieuween ook huidige apparaten moeten voldoenaan de opgestelde eisen.Dat kost inderdaad tijd, en dat terwijlelke CIO een enorme lijst van to do’sheeft. Echter is dit er wel één om op deprioriteitenlijst te zetten. Als u nu geenactie onderneemt zult u zich binnenkortwaarschijnlijk zelf ineens realiseren datde effectiviteit van uw organisatie grotendeelsbepaald wordt door bedrijfskritische,maar helaas vaak ongetesteconsumenten gadgets. Deze dan pasverwijderen en vervangen kost veel teveel capaciteit, geld en ergernis.Tonny Roelofs is Country Manager vanTrend Micro Nederland18INFOSECURITY MAGAZINE - NR. 4 - OKTOBER 2014 19


TSTC BRENGT LIVE SEMINARS OP INFOSECURITY 2014:Opleider TSTC - voluit Tshukudu TechnologyCollege - is een Nederlandse specialistin compacte (IT) security trainingen.Op de Infosecurity-beurs communiceerthet bedrijf een heldere, maar vooral ookandere boodschap: security start bijmensen.SECURITYBEGINT BIJ MENSENWie een rondje over de jaarlijkse Infosecurity-beurs wandelt en niet beter zou weten, zouzomaar tot de conclusie kunnen komen dat een effectieve bescherming tegen cybercrime tekoop is per doos. Even (laten) configureren, lampjes controleren en u en uw directie kunnenweer rustig slapen. De werkelijkheid is echter anders. Het aantal incidenten op het gebied vanIT-security neemt sterk toe. Criminelen, maar ook vijandige overheden bedenken steeds weernieuwe technieken om duurbetaalde appliances ongemerkt te omzeilen. Het gevolg is een wapenwedloopwaarin u als verdedigende partij waarschijnlijk aan het kortste eind trekt. VolgensTSTC moet security anders worden aangepakt.Deze boodschap betekent niet dat er bijinformatiebeveiliging geen technischeoplossingen nodig zijn. Waar het echterom gaat is dat organisaties prioriteitzouden moeten geven aan het verhogenvan het kennisniveau van de individuelemedewerker als het om security gaat. Dekern is dat het uiteindelijk mensen zijndie beleid bedenken en controleren. Hetzijn mensen die techniek implementerenen monitoren. Net als het mensen zijn dievatbaar zijn voor bijvoorbeeld social engineering.De ervaring leert dat consequentinvesteren in training en opleidinger voor zorgt dat de kosten die gemaaktmoeten worden voor het beveiligen vande organisatie per saldo omlaag gaan,terwijl de effectiviteit van de security-aanpakjuist omhoog gaat.SECURITY- EN PRIVACY-TRAININGENTSTC is dit jaar voor de negende keer oprij aanwezig op Infosecurity. Niet met 150vierkante meter standruimte vol uiterlijkvertoon, maar met ruimte en tijd voor eengoed gesprek over opleiden, certificerenen persoonlijke ontwikkeling. Of u nu zelfop zoek bent naar een training of de kennisvan uw medewerkers naar een hogerplan wilt tillen, er zijn namelijk tal van mogelijkheden.Het volledige security- en (sinds dit jaar)privacy-opleidingsprogramma van TSTCbevat vandaag de dag veertig, meestvendor-onafhankelijke, titels - met of zondercertificering. In veel gevallen zijn cursistenniet langer dan drie tot vijf dagenvan hun werkplek afwezig en wordt detraining indien van toepassing afgeslotenmet het bijbehorende examen. Maatwerkbehoort eveneens tot de mogelijkheden,bijvoorbeeld in gevallen waarin behoeftebestaat aan meer diepgang op een specifiekterrein of een op de eigen situatietoegespitste, verkorte training.SEMINARS OP DE BEURSOok wanneer u niet direct van plan benteen training te volgen is het dit jaar demoeite waard om de TSTC stand te bezoeken.Internationale topsprekers pratenu gedurende de dag in aantrekkelijke,informele presentaties bij over diverse,actuele security thema’s.HET PROGRAMMA OP DE STAND(D153) IS BEIDE EXPO DAGEN ALSVOLGT:10.15 Duane AndersonHeartbleed vs vSphere 5.511.15 Wayne BurkeNew Hacking Technologies - incl. GoogleGlass demo12.15 Martin KnoblochPentester gezocht? - the Do’s and Don’ts13.30 Duane AndersonHeartbleed vs vSphere 5.514.30 Wayne BurkeEvil is here - New technologies in evilhands!15.30 Martin KnoblochPentester gezocht? - the Do’s and Don’tsOp www.tstc.nl/infosecurity vindt u meeruitgebreide informatie over de presentatiesen sprekers.OVER TSTCAl in 2005 onderkende TSTC dat security-trainingniet voorbehouden zoumoeten zijn aan technische vendors alsCisco, Microsoft of Checkpoint. Sindsdie tijd is de opleider uitgegroeid tot déNederlandse specialist in onafhankelijketrainingen op de terreinen informatiebeveiliging,IT-security en privacy.Een training bij TSTC voldoet altijd aande volgende eisen:• een klassikale kwaliteitstraining vaneen praktijkervaren didactisch vaardigetrainer• een huiselijke maar ook professionelesfeer• een duidelijke meerwaarde bovenzelfstudie.Dit uit zich bij de technisch georiënteerdetrainingen in uitdagende hands-onpraktijklabs waar in tactische en strategischetitels veel aandacht is voor discussieen interactie. Het belangrijkste doelvan een training is dat professionals metdirect toepasbare, nieuwe kennis terugkerenop hun werkplek.Toch is voor veel deelnemers en organisatieshet behalen van een certificeringook van belang. Zonder er een examentrainingvan te maken, worden cursistenbij TSTC zodanig opgeleid dat de kansvan slagen voor het examen (indien vantoepassing) zeer groot is. Dankzij deslagingsgarantie is men er van verzekerddat bij onverhoopt zakken voor eenexamen men kosteloos opnieuw aan eentraining mag deelnemen of zelfs zonderkosten opnieuw examen mag doen.U vindt TSTC 29 en 30 oktober opInfosecurity-beurs, stand D153.20INFOSECURITY MAGAZINE - NR. 4 - OKTOBER 2014 21


INFORMATIE: ALTIJD EN OVERALDOOR GERARD STROEVEINFORMATIEBEVEILIGING ALSBUSINESS ENABLERIn een wereld waarin alles en iedereen met elkaar in verbinding staat, groeit het besef dat hetbeveiligen van gegevens essentieel is. Snelle, door technologie gedreven, ontwikkelingen alsconsumerization of IT, mobiele devices, the Internet of Things en cloud computing vragen omgerichte aandacht voor de bescherming van informatie. Daarnaast zorgen de beveiligingsincidentenvan de afgelopen jaren ervoor dat het onderwerp zich bij veel organisaties aandient. Debehoefte aan een gedegen beleid en bewustzijn rondom het beveiligen van gegevens wordtbovendien gesterkt door toenemende wet- en regelgeving. In dit artikel schetst Centric security-expertGerard Stroeve zijn visie op informatiebeveiliging en de waardevolle rol die securitykan vervullen binnen organisaties.Niet alleen op technologisch, maar ookop sociaal niveau lijkt de waardebelevingrond informatie te veranderen. Door hetgemak en de snelheid waarmee we inons dagelijks leven gegevens met elkaarkunnen uitwisselen, realiseren we onsniet altijd waar en onder welke voorwaardenwe onze informatie opslaan en wieer toegang toe heeft. Kleine lettertjes vangratis clouddiensten worden niet door iedereengelezen. Deze IT-gemakken zienwe echter ook steeds vaker terug in hetbedrijfsleven. Het eens zo stevige IT-fortkan zich niet in hetzelfde tempo weren tegende toenemende dreigingen. In dezenieuwe, open wereld moet er daarommeer expliciete aandacht komen voor informatiebeveiliging.BREDER DAN ITHet bewustzijn neemt toe dat de nieuwetechnologieën niet altijd in lijn zijnmet hoe veilig wij onze gegevens willenopslaan. Hierin is een tweetal nuancesbelangrijk. In de eerste plaats moetenwe beseffen dat, hoewel het bewustzijngroeit, de noodzaak omtrent informatiebeveiligingzelf in de basis niet is veranderd.Tien of zelfs honderd jaar geledengold al: we zijn zelf verantwoordelijk voorhet waarborgen van informatie, in allevormen. Dat is ook meteen de tweedekanttekening die we plaatsen bij dit onderwerp:hoewel de aandacht voor securityvooral het gevolg is van de snelle,IT-gerelateerde ontwikkelingen, is informatiebeveiligingop zichzelf veel brederdan IT. Een succesvolle informatiebeveiligingsstrategieomvat alle vormen vaninformatie. Van de digitale gegevens opservers, apparaten en andere dragerstot de analoge informatie in boeken enpapieren en de specifieke kennis in dehoofden van individuele medewerkers.VOLWASSENHEIDHet resultaat van de verhoogde aandachtvoor informatiebeveiliging is dat organisatiesgedwongen worden kritischernaar hun eigen informatiebeveiligingsstrategiete kijken. De meeste organisatieszijn onbewust al wel actief op hetvlak van security, maar vaak ontbreekteen beleid dat richting geeft aan het besluitvormingsproces.Veel organisatieszullen de volgende stap naar volwassenheidmoeten zetten en een doordachte enpraktisch toepasbare strategie voor informatiebeveiligingmoeten ontwikkelen enuitdragen.RISICOMANAGEMENTDe kracht van een goede informatiebeveiligingis dat zij aansluit bij het karakteren de waarde van de gegevens, in relatietot de risico’s. Passende informatiebeveiligingdoet nooit te weinig, maar ookniet te veel. De organisatiedoelstellingenkomen immers op de eerste plaats; debalans tussen risicomanagement en kostenefficiëntieis daarin essentieel. Om toteen passende strategie te komen, zal deorganisatie eerst uit moeten zoomen enzich de vraag stellen: “Waar willen wenaartoe?”. Op basis van die vraag eenduidelijke beleidsnotitie schrijven, werktvaak al bijzonder verhelderend. Aan dehand van ‘het grotere plaatje’ wordt hetrisicobeheersproces dat volgt een stukgestructureerder.De beveiligingseisen van de informatiewaarmee gewerkt wordt, vormen binnendat beveiligingsproces de basisvoor de keuzes die gemaakt worden.Typisch vallen die eisen in de categorieënvertrouwelijkheid, integriteit enbeschikbaarheid. Daarnaast is een risicoanalyseeen belangrijk onderdeel vanhet informatiebeveiligingsproces. Metbehulp van die analyse wordt niet alleenvastgesteld welke dreigingen er bestaan,maar ook wat de gevolgen zijn als diedreigingen werkelijkheid worden. Gezamenlijkleggen het beveiligingsbeleid,de beveiligingseisen en de risicoanalysehet fundament voor een passende informatiebeveiligingsstrategie.Idealiter gebeurtdit vanuit een integrale benaderingmet aandacht voor het hele speelveldvan informatiebeveiliging. Dit speelveldwordt beschreven in de Beveiligingskubus(zie kader).BUSINESS ENABLERGebruikers en het management zageninformatiebeveiliging vroeger wellichtals tijdrovend of vertragend op de processen.Tegenwoordig wordt echtersteeds beter duidelijk dat informatiebeveiligingorganisaties toegevoegde waardebiedt. Security is de noodzakelijkevoorwaarde om nieuwe technologieënin te kunnen zetten. Neem bijvoorbeeldmobility en thuiswerkfaciliteiten; het zijnvoorbeelden van voorzieningen die deproductiviteit, creativiteit en flexibiliteitvan organisaties en hun medewerkersflink kunnen bevorderen. Door de juistebeveiligingsvoorzieningen te treffen, kunnenze veilig worden ingezet en groeit hetvertrouwen in het gebruik ervan.Bovendien biedt een helder informatiebeveiligingsbeleidmedewerkers eenhouvast in hun dagelijkse werkzaamheden.Duidelijke afspraken over hoe er opkantoor wordt omgegaan met (gevoelige)informatie, zowel digitaal als analoogals in kennisvorm, geeft medewerkerseen gevoel van structuur en laat zien datveiligheid belangrijk wordt gevonden.Voor de beeldvorming naar buiten iseen strategie op informatiebeveiligingeveneens van toegevoegde waarde,omdat het zorgt voor een betrouwbaarimago. Sterker nog, omdat ook wij alsconsumenten bewuster worden van denoodzaak van informatiebeveiliging, verwachtenwe van onze ‘leveranciers’ eenproactieve en professionele houding tenaanzien van het onderwerp.CONTINUE AANDACHTOok als de strategie is bepaald en hetproces is ingericht, dan blijft informatiebeveiliginguw continue aandacht vragen.De wereld staat namelijk geen momentstil en roept steeds weer nieuwevragen op. Bijvoorbeeld: hoe gaat u om‘Een succesvolleinformatiebeveiligingsstrategieomvat allevormen van informatie’met de beveiliging van data op mobieledevices en welke eisen stelt u aan de opslagvan gegevens in de cloud? Jarenlangheeft de IT-afdeling er zorgvuldig voorgezorgd dat informatie veilig binnen demuren van uw organisatie bleef, maar datis tegenwoordig niet zo eenvoudig meer.22INFOSECURITY MAGAZINE - NR. 4 - OKTOBER 2014 23


INFORMATIE: ALTIJD EN OVERALNiet alleen nieuwe technologische ontwikkelingenvragen uw aandacht, maarook de steeds verder aangescherptewet- en regelgeving. In Europa wordt deEuropese Privacy Verordening voorbereid,die grote impact heeft op de wijzewaarop u privacygevoelige gegevensdient te behandelen en te bewaren. Danhebben we nog niet gesproken over deenorme creativiteit van cybercriminelen,die met onder meer DDoS-aanvallen organisatiesweten plat te leggen. Met anderewoorden, informatiebeveiliging iseen continu proces. Door het goed in terichten en er voldoende aandacht aan teschenken, wordt informatiebeveiligingDE BEVEILIGINGSKUBUSInformatiebeveiliging is voor velen eencomplexe puzzel die bovendien heelmooi in de vorm van een van de meestecomplexe puzzels, de Rubiks kubus, isweer te geven. Daarvoor plaatsten we opelk van de kubusassen één dimensie vaninformatiebeveiliging.DE VORMSteeds meer informatie is tegenwoordigdigitaal. Toch is veel informatie ook nogop andere wijze beschikbaar. Op de zijdenvan de eerste as projecteren we dediverse vormen van de informatie: digitaal,analoog en kennis.‘Security is denoodzakelijkevoorwaarde om nieuwetechnologieën in tekunnen zetten’daadwerkelijk een business enabler vooruw organisatie en bent u klaar voor (toekomstige)dreigingen.blokje vertegenwoordigt een combinatievan vorm, aspect en maatregel enspeelt zijn eigen rol in het informatiebeveiligingslandschap.Om de puzzel op telossen, moeten ze allemaal op de juisteplek zitten.Dat vraagt om een integrale aanpak.Door van tevoren al uw informatiestromente bestuderen en te classificeren,Gerard Stroeve is Manager Security &Continuity Services bij Centriclegt u de basis voor een succesvolleinformatiebeveiligingsstrategie. Eenstrategie die rekening houdt met deverschillende behoeften van alle vormenvan informatie en daaraan de juistemaatregelen koppelt. Alleen als u allepuzzelstukjes de aandacht geeft die zijverdienen, kunt u de puzzel als geheeloplossen.Het meest complete event van computerruimtes en datacentersIT ROOMINFRADonderdag 6 november 2014Congrescentrum 1931Brabanthallen Den BoschDE KERNASPECTENOp de zijden van de tweede as zettenwe de kernaspecten van informatiebeveiliging:vertrouwelijkheid, integriteiten beschikbaarheid (VIB).DE BEHEERSMAATREGELENDe VIB-kernaspecten van uw informatiestromenbepalen mede welke beheersmaatregelenu moet treffen. Die maatregelenplaatsen we op de zijden van dederde as. Deze vallen typisch binnendrie categorieën: techniek, mens en organisatie.Met het invullen van deze drie dimensiesvan informatiebeveiliging is een completebeveiligingskubus gevormd. Dezebeslaat in feite het hele speelveld van informatiebeveiligingvoor elke afzonderlijkeinformatiestroom - een speelveldmet 27 unieke aandachtsgebieden. ElkRegistreer u metonderstaande codevoor een bezoekaan het event opwww.itroominfra.nlRegistratiecode: ITR3850Bekijk de deelnamevoorwaardenop de websiteBOUWEN & MANAGENDATA- & ENERGIETRANSPORTINSTALLATIES & VEILIGHEIDKOUDE & WARMTEDATACENTERTALK24INFOSECURITY MAGAZINE - NR. 4 - OKTOBER 2014 25


EFFECTIEF OMGAAN MET INFORMATIEBEVEILIGINGDOOR MARINUS KUIVENHOVENMensen kunnen risico’s goed inschattenals het gaat om dagelijkse en concrete zaken.Voor abstracte dingen, of zaken waarwe niet dagelijks mee te maken hebt (zoalsbaby’s) gaat dit niet meer op. BruceSchneier omschreef dit mooi: “More peopleare killed every year by pigs than byRISICO’SINSCHATTEN BLIJKT LASTIGOnlangs las ik een onderzoek waarin wordt gesteld dat ouders die veel boeken bezitten overbevallen en opvoeden, de beste ouders zijn. Dan kijk ik naar mijn boekenkast en denk ik: “Kijk,de beste pappa van de wereld!” Uit de conclusie van het onderzoek blijkt echter dat het helemaalniet uitmaakt welke boeken je hebt of hoeveel. Het gaat om het feit dat je vooraf tijdinvesteert in de baby die op komst is. Om zo mogelijke risico’s bij de bevalling en opvoedingzo laag mogelijk te houden. Volgens het onderzoek is de kans dan groot dat ouders dezelfdeinspanning voortzetten na de geboorte.sharks, which shows you how good weare at evaluating risk.” En omdat we hierzo slecht in zijn, spelen fabrikanten vanbaby-producten hier handig op in. Dieweten dat namelijk maar al te goed. Iedereendie ooit negenmaandenbeurzenheeft bezocht, kan dit beamen.BEERTJESMOTIEFZo’n beurs is onderverdeeld in voeding,gebruiksgemak en veiligheid. Met anderewoorden: om de drie stands vindje wel een verkoper met de meest genialeuitvinding om jouw toekomstigespruit te beschermen van al het kwaad.Van klittenbandstraps om de onfortuinlijkebeweging te voorkomen, tot completevalhelmen mét oorkleppen waar eenbergbeklimmer jaloers op zou zijn. Enallemaal laten ze je geloven dat je eenslechte ouder bent als je de veiligheidsbrilmet beertjesmotief niet neemt.Het bizarre is dat de security-wereld netzo in elkaar steekt. Maak mensen bangen ze nemen je product wel af. Er bestaatzelfs een marketingterm voor: FUD.Dit staat voor Fear, Uncertainty en Doubt.Kortweg, angst, onzekerheid en twijfelhelpen klanten te motiveren productenen diensten aan te schaffen. Probeermaar eens een website, boek of beursstandte vinden waar geen gemaskerdeman achter een laptop op staat, zonderplaatjes met sloten, donkere schermenmet onleesbare code of teksten als ‘Zoveeleuro schade bij duizenden bedrijvendoor hackers’ of ‘bent u wel veilig?’.Allemaal bedoeld om een angstreactieuit te lokken en mensen te laten reagerenmet emotie.SUCCESVOLLE TACTIEKDat dit soort tactieken werken, staat dusbuiten kijf. Echter, dit is alles behalve degoede manier om effectief om te gaanmet informatiebeveiliging. Security gaatjuist over ratio in plaats van emotie. Hoewij de wereld ervaren, wijkt af van hoedeze daadwerkelijk is. Alleen daar waarons gevoel overlapt met de realiteit bestaatzekerheid. Waar gevoel en realiteitniet overlappen, hebben we enerzijdsiets wat we niet verwachten. Of anderzijdsverwachten we iets wat er niet is.Zekerheid is ook gewoon de letterlijkevertaling van security.Security is niet een kwestie van zoveelmogelijk maatregelen implementeren.Het is juist investeren waar het nuttig isom zekerheid te realiseren. Dat kunnenwe alleen maar doen door met ratio tehandelen.NADEELWant de angstconstructie heeft nog eennadeel. Als dreigingen uitblijven of ver inde toekomst liggen, worden mensen ongevoeligvoor eindeloos angst zaaien. Ditzag je destijds gebeuren met klimaatverandering.Tien jaar geleden kondigde AlGore een groot doemscenario aan. Hoegoed de bedoelingen ook zijn, zonderrechtstreekse impact, zijn mensen nietgeïnteresseerd. Tenzij de verhalen nogheftiger worden.Hoe krijgen we dan zekerheid? Dit kandoor vooraf goed na te denken over hetproces zelf. We introduceren feedbackom de mate van security en de afwijkingop de gewenste security te bepalen. Datis ook waarom de investering in boekenbij kinderen wel werkt. In tegenstelling totdigitale gegevens, geven kinderen welfeedback waardoor wij kunnen bijsturen.En we leren het ouderschapsproces teverbeteren.PROCES VERBETERENOveral waar we feedback introduceren,zien we dat het proces wordt verbeterd.Kijk bijvoorbeeld naar fotografie. Vroegerwas iedereen een slechte fotograaf.Waarom? Foto’s werden alleen gemaaktop vakantie, verjaardagen en feestdagen.Als het rolletje vol was, werden de foto’spas ontwikkeld. Je had geen idee wat jehad gedaan om de foto zo mooi of lelijkte maken.Met de komst van de digitale camerais dit veranderd. Door feedback zijn deslechtste fotografen nu beter dan de professionalsvan vroeger. Het gaat zelfs zover dat we zulke mooie foto’s maken datwe er achteraf allemaal filters overheengaan leggen om ze weer lelijk te makenen daarmee weer natuurlijk.RATIO GEBRUIKENKortom, de techniek ondersteunt alleenmaar een proces, waardoor het proceskan worden verbeterd. Door ratio te gebruikenen feedback te introducerenkunnen gegevens groeien, relaties wordengelegd. En uiteindelijk kunnen we zoveilig volwassen worden.Marinus Kuivenhoven is security specialistbij Sogeti26INFOSECURITY MAGAZINE - NR. 4 - OKTOBER 2014 27


HOE EEN SECURITY-EXPERT ZIJN EIGEN HUIS HACKTDOOR MARTIJN VAN LOMPAS OP:IOT IN UITVOERING!Het Internet of Things is groot, groter, groots. Het is Big Data gepasseerd op de hype cyclevan Gartner en zit nu op de piek van die bekende curve. Tijd voor relativering dus.Een security-expert ontdekt zijn eigen hackbare huis.Tijdens het updaten ontdekte Jacoby ookdat niet alle apparaten zelf automatischkonden controleren of er nog updateswaren voor hun firmware. Erger nog: deupdates waren zelfs handmatig niet altijdgemakkelijk te vinden op de websitesvan de fabrikanten. “Dat maakte hethele proces nogal tijdrovend”, geeft onzesecurityspecialist aan. Daarnaast blekenveel van de betreffende producten te zijnafgeschreven door de makers, dus nietlanger ondersteund met nieuwe updates.“Hebben deze producten voor thuiskantorenen entertainment maar ongeveereen jaar ‘te leven’ voordat ze ‘discontinued’worden?”, vraagt Jacoby zich af.Het IoT (Internet of Things) zit volgens demarktkenners van Gartner nu op het toppuntvan de hype, op de zogeheten ‘piekvan opgeblazen verwachtingen’. Hetduurt naar schatting van het onderzoeksbureaunog een jaar of vijf à tien na hetbereiken van die piek voordat een technologieis gestabiliseerd en geaccepteerd.Eerst volgt traditioneel een snelleinstorting van de hype.WIE HET VERLEDEN NIETKENT ...De voorspelde dip in de IoT-hype valtmede te wijten aan security. Of eigenlijk:gebrek aan security. De diverse apparatendie het Internet of Things vormen,lijken eerder geleerde IT-beveiligingslessente zijn vergeten. Dat gebrek betreftniet alleen toekomstige smart devices,maar ook de things die nu al connectedzijn in ons werk en leven.Zoals de doodgewone consumentenelektronicadie onze senior securityspecialistDavid Jacoby in zijn eigen huisheeft. Hardware als NAS-systemen (networkattached storage), waarvan Jacobyer twee heeft van twee verschillende leveranciers.Maar ook apparaten als eensmart-TV, een satellietontvanger, eeninternetrouter, en een printer. Systemendie qua mogelijkheden en rekenvermogenmenig oude pc voorbijstreven.HET INTERNET OF THINGS IS ALIN HUISOnze security-onderzoeker besloot diedoodgewone apparatuur eens kritisch tebekijken, om het gehypte IoT tastbaarderte maken. “We kunnen veel artikelen vindenover hoe hackers en onderzoekerskwetsbaarheden vinden in bijvoorbeeldauto’s, koelkasten, hotels en residentiëlealarmsystemen”, leidt Jacoby zijn eigenonderzoek in. Hij stelt echter dat veelvan dergelijk beveiligingsonderzoek tever van de lezer afstaat. Die heeft immersgeen smart car, geen connected koelkast,geen volledig digitaal huis.Tenminste, niet in de vorm zoals die doorgaanswordt gezien voor het Internet ofThings. In de praktijk hebben veel mensenal behoorlijk wat connected systemenin huis en thuiskantoor. “Een gemiddeldmodern huishouden kan zo’n vijf apparatenhebben die zijn aangesloten op hetlokale netwerk, waarbij dat geen computers,tablets of mobiele telefoons zijn.”Jacoby heeft het over tv-toestellen, printers,gameconsoles, netwerkopslagsystemen,mediaspelers en satellietontvangers.Apparaten die hij zelf ook heeft en die hijals security-expert natuurlijk goed onderhoudt.Jacoby onderwierp zijn eigenhuis aan een onderzoek, waarbij hij degebruikelijke doelwitten van pc’s, tabletsen smartphones links liet liggen. Zijn verwachtingwas dat zijn huis behoorlijk veiligzou zijn. “Ik werk al meer dan vijftienjaar in de security-industrie, en ik bennogal paranoïde als het aankomt op hettoepassen van security-patches.”APPARATUUR TE VONDELINGGELEGDJacoby kwam van een koude kermisthuis. Hij ontdekte flink wat connected apparatenop zijn thuisnetwerk, de meestevoor home entertainment. Voordat hij zijnonderzoek begon, had hij alle apparatenvoorzien van de nieuwste firmwareversies.Dat is een securitymaatregel dieveel consumenten niet of niet geregeldnemen. Deels uit laksheid, deels uit onwetendheid.Want wie is zich er goed vanbewust dat een Blu-Ray speler of een opslagapparaatin wezen een computer is,die ook onderhoud nodig heeft?INGANGEN GENOEGNa alle voorbereidingen kon Jacobybeginnen aan het echte onderzoek: hetaanvallen van zijn eigen elektronica. Alseen buitenstaander, dus zonder bestaandeinlogrechten te benutten. De tweeNAS-apparaten waren als eerste aande beurt, omdat daar kostbare gebruikersdatastaan en omdat daar relatiefcomplexe omgevingen draaien. Een Linux-versie,met webserver, beheeromgevingen meer mogelijke ingangen vooreen kwaadwillende.Beide NAS-systemen gingen al gauwvoor de bijl. Jacoby wist diepgaande toegangte krijgen, voorbij de beheeromgevingen op niveau van het besturingssysteem.Daarmee had hij een ingang inhet thuisnetwerk. Een blijvende ingang.Want een volledige reset door een eindgebruikerzou dit hackprobleem nietwegnemen. Hetzelfde bleek te geldenvoor de verborgen functies die de ‘huishacker’aantrof op de router die bij zijninternetabonnement hoort. Ook zijn digitaletv-ontvanger Dreambox sneuvelde,via de default beheer-login. Het beheeraccountgaf bovendien root-rechten ophet onderliggende Linux-systeem.OPSTAPJES NAAR MEERKortom, voor cybercriminelen zijn ergenoeg interessante mogelijkheden omalternatieve, kwaadaardige firmware teinstalleren op die handige, met internetverbonden apparaten in huis. Softwaredie weer kan dienen als opstapje naarbijvoorbeeld de smart-tv, die contentvanaf een mogelijk gecompromitteerdeNAS haalt en die ook online-aankoopmogelijkhedenbiedt. Of beter gezegd: fraudemogelijkheden.'Waar het IoT verbondenwordt, vallen securityspaanders'Overigens, wie slim denkt te zijn dooreen smart-tv niet aan het thuisnetwerk tekoppelen, is niet per definitie veilig. Ditblijkt uit de verschillende kwetsbaarhedenin het HbbTV-protocol, dat ervoorzorgt dat smart-tv’s extra content kunnentonen die van internet gehaald wordt.Inloggegevens voor bijvoorbeeld socialmedia op smart-tv’s zijn buit te maken,en toestellen zelf zijn te kapen voor malafidedoeleinden zoals het minen (delven)van de virtuele valuta Bitcoin vooreen kwaadwillende. Kortom, waar het IoTverbonden wordt, vallen security-spaanders.Wees alert.Martijn van Lom is General ManagerBenelux and Nordic bij Kaspersky Lab28INFOSECURITY MAGAZINE - NR. 4 - OKTOBER 2014 29


IDENTITEITSDIEFSTALDOOR HANS VANDAMGEBRUIKSGEMAKGAAT CLOUDBEVEILIGINGVERBETERENHet snelgroeiend gebruik van cloud computing en mobiele apparatuur vraagt om betere beveiligingdan de combinatie van gebruikersnaam en wachtwoord. Ook om identiteitsdiefstalte voorkomen. De oplossing daarvoor is al jarenlang beschikbaar, namelijk onze vingerafdruk,stem, iris, gezicht en andere biometrische kenmerken. Volgens iXsmartmobile staat het biometrischbeveiligen van informatie, apps en cloudservices op het punt van doorbreken en wordtgebruiksgemak de aanjager. Zowel in de business- als consumentenmarkt.Identiteitsdiefstal is een misdrijf waarsteeds meer mensen mee te maken krijgen.Bij volwassenen om de bankrekeningenleeg te roven, of criminele transactiesuit te voeren en bij minderjarigenom hun identiteit op sociale netwerken temisbruiken. Verder zijn er ook nog criminelendie specifieke interesse hebben invertrouwelijke bedrijfsinformatie en decijfers liegen er niet om. Enkele recentepublicaties daarover variëren van miljoenenpatiëntgegevens die gestolen zijn bijeen Amerikaanse ziekenhuisgroep, totzelfs 375 miljoen gehackte klantgegevensin de eerste helft van 2014. Welkefeiten correct zijn is minder relevant, deoplossing natuurlijk wel, namelijk biometrischbeveiligen.“Net als andere persoonsgegevens wordende gebruikersnamen en wachtwoordenvan mensen in databases opgeslagendie te hacken zijn”, vertelt JosephKakisina product marketing director vaniXsmartmobile. “Daarom is deze beveiligingsmethodein het tijdperk vancloud en mobile computing structureelonvoldoende veilig. Veel mensen gebruikenverschillende gebruikersnamen enwachtwoorden voor verschillende cloudservices,alleen zijn die combinatiesmoeilijk te onthouden. Door onze uniekebiometrische kenmerken te gaan gebruikenvoor identificatie en authenticatie,zijn zowel het beveiligingsniveau als gebruiksgemakte verhogen. Die kenmerkenvergeten we nooit en heeft iedereenaltijd bij zich.” Waarom wordt biometrischebeveiliging dan niet allang door iedereengebruikt? Omdat de technologiedaarvoor zo betrouwbaar en nauwkeurigmogelijk moet zijn en tegelijkertijd eenvoudigtoepasbaar. Dat lijkt strijdig, omdatbeveiliging altijd vanuit de techniekis ingevuld en een hoger niveau daaromwordt geassocieerd met moeilijker toepasbaar.iXsmartmobile stelt echter demens centraal en maakt biometrischebeveiliging zo eenvoudig dat iedereenhet kan gebruiken.GEBRUIKSGEMAKAls beveiliging moeilijk is, proberenmensen de toepassing te vermijden, ofeen work-around te bedenken. Dan wordenzij ineens de zwakste schakel in detotale oplossing. iXsmartmobile heefteen biometrische oplossing ontwikkeldwaarin mensen zowel de sterkste schakelals sleutel zijn. Iedereen is er inmiddelsal aan gewend geraakt dat onze vingerafdruken gezichtskenmerken op een chipin het paspoort staan. Verder wordensteeds meer smartphones en tablets uitgerustmet een vingerafdruklezer, terwijlze standaard al een camera, microfoon entouchscherm hebben. Oftewel, alle benodigdecomponenten voor biometrischeidentificatie. Mede daarom is volgensiXsmartmobile de tijd nu rijp om biometrischebeveiliging op brede schaal tegaan toepassen. “Wij hebben een cloudoplossingontwikkeld die mensen demogelijkheid biedt om zich via een appmet een intuïtieve interface biometrischte identificeren”, vervolgt Kakisina. “Methun vingerafdruk, stem of gezicht, maarook een digitale handtekening, of combinatievan twee technieken. Gewoon doorde gewenste methode met één klik te selecterenen te gebruiken via onze ‘naturaluser interface’. Makkelijker is het niette maken.” De app van iXsmartmobiledraait al op alle smartphones en tabletsmet Android en iOS en aan de Windowsversie wordt gewerkt. Het veelgehoordegevaar dat de biometrische kenmerkenvan mensen te stelen en te misbruikenzijn, voorkomt het bedrijf met de zogenaamdeBioHASH-technologie. Die zorgtervoor dat met het gekozen biometrischekenmerk en een ‘random key’ eeneenmalig te gebruiken certificaat wordtgegenereerd voor identificatie of autorisatie.Omdat zowel het biometrische kenmerkals de eenmalige key direct wordenweggegooid, is de privacy gewaarborgden de gebruikersidentiteit nooit te stelen.BETERE BEVEILIGING TEGENLAGERE KOSTENVoor zowel hosting en cloudservice providersals grote bedrijven, is het grootstevoordeel van iXsmartmobile’s multi-biometrischeoplossing de betere beveiligingvan informatie en applicaties. Verderworden de beheerkosten voor alle gebruikersnamenen wachtwoordencombinatiesfors lager en kan men eenvoudigervoldoen aan compliancy richtlijnen. Tenslotteverhoogt het gebruiksgemak ookde productiviteit van elke mobiele medewerker.Dus betere beveiliging tegenlagere kosten.“Onze iXsmartmobile suite bestaat uit deal genoemde combinatie van een app encloudservice”, legt Kakisina uit. “Afhankelijkvan de klantwensen is het authentiserendaarmee als een ‘stand-alone’ of‘client-server’ proces te configureren. Bijstand-alone gebruik worden alle biometrischetaken op het mobiele apparaatverwerkt en in de client-server situatiemerendeels op een centrale server.Voor de veilige communicatie tussen hetmobiele apparaat en de cloudserviceswaarmee mensen willen werken, wordeneenmalige certificaten gebruikt op basisvan de X.509v3-standaard. MobbID isonze gebruikersapp voor multi-biometrischeidentificatie en authenticatie, vanafvrijwel alle mobiele apparatuur.”“De grafische selectiemethode om jedaarmee te identificeren, benadrukt deontwikkeling in beveiliging dat gebruiksgemakeen vereiste is. Door het zo eenvoudigte maken, is er niemand die hetgebruik van MobbID niet meteen begrijpt.Optioneel kan de app met 2SSLeen extra beveiligde verbinding makenmet de meest gangbare cloudservices.Cloudservices als Amazon, GoogleApps, Office365, Salesforce, Webex enActive Directory Fed Services die SAML2.0 ondersteunen, kunnen namelijk opeenvoudige wijze gebruikmaken vanonze authenticatie services.”Meer informatie hierover is te vinden op:http://ixsmartmobile.com/Hans Vandam is journalist30INFOSECURITY MAGAZINE - NR. 4 - OKTOBER 2014 31


SECURITYDOOR GERT JAN WOLFISFLEXIBELERINSPELENOP RISICO’S DOORPROGRAMMEERBARENETWERKENIT-beslissers zien steeds vaker af van nieuwe IT-projecten uit angst voor cyberdreigingen. Hetfeit dat aanvallen veelvuldiger voorkomen en complexer van aard zijn, schrikt af. Onnodig,aldus Gert Jan Wolfis van F5. Door het netwerk programmeerbaar te maken, sta je juist veelsterker en kun je sneller inspelen op acute dreigingen als Heartbleed en Shellshock en geavanceerdeDDoS-aanvallen.Bij het groeiende internet of things richtenwe ons vaak op de gevolgen voor dearchitecturen van datacenters. Dat komtomdat de behoefte aan verificatie, toegangscontrole,beveiliging en leveringvan toepassingen toeneemt naarmatehet aantal mogelijke endpoints toeneemt.Slechts drie jaar geleden was de uitkomstvan een onderzoek dat 81 procent van derespondenten security-functionaliteit uitzettenten gunste van de performance,zelfs al gaven ze de prioriteit aan security.Je zou deze overweging helemaal nietmoeten maken, natuurlijk. En inmiddelshoeft dat ook niet, met name door security-maatregelenzelf veel sneller en efficiënterte maken. Dat betekent dat hetdatacenter schaalbaar moet zijn, en metname het netwerk programmeerbaar. Dehuidige status van het internet en de manierwaarop we het gebruiken, vereiseneen nieuwe, snelle manier van bescherming.Kwetsbaarheden en aanvallen kunnenmet een programmeerbaar netwerkefficiënter worden geweerd.Vandaag de dag wordt programmeerbaarheidvooral gebruikt in het controle-padom automation en orchestratiemogelijk te maken. Programmeerbaarheidis echter niet alleen geschikt alscontrolemiddel om datatransport perapplicatie te optimaliseren, maar ook omhet daadwerkelijke transport van datadoor het netwerk te manipuleren. Je kuntdaardoor veel sneller inspelen op actuelegebeurtenissen, of ze nu kwaadwillendzijn of niet.BESCHERMING VOORDAT ERPATCHES ZIJNProgrammeerbaarheid is een krachtigmiddel om aanvallen als Shellshock enHeartbleed, maar ook minder aansprekendekwetsbaarheden en aanvallen tedetecteren en onschadelijk te maken.Patches worden snel ontwikkeld en uitgedeeld,maar tot die tijd loop je nog welsteeds risico. Die patches om lekken tedichten verschijnen relatief snel, maarlang niet altijd snel genoeg. Daarnaastkost het tijd om al die patches door tevoeren in alle getroffen systemen. Tot dietijd is het van belang toch beschermd tezijn. Bedrijven moeten met de kwetsbaarheidomgaan terwijl ze een lange termijnoplossing regelen.Bij Shellshock gaat het om kwetsbaarhedenverborgen in HTTP-headers. Demeeste netwerkinfrastructuren zullendit niet herkennen. Door infrastructurenprogrammeerbaar te maken middelsbijvoorbeeld F5’s BigIP/Viprion proxyof LineRate proxy wordt snelle bescherminggeboden tegen deze aanvallen opapplicatieniveau. Het BIG-IP platformgebruikt hiervoor onder andere iRules,een Tcl-gebaseerde scripting-taal die opmaat te gebruiken is om netwerkverkeerte inspecteren, analyseren, sturen, om teleiden, manipuleren, onbeschouwd laten,spiegelen en veel meer. Het biedtflexibiliteit en beheer om veel meer mogelijkhedenuit bestaande apparatuur tehalen. Het voegt business-logica toe aande netwerklaag. Maar bovendien biedthet directe bescherming voor back-endservers, voordat patches zijn getest entoegepast.MANIPULEERNETWERKVERKEERHet concept van programmeerbaarheidvan het datatransport is dus interessant.Wanneer de weg die data bewandeltdoor middel van programmeerbaarheidgemanipuleerd kan worden, krijgen organisatiesde kans direct maatregelen tenemen tegen kwalijke requests en verdererisico op misbruik te voorkomen. Enhet geeft bedrijven de tijd om een permanenteoplossing te vinden. Dit is nu alte doen met application delivery controllers(ADC). Een ADC functioneert op laag4-7 van het OSI-model. En is in staat omte participeren in traditionele infrastructurenen Software Defined Networking(SDN) omgevingen en kan functionerenals gateway met application delivery alsextra toevoeging. Een volwaardige ADCbiedt naast een full-proxy architectuur,hoge performance en SSL-offloading,programmeerbaarheid van management,data en controle paden. Deze ingrediëntenzorgen ervoor dat je een sterkebasis hebt voor totale controle over hoeapplicaties worden aangesproken doorgebruikers en bieden de mogelijkheidom kwetsbaarheden in een aantal uren tepatchen in plaats van te wachten totdat desoftwareproducent een patch levert.SAMENWERKING ANDERESYSTEMENDe software defined application services(SDAS) bieden de programmeerbaarheidvan data en control plane en makendaarmee ook integratie met andere(beveiligings)toepassingen mogelijk.Zelfs als die van andere leveranciers zijn.F5’s high performances services fabriczit dankzij de centrale locatie op eenstrategisch punt in het netwerk en biedtdaardoor een uitstekend uitgangspuntvoor het controleren van datatransportper applicatie. Alle applicatie-requestsworden beïnvloed door de SDAS, zoalsbeschikbaarheid, security en identiteitsentoegangscontrole. Zodra een requestbinnenkomt, kan deze eerst worden gescreendop kenmerken van DDoS-aanvallen.Vervolgens wordt het request afhankelijkvan het beleid gestuurd naareen geïntegreerde security-toepassing(bijvoorbeeld Sourcefire-sensors). Zodradeze het groene licht geeft, wordt het requestteruggestuurd via SDAS richting debedoelde applicatie.De gebruikte regels hiervoor kunnen uiteenlopenvan heel simpel tot krachtigeren complexer met meerdere conditiesen criteria. Acties die erop volgen kunnenbetrekking hebben op een automatischeconfiguratie voor security services,zoals het blokkeren van een apparaatdat aan de basis van een aanval lijkt testaan. Wanneer security-toepassingeneen probleem detecteren, kunnen ze actieondernemen door een iRule aan hetdatapad toe te voegen dat het IP-adresvan de afzender kan blokkeren. Dankzijprogrammeerbaarheid kunnen security-servicessneller reageren, waardoorhet hele datacenter-ecosysteem beterbeschermd is, zonder concessies tedoen qua performance.PROGRAMMEERBAARHEID ALSKEUZECRITERIAHet aanbod security-toepassingen ennetwerk(ondersteunende) apparatuuris groot. Bij de keuze voor een leverancierspeelt uiteraard prijs en functionaliteiteen belangrijke rol. Daarnaast kijkeneindgebruikers naar intercompatibilieiten naar minder technische kenmerkenzoals imago van een bedrijf. Maar programmeerbaarheidwordt nog te weinigmeegenomen als criteria in het keuzetraject,terwijl het juist van invloed is opvrijwel alle aspecten hier net genoemd.Dankzij programmeerbaarheid is flexibelom te gaan met bestaande resources(bescherming van investeringen), is snellerin te spelen op risico’s (functionaliteit)en zijn verschillende systemen beter opelkaar af te stemmen (compatibiliteit). Enmet die kenmerken krijg je vanzelf eengoed imago.Gert Jan Wolfis is Senior Field ServicesEngineerbij F5 Networks32INFOSECURITY MAGAZINE - NR. 4 - OKTOBER 2014 33


DATALEKKEN VOORKOMENSIEM:EEN PREVENTIEFMEDICIJN VOOR DE ZORGVanaf 1 januari 2016 zijn ziekenhuizen en zorginstellingen verplicht om maatregelen te treffenter voorkoming van datalekken. Zijn er op die datum nog geen afdoende maatregelen getroffen,dan kunnen forse boetes worden opgelegd die variëren van minimaal 200.000 euro volgens deNederlandse wetgeving, tot maximaal 4% van de jaaromzet volgens de Europese wetgeving.Frank Voogel, Account Executive bij Unisys, pleit voor de invoering van Security Informationand Event Management (SIEM) in de zorg, om instellingen te helpen aan de regelgeving te voldoenen tot 19% van het totale financiële risico van datalekken te voorkomen.Ziekenhuizen krijgen net als andere organisatiesin toenemende mate te makenmet datastromen die buiten het eigennetwerk om gaan. Denk bijvoorbeeldaan het gebruik van cloudapplicaties encloudstorage, het ontsluiten van de mobieleapparatuur van de werknemers(BYOD), of het gebruik van applicatiesals Whatsapp en Dropbox voor werkgerelateerdezaken. Deze nieuwe, openomgeving brengt natuurlijk de nodigebeveiligingsrisico’s met zich mee. Geziende vaak privacygevoelige informatiewaarmee men in de zorg werkt, zoalshet Elektronisch Patiënten Dossier (EPD),is zorginstellingen er veel aan gelegendatalekken te voorkomen. Dat betekentonder meer dat in kaart moet wordengebracht hoe de datastromen in de organisatielopen en dat de medewerkersmoeten worden voorgelicht over wat zekunnen doen en wat ze moeten laten.“Sommige informatie mag niet overalworden opgeslagen. Andere informatiemag niet voor iedere medewerker toegankelijkzijn”, zegt Voogel. “Het raadplegenvan het EDP wil je bijvoorbeeldtoestaan voor de behandelende arts,maar verbieden voor personeel dat nietsmet de patiënt te maken heeft. Je wilt nietdat wanneer Máxima in het ziekenhuisbelandt, ieder personeelslid haar gegevensop kan vragen. Daar zal je dus beleidvoor in moeten stellen en SIEM kaneen enorme bijdrage aan de uitvoeringvan dat beleid leveren.”RUIS ELIMINERENDe hoeveelheid opgeslagen securityevents groeit exponentieel en handmatigeanalyse en beoordeling van logbestandenis daarom geen optie. Voogel:“Zorginstellingen hebben behoefte aangeautomatiseerde tools om relevanteevents uit de enorme hoeveelheid vanloggegevens te selecteren. SIEM maaktgebruik van gegevens die door verschillendebronnen in logbestanden wordenopgeslagen en vormt deze gegevensreal-time om tot relevante beveiligingsinformatie.Er wordt gebruikgemaakt vangegevens die worden gelogd door applicaties,databases, besturingssystemen,netwerken en hardware componenten.Hieruit filtert SIEM de relevante eventsen elimineert eventuele ruis. Zo bereikenorganisaties een ‘near real-time’ beveiligingtegen bedreigingen. Tegelijkertijdwordt er een hogere mate van bewustzijnen een beter begrip van de kwetsbaarhedengerealiseerd.”REGELGEVINGVanuit de wetgevende instanties komt ersteeds meer aandacht voor het voorkomenvan datalekken. Voldoen zorginstellingenper 1 januari 2016 niet aan de eisendie door de overheid worden gesteldten aanzien van datalekken, dan kunnener forse boetes worden opgelegd, diekunnen oplopen tot maar liefst 4% van dejaaromzet. “Er bestaat nog veel onduidelijkheidover hoe de wetgeving er preciesuit zal gaan zien en of de Nederlandse ofde Europese wetgeving leidend gaat zijnbij het beoordelen van ziekenhuizen”,zegt Voogel. “Maar door een SIEM-oplossingte implementeren die rekeninghoudt met de richtlijnen zoals die geformuleerdzijn in de norm NEN 7510, kunnenorganisaties al veel doen om boeteste voorkomen.”NU AL GEVOLGEN VOORZIEKENHUIZENZiekenhuizen kunnen al negatieve gevolgenondervinden van de nieuwe wetgevingvoordat deze van kracht is. “Wanneerde risico’s die een organisatie looptonvoldoende belegd zijn, dan kan hetgebeuren dat de accountant de jaarrekeningniet goedkeurt”, stelt Voogel. “Deaccountant zal ook het risico op datalekkenmee gaan wegen in zijn eindoordeelen wanneer er onvoldoende maatregelenzijn getroffen, dan moet er geld wordengereserveerd voor de financiële schadeen de eventuele boete. Gebeurt dit niet,of onvoldoende, dan kan dat leiden tothet verlaten van de goedkeuring of zelfshet achterwege blijven van de goedkeuring.En dat kan desastreuze gevolgenhebben voor ziekenhuizen. Wil je bijvoorbeeldeen nieuwe MRI-scanner aangaan schaffen en wil je die financierenmet een lening van de bank, dan moet jeeen goedgekeurde jaarrekening kunnenoverleggen. Is je jaarrekening niet goedgekeurd,dan zal geen bank in je investeren.”DE VOORDELEN VAN SIEMEen belangrijk voordeel van SIEM is datje beleid proactief in plaats van reactiefwordt, zegt Voogel. “De respons wordtniet over je afgeroepen, maar je kunt hetincident voor zijn, door het systeem automatischte laten reageren op bepaaldesituaties. Als je weet dat een wachtwoordbijvoorbeeld al een jaar lang niet gewijzigdis, dan kun je daar wat mee doen,omdat SIEM dat monitort. Dat levert tegelijkertijdeen winst in efficiëntie op, wantje kunt heel veel steeds terugkomendehandelingen automatiseren, zoals hetweigeren van toegang aan gebruikersdie tien keer de verkeerde credentialsinvoeren, of het afsluiten van oneigenlijkeapps op basis van vooraf geformuleerderegels. Maar het grootste voordeel voorziekenhuizen is dat het dataverkeer inzichtelijkwordt gemaakt en men zo veeleenvoudiger kan voldoen aan de regelgeving.”SIEM ME UPUit onderzoek van Verizon blijkt dat organisatiestot 19% van het totale financiëlerisico dat ze lopen als gevolg van datalekken,kunnen voorkomen met een SIEMimplementatie. “De meeste SIEM-oplossingenin de markt zijn echter bijzonderprijzig in aanschaf en onderhoud”, zegtVoogel. “Dat weerhoudt veel ziekenhuizenervan om nu al een SIEM-oplossingaan te schaffen. Het gaat vaak om investeringenvan tonnen. Het kan echter veelgoedkoper: een oplossing in een sharedomgeving kan bijvoorbeeld voor eenbehoorlijke kostenreductie zorgen, vergelekenmet een maatwerkoplossing.Wanneer die shared oplossing rekeninghoudt met de naleving van de NEN normen,dan heb je wel voordelen van eenimplementatie op maat, maar niet de kosten.”Frank Voogel34INFOSECURITY MAGAZINE - NR. 4 - OKTOBER 2014 35


DEELNEMERSLIJSTIT SECURITYSTORAGEIT MANAGEMENTSOLUTIONSExposantStandA10 NetworksE066Aerohive NetworksE116AirwatchB107Akamai TechnologiesE164Aras SecurityC146Arista NetworksD088Arrow ECS Networking & SecurityE086AtalA103Barracuda NetworksD056BlanccoA117BomgarE135Cert2ConnectC160Cisco SystemsB100CompLionsB117Compumatica Secure NetworksB116Contec iSCD130CRYPSYS Data SecurityB122CyberArk SoftwareB143Cyberoam Technologies Pvt. Ltd.C152Data ProtectorsD145Davinsi LabsE148DearBytesB136DellB056Dimension DataA144DraytekB144E-quipmentE141ESET NOD32D116Exclusive NetworksC116EXINB123F5 NetworksC130Feitian TechnologiesD157Firebrand Training E 070Fortinet E 086Fox-ITC145F-SecureA112GateprotectA116G Data SoftwareD137GlobalSignD135HuaweiA044IBMB048INVEA-TECHA101IP4sureA104iSOC24 B.V.D129ITSX Information Technology Security eXpertsB154iX smartmobileE139Kaspersky LabE136KeepltSafeA107KPND075Logpoint A/SD129Madison GurkhaB154MinkelsE056MotivD100MulticapD170Nagios NederlandE152NetOpD131NewChannelC152Norman Data Defense SystemsB162NutanixD088Outpost24E080ExposantPalo Alto NetworksPine Digital SecurityPointSharpPrianto B.V.PronovusQi ictQualysRohde & SchwarzSafeNet TechnologiesSectra CommunicationsSecurIFSecurity AcademySMT Simple Management TechnologiesSophosSplunk ServicesSRC Secure SolutionsSwivel Secure Ltd.TechAccessTrend MicroTruphoneTSTCUBMVan Randwijk Paperflow SolutionsVaronisVeeam SoftwareVoltage SecurityWatchguard TechnologiesWestcon SecurityWylessStandD115E076E154C125B139A102D134A118A136C144A129A125D076D087D076A133C152A132C088C136D153A135D165D138B103D139C123E104E156ExposantACES DirectArcserveArista NetworksAXEZBullCatalogic SoftwareCircomCisco SystemsCommVaultData Center ArnhemData Management ProfessionalsDellDimension DataDoviloEAN ConsultingEMCE-StorageEvault, A Seagate CompanyFusion-ioHitachi Data SystemsHPHuaweiI3 groepIBMImtech ICTInproveInterconnectIS GroupKingston TechnologyLaCieNetAppNetgearNexentaNexsan Technologies Ltd.Nimble StorageN-TECNutanixOraclePernixDataPQRPure StoragePuur DataQNAP SystemsQsan TechnologyRaidon NederlandScholten AwaterSeagateSimpliVitySJ-SolutionsSLTNSuper Micro ComputerSynologyTectradeTelindusTintriVirtual InstrumentsZertoZettastorZyXEL CommunicationsStandA082A060D088B030B087A040A095B100C028A071B063B056A144A049A045B076B038B088B020C076B033A044B073B048B093A068A092B079A041A067C046A080B057A079D033A045D088A032A088D039C036A036A072A045A076A056A067A033B039C029A075A061B048A024A096A121A097A090A019ExposantArcade ICTAutotaskAzlan NederlandAxios SystemsBarracuda NetworksCitrix SystemsDe ISM-methodeDupaco DistributionForward ITFrontrange SolutionsIGEL TechnologyInfraVisionMatrix42Mexon TechnologyMicrosoftMonitor 24-7 Inc.MproofNovellOGD ict-dienstenOMNINET TechnologiesSMT Simple Management TechnologiesSplunk ServicesThe BackboneTOPdeskStandD040E046THEATER 2: Enterprise MobilityB006D056THEATER 2: Enterprise MobilityC004B012D005D027E050E012E048D034D048 & D050E032D028B012E041E028D076D076E007C012DEELNEMERSLIJST40 BEURSSPECIAL | WWW.INFOSECURITY.NL | WWW.STORAGE-EXPO.NLMELD U NU AAN VIA INFOSECURITY.NL, STORAGE-EXPO.NL OF THETOOLINGEVENT.NLDEELNEMERSLIJSTINFOSECURITY MAGAZINE - NR. 4 - OKTOBER 2014 41


PLATTEGRONDTHEATER 1: IT Service Management & ControlSituatie per 23-09-2014, wijzigingen voorbehouden. Definitieve indeling was bij het ter perse gaan nog niet bekend.HOOFDSPONSORTHEATER 2: Enterprise MobilityTHEATER 1 THEATER 2 THEATER 3 VIP LOUNGE THEATER 4 THEATER 5 THEATER 6 THEATER 7HOOFDSPONSORE012THEATER BOULEVARDTHEATER BOULEVARDTHEATER BOULEVARDE148E152 E154E156THEATER 3: Datacenter & Infrastructure OptimisationTHEATER 4: Cloud ComputingHOOFDSPONSORTHEATER 5: Cyber SecurityTHEATER 6: Privacy, Governance & Risk ManagementHOOFDSPONSORTHEATER 7: Data Growth & Storage CapacityE007D005C004B006B012TERRASC012B020E028D028D027C028C029B030E032 E046TOOLING EVENTD033C036E035D034D039E048E041D040B038E050D048C046B048E056D050E066TERRASB056E070D056E076E080D076D075C076B076D088D087C088B088E086B100D100TERRASE104E116D116B116D115C116E124C125E132D130B122D129C123E134E131D131C130INFOSECURITY.NLD134E135E136B136E139D138D135 D137C136E141D139C146D145C144C145B144MEDIATERRASD153C152D157B154E162E164D170D166D165D161C164B162C156C160STORAGE EXPOENTREE HAL1A024A032B033B039A036 A040A044B057 B063 B073 B079 B087 B093 B103A082A062A090A056A068A096 A102A058 A060A072 A076A080A088 A092B107A112A104 A106A118A116B117B123B127A132B139B143A136A144TERRASTERRASENTREEA019A033A041 A045 A049 A061 A067 A071 A075 A079A089A095 A097 A101 A103A107A117A121A125 A129 A133 A135A145ENTREEJAARBEURSHoofdsponsor: Intel ® en CiscoIntel, the Intel logo, Xeon, and Xeon Inside are trademarks or registeredtrademarks of Intel Corporation in the U.S. and/or other countries.”NAAR 1 STE VERDIEPING:ZAAL 9: INFOSECURITY.NL - Management SeminarsWerkelijke situatieZaal 13MEDIA PLAZAZAAL 10: STORAGE EXPO - Technische SeminarsZAAL 11: STORAGE EXPO - Management SeminarsZaal 9 Zaal 10Zaal 11 Zaal 12ZAAL 12: INFOSECURITY.NL - Technische SeminarsZAAL 13: INFOSECURITY.NL - SeminarsSUPERNOVAPLATTEGROND42 BEURSSPECIAL | WWW.INFOSECURITY.NL | WWW.STORAGE-EXPO.NLMELD U NU AAN VIA INFOSECURITY.NL, STORAGE-EXPO.NL OF THETOOLINGEVENT.NLPLATTEGRONDINFOSECURITY MAGAZINE - NR. 4 - OKTOBER 2014 43


g Seminaroverzicht Seminars thematheatersWOENSDAG 29 & DONDERDAG 30 OKTOBERWOENSDAG 29 OKTOBERZaal 1 - IT Service Management & ControlKeynote: Zet uw dienstenwinkel op dekaart met een PDC!Spreker: Miriam Peters-van Kalsbeek –Consultant, TOPdeskWoensdag: 10.15 – 10.45 uurOver de keynotesessie:Deze presentatie gaat over de invulling vanuw producten- en dienstencatalogus (PDC).Waarom zou u een PDC willen, welke basisprincipesgelden er en hoe kan dit wordenvertaald naar een servicemanagement tool?Sessie: Behulpzaam volgens afspraakSpreker: Roeland van Rijswijk – Consultant,TOPdesk & Xander Orth – Accountmanager,TOPdeskDonderdag: 10.15 – 10.45 uurOver de sessie:Klanten worden steeds veeleisender; allesmoet het liefst nu gebeuren. Hoe gaat u ommet deze kritische klant en hoe zorgt u dat ude klant tevreden houdt? Tijdens deze presentatiewordt besproken hoe Service LevelManagement u hierbij kan helpen.Sessie: The Future of Service Level ManagementSpreker: Christophe Feams - OperationsManager, OMNINET11.00 – 11.30 uurOver de sessie:Customer Focus is considered as key-tosuccesswithin ITIL®. Still, the importance ofmeasuring Customer Satisfaction is often underestimatedin many service organizations.This presentation will focus on the added valueof measuring customer satisfaction. Discoverthe missing link…Sessie: Welke invloed heeft uw klantenserviceop uw klantbeleving?Spreker: Cees Broer - Sales Manager,FrontRange Solutions11.45 – 12.15 uurOver de sessie:Klantontevredenheid, slechte bereikbaarheidscijfers,herhaalverkeer en klachten wordenbinnen veel organisaties bestempeld alshet probleem van de klantenservice. Maar isdat wel terecht? Welke invloed heeft klantenserviceeigenlijk op klantbeleving? Leer hoeeen multichannel strategie, flexibiliteit, automationen telefonie-integratie met uw servicemanagement oplossing een positieve bijdragehebben op uw klantbeleving.Sessie:A Smarter Approach to Building aSuccessful IT Services BusinessSpreker: Jamie Daum - Regional Sales Manager,Autotask12.30 – 13.00 uurOver de sessie:In this session, Technology Solution Providerswill learn the benefits of implementing an ITbusiness management platform to gain operationalefficiency; accountability for internal/external metrics; and real intelligence aboutthe factors that affect the business and the solutionsimplemented to deliver solid results fortheir organizations and their clients.Sessie: KCS: Kennis als fundering vooreen goede dienstverleningSpreker: Sander van der Moolen – Consultant,Infravisionoensdag: 13.15 – 13.45 uurOver de sessie:Knowledge-Centered Support (KCS) is eenbewezen methodiek (geen tool) waarmee ude kennis van de mensen in uw organisatiebenut om uw dienstverlening te transformeren.Wilt u het verloop van personeel verlagen,uw medewerker tevredenheid verbeterenen meer? Leer tijdens deze sessie wat deKCS methodiek allemaal mogelijk maakt.Sessie: Unique ITSM challenges of Multi– NationalsSpreker: Martijn Adams - Director ITSM,InfraVision & Cor Winkler Prins- VP Product Management, ITRPInstituteDonderdag 13.15 – 13.45 uurOver de sessie:The ITSM world is changing rapidly. Key developmentsare IT becoming a broker of Services,the need to take control and the globalisationof organisations. ITSM (applications)are still struggling to deliver the requiredfunctionalities and global performance, butwith the help of modern technologies thingsare changing!Sessie: Case Study: De provincie Utrechtprofessionaliseert service managementen introduceert eenself service portalSpreker: Thuy Tran Chau - Informatie- enICT specialist provincie Utrecht& Arthur Wetzel Teamlead ManagementDepartment, provincieUtrecht14.00 – 14.30 uurOver de sessie:Zelfredzaamheid van medewerkers staat centraalbij het project Click-Call-Face van deprovincie Utrecht. De self-service portal “Serviceplein”,waar de service management toolassyst van Axios Systems de drijvende krachtachter is, maakt dit mogelijk. Hiermee komenalle taken, via de dynamische workflows, bijde juiste afdeling en medewerker terecht.Sessie: Flexibele en complete IT ServiceManagement softwareSpreker: Jacob-Jan Van der Spek - SalesConsultant, Ultimo Software Solutions14.45 – 15.15 uurOver de sessie:Het vinden van een passende IT Service ManagementTool is een uitdaging. De Ultimosoftware onderscheidt zich door flexibiliteit,waardoor er een passende oplossing voor uworganisatie kan worden gerealiseerd. Bezoekde presentatie en ontdek onder andere hoede software wordt toegepast in combinatiemet de ISM methodiek.Zaal 2 – Enterprise MobilityKeynote: Van BYOD naar de Mobiele Werkplek– met Cisco en CitrixSpreker: Epke Habraken - Strategic AllianceSales Manager, Citrix10.15 – 10.45 uurOver de Keynotesessie:Medewerkers worden steeds mobieler enwillen (moeten) overal kunnen beschikkenover het “zakelijke” netwerk. Hoe speelt hetbusiness aspect hier op in en kan IT hierin eenrol spelen? Hoe kan je een Mobile Workspacehet beste Mobiliseren, Virtualiseren en Veiligaanbieden? Citrix en Cisco hebben een gezamenlijkepropositie die hierop inspeelt.Sessie: Geef uw mobiele werknemers devrijheid en beveilig uw bedrijfSpreker: Andy Struys - Sr. Solution ArchitectEMEA, Dell11.00 – 11.30 uurOver de sessie:Kies oplossingen die aansluiten bij uw mobielestrategie - niet andersom. U moet een uniforme,end-to-end oplossing implementerendie uw mobiele strategie nu en in de toekomstondersteunt. Dell biedt verschillende oplossingenom uw mobiele uitdagingen aan tepakken, zoals endpoint management, containerbeheer of een combinatie van beide.Sessie: De uitdagingen van BYOD en hetnieuwe werkenSpreker: Dhr. Servie Janssen - MarketingManager, Qi ict11.45 – 12.15 uurOver de sessie:Bij het faciliteren van Bring-You-Own-Deviceis beveiliging de grootste uitdaging. Wat zijnde risico’s? Zijn de risico’s platform-specifiek?Welke oplossingsrichting past bij mijn organisatie?Sessie: Customisable risk-based authenticationfor mobile, cloud andbeyondSpreker: James Romer - Senior Sales Engineer,EMEA, SecureAuth Corporation(i.o.v. Cert2Connect)12.30 – 13.00 uurOver de sessie:Leer hoe SecureAuth’s IdP 8.0 voorziet in eeneenvoudig te implementeren, flexibele enveilige methode voor het beveiligen van uwidentiteit in de verbonden wereld van vandaag- deze sessie belicht ‘use cases’ voor oprisicogebaseerde analyse van identiteit-relevantecontextuele informatie, Identity tools,Single-Sign-On en multi-factor authenticatieworkflows, waaronder Social en FederatedID’s.Deze presentatie wordt in het Engels gegeven.Sessie: How to Execute Your Next Generationof Mobile InitiativesSpreker: Peter Schuchmann - Enterprise &Government Account ExecutiveNetherlands, AirwatchWoensdag: 13.15 – 13.45 uurOver de sessie:The exponential growth of mobile devices inthe workplace presents benefits and challengesto the enterprise. Join AirWatch by VMwareto learn how executives are planning andsecuring their next generation of initiativeswhile ensuring they protect sensitive corporateinformation and employee privacy.Sessie: How to Execute Your Next Generationof Mobile InitiativesSpreker: Adrian Dumbbleton - Sales ManagerEMEA, AirwatchDonderdag: 13.15 – 13.45 uurOver de sessie:The exponential growth of mobile devices inthe workplace presents benefits and challengesto the enterprise. Join AirWatch by VMwareto learn how executives are planning andsecuring their next generation of initiativeswhile ensuring they protect sensitive corporateinformation and employee privacy.Sessie: Investeer in de toekomst: GebruikGigabit Wi-FI om VeiligBYOD, IoT en meer te kunnenwaarborgen.Spreker: Roy Verboeket - Sales Engineer,Aerohive14.00 – 14.30 uurOver de sessie:Steeds meer mobiele gebruikers, apparatenen applicaties connecteren met onze netwerkendan ooit tevoren. Hierdoor worden Wi-Fiinfrastructuur capaciteit, veiligheid en schaalbaarheidcruciaal om uw “ mobile workforce”te kunnen garanderen. Het is tijd om tebepalen hoe u de nieuwste technologieën entrends kunt gebruiken zonder dat het u teveelnetwork resources kost.Sessie: Veilig en mobiel delen van bestanden- EFSS in de praktijkSpreker: Gertjan Beentjes - Key accountmanager & Partner executive,Novell14.45 – 15.15 uurOver de sessie:Bestandsdeling en mobiele bestandstoegangvanuit uw eigen infrastructuur is mogelijk,ook zonder uit te wijken naar Clouddiensten.Novell Filr biedt een zakelijk alternatief! Dooreen appliance te installeren bovenop uw bestaandeinfrastructuur, heeft u met minimaleinspanningen en investeringen uw bestandsomgevingveilig gereed gemaakt voor al uwmobiele medewerkers.Sessie: The impact of Enterprise Mobilityon IT Service Management andComplianceSpreker: Oliver Bending – CTO Matrix4215.30 – 16.00 uur44 BEURSSPECIAL | WWW.INFOSECURITY.NL | WWW.STORAGE-EXPO.NL | WWW.THETOOLINGEVENT.NLINFOSECURITY MAGAZINE - NR. 4 - OKTOBER 2014 45


g Seminaroverzicht Woensdag 29 en donderdag 30 oktoberJAARBEURS UTRECHTOver de sessie:Today’s employees desire a mobile workplace.To support mobile work-styles many ITorganizations have started to use EnterpriseMobility Management (EMM). Learn in thissession about the impact of Mobility on IT ServiceManagement and License Managementand how to avoid the most common pitfalls inMobility projects.Zaal 3: Datacenter & InfrastructureOptimisationSessie: JE BENT GEK ALS JE EEN NEXTGENERATION FIREWALL VOORJE DATACENTER OVERWEEGT!Spreker: Jack Niesen - Sales Consultant, F5Networks10.15 – 10.45 uurOver de sessie:Next Generation Firewalls zijn uitermate geschiktvoor outgoing traffic, social media applicatiesen dergelijke, maar dat is niet wat uin uw datacenter nodig heeft. Uw datacentervraagt een andere benadering en architectuur.In deze sessie zal F5 hun visie over defirewall-architectuur, gebaseerd op full-proxyen high-connection capacteit application deliverycontrollers, voor het datacenter presenteren.Sessie: Het einde van de traditionele storagearray?Spreker: Marcel Kleine - Sales Consultant,PQR11.00 – 11.30 uurOver de sessie:Converged, hyper-converged, maar ook softwaredefined staan vandaag de dag centraal.Wat doet de gevestigde orde? En wat doende startups? Is een centraal storagesysteemeigenlijk nog wel van deze tijd? Is dit het eindevan de traditionele storage array? MarcelKleine geeft antwoord op deze vragen tijdenszijn presentatie.Sessie: Business Service Intelligence;de transformatie van proactieveketenbewaking naar predictiveservice intelligenceSpreker: Philippe Thys - Solution Architecten Managing Consultant, ArcadeICT11.45 – 12.15 uurOver de sessie:Business Service Intelligence biedt de mogelijkheidom gecontroleerd en schaalbaarvan proactief naar predictive management teevolueren. De statistisch verwerkte informatieleidt tot analyses en prognoses die ten grondslagliggen aan optimalisering van de business.Uiteindelijk ontstaat een transformatievan keten management naar service healthen vervolgens naar service intelligence.Sessie: Ketenmonitoring in de wereld vanInternet of ThingsSpreker: Gert Kiewiet - Directeur Operations& Projecten, The Backbone12.30 – 13.00 uurOver de sessie:In de huidige “Internet of Things” wereld is deeindfunctie afhankelijk van eigen IT-middelenen diensten in de cloud. Het hebben van eenactueel inzicht in “end-to-end” performanceen SLA’s van de IoT-IT, krijgt hiermee een extradimensie. In deze sessie wordt een beeldgeschetst hoe monitoring oplossingen hierinmoeten mee-ontwikkelen.Sessie: Datacenter & Infrastructure Optimisation:Software Defined is deoplossing, of niet?Spreker: Harm de Haan - Manager Consultancy& Advisory Board member,Telindus13.15 – 13.45 uurOver de sessie:Hoe optimaliseer ik een volledig Datacenterinfrastructuur: Software Defined gaat het allemaaloplossen. Maar is dat wel zo? Telinduslaat in deze presentatie weten wat hun ervaringentot nu toe zijn met software definedoplossingen? Wat is het, wat is het niet en watkomt er nog meer bij kijken?Sessie: Het digitale loket altijd toegankelijkvoor burgers, gebaseerd opeen geoptimaliseerde, veilige,toekomstbestendige infrastructuurSpreker: George Schipper – Director, GRCocensus (i.o.v. Hewlett-PackardNederland B.V.)14.00 – 14.30 uurOver de sessie:Consensus heeft met een HP ConvergedSystemeen ICT-infrastructuur voor de regioAlkmaar bereikt met eisen zoals hoge beveiliging,groei, duurzaamheid en de infrastructuurmoest geschikt zijn voor het NieuweWerken en cloudtoepassingen. In deze sessiepresenteren we de mogelijkheden van HPConvergedSystem voor uw organisatie en deervaringen van Cocensus.Sessie: Veeam - Availability for the ModernData CenterSpreker: Henk Arts - Senior System Engineer(Teamlead), Benelux, VeeamSoftware14.45 – 15.15 uurOver de sessie:• High-Speed Recovery• Data Loss Avoidance• Verified Protection• Risk Mitigation• Complete VisibilityZaal 4: Cloud ComputingKeynote: The Internet of Things: Kleine dingenmet grote gevolgenSpreker: Hans Bos - National Technical Officer,Microsoft10.15 – 10.45 uurOver de Keynotesessie:Het “Internet of Things” is niet een toekomstigetechnologie trend. Het is er al. In apparatuur,in sensors, in cloud infrastructuur, in dataen business intelligence. In deze bijeenkomstgeeft Microsoft praktische inspiratie voor vandaagen morgen op basis van Cloud OS + IntelligentSystems + Data.Sessie: Hybrid cloud – Hoe transformeertu uw datacenter naar eenbusiness service center?Spreker: Jessica Constantinidis - NextGeneration Datacenter & CloudTransitional Lead Director, DimensionData11.00 – 11.30 uurOver de sessie:Met de belofte van cloud als het nieuwe leveringsmodel:Hoe besluit u welke applicaties uvanuit de cloud moet hosten en wanneer migreertu deze? Hoe integreert u uw bestaandeomgeving met de cloud? Deze presentatiebiedt u best practices en een aansprekendecase study.Sessie: Software Defined Storage Hydrateertde CloudSpreker: Gijsbert Janssen van Doorn - SalesEngineer, Nexenta11.45 – 12.15 uurOver de sessie:Datagroei door trends als the Internet of Thingszorgt ervoor dat veel organisaties naar cloudcomputing kijken om hun schaalbaarheid enflexibiliteit te verbeteren. Deze organisatieszullen snel merken dat Software-Defined-Storage(SDS) cloud computing mogelijk maakt.Leer van Nexenta hoe SDS u kan helpen uwcloud infrastructuur een realiteit te maken.Sessie: Cloud-in-a-Box, uw Private Cloudin minder dan 2 uurSpreker: Eric van ’t Hoff - Western EuropeAlliances Manager, Dell12.30 – 13.00 uurOver de sessie:Samen met Microsoft biedt Dell een Cloud-in-a-Box oplossing die het mogelijk maaktom met een simpele installatie wizard, eenkostenefficiënte private cloud op te zetten inminder dan 2 uur tijd die ruimte biedt aan 100virtuele machines en 34TB gedeelde opslagin een zeer stille en compacte chassis.Sessie: Workspace Management as aService: Managing the PersonalCloud from the CloudSpreker: Oliver Bending – CTO Matrix4213.15 – 13.45 uurOver de sessie:The workspace of the future is a PersonalCloud that consists of many apps, devices,data and IT-Services that are provided on-premiseor/ and are consumed as a cloud service.Learn in this session about the challenges thatPersonal Cloud brings to IT organizations andhow IT can control and secure this.Sessie: Tegenmaatregelen in de Cloudmet Citrix NetScalerSpreker: Klaas de Jong - Solution Consultant,Tech Data | Azlan (i.o.v. Citrix)14.00 – 14.30 uurOver de sessie:Niet alle applicaties werden geschreven metmaximale beveiliging in het achterhoofd en inde meeste gevallen ook niet ontwikkeld voorgebruik op het Internet. Om tegemoet te komenaan deze tekortkomingen moet u dezeapplicaties opnieuw schrijven of de CitrixNetScaler vóór deze (web) applicaties plaatsen.Maar de Citrix NetScaler kan zo veelmeer …Sessie: Do You Need Backup or DisasterRecovery? The 5 Key AttributesSpreker: Darren Swift - Solutions Engineer,Zerto14.45 – 15.15 uurOver de sessie:Many organizations apply a data protectionlabel to their processes not understandingif they are really disaster recovery, backup,archiving or something else. This sessionwill help clarify the key differences betweenbackup and disaster recovery and help youunderstand what level of protection you needfor your production applications.Zaal 5: Cyber SecuritySessie: Enterprise Mobility, een beveiligingsrisico?Met live AndroidHack!Spreker: Peter van der Voort - Senior SolutionConsultant, Dimension Data10.15 – 10.45 uurOver de sessie:Tijdens deze presentatie leert u hoe u aan dehand van het Secure Enterprise Mobility Modeluw bedrijfskritische processen en data ineen ‘open’ omgeving kunt ontsluiten. Inclusieflive Android Hack waarmee u ziet hoe eenvoudigeen mobiel device gehackt kan worden.Sessie: Cyber Security: Een kwestie vanGezond VerstandSpreker: Michiel Broekhuijsen - ManagingConsultant, Lantech BV i.o.v. ExclusiveNetworks11.00 – 11.30 uurOver de sessie:Cyber criminaliteit, data lekken, cyber spionageen andere cyber onheil, zijn aan de ordevan de dag. De vraag is niet meer of uw organisatiehierdoor geraakt wordt, maar wanneer.46 BEURSSPECIAL | WWW.INFOSECURITY.NL | WWW.STORAGE-EXPO.NL | WWW.THETOOLINGEVENT.NLINFOSECURITY MAGAZINE - NR. 4 - OKTOBER 2014 47


g Seminaroverzicht Woensdag 29 en donderdag 30 oktoberJAARBEURS UTRECHTMichiel Broekhuijsen zal in deze presentatie ingaan op drie essentiële pijlers die uw organisatieweerbaarder moeten maken tegen dezedigitale onheil.Sessie: Software-Defined Protection: Beveiligingvan Vandaag voor Bedreigingenvan MorgenSpreker: Niels den Otter - SE Teamleader,Check Point Software Technologiesi.s.m. Motiv ICT Security11.45 – 12.15 uurOver de sessie:In deze sessie zal Niels den Otter toelichtenhoe je praktisch om kunt gaan met uw IT-beveiligingsstrategie:het concept van ‘Software-DefinedProtection’. U leert meer overde implementatie: het segmenteren, het toevoegenvan automatische lagen die u intelligentbeschermen tegen bedreigingen, en hetbouwen van een open en flexibele beheerlaag.Sessie: Incident response: is het mogelijkom dingen op een goede manierfout te laten gaan?Spreker: Erik de Jong - Hoofd FoxCERT,Fox-IT12.30 – 13.00 uurOver de sessie:Is uw organisatie al eens het slachtoffer geweestvan cybercriminelen? Nog niet? Weesgewaarschuwd; duivelse dilemma’s kunnenuit het niets opdoemen. In deze sessie verteltErik de Jong, hoofd van het Computer EmergencyResponse Team van Fox-IT (FoxCERT),over het dagelijks werk van zijn incident responseteam.Titel:Bedrijf:Zie voor meer informatie www.infosecurity.nlAkamai Technologies13.15 – 13.45 uurSessie: Supporting the Incident ResponseProcess with QualysSpreker: Marcel de Kock - Information SecurityOfficer, EssentWoensdag: 14.00 – 14.30 uurOver de sessie:During a security incident, the focus is usuallyon solving the incident as quick as possible.But it may require investigation on other area’sas well. The presentation aims at providing anoverview of information that is available andrequired to effectively decrease the requiredtime to determine the overall impact.Sessie:Supporting the Incident ResponseProcess with QualysSpreker: René van Wolferen- Security Professional,EssentDonderdag: 14.00 – 14.30 uurOver de sessie:During a security incident, the focus is usuallyon solving the incident as quick as possible.But it may require investigation on other area’sas well. The presentation aims at providing anoverview of information that is available andrequired to effectively decrease the requiredtime to determine the overall impact.Sessie: Using Machine Data to DefeatFraud, Theft and AbuseSpreker: Mr Niklas Blomquist - Senior SalesEngineer, Splunk Inc.14.45 – 15.15 uurOver de sessie:Traditional anti-fraud and retail loss preventiontools are not flexible or scalable enoughto detect minute patterns of fraud or to keepup with the ever-changing tactics of fraudsters.Hear how organizations use Splunk softwareto defeat fraud, theft and abuse.Sessie: Who’s using your privileges ?Spreker: Dries Robberechts - Regional SalesEngineer Benelux, CyberArkSoftware15.30 – 16.00 uurOver de sessie:Recent attacks show that inside or remote accessto unmonitored privileged accounts is amajor concern for nearly all organizations. Inthis session, we will go through some of theseattacks and show step by step how CyberArkcan help by securing and monitoring privilegedaccess to your sensitive infrastructure.Zaal 6: Privacy, Governance & Risk ManagementKeynote: Sandboxing als techniek in destrijd tegen advanced malwareSpreker: Mischa Deden - Sales Engineer,Intel Security10.15 – 10.45 uurOver de Keynote sessie:Waarom zien steeds meer bedrijven oplossingenom geavanceerde malware te detecterenen analyseren als haalbare opties voorhet verbeteren van hun huidige IT security?Mischa Deden gaat in op de veranderingen inadvanced malware en de mogelijkheden omoptimaal gebruik te maken van sandboxingtechnologieën.Sessie: Nederland vergroot weerbaarheidSpreker: Dominick Bertens - Key AccountmanagerNL-NAVO, Secra Communications11.00 – 11.30 uurOver de sessie:Iedere dag komen er nieuwe smartphonesen applicaties op de markt. Maar hoe zit hetmet de integriteit en veiligheid van deze hypermoderne“computers” die u aan laat hakenop alle denkbare netwerken? Hoe oefentu controle uit op applicaties en wat zijn deconsequenties van het inzetten van de nodigebeveiliging.Sessie: Risicomanagement zonder goedeintegratie met Governance isnutteloosSpreker: De heer Ing. Marcel LavaletteCISA EMITA - Algemeen Directeur,Complions11.45 – 12.15 uurOver de sessie:Bedrijfsprocessen en reputatie lijden steedsmeer bij cybersecurity en privacy incidenten.De tijd dat privacy- en information securityalleen een verantwoordelijkheid is van InformationSecurity Officers, is voorbij. Goedebeheersing maakt een mix van maatregelennoodzakelijk vanuit meerdere managementsystemen.Dit vraagt om integrale toolingvoor Governance, Risk Management en Compliance.Sessie: Het SIEM proces: van implementatietot correlatie in 10 stappenSpreker: Dennis Switzer - Product ManagerSIEM, DearBytes12.30 – 13.00 uurOver de sessie:SIEM is veel meer dan een product, het is eenproces. Van het implementeren van een SIEMoplossing tot het detecteren en blokkeren vansecurity incidenten. Dennis Switzer, ProductManager SIEM, zal tijdens zijn case study de10 stappen van een succesvol SIEM procestoelichten.Sessie: How to make complete security simple– your IT security roadmapfor 2015Spreker: Heer Pieter Lacroix - ManagingDirector, Sophos13.15 – 13.45 uurOver de sessie:In deze presentatie laat Pieter Lacroix aande hand van onderzoeken en business caseszien hoe je op een simpele manier omgaatmet je IT security. Daarnaast laat Pieter ookzien wat je als IT professional naar 2015 toevan Sophos kunt verwachten. Een must-seevoor iedere IT organisatie!Sessie: Building your APT toolkitSpreker: Simon Mullis - Global TechnicalLead, Alliances, FireEye, Inc.14.00 – 14.30 uurOver de sessie:We’ve all heard about APT, targeted attacksand Cybercrime. In this talk, we will discussthe architectural components you need inyour arsenal to detect, validate, contain andremediate the inevitable targeted attack. Whatis the evolution of the Cyber Security architecture?Sessie: Nieuwe motieven. Nieuwe tactieken.Hoe beschermt u zich tegenTargeted Attacks en andere dreigingen?Spreker: Jornt van der Wiel - Security Researcher,Kaspersky Lab14.45 – 15.15 uurOver de sessie:Veel malware van tegenwoordig is doelgerichtontwikkeld om computers over te nemenen illegaal geld te verdienen. Daardoor staanbedrijven voor veel complexere bedreigingenen elke organisatie kan het slachtoffer vancybercriminaliteit worden. In deze case studyontvangt u concrete tips om uw bedrijf tegenmalware te beschermen.Zaal 7: Data Growth & Storage CapacitySessie: A new era of server side storageSpreker: Frank Denneman - Tech Evangelist,PernixData12.30 – 13.00 uurOver de sessie:In this presentation, Frank dives into the fundamentalrethink of storage architecture in thevirtual datacenter. Decoupling performancefrom capacity allows the use of software definedstorage by leveraging server-side storageintelligence. Building a true scale out performanceplatform.Sessie: Verhoog de kwaliteit van uw servicemet storage innovatieSpreker: Dhr. Cor Beumer - Manager Storage,Oracle & Dhr. Martien Ouwens- Manager Storage, Oracle13.15 – 13.45 uurOver de sessie:In deze lezing zorgt Oracle voor een inspirerendeupdate van haar visie op storage en denieuwe fase in de storage wereld. Namelijkvan Software Defined Storage nu naar ApplicationsDefined Storage.Sessie: Hoe kan je datagroei doorbrekenSpreker: Vincent van der Linden - Solution& Storage Sales Manager, Dell14.00 – 14.30 uurOver de sessie:Ongeacht dat de meest recente opslagoplossingenhet mogelijk maken data transparant teplaatsen op de juiste technologie, is het doorbrekenvan de datagroei een vereiste om dekosten post die gepaard gaat met dataopslagte verlagen zonder risico te lopen bedrijfskritschedata ongeoorloofd verdwijnt. In dezebreak-out sessie, vertellen we hoe dit eenvoudigte realiseren is.48 BEURSSPECIAL | WWW.INFOSECURITY.NL | WWW.STORAGE-EXPO.NL | WWW.THETOOLINGEVENT.NLINFOSECURITY MAGAZINE - NR. 4 - OKTOBER 2014 49


g Seminaroverzicht Woensdag 29 en donderdag 30 oktoberJAARBEURS UTRECHTINFOSECURITY.NLWOENSDAG 29 OKTOBERKeynote: The Internet of Things Everything:nerve centre of the world?Spreker: Yori Kamphuis - Futurist of theYear 2013, CoBlue Cybersecurity11.00 – 11.45 uur – zaal 9Over de Keynotesessie:The Internet of Things evolves into the Internetof Everything. That provides us with newopportunities, as it may serve as nerve centreof the world. This goes hand in hand withchallenges. What are these opportunities andchallenges exactly? And what are the implicationsfor business, privacy and society?Over de spreker:Yori has beenelected as Futuristof the Year2013. He also isa Global Shaperof the World EconomicForum.He received hiseducation in industrial engineering, geopolitics,territory & security, exponential technologiesand theology, at the University of Twente,King’s College, London and Singularity Univerity(Silicon Valley).Among other things, Yori won the StrICTly forBusiness competition, the NATO Cyber Defencecompetition, a Huygens scholarship ofthe Ministry of Education, Culture and Science,and a scholarship from FreedomLab FutureStudies/SU NL.Yori is passionate to make the world more secure.Together with two students, he co-foundedCoblue CybersecuritySeminar: Fat Data, Privacy & Security. Theproposed EU Data Protection RegulationSpreker: Mireille Hildebrandt - Full Professorof Smart Environments, DataProtection and the Rule of Law12.00 – 12.45 uur – zaal 9Over de sessie:Big Data has apparently become a major additionthat penetrates all of society. Though BigData seem to enable attractive business cases,the unbridled collection and grotesque storageof data lead to a number of problems, notto mention the application of ‘data science’.Which problems can be detected and to whatextent does the proposed EU Data ProtectionRegulation provide useful guidelines to preventdata obstipation and abuse of inferredprofiles?Over de spreker:Mireille Hildebrandt is a lawyer and legalphilosopher. She holds the Chair of SmartEnvironments, Data Protection and the Ruleof Law at the instituteof Computing &Information Sciences(iCIS) at RadboudUniversity Nijmegen,and is also affiliatedwith the ErasmusUniversity Rotterdamand the researchgroup on Law, Science,Technology &Society at Vrije UniversiteitBrussel. In her research she looks intothe implications of everyday usage of artificialintelligence on democracy and the rule oflaw. She also teaches ‘Law in Cyberspace tomaster students of Digital Security. See http://works.bepress.com/mireille_hildebrandt/Seminar: InfoSecurity Hacking Challengev3.0 - powered by Deloitte:“Ervaar hoe een hacker te werkgaat”Spreker: Thomas Bosboom – Manager CyberRisk Services, Deloitte RiskServices & Martijn Knuiman – SeniorManager Cyber Risk Services,Deloitte Risk Services12.00 – 12.45 uur – zaal 12Over de sessie:Hacken is het doorbreken van de beveiligingvan een applicatie of infrastructuur en wordtvaak met enig mysterie omgeven. In dezesessie tonen wij u hoe hackers echt werken.Dit jaar hebben we onze challenge totaalvernieuwd, met voor de deelnemende hackersnog meer diepgang - waarbij u live kanmeekijken.Als u als hacker wilt deelnemen aan de HackingChallenge dient u zich van te voren inte schrijven, inschrijving kan individueel ofin teams van twee door een e-mail te sturennaar: keren.bercovitz@jaarbeurs.nl. Vermeldvolledige namen, e-mailadressen, telefoonnummersen of u op de eerste of tweede dagkomt. Let op: u moet geregistreerd zijn als bezoeker.Over de spreker:Thomas is een manager binnende Cyber Risk Servicesafdeling van Deloitte Risk Servicesen heeft ruim 8 jaar ervaringop het gebied van ITinfrastructuur en security. Hijheeft gewerkt aan diverse securityinfrastructuur projectenen bekleedde rollen zoals ethicalhacker, security adviseuren security auditor. Thomasheeft zich gespecialiseerd inde security van mobile devices& Apps, Secure Software Development enEthical Hacking. Daarnaast is hij ook trainervoor de Deloitte HackLAB trainingen waarbijklanten hands-on ervaring krijgen in de werkwijzevan hackers en inzicht in de risico’s dieorganisaties dagelijks lopen.Martijn is een senior manager binnen deSecurity & Privacy afdeling van Deloitte RiskServices en heeft ruim 10 jaar ervaring ophet gebied van IT infrastructuur en security.Hij heeft gewerkt aan diverse security infrastructuurprojecten en bekleedde rollen zoalssecurity officer, security adviseur en securityauditor. Martijn heeft zich gespecialiseerd inde uitvoer van security gerelateerde opdrachtenzoals implementatie van Cyber SOCs,Data Leakage Prevention, Security Managementen Ethical Hacking. Martijn is daarnaastverantwoordelijk voor de Deloitte HackLABtrainingen waarbij klanten hands-on ervaringkrijgen in de werkwijze van hackers en inzichtin de risico’s die organisaties dagelijks lopen.Seminar: Hoe beheerst u strategische CyberSecurity risico’s? NOREA CyberSecurity Assessment geeft uinzicht en oplossingsrichtingen.Spreker: ºWouter-Bas van der Vegt - SeniorPrincipal Security en Risk Management& Mark van der Krift- Senior Consultant Security enRisk Management13.00 – 13.45 – zaal 9Over de sessie:De NOREA kennisgroep Cybercrime heefthet Cyber Security Assessment ontwikkeldom bedrijven weerbaar(der) te kunnen makentegen cybercrime. Het Assessment is eenhulpmiddel om vanuit een concrete vraagvoor (informatie)beveiliging de belangrijkstemaatregelen te kunnen selecteren.Tijdens deze presentatie geven wij inzicht inde opzet van deze Cyber Security Assessmenten wat deze voor u kan betekenen.Over de spreker:Wouter-Bas heeft zeer veel ervaring op hetgebied van IT risico management en auditingbij grote organisatiesin het publieke en privatedomein. De werkzaamhedenvan Wouter-Basbehelzen onder meer hetcoördineren en aansturenvan onderzoeken en advieswerkzaamhedenten aanzien van Cybersecurity en Privacy vraagstukken. Wouter-Basis lid van verschillende werkgroepen op hetgebied van Cyber Security en Privacy, zoalsde werkgroep Cyber Security van NederlandICT en de werkgroepen Cybercrime en Privacyvan NOREA. Mark is een zeer ervarenIT auditor en adviseur op het gebied van hetIT Governance en Risk Management. Markheeft een achtergrond binnen het publiekeen financiële domein waarbinnen hij organisatieshelpt de vertaling van IT en Cybersecurity risico’s naar passende pragmatischebeheersmaatregelen te maken. Mark is lid vande kennisgroep Cybercrime van NOREA (NederlandseOrde van EDP Auditors)Mark is een zeer ervaren IT auditor en adviseurop het gebied van het IT Governanceen Risk Management. Mark heeft een achtergrondbinnen het binnen het publieke en financiëledomein waarbinnen hij organisatieshelpt de vertaling van IT en Cyber securityrisico’s naar passende pragmatische beheersmaatregelente maken. Mark is lid vande kennisgroep Cybercrime van NOREA (NederlandseOrde van EDP Auditors)Seminar: GSM geheimen: over IMSI-catchers,Stingrays, Stealth SMS’enen hoe je er voor 300 EURO zelfeen bouwtSpreker: Ralph Moonen – Directeur, ITSX13.00 – 13.45 uur – zaal 12Over de sessie:In deze presentatie zal Ralph Moonen eenoverzicht geven van de huidige zwakheden inhet GSM systeem. Tevens zal hij een van demogelijke aanvallen (een zogenaamde ‘IM-SI-catcher’) op GSM demonstreren met eenSoftware Defined Radio (SDR) van 300 EUR enhet open source pakket OpenBTS.Over de spreker:Ralph Moonen is een doorgewinterdeconsultant in de informatiebeveiligingen IT audit,met een focus op het beheersenvan technische risico’s. Alsmedeoprichter en directeurvan ITSX is hij verantwoordelijkvoor de financiële en vaktechnische zakenvan ITSX. Hij is docent op de postdoctoraleTIAS opleiding tot Register EDP-Auditor (RE)en auteur van diverse stukken innovatievesoftware.Seminar: Customer Assurance: De voor- ennadelen van een Uniform ControlFrameworkSpreker: Karan Jankipersad - ManagerClient Assurance, KPN14.00 – 14.45 uur – zaal 9Over de sessie:Het aantoonbaar ‘In Control’ zijn wordt voorbedrijven met de dag belangrijker. Klantenmoeten u als ICT supplier kunnen vertrouwendat de belangrijkste risico’s in de aan u uitbestededienstverlening in relatie tot de kritiekebusiness processen van de klant voldoendezijn afgedekt. Hiervoor willen stakeholderswaaronder corporate klanten periodiek aantoonbareassurance ontvangen. Ook KPN hadhiermee te maken. Om deze vorm van assurancezo efficiënt mogelijk in te richten heeftKPN in de afgelopen jaren een zogenaamdUniform Control Framework ontwikkeld. Detoepassing van dit framework heeft, in hetdoolhof van frameworks verschillende voordelenen nadelen.Over de spreker:Binnen KPN heeft Karan de afgelopen 17 jaarverschillende management en audit/ compliancefuncties ingevuld. In de beginjaren washij verantwoordelijk voor de service en installatievan LAN’s/WAN’s (m.n. Cisco, Nortel en3Com). Binnen KPN Audit voerde hij een grotevariëteit aan onderzoeken uit waaronder uitvoeringvan Enterprise Risk Assesments metde Board of Management, TPM, ISO en projectaudits en inrichting SoX processen binnenKPN. De laatste jaren is Karan werkzaam inrisk compliance, waarbij hij verantwoordelijkis voor het afgevenvan onafhankelijke assuranceaan corporateklanten. Hij genoot deopleidingen RO aande EURAC en MartiemeTechniek aan deTU Delft.50 BEURSSPECIAL | WWW.INFOSECURITY.NL | WWW.STORAGE-EXPO.NL | WWW.THETOOLINGEVENT.NLINFOSECURITY MAGAZINE - NR. 4 - OKTOBER 2014 51


g Seminaroverzicht Woensdag 29 en donderdag 30 oktoberJAARBEURS UTRECHTSeminar: Onder de motorkap van AdvancedPersistent ThreatsSpreker: Rickey Gevers - Cybercrime Expert,Digital Investigation14.00 – 14.45 uur – zaal 12Over de sessie:Advanced Persistent Threats worden gezienals dé grote cyber nachtmerrie van ditmoment. Een aanvaller, vaak overheid gerelateerd,nestelt zichzelf, na mogelijk veleverschillende aanvallen, op een zeer geavanceerdemanier in een netwerk en sluist daarover een langere periode onnoemelijk veeldata naar buiten. Een grote nachtmerrie waarmen zich tot op heden nog niet goed tegenweet te wapenen. Deze presentatie behandeltde geavanceerdheid van dit type aanvallen.Over de spreker:Rickey Gevers is een GIAC CertifiedForensic Analyst (GCFA)en werkt als Senior Cybercrimeexpert bij Digital Investigation.Daar geeft hij leiding aan deteams tijdens de grotere internationalecyber incidenten.Seminar: Security Awareness programma’snog niet effectief? Dan is het tijdvoor Serious Games!Spreker: Gerard Mulder - Creative Director15.00 – 15.45 uur – zaal 9Over de sessie:Als verantwoordelijke voor security weet u alsgeen ander de kritieke punten in de organisatieop te noemen. Maar het onder de aandachtbrengen via intranet, presentaties en beleidsnota’shebben tot op heden nog niet het gewensteresultaat. Voor dit probleem, de boodschapop een effectieve manier overbrengen,zijn serious games een effectief alternatief.Met serious games laat je je werknemers totinzicht komen dat security geen zaak is vananderen maar essentieel is voor hun eigensucces en dat van de organisatie.Mindgame weet welke spelvorm het meesteffectief is voor uw doelgroep. Wij nemen uop interactieve wijze mee in de wereld vanserious games!Over de spreker:Gerard Mulder isgespecialiseerdin het overbrengenvan lastigeverhalen met behulpvan Games.Hij is docent vanhet vak “Seriousgames” in het 2ejaar aan de HKUen de conceptontwikkelaar van MindgameSessie: Everyday Cybercrime – and whatyou can do about itSpreker: James Lyne - Global Head of SecurityResearch, Sophos15.00 – 15.45 uur – zaal 12Over de sessie:How do you pick up a malicious online virus,the kind of malware that snoops on yourdata and taps your bank account? Often, it’sthrough simple things you do each day withoutthinking twice. James Lyne reminds usthat it’s not only the NSA that’s watching us, butever-more-sophisticated cybercriminals, whoexploit both weak code and trusting humannature.Over de spreker:In an ever-expanding world of networked mobiledevices, security threats -- and our ignoranceof them -- are more widespread thanever. James Lyne of security firm Sophos believesthat if we continue to ignore basic bestpractices, security is on a trajectory of failure.A self-described geek, Lyne spends time rippingapart the latest gadgets and software,builds true random number generators outof tinfoil and smoke alarm parts, among otherunlikely objects. But his gift lies in his abilityto explain complicated concepts and abstractthreats to diverse audiences around the world.DONDERDAG 30 OKTOBERKeynote: RAT RACESpreker: Peter Zinn – Sr. Adviseur TeamHigh Tech Crime, de LandelijkePolitie11.00 – 11.45 uur – zaal 9Over de Keynotesessie:Wat zijn de grootste digitale bedreigingenvoor uw bedrijf? En wat kunt u eraan doenom cybercriminelen een stap voor te blijven?Waarom cybercriminelen het op úw bedrijfgemunt hebben. Met voorbeelden uit de politiepraktijk.Over de spreker:Als senior adviseurvoor het Team HighTech Crime van de politievertaalt Peter technologischeontwikkelingenen dreigingen naarstrategieën en oplossingen. En spannendepresentaties die je aan het denken zetten.Seminar: InfoSecurity Hacking Challengev3.0 - powered by Deloitte:“Ervaar hoe een hacker te werkgaat”Spreker: Thomas Bosboom – Manager CyberRisk Services, Deloitte RiskServices & Martijn Knuiman – SeniorManager Cyber Risk Services,Deloitte Risk Services11.00 – 11.45 uur – zaal 12Over de sessie:Hacken is het doorbreken van de beveiligingvan een applicatie of infrastructuur en wordtvaak met enig mysterie omgeven. In dezesessie tonen wij u hoe hackers echt werken.Dit jaar hebben we onze challenge totaalvernieuwd, met voor de deelnemende hackersnog meer diepgang - waarbij u live kanmeekijken.Als u als hacker wilt deelnemen aan de HackingChallenge dient u zich van te voren inte schrijven, inschrijving kan individueel ofin teams van twee door een e-mail te sturennaar: keren.bercovitz@jaarbeurs.nl. Vermeldvolledige namen, e-mailadressen, telefoonnummersen of u op de eerste of tweede dagkomt. Let op: u moet geregistreerd zijn als bezoeker.Over de spreker:Thomas is een manager binnende Cyber Risk Servicesafdeling van Deloitte RiskServices en heeft ruim 8 jaarervaring op het gebied vanIT infrastructuur en security.Hij heeft gewerkt aan diversesecurity infrastructuur projectenen bekleedde rollen zoalsethical hacker, security adviseur en securityauditor. Thomas heeft zich gespecialiseerd inde security van mobile devices & Apps, SecureSoftware Development en Ethical Hacking.Daarnaast is hij ook trainer voor de DeloitteHackLAB trainingen waarbij klanten hands-onervaring krijgen in de werkwijze van hackersen inzicht in de risico’s die organisaties dagelijkslopen.Martijn is een senior managerbinnen de Security & Privacyafdeling van Deloitte RiskServices en heeft ruim 10 jaarervaring op het gebied van ITinfrastructuur en security. Hijheeft gewerkt aan diverse securityinfrastructuur projecten en bekleedderollen zoals security officer, security adviseuren security auditor. Martijn heeft zich gespecialiseerdin de uitvoer van security gerelateerdeopdrachten zoals implementatie vanCyber SOCs, Data Leakage Prevention, SecurityManagement en Ethical Hacking. Martijnis daarnaast verantwoordelijk voor de DeloitteHackLAB trainingen waarbij klanten hands-onervaring krijgen in de werkwijze van hackersen inzicht in de risico’s die organisaties dagelijkslopen.Seminar: Informatiebeveiliging bij een NobelprijswinnaarSpreker: Hans de Jong – Head Confidentialityand Information Security,OPCW12.00 – 12.45 uur – zaal 9Over de sessie:Het OPCW is een internationale organisatiedie is gevestigd in Den Haag en die als doelheeft om alle chemische wapens in de wereldte vernietigen. De organisatie is in het afgelopenjaar voornamelijk in het nieuws geweestvanwege de werkzaamheden voor de vernietigingvan de chemische wapens in Syrië envanwege het toekennen van de Nobelprijsvoor de vrede. Deze presentatie gaat in ophoe informatiebeveiliging is georganiseerd indeze internationale organisatie en welke uniekeuitdagingen hierbij spelen.Over de spreker:In zijn professionelecarrière heeftHans sinds zijnstudie in Leidenvele projecten uitgevoerdop hetgebied van implementatievan ICT en ICT beveiliging in zowelde publieke als private sector. In de afgelopen15 jaar heeft hij voornamelijk projectenop het gebied van informatiebeveiliging uitgevoerd.Om nu ook eens eindelijk eindverantwoordelijkheidte dragen voor genomenbeslissingen heeft Hans ruim 4 jaar geledeneen positie aanvaard bij het OPCW als hoofdinformatiebeveiliging. Hans is getrouwd envader van vier kinderen.Seminar: “Trust me! I am a social engineer.”Spreker: Ijskimo - Geocacher and Lifehacker12.00 – 12.45 uur – zaal 12Over de sessie:In zijn lezing zal Marcel ingaan op een aantalobservaties t.a.v. de hedendaagse “beïnvloedingsmaatschappij”en de wijze waarop daarmeekan worden omgegaan.De lezing is een selectie uit een programmadat Marcel aanbiedt aan het bedrijfsleven. Ditprogramma is altijd maatwerk en kan naasteen uitgebreidere lezing bijvoorbeeld ook uitworkshops bestaan.Over de spreker:“IJskimo” is denaam die Marcelvan der Velde(pseudoniem)hanteert in dehackersgemeenschap.Marcelhoudt zich al vanaf jonge leeftijd bezig metsocial engineering, iets waarmee hij de laatsteperiode de nodige mediabelangstellingmee heeft getrokken. In een recent interviewvertelde hij dat het voor hem als kind al eenkoud kunstje was om “snoepjes bij elkaar teritselen”. Ook kreeg hij veel dingen voor elkaardie vrienden (en zelfs volwassenen) nietzomaar gedaan kregen. “Van mijn eerste zakgeldkocht ik een rode pen. Denk daar maareens aan op achtjarige leeftijd”.Hoewel er sprake lijkt van een aangeborentalent moet je zoiets wel ontwikkelen, net alsbijvoorbeeld het bespelen van een muziekinstrument.“De basis is aanwezig maar de restis leren door studie, vallen en opstaan”, aldusMarcel. “Daarom ben ik altijd erg geïnteresseerdgeweest in communicatie in de breedstezin van het woord”.Twee jaar geleden won Marcel met overweldigendescore de eerste “Sogeti Social EngineeringChallenge” tijdens “Hack in the box”in Amsterdam. Hij wordt gezien als een van deexperts op zijn vakgebied.Seminar: PIA in het ontwikkelingsprocesvan informatiesystemenSpreker: Wolter Karsenberg – BusinessConsultant Privacy, Balance &André J. Biesheuvel – Partner,Duthler Associates13.00 – 13.45 uur – zaal 9Over de sessie:Privacy impact assessments zijn er in velesmaken. Zo ook in het ontwikkelingsprocesvan nieuwe of aanpassingen op bestaandesoftware. In een tijdbestek van 15 minutenworden de toehoorders meegenomen dooreen casus waarbij stappen worden gezet ophet vlak van privacy & security by design,de betekenis van privacy by default en is erdan toch sprake van aansprakelijkheid van desoftware leverancier? Verder worden de begrippen“accountability” en “auditability” uitgediepten de rol van de (IT)-auditor geduid.Over de spreker:Wolter KarssenbergRE is Business ConsultantPrivacy bijBalance. Balanceis een bureau vooradvies, projectenen interim. Woltertrekt de privacyadviespraktijk vanBalance. Voorheenwas hij o.a. statutairdirecteur en managervan Bureau Krediet Registratie (BKR) enICT-auditor en management consultant bijeen rechtsvoorganger van Deloitte. Wolter islid van de Kennisgroep Privacy van NOREA,de beroepsorganisatie van IT-auditors. Hijheeft meegeschreven aan de NOREA-methodevoor Privacy Impact Assessments. Wolterspreekt regelmatig op congressen en bijeenkomsten.Het vinden en borgen van de balanstussen het productief inzetten van data en hetbeschermen van privacy is wat Wolter drijft.André is econoom, register accountant en ITauditor. Is managing partner bij Duthler Associates(www.duthler.nl) en actief lid van deNBA en NOREA. Zijn interesseveld bestrijkthet gebied van kwaliteit van informatievoorziening.En thans in het bijzonder gegevensbeschermingen het borgen van privacy. Hiervoorheeft hij voor zowel de onderneming ofinstellingen als voor de betrokkene oplossingenaangedragen en toegepast in de praktijk.Wij kunnen denken aan het toepassen vanPIA’s, ontwikkelen en onderhouden van re-52 BEURSSPECIAL | WWW.INFOSECURITY.NL | WWW.STORAGE-EXPO.NL | WWW.THETOOLINGEVENT.NLINFOSECURITY MAGAZINE - NR. 4 - OKTOBER 2014 53


g Seminaroverzicht Woensdag 29 en donderdag 30 oktoberJAARBEURS UTRECHTgelconforme taxonomieën, privacy & securitymanagementsystemen en of informatie-ecosystemen.Steeds wordt hierbij in multidisciplinaireteams gewerkt. André treedt frequentop voor besturen en raden van commissarissen.Seminar: Volledige controle & veiligheidbij gegevens uitwisselingSpreker: Zie voor meer informatiewww.infosecurity.nl13.00 – 13.45 uur – zaal 12Over de sessie:LocalBox is een initiatief van 2 ambtenaren,Marcus Bremer en Ruud Vriens, en ICT-journalistBrenno de Winter, maar het idee isafkomstig uit de Tweede Kamer. Met de opslagdienstwil de overheid een veilige maniercreëren om gegevens uit te wisselen waarbijde gebruiker zelf de volledige controle heeftover deze gegevens. De code van LocalBox isopen source waardoor gebruikers er zelf eenserver mee kunnen opzetten. Maar het is ookmogelijk LocalBox af te nemen bij een hostingprovider. Een overstap naar een andere providersis eenvoudig.De inhoud van dit seminar kan nog wijzigenSeminar: Uniforme kwalificatie van professionalsin informatiebeveiligingSpreker: Fred van Noord – Voorzitter beroepsverenigingPvlB14.00 – 14.45 uur – zaal 9Over de sessie:Organisaties moeten steeds meer informatiebeschermen tegen een steeds complexerdreigingsbeeld. Dat wordt nog eens versterktdoordat ze steeds vaker in ketens en internationaalfunctioneren. Hiervoor zijn goed opgeleideen ervaren informatiebeveiligers nodig.Met het grote aanbod van titels en certificatenkan de informatiebeveiliger niet goed meerduidelijk maken welke kennis en vaardighedenhij/zij heeft en ook voor werkgevers enopleidingsinstellingen levert dit problemenop.Over de spreker:Fred van Noord heeftruim 20 jaar ervaringmet vraagstukken ophet gebied van informatiebeveiligingen servicemanagement. Metname hebben zijn aandacht:organisatorischeinrichtingsvraagstukkenen verandervraagstukkenvan risicomanagement, risicoanalyses,de aansluiting van informatiebeveiligingmet de bedrijfsprocessen, het inrichten vande processen, het werkend krijgen van processenin de organisatie en het vergroten vanbewustwording, draagvlak en commitmentvoor informatiebeveiliging bij medewerkersen het management. Fred stimuleert als voorzittervan de beroepsvereniging PvIB (Platformvoor Informatiebeveiliging, www.pvib.nl)de professionalisering van de beroepsgroep..Seminar: Operational securitySpreker: Cor Rosielle - Core Team Member,ISECOM14.00 – 14.45 uur – zaal 12Over de Sessie:Veel security professionals besteden hun tijdaan compliancy en risico management. Hoeweldat allebei helpt om de beveiliging teverbeteren, is het geen van beiden compleet.Cor vertelt hoe operational security kan helpende beveiliging verder te verbeteren. Metbehulp van kengetallen, kan worden vastgesteld:- welke soorten maatregelen beter werken enwelke minder goed- hoeveel de beveiliging toeneemt- hoe de verbeterde beveiliging gemeten kanworden- hoe we kunnen weten of een maatregel debeveiliging vergroot of verkleint- hoe goed kan een systeem onbekende bedreigingenweerstaanOver de spreker:Cor is een ICT-professionalvanaf 1983. Gedurendezijn carrière heeft hijvele rollen vervuld in deautomatisering: operator,programmeur, functioneelontwerper, systeembeheerder,netwerkbeheerder,afdelingshoofd, etc.Hij raakte in de loop derjaren meer en meer betrokken bij IT security.Aanvankelijk voor de evaluatie van securityproducten of voorgestelde maatregelen, maaral snel ontwierp hij de beveiligingsmaatregelenzelf. In het dagelijks leven werkt Cormomenteel als penetratietester bij een semi-overheid.Daarnaast is hij als core teammember sterk betrokken bij ISECOM.STORAGE EXPOWOENSDAG 29 OKTOBERSeminar: Flash: een revolutie in het storagelandschap?Spreker: Jurjen Oskam - Infrastructuur Engineer,Rabobank Nederland12.00 – 12.45 uur – zaal 10Over de sessie:Deze presentatie geeft een technischedeep-dive in de werking van Flash en gaatdaarna in op de gevolgen van dit soort techniekenop het storagelandschap: wat betekenthet bijvoorbeeld voor storagenetwerken ofstorage-arrays zoals we die al jaren kennen?Over de spreker:Ooit begonnen in deUnix- en Storage-hoekin een kleinere omgeving,is Jurjen zichlater ook in grote omgevingenbezig gaanhouden met Storage ineen grotere diversiteitaan platformen. Tegenwoordigheeft hij als Infrastructuur Engineereen breder aandachtsgebied, waarvan Storagenog steeds een belangrijk deel uitmaakt.Keynote: Topprestaties bereiken door Data-(Business)Analytics:Leervoorbeeldenuit de sportSpreker: Jan-Willem de Koster - BusinessDevelopment Manager, SAP Nederland12.00 – 12.45 uur – zaal 11Over de sessie:In de wereld van de topsport telt alleen deeerste plaats. Naast talent en een goede trainingzetten sporters massaal in op technologieom hun prestaties te verbeteren. Hier kuntu een voorbeeld aan nemen, ook u kunt metbehulp van analyses uit verzamelde data, deprestaties van uw bedrijf verhogen. Tijdensdeze sessie worden een aantal concrete voorbeeldengegeven hoe technologie sport helptom de prestaties te verbeteren met real-timeanalytics en hoe dit toepasbaar is bij uw bedrijf.Over de spreker:Jan-Willem studeerde BedrijfskundigeInformatica aande Hogeschool West-Brabant.Alvorens aan de slag te gaanbij SAP Nederland werkte hij7 jaar als consultant bij uiteenlopendeorganisaties waaronderPhilips.In zijn werk is Jan-Willem voortdurend opzoek naar manieren om het succes van bedrijvente vergroten door de intelligente eninnovatieve inzet van IT waarbij hij specifiekaandacht heeft voor technologische ontwikkelingenin de sport.Seminar: The cloud in your own datacenterSpreker: Marc Van Eijk – Consultant, Inovativ13.00 – 13.45 uur – zaal 10Over de sessie:Hybrid Cloud, wat betekent dat en belangrij-ker nog wat kan ik ermee? Investeren in eeneigen datacenter? Of juist niet…...Cloud grenzen vervagen. Kom naar deze sessieen leer hoe public cloud technieken geïntegreerdkunnen worden met de on-premiseswereld. Eén platform voor de Private, hosteden public cloud.Over de spreker:With a strong backgroundon fabriccomponents andvital managementfeatures, Marc embracedthe CloudOSvision fromday one. He workswith many ServiceProviders and Enterprise Organizations, extendingtheir datacenters into hybrid cloudswith Microsoft Azure and Azure Pack. His experiencesfrom real life deployments are sharedby speaking at regional and internationalevents. Marc has an active role in the Dutch hyper-vcommunity. He blogs for hyper-v.nu thathas profiled itself around the CloudOS and iswell-known for in-depth blogs on fabric componentsand Azure Pack.Seminar: Software defined storage als antwoordvoor de cloudSpreker: Ruben Van der Zwan – CTO,Amsio13.00 – 13.45 uur – zaal 11Over de sessie:Voor het daadwerkelijk bouwen en beherenvan grootschalige infrastructuren is meer nodigdan een cloud propositie aan de voorkant.Door de onvoorspelbare groei en gebruik vandata is het noodzakelijk traditionele waardente laten varen. Om de interne operatie meete laten groeien met de groei van klantdata iseen oplossing nodig. Software defined (storage)is dat antwoord. Door de traditionelehardware laag om te buigen naar een softwarestrategie ontstaan er veel voordelen zoals hetbieden van meer performance en hogerebeschikbaarheid en om ook op de langeretermijn een leiderspositie te houden in eenrazendsnel veranderende markt.Over de spreker:Ruben van derZwan is de CTObij Amsio enverantwoordelijkvoor de technologiekeuzesvande organisatieen de productontwikkeling. De vertaling vancomplexe vraagstukken naar totaaloplossingenvoor klanten en partners is hier onderdeelvan. Ruben heeft 10 jaar ervaring in dehosting industrie en heeft een technische achtergrond.Seminar: Advances in Open SDN InteroperabilitySpreker: Curt Beckmann - EMEA CTO,Chair of Forwarding AbstractionsWorking group at ONF, Brocade14.00 – 14.45 uur – zaal 10Over de sessie:Significant efforts within the OpenStack,OpenDaylight and Open Networking Foundationcommunities are transforming Open SDNin important ways. Since SDN burst into thespotlight in 2011, the focus of most presentationshas been on what the future holds. Mostreal progress toward practical SDN has beenbehind the scenes. Mr Beckmann’s presentationwill describe how standards and productsare at making important innovations that willbridge the gap between laboratory curiosityand production network.Over de spreker:Curt Beckmann isEMEA CTO for Brocadeand Brocade’slead representativeat the ONF, where hechairs the ForwardingAbstractions WorkingGroup. Curt enterednetworking as an54 BEURSSPECIAL | WWW.INFOSECURITY.NL | WWW.STORAGE-EXPO.NL | WWW.THETOOLINGEVENT.NLINFOSECURITY MAGAZINE - NR. 4 - OKTOBER 2014 55


g Seminaroverzicht Woensdag 29 en donderdag 30 oktoberJAARBEURS UTRECHTASIC architect at Bay Networks in 1995, wherehe worked on Ethernet switching and earlyLayer 3 gigabit switches. He moved on tolead Fibre Channel storage virtualization andiSCSI protocol-conversion system-on-a-chipASIC designs at Rhapsody Networks, whichBrocade acquired in 2003. He spent someyears in product management before returningto technology, where he now focuses onOpenFlow and SDN controller interoperability.Seminar: VMWare Cluster met een SAN ?Spreker: Jos de Goeij – Projectmanager,Ordina14.00 – 14.45 uur – zaal 11Over de sessie:Voor een klant van Ordina hebben we een onderzoekuitgevoerd naar de performance vaneen VMware Cluster omgeving in combinatiemet een SAN. Tijdens het onderzoek zijn diversemetingen verricht om te weten waar debottleneck vandaan kwam. De aanbevelingendie uit het onderzoek kwamen zijn daarnageïmplementeerd waarna de performanceenorm is verbeterd. In deze presentatie komende tips voor deze combinatie!Over de spreker:Jos begon zijn carrièreeind de jaren ‘80 alsPC Specialist bij Detam.Voor hij bij Ordinaterechtkwam in 2001werkte hij als netwerkspecialist.Bij Ordinavervulde hij verschillendefuncties, gaandevan Team Manager enPre Sales Manager naar zijn huidige functieals ProjectManager.Seminar: Deepdive in storage architecturen,Flash en Software-definedStorageSpreker: Erik Zandboer - Sr. vSpecialist,EMC15.00 – 15.45 uur – zaal 10Over de sessie:Uiteindelijk gaat het altijd om de applicaties.En dan voornamelijk hun performance en beschikbaarheid.De eisen die deze applicatiesstellen aan storage forceren ons om steedsnieuwe storage architecturen te bouwen ennieuwe technologieën aan te boren. Medehierdoor worden storage omgevingen groteren meer divers, waardoor abstractie en automatiseringonmisbaar beginnen te worden.In deze sessie zal ik de diverse storage architecturenen nieuwe opslag technologieënbelichten en waarom architectuur zo belangrijkhierin is. Tevens zal ik Software-definedStorage (SDS) belichten en hoe dit bedrijvenkan helpen de IT uitdagingen van vandaag teoverwinnen.Over de spreker:Erik Zandboer is Senior vSpecialist binnenEMC met primaire focus op Nederland. Dezefocus is vooral gericht op cloud computingen Software-Defined DataCenter (SDDC) bijklanten en partners.Daarnaast runt Erikzijn VMware- en storage-gerelateerdeblogsite VMdamentals.com. Hiervoor heefthij de ere titel van vExpertontvangen voor2011, 2012 en 2013.Hobby’s zijn fotografie (blog.xhd.nl) en debouw van een geautomatiseerd paludarium(www.paluweb.nl).Ervaring in de IT-industrie gaat bijna 20 jaarterug. Tijdens zijn loopbaan heeft hij gewerktvoor bedrijven als Siemens, ICT, KPN, ASMLen Imtech in diverse functies en is uitgegroeidtot VMware evangelist.Seminar: OpenStack and Open StandardsStorageSpreker: Glyn Bowden - SNIA Europemember & Neil Stobart, EMEASales Engineer Director, NexentaSystems15.00 – 15.45 uur – zaal 11Over de sessie:OpenStack has been gaining momentumin the IaaS space for some time now. It is agreat example of Open Source collaborationand many contributors (more than 15,000!)coming together to make new technology.Often, large vendors and the organisationsthat represent them are seen as incompatiblewith the Open Source model, particularly inthe storage arena. Big Tin is not required. Thispresentation will also discuss what SNIA canoffer the Open Source community, the importanceof standards and where SNIA are alreadycontributing.Over de spreker:Glyn Bowden is a senior SolutionsArchitect with HewlettPackards Helion ProfessionalServices team helping customersand partners design,implement and run their nextgeneration IT infrastructureand cloud services. He hasmore than 15 years experiencewith some of the majorcontributors and users ofcutting edge technology andhas been responsible fortheir implementation at someof the largest scale. Glyn is amember of the Storage NetworkingIndustry Association UK committeeand received awards for contributions madefor the last two years.Neil has been involved in IT for over 18 yearsworking within end user, channel and vendorenvironments providing a unique viewpointon the use of technology in industry. Majoringin technical sales around data managementand storage solutions for the last 15 years,Neil has vast experience assisting organisationsaddress the challenges they are facedwith on the management and protection ofdata as the industry experiences exponentialgrowth of this key unique asset. Neil is verymuch focused on understanding how to helporganisations use and manage their datamore effectively to improve business operations,through managing costs or improvingrevenue streams. Neil recently joined Nexentafrom Dell where he was the technical lead fordata storage solutions across EMEA.DONDERDAG 30 OKTOBERSeminar: How to handle storage challengesin parallel processesSpreker: Gerbrand De Ridder - R&D Manager& Lead System Architect,Infostrada Creative Technology11.00 – 11.45 uur – zaal 10Over de sessie:In this presentation Gerbrand shares insidesin different broadcast workflows and the usedstorage solutions to meet the project requirements.Starting with explaining the differenttype of data used in the broadcast industryand the challenges to store and work in parallelprocesses with this data. Based on usecases like Utopia and Content DistributionGerbrand will explain the different storagetechnologies and workflows used in theseprojects.Over de spreker:The core business of Infostrada Creative Technologyis the provision of audiovisual facilitiesservices to broadcasters and businesses.Over the past few years Infostrada CreativeTechnology has developed many innovativeproducts, includingCentralparq, Smart-VoD and the LiveCenter.As R&D and LeadSystem Architect Gerbrandis part of thecore business developingteam. More than20 years of experiencein the broadcastmarket from operator, demo artist, productmanager to the current position.Deep experience and specialized in encoding,editing, playout and workflow systemsincluding the associated datacenter serviceslike storage, servers, network and darkfiber.Seminar: State of the Backup & RecoveryIndustrySpreker: Curtis Preston - Backup & RecoveryExpert, Truth in IT, Inc.11.00 – 11.45 uur – zaal 11Over de sessie:A lot has changed in the twenty years that Mr.Preston has been in the backup space. Fromthe advent of disk backup, dedupe, and completelynew backup types such as CDP, near-CDP,and source-dedupe to the completeupheaval of everything one virtualization tookover. This talk will provide an overview of thestate of the art in backup & recovery.Over de spreker:W. Curtis Preston hasbeen specializing inBackup, Recovery,and archive for over20 years. He startedhis career runningbackups for a $35Bcredit card companyin the US, and wenton to consulting forseveral years. Hedesigned and implementedenterprise backup systems forsome of the largest companies in the world,including Amazon.com, Rackspace.com, andExxon-Mobil.Seminar: Demystifying public cloud storagearchitectureSpreker: Yorick Docter - Solution SpecialistDatacenter, Microsoft12.00 – 12.45 uur – zaal 10Over de sessie:Hoe ontwerp je een schaalbaar storage platformvoor wereldwijde schaal, 1000+ nieuwe56 BEURSSPECIAL | WWW.INFOSECURITY.NL | WWW.STORAGE-EXPO.NL | WWW.THETOOLINGEVENT.NLINFOSECURITY MAGAZINE - NR. 4 - OKTOBER 2014 57


g Seminaroverzicht Woensdag 29 en donderdag 30 oktoberJAARBEURS UTRECHTen grote organisaties te helpen in de snelveranderende storage wereld. Als consultantheeft hij sindsdien gewerkt voor meerderegrotere en kleine IT organisaties in hetland.gebruikers per dag en meer dan 8 biljoenobjecten? Tijdens deze sessie duiken we inde innovatieve architectuur van het MicrosoftAzure storage platform.Over de spreker:Als Technology SolutionSpecialist Datacenter bijMicrosoft ligt Yorick zijnfocus op cloud technologyen specifiek op virtualizationen management.Als architect en specialiststaat hij is voor grootschalige projecten bijgrote ondernemingen. He helpt gebruikerseen visie, strategie en architectuur te ontwikkelenvoor datacenter- en cloudoplossingen.Keynote: Storage TRENDS: software, servers,virtualisation, cloud and objectsSpreker: Chris Mellor - Storage Editor, TheRegister12.00 – 12.45 uur – zaal 11Over de Keynotesessie:The legacy filler and SAN certainties arebeing blasted apart by moves to bring slowdisk-based storage into a multi-core, multi-socket,virtualised server age. Latency, costand complexity are the three storage devilsand must be destroyed so that virtualised serverscan get at primary data fast, simply and ina format suited to them. Secondary and tertiary(archive) data is heading towards the cloud.Technologies such as cloud storage gateways,FLAPE, Flash, scale-out server SANs, andVVOLs look set to tear legacy storage certaintiesapart while the centralised versus distributedstorage tension continues unresolved.Over de spreker:Chris Mellor covers storageand allied technologyareas for The Register.After experience workingfor DEC, Unisys and SCO,he became an IT journalistwriting for a variety ofprint publications. He edited the UK’s first storageprint magazine and then moved into theonline world writing for IDG’s Techworld, thenstarted up the Blocks & Files blog, which wasbought by El Reg. He has written many sportscarbuying guides, a few mountaineering guidesand drives a car that’s faster than he is.Seminar: OpenStack en OpenStorageSpreker: Ilja Coolen - Onafhankelijke StorageConsultant, ICSS13.00 – 13.45 uur – zaal 10Over de sessie:OpenStack is hot en iedereen lijkt er iets meete willen doen. Alle storage leveranciers claimendat ze OpenStack ondersteunen, maarhoe doen ze dat en wat betekent dat in depraktijk?Over de spreker:Ilja is in 1996 in ITbegonnen als mainframe(I/O) operatoren via operationsdoorgegroeidin 2000 tot storagespecialist. Een specialisatiedie tot dedag van vandaagerg spannend is.Het fundament voorzijn kennis is gelegdbij een van de grootste pensioenfondsen terwereld. In 2007 is Ilja zelfstandig aan de slaggegaan met als primaire doel onafhankelijk tezijn in werk in het algemeen en daarbij kleineSeminar: Big Data - Got it! Now What?Spreker: Edwin Peters - Marketing Director,SAS Institute B.V.13.00 – 13.45 uur – zaal 11Over de sessie:De hype rondom big data is zo onderhandwel voorbij, toch? De fase is aangebrokenwaarin het gaat om wat die data en de data-analyseconcreet opleveren. Het gaatom het te gelde maken van informatie enintelligentie voor organisaties. Kortom, hetbenutten van data moet zowel extra omzetals kostenbesparingen opleveren. In dezepresentatie gaat Edwin Peters in op hoe organisatiesmiddels big data analytics waardeuit hun (big) data kunnen halen.Over de spreker:Edwin Petersis sinds1996 inverschillenderollenwerkzaambij SAS. Delaatste achtjaar was hij,als ManagerSolutions, verantwoordelijk voor de verkoopondersteuningvan alle SAS oplossingenin de Nederlandse markt en gaf hij leiding aaneen team van ruim 20 medewerkers. In zijnhuidige functie als Marketing Director richtEdwin zich onder meer op de verdere ontwikkelingen implementatie van digitale marketinginitiatieven.Edwin studeerde TechnischeBedrijfskunde aan de Universiteit Twente.Seminar: Storage bij LeaseWeb, een kijkjein de keukenSpreker: Jeroen Kuijk - Product OwnerBare Metal Cloud, LeaseWebGlobal Services b.v.14.00 – 14.45 uur – zaal 10Over de sessie:LeaseWeb is bekend als IaaS hosting leverancier.Sinds 2009 heeft LeaseWeb ook eenaantal succesvolle cloud diensten aan hetportfolio toegevoegd. Door de jaren heen ishet uitgegroeid tot een infrastructuur waartoonaangevende bedrijven hun online infrastructuuraan toevertrouwen. Welke storagesystemen gebruikt LeaseWeb, hoe ontsluitenwe deze naar klanten en wat zijn onze ervaringenmet de verschillende vendoren? Er wordteen kijkje in de keuken gegeven ten aanzienvan de LeaseWeb storage producten van nuen de toekomst.Over de spreker:Jeroen Kuijk is al meer dan 15 jaar werkzaamin de IT. In diverse functies heeft hij ervaringopgedaan metcomplexe projectenin enkele totaalverschillendegebruiksomgevingen.Zo heefthij ervaring in hetuitvoeren en managenvan grotemigratieprojecten,het verhelpenvan diverseverstoringen metflinke impact en het vormen van IT teams gespecialiseerdin het verbeteren van IT infrastructurenter voorkoming van verstoringen.Bij LeaseWeb is hij 4,5 jaar Team Managergeweest van het Hosting Operations Team,verantwoordelijk voor de wereldwijde sharedhosting producten van LeaseWeb, waaronderwebhosting, cloud platformen en storage infrastructuren.Seminar: Real time analytics op big datamogelijk gemaakt door in-memorytechnologieSpreker: Wouter Pepping - Manager, Deloitte14.00 – 14.45 uur – zaal 11Over de sessie:SAP HANA is een platform for real-time analytics,dat gebruik maakt van in-memory computingtechnology. HANA biedt uitzonderlijkgoede performance op zeer grote hoeveelhedendata. Daarbij worden terrabytes aan datain-memory opgeslagen. Tijdens de presentatiezullen de analytics mogelijkheden van hetplatform worden gedemonstreerd.Over de spreker:Wouter heeft eenachtergrond inbusiness analyticsen is sinds 5 jaarwerkzaam bij deafdeling data analyticsvan Deloitte.Hij werkt aan innovatieveoplossingenop het gebiedvan analytics en BIen maakt sinds 2 jaar deel uit van het DeloitteSAP HANA team.58 BEURSSPECIAL | WWW.INFOSECURITY.NL | WWW.STORAGE-EXPO.NL | WWW.THETOOLINGEVENT.NLINFOSECURITY MAGAZINE - NR. 4 - OKTOBER 2014 59


INFOSECURITY.NL, STORAGE EXPOEN THE TOOLING EVENT 2014IN HET TEKEN VAN THEINTERNET OF THINGSOp 29 en 30 oktober vindt in de Jaarbeurs te Utrecht weer het grootste IT-evenement van Nederlandplaats, in de vorm van de drie gecombineerde beurzen Infosecurity, Storage Expo enThe Tooling Event. Dit jaar staat het thema The Internet of Things centraal, wat als een parapluis voor een breed aanbod van activiteiten, zowel op de traditionele beursvloer als tijdens hetinhoudelijke programma.Zoals elk jaar heeft Jaarbeurs ook dezezeventiende editie weer voor een overkoepelendthema gekozen dat raakvlakkenheeft met alle drie de beurzen. Ditjaar is dit thema The Internet of Things.Door de opkomst van The Internet ofThings krijgen bedrijven te maken meteen grote hoeveelheid data die alleenmaar zal toenemen. Deze verzameldedata brengt veel mogelijkheden met zichmee. Zo versnelt The Internet of Thingsde stap van data naar analytics naarapplicaties en weer terug naar data. Inzichtenkunnen hierdoor sneller en makkelijkerworden verkregen om hier vervolgensbetere bedrijfsbeslissingen doorte nemen. Maar tegelijkertijd zullen erook een aantal drastische veranderingenplaats moeten vinden binnen bedrijven,om voorbereid te zijn op het The Internetof Things tijdperk.Het is een onderwerp dat grote gevolgenheeft voor allerlei aspecten van ITbij organisaties, zo meent Ivo Meertens,Marktmanager bij Jaarbeurs en verantwoordelijkvoor de IT-beurzen. “Omdatondertussen steeds meer zaken verbondenworden met het internet, hebje te maken met veel meer dataverkeeren spelen veel nieuwe zaken op het gebiedvan beheer van de bijbehorende ITsystemen.”INFOSECURITY.NL, STORAGEEXPO EN THE TOOLING EVENTThe Internet of Things biedt organisatiesdus volop uitdagingen op het gebied vanbeheer, beveiliging, storagecapaciteit endatamanagement. “Infosecurity.nl, StorageExpo en The Tooling Event biedengezamenlijk de handvatten om IT-organisatiesklaar te stomen voor het tijdperkdat reeds is begonnen”, zegt Meertens.Op de beursvloer en in de stands is ernamelijk volop de mogelijkheid voorkennismaking met en oriëntatie op toonaangevendeIT-bedrijven, -producten en-diensten. Daarnaast is er een uitgebreidinhoudelijk programma met presentatiesen keynotesessies van specialisten uit hetveld. Hierbij worden ook de technischdiepgravende onderwerpen niet gemeden.INFORMATIE,SEMINARPROGRAMMA ENNETWERKENBezoekers krijgen tijdens de twee beursdagenvolop informatie over vraagstukkenen trends. Ook de vraag waar hetmet de IT naartoe gaat, wordt door eengrote hoeveelheid aanwezige partijen endeskundigen beantwoord. “Onze intentieis om IT-professionals na die twee dagenweer te laten vertrekken met praktischehandvatten om in te zetten in het dagelijkswerk als IT-er”, zo zegt Meertens.Bezoekers van vorig jaar gaven aan datde belangrijkste reden voor het bezoekaan de beurzen was om op de hoogtete blijven van nieuwe product- en branche-ontwikkelingen.Daarop volgde demogelijkheid om deel te nemen aan deinformatieve seminars, workshops en lezingen.Uiteindelijk heeft 70 procent vande bezoekers dit inhoudelijke programmabezocht. De derde reden die bezoekerstenslotte gaven om de beurzen tebezoeken was netwerken, want ondanksde digitalisering blijft het onderhoudenvan persoonlijke contacten erg belangrijk.Onder de bezoekers en exposantenis een brede vertegenwoordiging vande Nederlandse IT-sector: van start-uptot multinational en van datacenter totIT-dienstverlener.INHOUDELIJK PROGRAMMAIn voorgaande jaren kenden Infosecurity.nl,Storage Expo en The Tooling Eventhun eigen theaters en sessies. Dit jaar zalhet centrale thema The Internet of Thingsvoor het eerst dienen als paraplu voor zeventhematische ‘theaters’ op de beursvloer,die op hun beurt ruimte geven aandiverse sessies rondom dé IT-thema’s van2014:• IT Management & Control• Enterprise Mobility• Datacenter & Infrastructure Optimisation• Cloud Computing• Cyber Security• Privacy, Governance & Risk Management• Data Growth & Storage CapacityGedurende de dag zullen de thema’svanuit verschillende invalshoeken wordenbelicht en kunnen bezoekers zichlaten informeren over oplossingen voordeze actuele vraagstukken binnen hetIT-landschap.Het inhoudelijk programma is dan ookzeer divers en zal worden geopenddoor een keynote seminar van de doorSecond Sight uitgeroepen Futurist of theYear 2013 en medeoprichter van cybersecurity-bedrijfCoblue, Yori Kamphuis.Hij zal bespreken hoe the Internet ofThings verloopt in the Internet of Everythingen wat dit zal betekenen voor organisaties.Daarnaast geven onder anderenMireille Hildebrandt (hoogleraar ICT enRechtsstaat aan de Radboud UniversiteitNijmegen) en Jos de Goeij (projectmanagerbij Ordina) een seminar. Het volledigeseminarprogramma is te vinden opwww.infosecurity.nl, www.storage-expo.nl en www.thetoolingevent.nl.PRAKTISCHE INFORMATIE• Beurscombinatie over:Databeveiliging (Infosecurity.nl)Data-opslag (Storage Expo)IT-beheer (The Tooling Event)• Wanneer:Woensdag 29 & donderdag30 oktober 2014• Waar:Jaarbeurs Utrecht• Toegang:Gratis na vooraanmelding60 BEURSSPECIAL | WWW.INFOSECURITY.NL | WWW.STORAGE-EXPO.NL | WWW.THETOOLINGEVENT.NLINFOSECURITY MAGAZINE - NR. 4 - OKTOBER 2014 61


TSTC – de Security Opleider van NederlandADVANCED PERSISTENT THREATS:DE EERSTE STAPIS DETECTIEBij Advanced Persistent Threats(APT) vallen cybercrimineleneen netwerk herhaaldelijkaan, om hier vervolgens plaatsin te nemen zodat gedurendelange tijd enorm veel data kanworden gestolen. Duidelijk dégrote nachtmerrie voor bedrijven.- Botnets, DDoS, Malware ... Gehackt!Bent u de volgende?- En wat is dan uw reputatie- en/of financiële schade?- Vormt uw Blackberry of iPhone een security risico?Herkent u bovenstaande vragen?Deze tijd vraagt om oplossingen en kennis van zaken.Een greep uit onze security certificeringen:Certified Ethical Hacker (CEH)Licensed Penetration Tester (LPT)Computer Hacking Forensic Investigator (CHFI) Certified Information Security Manager (CISM)Certified Security Analyst (ECSA)Certified Information Systems Auditor (CISA)Certified Information SystemsCloud Security Audit and Compliance (CSAC)Security Professional (CISSP)Certified Risk Manager ISO 27005/31000Hoewel veel organisaties zich beseffendat de kans groot is dat zij worden getroffendoor een dergelijke aanval, biedenzij hier nog onvoldoende beschermingtegen. Een eerste stap bij het bestrijdenvan APTs is het herkennen ervan en omdie reden vroegen wij Rickey Gevers,Cybercrime Expert bij Digital Investigation,die een onafhankelijk technischseminar zal verzorgen op Infosecurity.nl,hoe Advanced Persistent Threats kunnenworden gedetecteerd.DETECTIE IS MOGELIJK!Hoewel Advance Persistent Threats zoalsStuxnet en Snake dermate geavanceerdzijn dat zij gebruikmaken van zero-dayexploits, zo zegt Gevers, blijkt het geheleverloop van een infectie wel degelijk mogelijkis te detecteren. “Sterker nog, doorgebruik te maken van relatief eenvoudigesecurity measurements is het mogelijkom een groot gedeelte van de APTsbuiten de deur te houden.”Internationale topsprekers op stand TSTC InfosecurityUtrecht Jaarbeurs 29 & 30 oktober 2014 - Standnummer D.153Zie www.tstc.nl/infosecurityTSTC - 7e jaar op rij de beste EC-Council Security Opleider Europa!ATC of the YearATC of the Year2013ZAKEN OP ORDEWanneer u zeker wilt zijn dat APT’s tijdigkunnen worden herkend, moet u ervoorzorgen dat een aantal zaken op ordezijn, meent Gevers. “Zorg dat het patchmanagement op orde is, zorg voor vulnerabilitymanagement en laat op gestructureerdebasis het digitale veiligheidsniveauvan het bedrijf testen doorprofessionals. Maar het allerbelangrijksteis dat je weet wat je moet beschermenen op basis daarvan security niveau’s inbouwt.”ACTIEVE APT IN NEDERLAND“In Nederland hebben we nog sterk deillusie dat APTs vooral op andere landengericht zijn. De enige reden dat wij alsNederlanders dit denken is omdat wenog helemaal niet in staat zijn APTs teherkennen/willen herkennen.” Tijdenszijn seminar ‘Onder de motorkap van AdvancedPersistent Threats’ op Infosecurity.nlzal Gevers de geavanceerdheid vandit type aanvallen behandelen, waarbij hijspecifiek in zal gaan op een actieve APTin Nederland. “Bij deze APT bleek deCEO van een grote internationale firmaslachtoffer te zijn. Gedurende minimaaleen half jaar had deze APT groep zichzelftoegang verschaft tot de computers vande CEO.”NIEUW!!!Certified Information Privacy Professional/Europe (CIPP/E)Want security start bij mensen!!62 BEURSSPECIAL | WWW.INFOSECURITY.NL | WWW.STORAGE-EXPO.NL | WWW.THETOOLINGEVENT.NLWWW.TSTC.NLINFOSECURITY MAGAZINE - NR. 4 - OKTOBER 2014 63


NETWERKBESCHERMINGDOOR MISCHA DEDENTIENONMISBARE FUNCTIESVOOR UW NEXT-GENERATIONFIREWALL-AANKOOPDe behoefte aan supersterke netwerkbescherming is misschien de voornaamste reden omte investeren in een next-generation firewal (NGFW), maar er komt meer bij kijken. Uw bedrijfheeft nog andere vereisten om in overweging te nemen. U wilt een NGFW die uw bedrijfsvoeringveerkracht geeft, die een redelijke TCO (total cost of ownership) heeft, en die continueuptime, schaalbaarheid en flexibiliteit biedt. Een oplossing die uw huidige en toekomstigebusiness aankan. Het moet passen binnen uw budget en bij de specifieke behoeften van uwnetwerk. Hier tien onmisbare criteria voor de NGFW die de eisen van uw onderneming vervult.1. CENTRAAL, KRACHTIGBEHEERInloggen op meerdere firewalls en anderenetwerkcomponenten om veranderingendoor te voeren of om activiteitte bekijken, kan een ongewenst beslagleggen op uw schaarse middelen. Zoekeen gecentraliseerd beheersysteemdat alle firewalls in uw omgeving, al danniet verdeeld over meerdere clusters enlocaties, aggregeert. En daarmee uwsecurityteam de mogelijkheid geeft omsnel te reageren op incidenten. Een gecentraliseerdsysteem stelt u in staat omfirewall-activiteit te bepalen, bekijkenen besturen via een enkel venster. Centraalbeheer moet u ook de mogelijkheidgeven om routinetaken te automatiseren,elementen te hergebruiken, slimmeshortcuts in te zetten, en in te zoomenop dieper liggende informatie. Dat geeftmaximale efficiency met minimale inzet.2. BEHEER VAN GEBRUIKERS ENAPPLICATIESGebruikers- en applicatiebeheer is eenonmisbare functie geworden voor NG-FW’s. Het internet blijft namelijk variërendeplekken en opties bieden om uwwerknemers te lokken, weg van hun werken productiviteit. Applicatiebeheer is alflink doorontwikkeld om voorbij de basalefunctie van poorten en protocollen tegaan. De huidige technologie geeft u dekracht om gedetailleerde policies aan temaken die zijn te baseren op karakteristiekenzoals gebruikersidentiteit, gebruikersrolen de specifieke aspecten vaneen webapplicatie.Kijk hierbij ook naar meer geavanceerdebeheeropties voor zowel gebruikers alsapplicaties. Zoals bijvoorbeeld de mogelijkheidvan uitbreiding voor gebruikersgroepen,domeinnamen en TLS-matches(firewall-regels voor webapp-verbindingendie beveiligingsprotocol TransportLayer Security gebruiken). Een anderegeavanceerde beheeroptie die valt aante raden, is de mogelijkheid om uitgebreiderapportages te genereren overhet netwerkgebruik door gebruikers enapplicaties.3. HOGE BESCHIKBAARHEIDDowntime van functies op bedrijfsnetwerkenwordt door de meeste mensengezien als onacceptabel. Zelfs voor geplandroutine-onderhoud. Eén crucialefunctie om hoge beschikbaarheid enveerkracht te behalen, is het gebruik vanactive-active clustering voor uw NGFW.De firewall is daarbij geclusterd met minstenséén evenknie die altijd aan is en dusklaar staat om taken direct over te nemen.Deze active-active clustering laat debusiness doordraaien tijdens systeemupdatesen onderhoud. Daarnaast vergrootdeze aanpak de flexibiliteit wanneer erzware applicaties draaien die een hogerprestatieniveau nodig hebben. Clustersmoeten in staat zijn om per clusternodete worden geüpgrade zonder dat hetfunctioneren wordt onderbroken. Dit betekentdus ook dat de verschillende nodestijdens onderhoud moeten kunnenwerken met verschillende softwareversiesen hardwarevarianten.4. PLUG&PLAY-UITROLAls uw onderneming meerdere, geografischverspreide locaties omvat, heeft ueen NGFW nodig die plug&play-uitrolbiedt. Door de cloud te gebruiken voorinstallatie en configuratie valt uw NGFWmakkelijk te installeren bij elk kantoorop afstand. Daar hoeft het systeem danslechts te worden aangesloten op stroomen een fysieke netwerkverbinding, waarnade inrichting via het netwerk wordtgedaan. Dit kan flinke besparingen brengenin tijd en reiskosten. Bovendien kanimplementatie van uw NGFW dan wordenverkort van enkele weken naar lutteleminuten. Naast de initiële uitrol zijnook updates en upgrades op afstand engeautomatiseerd uit te voeren. Het centralebeheersysteem geeft dan de mogelijkheidom deze handelingen op afstandte overzien en aan te sturen.5. DEEP PACKET INSPECTIONDeep Packet Inspection (DPI) is de volgendemust-have voor uw NGFW. Dezemonitoringfunctie zorgt ervoor dat de diversebrokken van elk datapakket grondigwordt onderzocht. Dit ondervangtdan mismaakte packets, fouten in het netwerkverkeer,geïdentificeerde cyberaanvallen,en andere uitzonderingen. DPIkan ongewenste vormen van dataverkeersnel herkennen en blokkeren, zoalsafkomstig van Trojans, virussen, spam,inbraakpogingen en andere schendingenvan de normale communicatie opuw netwerk. De analyse van packetdatagebeurt met diverse methodes, inclusiefinspectie van datastromen, signaturesvan kwetsbaarheden, configuratie vannetwerkpolicies, identificatie van protocollen,normalisering van data, en zowelonversleutelde (HTTP) als versleutelde(HTTPS) webverbindingen. NGFW’s metDPI-mogelijkheden moeten ook dynamischeupdates aankunnen die zijn teautomatiseren, zodat policy-configuratiesen bescherming tegen geïdentificeerdekwetsbaarheden op regelmatige basiszijn aan te passen.6. BESCHERMING TEGEN AET’SAdvanced Evasion Techniques (AET’s)staan erom bekend dat ze verschillendeaanvallen combineren, dat ze zichtijdens aanvallen dynamisch aanpassen,en dat ze diverse protocollagen benutten.Dit alles om kwaadaardige content ofeen security-exploit binnen te brengenvia netwerkverkeer dat onschuldig oogtvoor minder geavanceerde security-oplossingen.AET-bescherming verwijdertde ‘verduistering’ (obfuscation) van dezeheimelijke aanvalstechnieken, zodat hetverkeer grondig geïnspecteerd kan wordenover verschillende protocollen enlagen heen. Diep ingebouwde AET-beschermingin een NGFW zorgt ervoor datzelfs de meest grondige data-analyse ennormalisering geen impact heeft op hetpresteren van het netwerk.7. MULTI-TENANCYGrote ondernemingen en aanbieders vanmanaged services hebben specifiek behoefteaan een NGFW die multi-tenancyondersteunt. Deze functie zorgt voor eenscheiding en onderscheid tussen diversedomeinen op het netwerk. Gebruikersbehorend bij die verschillende domeinenzijn dan op gepaste wijze te beveiligenzonder dat die diversiteit ten koste gaatvan de efficiency. Multi-tenancy mogelijkhedenbieden aparte maar interoperabelebeheermogelijkheden voor domeinen.Deze zijn ook toe te passen op verschillendebedrijfsdivisies, geografische locaties,en de externe organisaties vanklanten. Deze entiteiten kunnen dankzijmulti-tenancy gescheiden van elkaarblijven terwijl ze toch allemaal profiterenvan dezelfde beveiligingsvoordelen. Ditomvat een gelijke blik op en overzichtvan de securitysituatie, de uniforme beheermiddelen,de geautomatiseerdefunctionaliteit, de voortdurend geoptimaliseerdenetwerkverbindingen en anderegeavanceerde functies van uw NGFW.8. AANPASBARE, NWISSELBAREARCHITECTUUR: HARDWARE,SOFTWARE, VIRTUEELDe architectuur van uw volgende NGFWmoet aanpasbaar en inwisselbaar zijn zodatu security op de meest effectieve manieren naar behoefte kunt inzetten. Leter bij een NGFW op dat die zowel vooruw budget als qua architectuur zo flexibelmogelijk is. Dit geldt voor alle vormenvan NGFW’s, of die nou beschikbaar zijnals software, als fysieke appliance, of alsvirtuele appliance. Kies voor een oplossingdie wanneer nodig ook van rol kanveranderen, zónder de noodzaak voornieuwe licenties en contracten daarvoor.Bijvoorbeeld van intrusion preventionsystem (IPS), naar Layer 2-firewall, of firewallmet VPN (virtual private network).9. VPN OP ENTERPRISE-NIVEAUVeerkrachtige en flexibele connectiviteittussen verschillende vestigingenvereist de aanwezigheid van krachtigeVPN-technologieën (virtual private network)in uw NGFW. Veel NGFW’s zijnvoorzien van IPsec VPN, dat bestaat uiteen verzameling securityprotocollen diezijn toegevoegd aan de communicatielaagwaar de netwerkpakketten wordenverwerkt. IPsec kent meerdere voordelen,waaronder de afhandeling van securityvoorzieningenzonder dat er wijzigingennodig zijn op individuele computers.Kijk bij de selectie van uw volgendeNGFW naar nog meer VPN-vermogendoor IPsec te combineren met anderegeavanceerde technologieën. Zoals gecombineerdenetwerklinks of tunnels omkosteneffectieve VPN-verbindingen temaken met hoge beschikbaarheid. Let erook op dat uw geselecteerde NGFW beheermiddelenheeft die krachtig genoegzijn om uw VPN’s uit te rollen, te configurerenen in te zetten.10. VIRTUALISATIEVirtuele appliances maken het makkelijkom zelfstandig een uitgebreide security-infrastructuurop te zetten met virtuelemachines. Elke virtuele appliancekan dan een eigen, onafhankelijke rolvervullen. Daarbij kan elk van die virtuelemachines zelfs zijn eigen, afwijkendesoftwareversie en besturingssysteemdraaien. De optie van virtual contextsgeeft beheerders een manier om deconfiguraties van de diverse securitygatewayste scheiden. Die scheiding gebeurtdan niet aan de hand van fysiekeeigenschappen, maar op logische enfunctionele basis. Elk van die gescheidenelementen is dan apart te beherenop een enkele fysieke NGFW-appliance.Deze aanpak is ideaal voor aanbiedersvan managed security services (MSSP’s,managed security service providers)die hun beveiligingsdiensten bieden aanmeerdere klanten en daarvoor dezelfdefysieke elementen gebruiken.Mischa Deden is Sales Systems Engineervoor Noord- en Oost-Europa bij McAfee64INFOSECURITY MAGAZINE - NR. 4 - OKTOBER 2014 65


UIT ONDERZOEK VAN NSS LABS BLIJKT:VOLLEDIGEBESCHERMINGTEGEN EVASIVE-TECHNIEKENWEL DEGELIJK MOGELIJKDoor het grote aantal security-incidenten waarmee we de laatste maanden worden geconfronteerd,lijkt het soms wel of de cybercriminelen de strijd aan het winnen zijn. Wie echtereen recent verschenen onderzoek van NSS Labs leest, ziet dat die conclusie niet klopt. Nextgeneration firewalls blijken wel degelijk in staat om nagenoeg alle aanvallen tegen te houdenen - wellicht nog belangrijker - de vele technieken die cybercriminelen bedenken om security-maatregelente omzeilen volledig te neutraliseren.De informatieplicht die steeds meeroverheden aan bedrijven opleggen omsecurity-incidenten waarbij persoonsgegevenszijn betrokken openbaar temaken heeft grote voordelen. Maar helaaskent dit beleid ook een belangrijknadeel. Aan de ene kant krijgen we eensteeds beter beeld van wat er daadwerkelijkgebeurt op het gebied van security.Tegelijkertijd zien we nu echter ookheel duidelijk hoe vaak cybercriminelenin staat zijn om door te dringen in netwerkenwaarvan we dachten dat deze goedafgeschermd waren voor onbevoegden.De maatschappelijke onrust die hieroveris ontstaan, zal niemand ontgaan zijn.Sterker nog, hierdoor lijkt soms de indrukte ontstaan dat de cybercriminelende strijd aan het winnen zijn.We zien dat de securityaanbiedersmomenteelbehoorlijk goed scorenONJUIST BEELDDat beeld klopt echter niet. Waar de wedlooptussen cybercriminelen en aanbiedersvan beveiligingsproducten vaak ietsweg heeft van ‘haasje-over’, zien we dat desecurity-aanbieders momenteel behoorlijkgoed scoren. Dat blijkt bijvoorbeelduit een recent gepubliceerd onderzoekvan NSS Labs. Dit testlab heeft onlangseen aantal zogeheten ‘next generation firewalls’onderzocht en onderworpen aaneen groot aantal - wat zij noemen - ‘realworld attacks’. Met andere woorden: opbasis van de diepgaande kennis van NSSLabs van de security-wereld, heeft meneen groot aantal aanvalsmethodiekenvan cybercriminelen verzameld. Vervolgensheeft men onderzocht in hoeverreeen serie bekende firewalls in staat is omdeze aanvallen tegen te houden. Daarbijheeft men gekeken naar productenvan Barracuda, Checkpoint, Cyberoam,Cisco, Dell (Sonicwall), Fortinet, McAfee,Palo Alto Networks en WatchGuard. Vansommige aanbieders zijn meerdere modellenfirewalls beproefd.KOSTEN EN PRESTATIESWat het onderzoek echter extra interessantmaakt, is het feit dat NSS Labs nietuitsluitend naar de technische prestatiesvan de diverse leveranciers heeft gekeken.Men heeft echter ook een relatiegelegd met de kosten die een IT-afdelingmoet maken om tot een bepaald prestatieniveaute komen. Met andere woorden:wat kost het om een bepaalde hoeveelheiddataverkeer te beveiligen? De resultatenvan deze tests zijn weergegeven infiguur 1.BEKENDE NAMENOpvallend is dat een aantal bekende aanbiederswat minder goed lijken te scorendan wat kleinere spelers als bijvoorbeeldWatchGuard, dat zowel wat betreft kostenals effectiviteit goed uit de tests naarvoren komt. Uit het onderzoek blijkt datde WatchGuard XTM 1525 97,8 procentvan alle geteste aanvallen weet tegen tehouden. Bovendien omzeilde deze firewallalle zogeheten ‘evasive techniques’die cybercriminelen toepassen om beveiligingsmaatregelente omzeilen. Daarkomt bij dat de kostprijs per beveiligdeMbps door NSS Labs als ‘zeer gunstig’wordt getypeerd.IN DETAILMeer in detail levert de test als resultaatop dat de WatchGuard XTM 1525volgens NSS Labs 96,7 procent van alleaanvallen blokkeert tegens serverapplicatiesen 98,7 procent van alle pogingenom client-applicaties aan te vallen. Dit betekentdat de XTM 1525 gemiddeld 97,8procent van alle aanvallen tegenhoudt.Belangrijk is bovendien dat de firewallzeer goed scoorde in de NSS ApplicationControl-test. NSS Labs heeft vastgestelddat de software die door de firewall wordtgebruikt, ofwel XTM v11.8, op correcteen effectieve wijze complexe policies afdwingtdie zijn samengesteld uit meerdereregels, objecten en applicaties. Hierbijhebben de onderzoekers vastgesteld datde XTM bij zowel inkomend als uitgaanddataverkeer met succes kan vaststellenwelke applicatie de data verstuurt of ontvangt,om vervolgens de juiste policy opdeze datastroom toe te passen.TOELICHTING“Voor bedrijven en overheidsorganisatiesis het van cruciaal belang dat zij eengoed begrip hebben van de prestatiesen effectiviteit van moderne firewalls”,zegt Vikram Phatak, chief executive officervan NSS Labs in een toelichting opde testresultaten. “De WatchGuard XTM1525 kende gedurende het gehele testproceseen zeer hoge en bovendien zeerconsistente mate van bescherming tegenaanvallen en pogingen van cybercriminelenom de beveiligingsvoorzieningenvan de firewall te omzeilen.”Hans Vandam is journalistDOOR HANS VANDAMFiguur 1. Resultaten van de test van NSS Labs waarbij de effectiviteit tegen aanvallen isafgezet tegen de kosten per beveiligde Mbps.Uit het onderzoek blijkt datde WatchGuard XTM 152597,8 procent van alle getesteaanvallen weet tegen te houden.INCIDENTEN REAL-TIME ZICHTBAARDe WatchGuard XTM 1500-serie biedt (UTM) appliances wordt de XTM 1525een throughput tot 25 Gbps en 10 ondersteund door WatchGuard Dimension.Deze software maakt beveilings-Gbps als sprake is van het gebruik vaneen VPN (virtual private network). Net maatregelen en eventuele incidenten inals alle WatchGuard Next Generation real-time zichtbaar. Hierdoor kan per(NGFW) en Unified Threat Management direct het door een beveiligingsincidentgetroffen deel van een netwerk wordenvastgesteld en geïsoleerd. WatchGuardDimension genereert ook in real-timealle voor die aanval relevante informatie- van type aanval tot trendinformatie.66INFOSECURITY MAGAZINE - NR. 4 - OKTOBER 2014 67


HET EID-STELSEL EN CYBERCRIMINALITEITDOOR HANS VANDAM‘ECHT ROBUUSTESECURITY KUNNEN BIEDEN,BLIJFT KWESTIE VAN CONTINUMONITOREN EN TESTEN’Door het grote aantal security-incidenten waarmee we de laatste maanden worden geconfronteerd,lijkt het soms wel of de cybercriminelen de strijd aan het winnen zijn. Wie echtereen recent verschenen onderzoek van NSS Labs leest, ziet dat die conclusie niet klopt. Nextgeneration firewalls blijken wel degelijk in staat om nagenoeg alle aanvallen tegen te houdenen - wellicht nog belangrijker - de vele technieken die cybercriminelen bedenken om security-maatregelente omzeilen volledig te neutraliseren.Henk van der Heijden, oprichter en partnerTecHarbor & managing director (a.i.)bij Comsec Consultancy in Nederland:“Het eID-stelsel geldt als standaard voorhet vaststellen van bevoegdheden. Jekunt denken aan een soort Identity- & AccessManagement (IAM-)systeem, maardan met de Nederlandse overheid alstoezichthouder. Private en publieke organisatiesspreken daarbij af welke eisen zestellen op het gebied van veiligheid, betrouwbaarheiden de bescherming vanprivacy. Op deze manier brengt het stelselverschillende inlogmiddelen samen;van DigiD voor burgers en eHerkenningvoor ondernemers tot logins bij bankenen gebruikersnaam / wachtwoord combinatiesvoor webwinkels. Het spreekt voorzich dat de inrichting en implementatiehiervan zeer complex is. Het uitvoerenvan zorgvuldige tests via ethical hackingop de systemen is dan ook noodzakelijk.”STELSEL VAN IDENTITEITENHoe gaat het stelsel eruit zien? Gebruikers– burgers, ondernemers, consumenten– kunnen online bij verschillende instantiesen organisaties terecht en daarbijhun eigen inlogmethode kiezen. Stel datMarieke vanaf haar laptop wil inloggenbij een webshop om een nieuwe trui tekopen. Via de site krijgt zij de vraag in teloggen met eID. Vervolgens heeft zij demogelijkheid te kiezen uit verscheideneeID-middelen. Marieke kiest ervoor omop haar mobiele telefoon een code teontvangen, welke zij vervolgens op hetinlogscherm kan invoeren. Het systeemherkent mevrouw Marieke de Groot engeeft haar toegang tot de webshop waarbijzij direct kan winkelen en afrekenen.De persoonlijke informatie die er overhaar beschikbaar komt voor de winkel– denk aan geboortedatum, woonadres,interesses – bepaalt Marieke zelf. De gebruikerbesluit immers hoe hij of zij zichauthentiseert bij organisaties die meedoenmet eID (instellingen/banken/winkels/verzekeraars/overheid).Momenteelbekijken de ontwikkelaars ook of identiteitsdocumentenals inlogmiddelen kunnenfungeren.Het grote voordeel van dergelijke inlogproceduresen samenwerkingen is datburgers (als ondernemer of als consument)niet talloze wachtwoorden hoevente gebruiken voor iedere online transactie.Met eID is het straks mogelijk om viadezelfde authenticatieprocedure zowelje boodschappen online te doen als eennieuwe parkeervergunning aan te vragen.Daarnaast is het voor organisatiesgoedkoper om veiligere diensten aan tebieden als ze het gezamenlijk aanschaffenen beheren. Zo profiteren deelnemendeinstellingen van elkaars sterkemiddelen.BELANG GOEDE CYBERSECURITYTegelijkertijd heeft de overheid de ambitiegeuit om Nederland als leidend opde Europese kaart te zetten op het gebiedvan cyber security. Zelfs de koningnoemde het belang ervan in de Troonredetijdens Prinsjesdag. “Het is ook nietgek. Nederland was na de Verenigde Statenen het Verenigd Koninkrijk het derdeland in de wereld dat op het internet wasaangesloten. Inmiddels maakt 80 procentvan de Nederlandse burgers gebruikvan online banking, 62 procent van webshops(4 e in Europa), bezit 94 procent vande families minstens één PC en heeft 95procent van de jongeren een of meerderesocial media accounts”, legt Van derHeijden uit. “Verbonden zijn en blijven isonderdeel geworden van ons dagelijksleven. Dit brengt een nieuwe manier vanbeveiligen met zich mee. Daar moetenwe bewust en innovatief op inspelen, willenwe daadwerkelijk het verschil kunnenmaken.”Het Nationaal Cyber Security Centrum,onderdeel van het Ministerie van Veiligheiden Justitie, neemt de taak op zichom het land weerbaar te maken tegencyberaanvallen en de vitale belangen tebeschermen. Nederland investeert daaromin veilige en privacy-bevorderendeICT-producten en –diensten en bouwtcoalities voor vrijheid, veiligheid en vredein digitale domeinen. Het eID-stelselis een voorbeeld van een dergelijke samenwerkingtussen meerdere partijen.Hij voegt toe: “het is een mooi streven omhet bedrijfsleven online aan de overheidte koppelen door middel van een enkeledigitale identificatie. Samenwerking ende ‘koppen bij elkaar’ is een eerste belangrijkestap om cybercriminaliteit tegente gaan en een goede defensie opte bouwen. Om dezelfde reden is pasgeleden tevens de Cyber Threat Alliance(CTA) opgericht: een initiatief van viergrote internet security-bedrijven. Tochzitten er nog wel veel haken en ogen aanhet concept van het stelsel. Allereerst isdaar de vraag wat er gebeurt als mensenmet dezelfde naam inloggen. Persoonsverwisselingenzullen te allen tijdevoorkomen moeten worden, want andersligt de persoonlijke informatie voor hetoprapen. En dat kan ernstige gevolgenhebben als degene die toegang krijgt totdie gevoelige data slechte bedoelingenheeft. Uiteraard is hier al aan gedacht. Deoverheid zegt pseudoniemen te willenvormen op basis van een unieke identiteitvan een persoon. Het is echter alleenmogelijk uit te sluiten of die persoondaadwerkelijk is wie hij zegt te zijn, als jeover alle persoonsidentiteiten beschikt.Inlogmethodes via identiteitsdocumentenzoals een paspoort of rijbewijs is eenmogelijkheid om persoonsverwisselingente voorkomen. Maar daarmee ben jeer nog niet.”ETHICAL HACKINGVan der Heijden is ervan overtuigd datindien diverse netwerken, systemen entoepassingen met elkaar verbonden zijn,het continu monitoren en testen hiervanessentieel is. “Het is bijna de enige optieom op elk moment op de hoogte te zijnvan wat er binnen je organisatie of instellinggebeurt. Ontwikkelingen als cloud,mobile, big data analytics, The Internetof Things (of Everything), maken ons levenop heel veel vlakken makkelijker,sneller, en beter. Maar er komt ook eenhele nieuwe manier bij kijken om dit allesoptimaal te beschermen. En de hackerwereldstaat niet stil. Deze ontwikkelt zichook in een heel rap tempo. De oplossingligt in het opdoen van kennis. We moeteninzicht hebben in de totale IT-infrastructuur,overal en op elk moment.”Het eID-stelsel moet in 2017 als standaardgaan dienen voor het regelen van toegangbij online dienstverlening. “Diverseprivate en publieke instellingen wordenhierbij aan elkaar gekoppeld en de privacyvan burgers staat op het spel alsde implementatie niet juist verloopt. Hetis echt noodzakelijk om de verbondenelementen vooraf te testen op de weerbaarheiden dit vervolgens continu bij tehouden. Een van de weinige methodesom hackers voor te zijn is ethical hacking.In opdracht van het management wordenalle systemen, netwerken en applicatiesgetest door middel van gerichte hacks.Het is ethisch omdat de organisatieservan op de hoogte zijn dat ze wordenaangevallen. Doelgerichte attacks makenbovendien inzichtelijk waar de gatenzitten. Deze kan een (security) managervervolgens direct opzoeken en wegwerken.Daarnaast is er veel effectiever enefficiënter een security-strategie te bepalenomdat het bedrijf nu zijn zwakkereplekken kent. Wil het eID-stelsel slagenen ons als burgers echt volledig beschermentegen online gevaar, dan zou hetvoor de deelnemende partijen raadzaamzijn zich kwetsbaar op te stellen en leringte trekken uit de consequenties voor hetbedrijf als zij slachtoffer worden van cybercriminaliteit.”68INFOSECURITY MAGAZINE - NR. 4 - OKTOBER 2014 69


EU-GEGEVENSBESCHERMING:Er is meer behoefte aan regulering danooit. Volgens de ‘Breach Level Index’ van70De EU-verordening omtrent gegevensbescherming gaat op dit moment door de molen van hetEuropees Parlement. Door het recente, alarmerende nieuws van beveiligingslekken en diefstalvan data, krijgen Europese organisaties (en cloud-serviceproviders die actief zijn op de Europesemarkten) door deze verordening te maken met verscherpt toezicht als het gaat om debescherming van (persoons)gegevens. Maar waarom introduceert de EU deze verordening?Wat betekent het voor uw organisatie en wat moet u erover weten?Dirk GeeraertsENCRYPTIEIS SLEUTEL TOTBEWAKEN VAN UW REPUTATIESafeNet, zijn in de eerste helft van 2014alleen al meer dan 375 miljoen klantgegevensgestolen of verloren. Dit als gevolgvan de 559 datalekken wereldwijd.Dit enorme aantal gegevenslekken zoubij IT-managers alle alarmbellen moetenlaten afgaan. Maar wat misschien nogalarmerender is, is het feit dat het in minderdan één procent ging om beveiligdelekken. Dit betekent dat bijna alle datadie gestolen werd, niet adequaat werdbeschermd. Dit is de voornaamste redendat de EU deze verordening omtrent gegevensbeschermingintroduceert, om bijdatadiefstal en –lekken te garanderen datklantgegevens buiten schot blijven.De verordening betekent de grootste veranderingin gegevensbescherming in deEU sinds 1995. Zij vervangt de vorige DataProtection Directive. Eenmaal aangenomen,overstijgt deze verordening de wetgevingin alle 28 EU-lidstaten. Hiermeecreëert de EU uniformiteit binnen allelidstaten wat de bescherming van gegevensaangaat en scherpt het de straffenvoor het niet naleven van de verordeningaanzienlijk aan. Het feit dat het gaat omeen ‘verordening’ in plaats van ‘richtlijn’is belangrijk, omdat het rechtstreeks vantoepassing is op alle EU-lidstaten, zonderdat het nodig is dat nationale wetgevendemachten deze bekrachtigen.WAT BETEKENT DIT VOOR UWORGANISATIE?De meest opvallende verandering in devoorgestelde EU-verordening is de verplichtingom zowel de autoriteiten als degetroffen personen te melden wanneereen datalek plaatsvindt. De aanpassingvan de EU-regelgeving, die dateert vanaugustus 2013 (verordening nummer611/20132), houdt in dat aanbiedersvan openbare elektronische communicatiedienstenin de EU de nationale regelgevendeinstanties binnen 24 uur nahet signaleren van een datalek in kennismoeten stellen. Klanten moet worden geïnformeerdals een datalek ‘ongunstigegevolgen kan hebben voor de persoonsgegevensof persoonlijke levenssfeer’.Op dit moment hoeven alleen telecom-maatschappijenen Internet ServiceProviders (ISP’s) aan deze verordeningte voldoen. De voorgesteldeverordening omtrent gegevensbescherminggeldt echter voor alle organisatiesdie persoonsgegevens verwerken. Ditbetekent dat serviceproviders die klantinformatiebeheren, zoals aanbiedersvan cloud-diensten, ook verantwoordelijkworden gehouden.Dit is vooral verontrustend, gezien deimpact die een datalek kan hebben opde reputatie van een organisatie en uiteindelijkde omzet. Het onderzoek ‘TheCost of Data Breach 2014’ van Ponemongeeft aan dat de gemiddelde kosten vaneen datalek zo’n 3,5 miljoen dollar zijn.De beschadigde reputatie en het verliesvan klanten hebben de grootste invloedop de omzet. Uit ons onderzoek blijktdat meer dan de helft van de volwassenrespondenten (57 procent) nooit, of zeerwaarschijnlijk niet, gaat shoppen bij ofzaken doet met een bedrijf dat te makenheeft gehad met een datalek, waarbijpersoonlijke gegevens verloren zijn gegaan.De enige uitzondering op de verordeningdat personen in kennis gesteldmoeten worden van datalekken, is als erpassende maatregelen getroffen zijn om‘gegevens ontoegankelijk te maken vooreenieder die geen recht heeft om ze in tezien.’ Dus hoe kunnen organisaties gegevensontoegankelijk maken?HET LEK DICHTENAls een van de officiële adviseurs vande Europese Commissie, publiceerdeENISA onlangs een rapport met input enaanbevelingen voor de maatregelen dievan toepassing zijn op het ontoegankelijkmaken van gegevens voor ongeautoriseerdegebruikers. Het rapport beschrijfteen technische voorziening die een aanzienlijkeinvloed zal hebben op de keuzedie serviceproviders maken bij beveiligingsoplossingendie voldoen aan deEU-regelgeving.Met deze aanbevelingen in het achterhoofd,moet elke organisatie rekeninghouden met drie factoren bij het ontwikkelenvan een uitgebreide strategie voorgegevensbescherming. Ten eerste, waaris de data opgeslagen - in een database,file servers, virtuele omgevingen of decloud? Ten tweede, hoe en waar wordenencryptiesleutels veilig opgeslagen? Totslot, wie krijgt er toegang tot de gegevensen nog belangrijker, hoe wordt dezetoegang gecontroleerd?De verordening betekent degrootste verandering in gegevensbeschermingin de EU sinds 1995Deze drie factoren zijn te vertalen in eendrie-stappenaanpak voor gegevensbescherming:1. VERSLEUTEL ALLEKRITISCHE GEGEVENSIn het ENISA-rapport wordt versleutelinggenoemd als een essentiële en effectievemethode om te voldoen aan de wettelijkebeveiligingsstandaarden voor het ontoegankelijkmaken van data. Dit betekentdata beveiligen op applicatieniveau (zoalsPOS-terminals), terwijl ze verstuurdworden en opgeslagen zijn. Dit moet verderreiken dan alleen financiële data, allewaardevolle, bedrijfskritische en klantendatamoet worden meegenomen.2. ENCRYPTIECODESOPSLAAN EN BEHERENVersleutelde gegevens zijn zo veilig entoegankelijk als hun encryptiecode toelaat.Een van de meest voorkomendefouten die organisaties maken is dezeopslaan op dezelfde plek als de data.Hierdoor stellen ze hun kritische informatiebloot aan aanzienlijke risico’s. Eencrypto-managementplatform beheertde encryptiesleutels, en zorgt ervoorDOOR DIRK GEERAERTSdat deze encryptiesleutels worden hernieuwden verwijderd. Het biedt ook extra‘trust anchors’ voor encryptiesleutelsdie hardware security-modules gebruiken.3. TOEGANGSCONTROLEZorg voor een authenticatiestrategie omde identiteit van gebruikers te beschermen,om er voor te zorgen dat alleengeautoriseerde gebruikers toegang hebbentot de systemen, data en apps. Concreetbetekent dit dat een risicoanalysenoodzakelijk is om de toegangscontrolesaf te stemmen op specifieke dataverwerkingsscenario’s.Effectieve toegangscontrolesystemengebruiken multi-factorauthenticatie,die een extra niveau vangebruikersauthenticatie vereist, zoals detoegangscode die naar een mobiele telefoonwordt verzonden.NIET VOORBEREID? BEREID JEDAN VOOR OM TE FALENDe EU-verordening omtrent gegevensbeschermingwordt eind 2014 afgeronden wordt in 2017 van kracht. Echter, alsbedrijven nu geen stappen ondernemenom hun manier van gegevensbeschermingte veranderen, krijgen ze niet alleente maken met compliance-sancties,maar zetten ze ook hun reputatie en hetvertrouwen van hun klanten op het spel.De rapportage-eisen van de nieuweEU-verordening maakt datalekken beterzichtbaar. Als gevolg hiervan verergerende economische en zakelijke gevolgenvan een lek. Daarom moeten bedrijvennu maatregelen nemen om voorbereid tezijn als de nieuwe verordening van krachtwordt.Security professionals moeten altijd rekeninghouden met specifieke risico-analyse-eisen.Dit om organisatorische entechnische maatregelen te nemen omdatalekken te signaleren, voorkomen endichten. Data-encryptie-oplossingen zijnessentieel bij het betrouwbaar versleutelenvan vertrouwelijke informatie. Wanneerencryptie wordt gecombineerd metandere maatregelen, zoals beveiligd ‘keymanagement’ en toegangscontrole, biedtdit een robuuste basis bij het voldoen aande geldende EU-wetgeving.Bezoek SafeNet op Infosecurity.nl: hal 1stand A136.Dirk Geeraerts is Regional Sales Directorbij SafeNetINFOSECURITY MAGAZINE - NR. 4 - OKTOBER 2014 71


VEST INTRODUCEERT METHODIEK VOOR RISICOANALYSES BIJ CLOUD-PROJECTENDOOR JIM DE HAAS EN KEES MASTWIJKVEILIGBUSINESS INFORMATION GOVERNANCEIMPLEMENTERENVAN MOBIELE APPSDe uitkomsten van de Nationale IT-Security Monitor 2014 laten zien dat de helft van de respondentenaangeeft dat er onvoldoende kennis aanwezig is om cloud oplossingen veilig tegebruiken. En dat er onvoldoende kennis is om mobiele apparaten veilig te implementeren.Vest beschrijft in dit artikel een methodiek voor risicoanalyses op cloud computing projecten,alsmede een strategie voor het veilig implementeren van mobiele apparaten.In de meeste organisaties zijn er constantveranderingen in het IT- & applicatie-landschap.Naast projecten dieverouderde technologie vervangen iser uitbreiding en innovatie. Bedrijven fuseren,bedrijven splitsen, het IT-bedrijfstaat nooit stil. Grote wijzigingen in hetIT-landschap brengen risico’s met zichmee. In dit artikel vragen we aandachtvoor risicobeheersing in projecten diecloud computing implementeren en hetgebruik van mobiele apparaten.Cloud projecten met een substantieelbudget zullen in de meeste gevalleneen bepaalde governance of beheersstructuurmoeten volgen. Om budget teverkrijgen is een goedgekeurd projectvoorstelbenodigd. Het is verstandig ditaan te vullen met de resultaten van eengedegen risicoanalyse. Organiseer eenworkshop en inventariseer de risico’sdie het project resultaat kan lopen. Daarzijn een aantal eenvoudige hulpmiddelenvoor. Denk aan een formulier om de impactop de bedrijfsvoering vast te stellen.Beoordeel de impact vanuit financieel,operationeel en imago perspectief. Doedit voor de aspecten vertrouwelijkheid,integriteit en beschikbaarheid. Het resultaatvan deze exercitie geeft aan hoebelangrijk een applicatie is voor de ondersteuningvan de bedrijfsprocessen.KWETSBAARHEDENVervolgens gaat het team vaststellen watdreigingen en kwetsbaarheden zijn. Hierzijn meestal wat meer technisch onderlegdemedewerkers voor nodig. Medewerkersmet kennis van de infrastructuur,of in dit geval cloud computing. Eengoede bron voor meer informatie overde risico’s van het gebruik van cloudcomputing is de website van Enisa. Wilje meer weten over mogelijke cloud securityrisico’s, download dan een van hunwhitepapers. Nog niet helemaal thuis inde wereld van cloud computing? Lees jedan eerst in op de website van de CloudSecurity Alliance (CSA). De CSA heefteen overzicht van beheersmaatregelengemaakt, variërend van technische maatregelen,tot contractuele en juridische.De voorbereiding van een dreigingenanalyse begint met het vaststellen vaneen scope die past bij het project of situatiein kwestie. Bijvoorbeeld een bedreigingop het datacenter waar de applicatiewordt gehost, uitval van systemen, ofaanvallen door hackers. Maak de lijst niette lang, dat is helemaal niet nodig om eengoede risico analyse te maken. Zo’n 20items is voldoende. Verdeeld over categorieënzoals applicatie ontwikkeling,beheer en hosting. Neem de context vanhet project daarbij in ogenschouw. Draaitde applicatie straks in Amerika? Gaat hetproject kritische bedrijfsprocessen uitbesteden?Krijgt de service provider wel ofgeen toegang tot uw data?Afhankelijk van de sector waarin het bedrijfopereert zijn er richtlijnen van detoezichthouders, zoals De NederlandscheBank (DNB) of in het buitenland de MonetaryAutority of Hongkong. Deze instantieshebben richtlijnen voor risicoanalysesop cloud computing projecten voorfinanciële instellingen uitgevaardigd.DNB gebruikt daarbij de risicoanalysevan Enisa als brondocument. Neem dezeinformatie mee in de dreigingen analyse.DATA CLASSIFICATIENu bekend is hoe belangrijk de applicatieis (data classificatie), en welke dreigingenen kwetsbaarheden er zijn, is hettijd voor de selectie van maatregelen. Hetis handig om op basis van diverse bronneneen lange lijst van eisen op te stellenen vervolgens per project een selectie temaken. Meestal op dit punt in het proceskomen er vragen van betrokkenen overwat nu precies cloud computing is. Zorgvoor een heldere definitie die is goedgekeurddoor senior management. Welkedefinitie precies wordt gebruikt maaktniet uit, zolang alle deelnemers maar hetzelfdereferentiekader gebruiken. Eenmakkelijk bruikbare definitie is dat cloudcomputing applicaties gebruikmakenvan een gedeelde infrastructuur. Klanten,waaronder uw eigen bedrijf, hebbengeen invloed op hoe deze infrastructuurer uit ziet en wordt beheerd door de provider.Er zijn geen fysiek gescheidenservers, geen gescheiden databases.Alle klanten draaien in één en dezelfdeomgeving en de provider geeft meestalweinig informatie over de wijze waaropklantdata logisch wordt gescheiden.Met behulp van de project context wordteen selectie gemaakt van maatregelendie passen bij de gevonden dreigingenen kwetsbaarheden. Grofweg zijn ermaatregelen voor het project en voor deleverancier. Meestal dient het project tevenseen aantal processen in te richtenvoor na de live gang. Denk aan het periodiekcontroleren van toegangsrechten opde applicatie.Het project kan in haar projectvoorstelrekening houden met de kosten endoorlooptijden van de te implementerenmaatregelen. Een risk manager houdttijdens het project de vorderingen bij enrapporteert aan de stuurgroep over risico’s.Na het uitvoeren van risicoanalyses openkele cloud projecten zal je merken dater steeds meer collega’s en meer disciplinesbij betrokken worden. Kennis enervaring binnen deze groep loopt behoorlijkuiteen en dat maakt discussiërenover risico’s en maatregelen lastig. Organiseereen basiscursus cloud computingbeveiliging. Bij voorkeur in company, zodatde eigen situatie en voorbeelden inde les kunnen worden meegenomen.VEILIG GEBRUIK VAN MOBIELEAPPARATENHet veilig gebruiken van mobiele apparatenen applicaties begint met eeninventarisatie van functionele eisen eneen strategie. Neem de volgende situatie.Een bedrijf in de zakelijke dienstverleningwaar de werknemers op kantooren onderweg gebruikmaken van e-mail,agenda, bestandsuitwisseling, en ondersteunendeapps zoals die voor takenlijstjes,enquêtes, planning en online samenwerken.Naast de eigen werknemersis er een grote groep consultants. Er zijnwerknemers die hun eigen telefoon of tabletwillen gebruiken. Er is een centraleIT-afdeling die regie wil voeren en in controlewil zijn.Bij het opstellen van een strategie voormobiele beveiliging moeten een aantalkeuzes worden gemaakt. Wel of geenBring Your Own? Wel of geen centraalbeheer van apparaat configuratie (mobiledevice management of MDM). Welof geen eigen appstore? Wel of geen gebruikmakenvan een security containerwaar binnen applicaties veilig kunnendraaien. En hoeveel budget is er eigenlijkom het beleid te implementeren, wantdergelijke maatregelen zijn per gebruikerbest kostbaar. Een veel gekozenstrategie is het toestaan van Bring YourOwn, geen centraal configuratiebeheerin combinatie met een container.Voor het veilig gebruiken van mobieleapparaten kan dezelfde risicoanalysemethodiek gebruikt worden als hierbovenbeschreven voor cloud computing.De twee in dit artikel toegelichte projectenzijn IT-gerelateerd. De beveiliging vanIT-systemen en informatie zou echter inieder project een vast onderdeel moetenzijn, en bij voorkeur in een zo vroeg mogelijkstadium. Juist dan kan beveiligingeen ‘business enabler’ worden door hetverschil te maken in concurrentievoordeelen efficiëntie. Bijkomend voordeelvan een dergelijke strategie is dat je in lijnhandelt met de welbekende ISO27002standaard, ook aangeduid als de Codevoor Informatiebeveiliging.Jim de Haas en Kees Mastwijk zijn werkzaambij Vest Informatiebeveiliging (www.vest.nl)72INFOSECURITY MAGAZINE - NR. 4 - OKTOBER 2014 73


STELLAR DATA RECOVERY LANCEERT ‘DIT-DATA RECOVERY’ EN REDUCEERT DOWNTIME MET 50%NIEUWE METHODEMAAKT DATA RECOVERYPROCES SNELLER EN VEILIGERStellar Data Recovery maakt tijdens de Storage Expo de lancering van DIT-Data Recovery bekend.DIT-Data Recovery is ontworpen om downtime zo kort mogelijk te houden. Stellar DataRecovery heeft verschillende bestaande en nieuwe oplossingsrichtingen met elkaar vergelekenen in de praktijk getoetst. DIT-Data Recovery is een zorgvuldig uitgekiend data recoveryproces dat optimale snelheid, veiligheid en robuustheid garandeert.Traditioneel zijn er twee invalshoeken bijdata recovery. DIY (Do-it-Yourself) DataRecovery, waarbij de systeembeheerderwerkt met data recovery softwaretools die op de markt verkrijgbaar zijn.Hiervoor kan bijvoorbeeld ‘Stellar DataRecovery - Tech edition’ -software gebruiktworden. De andere aanpak is deharde schijven van de server in het datarecovery laboratorium van Stellar te latenbehandelen.Stellar heeft een lange ervaring in het oplossenvan data recovery vraagstukkenbij grote bedrijven. Data recovery op eenserver met meerdere harde schijven ineen RAID opstelling is daarbij een veelvoorkomende dienst. Ook data recoveryvan VMWare of andere virtuele data opslagis gangbaar. DIY data recovery isdan niet altijd de meest ideale oplossingomdat er inherente beperkingen zittenaan wat met een standaard softwarepakketmogelijk is, en ook omdat de benodigdespecialistische kennis bij het bedrijfkan ontbreken.Opsturen van de harde schijven is deandere optie maar dat heeft als nadeeldat het bedrijf gedurende het recoveryproces niet over haar data beschikt enbedrijfsprocessen gedurende de tijd datde datadragers in het data recovery laboratoriumzijn stil liggen.DIT (Do-it-Together) Data Recovery isgebaseerd op de Reduced Down Timeprocedure (RDTp) van Stellar. Deze proceduremaakt het in bepaalde gevallenmogelijk om de downtime sterk te reduceren.Ook biedt DIT de mogelijkheid totextra databeveiliging tijdens het transportvan de datadragers.“Het reduceren van downtime en hettegelijkertijd absoluut robuust en veilighouden van het gehele data recoveryproces waren de uitgangspunten bij deontwikkeling van RDTp en DIT”, zegtKees Jan Meerman, Managing Directorvan Stellar Data Recovery EMEA. “Wezijn er nu in geslaagd de downtime in bepaaldesituaties met wel 50% en meer teverlagen. Dat is goed nieuws voor onzeklanten. Dat daarbij de mogelijkheidonstaat om de data versleuteld naar onslaboratorium te verzenden is extra meegenomen.”WAT IS ‘DIT DATA RECOVERY’DIT Data Recovery staat voor ‘Do-it-Together’Data Recovery. De methode is gebaseerdop twee principes: gereduceerdedowntime gecombineerd met eenminimaal risico op verder dataverlies.Bij DIT Data Recovery wordt gebruikgemaaktvan de Reduced Down Time Procedure(RDTp) van Stellar.Eén van de belangrijkste basisprincipesbij professionele data recovery is dat eenengineer nooit een recovery operatie directop de originele datadrager uitvoert.De data recovery wordt altijd uitgevoerdop een clone (een sector-by-sector kopie)van de originele datadrager. Dit iseen belangrijke veiligheidsmaatregel omverder dataverlies te voorkomen zowelbij fysieke schade als bij logische schade.HET MAKEN VAN EEN CLONEBIJ LOGISCHE SCHADE EN BIJFYSIEKE SCHADEBij logische schade is het maken vaneen clone een betrekkelijk recht-toerecht-aanproces dat met generalistischeIT-kennis uitgevoerd kan worden.Afhankelijk van de capaciteit van de teclonen datadragers en de capaciteit vande apparatuur waarmee de clone wordtgemaakt kan dit cloneproces enkele urentot meerdere dagen duren. Hoewel hetproces technisch niet al te moeilijk is kaner nog steeds veel fout gaan bij de settings.Het zal bijvoorbeeld niet de eerstekeer zijn dat de source en de target in dehectiek per ongeluk verwisseld wordenmet alle rampzalige gevolgen van dien.Ook de duur van het proces wordt nogaleens onderschat. Daarom is begeleidingdoor een data recovery engineer wenselijk.Bij fysieke schade is het maken vaneen clone geen eenvoudig proces. Hiervooris specialistische kennis vereist enheel vaak ook een gecontroleerde stofvrijeomgeving (data recovery lab). Dedatadrager is immers beschadigd en nietmeer leesbaar. Afhankelijk van de ernstvan de beschadiging kan het cloneprocesenkele uren tot meerdere dagen duren.DIT DATA RECOVERYPROCEDUREAlvorens met DIT te starten is er contacttussen de klant en de data recovery engineersvan Stellar. Samen wordt geïnventariseerdwelke procedure adequaat is, dehoogste TAT mogelijk maakt, het minsterisico oplevert en de grootste veiligheidgarandeert. De engineers van Stellar begeleidende klant via een secured remoteconnection bij het correct en veilig makenvan de image.Voorbeeldsituaties waarin RDTp ofDIT leiden tot gereduceerde downtime• Als de server nog werkt maar sommigebelangrijke data verloren zijngeraakt.• Als een gebruiker van een PC dataverloren heeft en hij zo snel mogelijkweer door wil werken vanaf de origineledatadrager. De totale interuptietijdkan aanzienlijk worden verkorten de kans dat de datarecovery succesvolis wordt vergroot.Voorbeelden waarin DIT niet kan, ofniet wordt aanbevolen• Bij een fysieke crash van een van deharde schijven.• Bij een malconfiguratie van het RAIDsysteem bijvoorbeeld een foutief uitgevoerderebuild.OVERZICHT VAN DE GEBRUIKTE PROCESSENSTANDAARD DATARECOVERY PROCESVerzenden van datadrager naarStellar met koerierMaken van de clone bij StellarUitvoeren van de data recoveryTerugzenden van de datadrageren de gerecoverde data naar deklantTIJD3 uurBC3 uurEDUCED DOWN TIMEPROCEDURE (RDTP)Verzenden van datadrager naarStellar met koerierMaken van de clone bij StellarTerugzenden van de datadragernaar klantTIJD3 uurB3 uurVERSLEUTELING VAN DATAMOGELIJKBij DIT kan de data versleuteld naar hetlab van Stellar getransporteerd worden.Ook retour naar de klant kan de data versleuteldworden. Dit is voor sommige bedrijveneen extra geruststelling en somszelfs een harde eis. Bijvoorbeeld als deoriginele datadragers het bedrijf niet mogenverlaten. Dit maakt DIT een aantrekkelijkeoptie.DO IT TOGETHER –NEEM CONTACT OP!Neem bij dataverlies altijd zo snel mogelijkcontact op met de engineers van StellarData Recovery om met hen de meestgeschikte methode van data recovery tebespreken.CONTACT:Stellar Data RecoveryZonnebaan 393542 EB Utrecht030-7600701info@stellar.nlwww.stellar.nlDIT DATA RECOVERYMaken van een image van deRAID configuratieVerzenden van de image naarStellarTIJDA3 uur74INFOSECURITY MAGAZINE - NR. 4 - OKTOBER 2014 75


NATIONALE IT-SECURITY MONITOR 2014DOOR PETER VERMEULENGRIP OP DE CLOUDVoor de meeste Nederlandse organisaties is de vraag ‘Is de cloudveilig?’ totaal niet relevant. In plaats daarvan moeten ze zich afvragenof ze wel veilig gebruik maken van de cloud. Voor de meesteorganisaties blijkt die vraag moeilijk te beantwoorden. Als men aleen overzicht heeft van welke cloudoplossingen er eigenlijk allemaalgebruikt worden, ontbreekt het vaak aan de benodigde kennisom adequaat in te spelen op een veilig gebruik ervan.NIEUWSGIERIG NAAR DE LAATSTEDIGITALE INNOVATIES VOOR DE ZORG?Neem dan nu een (gratis) abonnementop het magazine van Digitalezorg.nlDe zorgsector ontwikkelt zich in razend tempo. Nieuwe digitale werkprocessen,nieuwe applicaties, het gebruik van de cloud, de opkomst van mobieleapparaten, Big Data, privacy-issues, de almaar voortgaande integratie vaninformatie - het is maar een greep uit de vele digitale ontwikkelingen waarzorgprofessionals, bestuurders en innovators dagelijks mee te maken hebben.Hoe houdt u overzicht? En hoe krijgt u inzicht in de gevolgen voor uworganisatie?Het internetplatform Digitalezorg.nl helpt al jaren om bij te blijven rond allerelevante ontwikkelingen. Om de zorgsector hierbij nog beter te kunnenhelpen, hebben de stichting Digitalezorg.nl en uitgeverij FenceWorks hetDigitalezorg.nl Magazine gelanceerd. Hierin vindt u visies, achtergronden,productbesprekingen, columns, interviews en nog veel meer.Hoewel 56% van de Nederlandse organisatiesmet 50 of meer medewerkers aangeeftdat security zicht heeft op alle cloudapplicaties, is dit voor bijna evenveel organisatieshelemaal niet zo vanzelfsprekend.Bijna 1 op de 4 respondenten geeftaan dat er zeker cloudapplicaties zijn dieonder de radar blijven, terwijl 1 op de 5eerlijk toegeeft het niet te weten. Dezeonzekerheid kenmerkt veel organisaties,ook organisaties die hier ‘ja’ hebben geantwoord.Zelfs als ze denken alles in hetvizier te hebben, blijven er maar medewerkersaan komen zetten met handige76nieuwe toepassingen uit de cloud. Er isvaak weinig behoefte om de IT-afdelingte informeren, want die heeft nog nooitenthousiast gereageerd op eigen initiatief.Figuur 1: Heeft security zicht op alle cloud applicaties die binnen de organisatie wordengebruikt?Het hebben van overzicht is een eerstestap om cloud veilig binnen een organisatietoe te passen. Als alle toepassingenin beeld zijn, kan er beleid worden gemaakt.Dat kan vanuit de cloudoplossinggebeuren: welke toepassing willen enkunnen we toestaan en welke niet? Maardat zal steeds meer gaan gebeuren vanuiteen risicoanalyse op basis van de typenworkloads: aan welke eisen moeten(cloud) applicaties voldoen die voor verschillendeworkloads verantwoordelijkzijn; waar is cloud een no-go-area, waarmoet het aan strenge eisen voldoen enwaar zijn beperkte eisen acceptabel?Vervolgens is het noodzaak om leveranciersde maat te nemen en de van toepassingzijnde technische maatregelen tetreffen. Maar inmiddels begint de schoenbij veel organisaties dan toch aardig tewringen. Bij veel organisaties is de kenniseenvoudigweg niet in huis om dit uitte voeren. Van de respondenten in deNationale IT-Security Monitor geeft 1 opde 2 organisaties (49%) aan onvoldoendekennis in huis te hebben om cloudoplossingenveilig te kunnen gebruiken. Dithiaat in de kennis omtrent cloudsecuritylijkt echter niet snel weggewerkt te gaanworden: niet meer dan 9% van de onderzochteorganisaties geeft aan het komendjaar in cloud security training te gaan investeren.Ook op het gebied van trainingzien we dat IT-security zich nog altijdvooral op de IT van gisteren richt.Peter Vermeulen, directeur Pb7 ResearchInteresse in een gratis abonnement? Ga naarwww.digitalezorg.nl/digitale/magazine/INFOSECURITY MAGAZINE - NR. 4 - OKTOBER 2014 77


CYBERSECURITYDOOR TIMO KÖNNENINDUSTRIEHEEFT BETERE BESCHERMINGTEGEN CYBERAANVALLEN NODIGIndustriële installaties lopen in toenemende mate het risicohet slachtoffer te worden van cyberaanvallen. Nieuwe productenals de SMP Gateway kunnen hier een nuttige rol bijspelen.Op een kwade dag nestelde een viruszich onopgemerkt in de besturingssystemenvan een aantal Nederlandse elektriciteitscentrales.Nadat het zich maandenlangslapende had gehouden, ginghet midden op een werkdag tot actieover. Het liet het toerental van de turbinesin de centrales ongecontroleerd oplopen,zonder dat de operators dat op hunschermen konden zien. Na enkele minutencrashten de turbines, de centralesvielen uit. Weer een paar minuten laterbegon in het elektriciteitsnet een domino-effectte ontstaan: andere centraleswerden nu overbelast en vielen een vooreen uit. Binnen een half uur tijd kwamenoveral in het land de treinen tot stilstand,net als de rest van het openbare leven. Erontstonden chaotische taferelen, plunderingenvan winkels werden gemeld - alreisde het nieuws een stuk langzamer nutelefoon, internet, radio en televisie nietmeer werkten. Ondertussen breidde hetdomino-effect zich uit over de rest vanEuropa…KNOOPPUNTFUNCTIEDeze gebeurtenissen zijn gelukkig fantasie,maar helemaal uit de lucht gegrepenzijn ze helaas ook weer niet. Toenhet Stuxnet-virus in 2010 een Iraanseverrijkingsfaciliteit saboteerde, was depotentie van cyberterrorisme in één klapduidelijk aan de wereld. En een anderevorm van cyberaanvallen, met als doelhet stelen van informatie van bedrijven,is al jaren aan de orde van de dag. Hetkomt alleen niet veel in het nieuws, omdatde getroffen bedrijven daar niet happigop zijn. Plaatsvervangend hoofd van deAlgemene Inlichtingen- en VeiligheidsdienstMarc Kuipers stelde onlangs opeen internationaal congres over cybersecuritydat speciaal Nederland kwetsbaaris voor zulke aanvallen, omdat onsland zowel fysiek als digitaal een knooppuntfunctieheeft. De laatste jaren is hetaantal aanvallen volgens Kuipers sterkgegroeid, vooral in de sectoren chemie,energie en hightech. Hij vindt het dehoogste tijd dat bedrijven hun digitalebeveiliging aanzienlijk gaan verbeteren.SITUATIESCHETSAl ging het Kuipers om cyberdiefstal, inzijn situatieschets is Nederland automatischook een te gemakkelijk doelwitvoor cyberterrorisme, dat immersdezelfde digitale routes gebruikt. Vooreen Stuxnet-achtig virus kan een kleineopening al genoeg zijn om op een vitaleplek te belanden. Een voorbeeld is eenmedewerker van een energiebedrijf dieeen dagje thuis werkt. De laptop die hijgebruikt om in te loggen op de servervan kantoor, is zonder dat hij het weetgeïnfecteerd. Het virus reist via de servernaar de SCADA-systemen (SupervisoryControl And Data Acquisition) waarmeeoperators de machinerie van de centraleaansturen. Een scenario zoals aan het beginbeschreven is dan dichtbij gekomen.KOPPELINGENVirussen profiteren ervan dat steedsmeer IT-systemen in bedrijven met elkaarin contact staan. De energiewereldheeft wat dat betreft een extra redenom waakzaam te zijn. ‘De ontwikkelingrichting smart grids - slimme elektriciteitsnetten,die flexibel kunnen inspelenop fluctuaties in vraag en aanbod - heefthet nodig gemaakt om allerlei systemenaan elkaar te knopen. Op veel plaatsenis een webachtig geheel van verbindingenontstaan’, zegt Hans Meulenbroek,productmanager Smart Grid AutomationSystems bij powermanagementbedrijfEaton.SCADA EN PLCEen bijkomende factor die terroristen extrakansen kan geven, is dat SCADA-systemenen PLC’s (Programmable LogicControllers, die de directe aansturing vanapparaten verzorgen) nogal eens mindergoed zijn beveiligd dan de gewone IT-netwerken.‘Die netwerken zijn het domeinvan IT’ers, voor wie beveiliging traditioneeleen hoofdtaak is. Zo is het volstrektnormaal een deel van een IT-netwerk af teschakelen voor een beveiligingsupdate’,verklaart Meulenbroek. ‘De aansturendesystemen vallen daarentegen onder OT,Operations Technology. Voor een OT’er isde prioriteit dat de machines goed werken.Afschakelen van een OT-systeemvoor een beveiligingsupdate is ongewenst,want de apparatuur moet zo minmogelijk uit staan. Het cultuurverschiltussen IT en OT bemoeilijkt het digitaleveiligheidsbeleid.’ADVIEZENCybersecurity-experts hebben wel eenpaar nuttige adviezen voor bedrijven omde veiligheid te vergroten, zoals het zorgenvoor een goed beveiligde systeemtoegang.Een ander nog relatief gemakkelijkuitvoerbaar advies is om allenetwerkconnecties in kaart te brengen ende onnodige te verwijderen. Wie het echtgoed wil doen, moet voor een ingrijpendandere aanpak kiezen en de beveiligingrichtinggevend laten zijn bij het ontwerpenvan alle systemen.SMP GATEWAYEen probleem met dat laatste advies is datFreddie Kuipers, Business Development Manager bij Eatonhet in zekere zin ‘altijd te laat komt’. Eenbedrijf in de energiesector zal meestal alallerlei systemen hebben staan die nogjaren mee moeten. De praktische vraagblijft dan hoe die bestaande systemenop een veilige manier met elkaar en metde buitenwereld zijn te verbinden. Eenmogelijke manier om dat te doen is omalle communicatie te laten verlopen viaeen afzonderlijk, speciaal ontworpensysteem. Zo’n systeem, de SMP Gateway,wordt sinds kort in Europa door Eaton opde markt gebracht.BEVEILIGINGSEISENDe SMP Gateway is oorspronkelijk ontwikkeldvoor de Amerikaanse en Canadesemarkt. ‘De behoefte aan een dergelijksysteem bestond daar al langer, omdatde overheid – vooral naar aanleiding vande aanslagen van 9/11 – gedetailleerdebeveiligingseisen aan de energie-infrastructuuris gaan stellen’, verklaart Meulenbroek.‘Het is simpelweg niet mogelijkom alle IED’s – Intelligent Electronic Devices,de computers en alle andere apparatenmet programmeerbare elektronicadie een bedrijf in gebruik heeft – aan dieeisen te laten voldoen. De enige manierom het op te lossen, is om die apparatenachter een elektronisch scherm te plaatsen.Dat is wat de SMP Gateway doet.’RISICOVOLIn de oude, risicovolle situatie hebben allerleiIED’s niet alleen direct contact metelkaar, ze worden ook rechtstreeks vanafde werkvloer, vanuit kantoren en vanuitwoonhuizen benaderd door werknemersvoor het opvragen van informatie en hetgeven van opdrachten. In de nieuwe situatiebundelt de SMP Gateway al die communicatieen ziet erop toe dat die volgensveilige regels verloopt. ‘Alleen communicatievolgens protocol wordt doorgegeven’,verduidelijkt Meulenbroek, dietoevoegt dat de IED’s van alle bekendefabrikanten worden ondersteund.KOSTENTegenover de kosten van het systeemstaat niet alleen het vermijden van mogelijkaanzienlijke financiële schade doorterrorisme of diefstal van bedrijfsgegevens.Ook valt er volgens Meulenbroekeen efficiencyslag te maken door de extramogelijkheden van de gegevensbundelingin de SMP Gateway te benutten.Het softwarepakket Yukon IED ManagerSuite van Eaton heeft daar verschillendemodules voor. Zo is er de Event Manager,die foutenlogs en sensorwaarden vanIED’s kan opslaan en weergeven.CYBERBEVEILIGINGVoor de burger is het te hopen dat deenergiesector de waarschuwingen ophet gebied van cyberbeveiliging ter harteneemt, of het nu met behulp van deSMP Gateway is of op andere manieren.Zolang de Europese Commissie de sectordaar niet toe dwingt, zal er een achterstandblijven bestaan ten opzichte vande situatie in Noord-Amerika. Meulenbroekvindt dan ook dat er regelgevingmoet komen die vergelijkbaar is met deNoord-Amerikaanse. ‘Nu staat de deurnog te vaak uitnodigend op een kier.’Timo Können is Journalist78INFOSECURITY MAGAZINE - NR. 4 - OKTOBER 2014 79


SANJAY BERI VAN NETSKOPE:DOOR ROBBERT HOEFFNAGEL‘VAN ‘GUESSING’NAAR ‘KNOWING’ BIJGEBRUIK VAN CLOUD-APPS’“Wanneer wij een groter bedrijf vragen hoeveel cloud-apps de medewerkers in totaal gebruiken,houden de meesten het op een stuk of twintig. Wanneer wij dan met onze tools gaanzoeken, komen we regelmatig uit op vijfhonderd.” Dat zegt Sanjay Beri van het AmerikaanseNetskope, dat onlangs van start ging in de EMEA-regio. Het bedrijf stelde de NederlanderEduard Meelhuysen aan als eindverantwoordelijke voor de regio.Netskope is actief op het gebied van veiligecloud-enablement. Het bedrijf leverttools en diensten om bedrijven te helpenbeleid te ontwikkelen voor wat betreft hetgebruik van cloud-apps. Beri: “Wij pratenvooral met Chief Information Officers enChief Security Officers. Zij hebben in toenemendemate te maken met wat in deVS ‘Shadow IT’ is gaan heten: afdelingendie op eigen houtje en zonder medewetenvan de IT-afdeling apps zijn gaan gebruiken,omdat het snel en gemakkelijkis. CIO’s en CSO’s zijn vaak in het ongewissehoeveel cloud-apps er werkelijkin hun organisatie worden gebruikt. Zijschatten de aantallen systematisch telaag in.”BLINDDOEK AFNEMENNetskope - opgericht in 2012 in Californiëmet hulp van durfkapitaal - ondersteuntorganisaties bij het meer greepkrijgen op cloud-apps. “We willen af van‘guessing’ zoals nu massaal gebeurt entoe naar ‘knowing’”, zegt Beri. Het bedrijfontwikkelde daarvoor het NetskopeActive Platform. Dat biedt organisatiesverschillende tools om het inzicht incloud-appgebruik te vergroten en appsveilig te gebruiken. “Als eerste stap nemenwe de blinddoek af en maken wemet ons Discovery-tool alle cloud-appsdie binnen een organisatie draaien zichtbaar.Vervolgens zorgen we voor eenuitgebreide, dynamische risicometingvan die apps, zoals een meting van deenterprise-readiness van elke app. Daarbijmeten we apps aan de hand van vijftigcriteria, variërend van business-continuïteittot versleuteling van ongebruiktedata, of ze wel geschikt zijn voor de zakelijkeomgeving.”VERBIEDEN - JA OF NEEBeri wijst erop dat veel organisaties naeen Discovery-proces snel de neiginghebben om bepaalde apps te verbieden.Beri benadrukt dat dat in de meestegevallen niet de juiste aanpak is. “Het isvooral belangrijk dat je kijkt naar risicovolgebruik. Als je mensen gaat verbiedenom app A te gebruiken, gaan ze opzoek naar app B met dezelfde functionaliteit.Met ons platform is goed in kaart tebrengen of er risicovol wordt omgegaanmet data. Zo is bijvoorbeeld vast te stellendat een medewerker vertrouwelijkegegevens in zijn Dropbox plaatst. Dat isniet verstandig. Met ons platform kun jeeen gebruiker daarop wijzen en een betrouwbaaralternatief voorstellen. Je moetmedewerkers daarin coachen. Het gaaterom hun gedrag te beïnvloeden, zodatze niet langer op een risicovolle manieromgaan met data.”POLICY’SNaast het coachen van medewerkersin cloud-appgebruik is het volgens deNetskope-CEO zaak om duidelijke policy’ste creëren binnen de organisatie.Beri: “Die gaan uiteraard verder dan hetuitsluitend toestaan of verbieden vanapps. Door ons inzicht in de app zelf enhet gebruik ervan in de organisatie kunnenwe veel betekenisvollere policy’svoor elke app instellen. Een voorbeeld isdat content delen alleen mogelijk is binnenhet land of de regio waarin de contentgecreëerd is.”ONDERZOEKUit een recent onderzoek van Netskopeblijkt dat er in Europa over het algemeenweinig vertrouwen is in cloudproviders.Zeven op de tien bedrijven beschuldigtcloudproviders van het niet voldoen aanwet- en regelgeving voor wat betreft databeschermingen privacy. 53 procentvan de respondenten geeft aan dat dekans op datalekken groter is als gevolgvan de cloud. Ook blijkt dat bij datalekkende verwachte economische impactmaar liefst verdrievoudigt als de clouderbij betrokken is. Dit fenomeen staat bekendals ‘het Cloud Multiplier Effect’. Hetonderzoek toont aan dat dit fenomeen opverschillende niveaus van toepassing isop de diverse cloudscenario’s, zoals detoename van het delen van data met eencloud-app of het toegenomen gebruikEDUARD MEELHUYSEN VP SALES & GM EMEABIJ NETSKOPENetskope stelde eerder dit jaar EduardMeelhuysen (44) aan als VP Sales & GMEMEA. Als hoofd van de internationalesales- en marketingorganisatie is hetzijn belangrijkste taak de sales- en marketingafdelingenen de sales engineersaan te sturen. Daarnaast zet Meelhuysenzich in voor het neerzetten van Netskopeals thought leader in Cloud Access SecurityBrokerage en voor het onder deaandacht brengen van Netskope in demarkt en bij analistencommunity’s. Ookis hij verantwoordelijk voor het aantrekkenvan nieuwe klanten.Voordat Meelhuysen in dienst kwam bijNetskope, bekleedde hij verschillendeleidinggevende functies in internationaleomgevingen. Zo was hij SalesDirector Northern Europe bij AerohiveNetworks, Director Benelux, Middle East& Southern Africa bij Imperva en ManagingDirector bij Magirus Benelux.van mobiele devices die verbinding makenmet de cloud.Volgens Beri laat het onderzoek zien datsommige bedrijven moeite hebben metShadow IT. Het toont aan dat zij veel meerinzicht moeten hebben in welke data enapps toegankelijk zijn in de cloud, endat ze begeleiding nodig hebben bijhet analyseren van leveranciers”, zegtSanjay Beri, CEO en medeoprichter vanNetskope. “We weten allemaal dat decloud winst in productiviteit kan opleveren,maar dit moet niet ten koste gaan vanbeveiliging. Onze respondenten zijn hetermee eens dat de cloud in staat is veiligerte zijn dan IT on-premise. Maar ditgeldt alleen als policy’s correct wordennageleefd.”80INFOSECURITY MAGAZINE - NR. 4 - OKTOBER 2014 81


WATCHGUARD ®APT BLOCKER.BECAUSE MOST MALWARE MORPHS.VISIT WATCHGUARD AT INFOSECURITY.NL 2014 AND FIND OUT MORE!ADVANCED MALWARE NOW THREATENS EVERY NETWORK. EVEN YOURS.Advanced persistent threats (APT) once targeted only the largest networks. Not anymore. Zero day attacks andadvanced malware are taking aim at networks of all sizes. And since most of today’s malware can morph to avoiddetection by signature-based anti-virus solutions, the likelihood yours will be attacked grows every day.Detect modern malware threats instantly - Seeing is knowing.WatchGuard APT Blocker provides real-time protection with one of the industry’s most sophisticated platformsfor detecting advanced persistent threats and zero day malware. It integrates with WatchGuard Dimension,the award-winning security visibility solution that enables you to recognize advanced threats instantly.Dimension is standard with WatchGuard’s UTM and NGFW platforms.Detection in seconds, protection in minutes.Minutes count, so choose instant visibility. Choose one ofthe most sophisticated platforms for detecting advancedpersistent threats and zero day malware.Choose WatchGuard APT Blocker.Contact us today at +31 70 711 20 80 oremail: sales-benelux@watchguard.com to learn more.

Similar magazines