Informatiebeveiliging

Het waarborgen van continuïteit (beschikbaarheid), exclusiviteit en integriteit van IT. Zijn de juiste personen bevoegd en kloppen de data?

Meldplicht datalekken

Angst is slechte raadgever

De nieuwe meldplicht datalekken doet veel stof opwaaien en mediaberichten zaaien angst over de ingrijpende gevolgen van datalekken, zoals forse boetes en negatieve publiciteit. Dat is begrijpelijk, maar angst leidt waarschijnlijk niet tot een meer zorgvuldige omgang met persoonsgegevens. Organisaties moeten geen beleid op dat punt ontwikkelen omdat het moet, maar omdat het ertoe doet…

WWWaar is de IT-auditor?

Het belang van websites en met name webshops blijft groeien. Maar hoe zorg je ervoor dat websites veilig zijn en voldoen aan relevante wet- en regelgeving? Dit artikel wil vanuit deze vraag een bijdrage leveren aan de bewustwording van de compliance- en beveiligingsrisico’s die websites met zich meebrengen. Het aantal websites en met name webshops…

A Vision on Risk-Oriented Education for Information Security Experts

Reducing System Language and System Thinking in 2020

Management and executives must make decisions based on real risks affecting the mission and business processes of their user organization. Therefore, they must solicit advice from their risk experts, such as risk managers and IT auditors. However, the experts are bogged down with details at a (very) low operational level and may not fully understand…

Interview met Michiel Steltman

Hosting sector, essentieel onderdeel van de vitale infrastructuur

Michiel Steltman is directeur van de Dutch Hosting Providers Association (DHPA). In die hoedanigheid vertegenwoordigt hij de leidende Nederlandse hosting providers naar overheid, media en publiek. Hij maakt zich sterk voor het project ‘Veilige verbindingen’ en heeft ook nog een boodschap voor IT-auditors. We spreken hem op het kantoor van de DHPA in Leidschendam waar…

Stemmen op papier, hartstikke ouderwets?

De gevaren van internetstemmen ontrafeld

Internetstemmen: de politiek schreeuwt erom, expats verwachten het en de meeste kiezers begrijpen ook niet meer waarom er nog steeds met het rode potlood gestemd wordt. Er worden fouten gemaakt met tellen (zie Alphen aan den Rijn [NU13]), de uitslag komt vaak pas na middernacht en bovenal moeten de ruim 700.000 Nederlanders die in het…

Continue verbetering door samenwerking tussen de Lines of Defense

Information security bij Heineken

Heineken is in de laatste jaren explosief gegroeid door verschillende grote acquisities, zoals Brau Union in Oost-Europa (2003), Scottish & Newcastle in het Verenigd Koninkrijk (2008), FEMSA in Mexico en Brazilië (2010) en Asia Pacific Breweries in Azië (2012), zie figuur 1. Deze acquisities hebben het bedrijf in korte tijd veranderd in een wereldspeler die…

De digitaal onderzoeker en de IT-auditor: Samen sterk!

Dit artikel is een geanonimiseerde beschrijving van een fraudeonderzoek waarin wordt stilgestaan bij het belang van logging voor de uitvoering van een digitaal onderzoek. De term fraude wordt gedefinieerd als het behalen van een wederrechtelijk voordeel door opzettelijke misleiding. Bij een gepleegde fraude is meestal sprake van de drie elementen van de ‘fraudedriehoek’: druk, gelegenheid…

A design model for a Security Operations Centre (SOC)

Owning a SOC is an important status symbol for many organizations. Although the concept of a ‘SOC’ can be considered a hype, only a few of them are actually effective in counteracting cybercrime and IT abuse. A literature review reveals that there is no standard framework available and no clear scope or vision on SOCs….

Cybersecurity in de boardroom

Wat beweegt bestuur en commissarissen?

Bedrijven worden steeds meer informatie- en ICT-gedreven. Dit betekent dat raden van bestuur en raden van commissarissen zich moeten (gaan) bezighouden met deze kritische assets. De zekerheid en adviezen die wij als IT-auditors hierover verschaffen, zouden daarom ook in deze gremia moeten landen. Dat zal beter lukken naarmate wij als beroepsgroep meer in staat zijn…

Beheersen en controleren

Cybersecurityrisico’s medische apparatuur

Sinds het rapport van de Amerikaanse ‘Government Accountability Office’ (GAO) over het hacken van medische apparatuur is er steeds meer aandacht voor kwetsbare apparatuur. [GAO12] Met de meest recente waarschuwingen over de hackbaarheid van medische apparatuur door Scott Erven en het SANS-Norse-instituut in gedachten, verkennen wij in dit artikel de mogelijkheden die een ziekenhuis heeft…

Digitale beveiliging van industrial control systems

Industrial control systems besturen installaties en apparaten in de fysieke wereld. Vitale maatschappelijke functies zoals de energie- en drinkwatervoorziening, waterwerken en de verkeersinfrastructuur zijn afhankelijk van de goede werking ervan. En ook veel andere organisaties kunnen niet zonder goed functionerende industrial control systems. Denk bijvoorbeeld aan besturing van productieprocessen, toegangsbeveiliging en signaleringssystemen. Volgens het Nationaal…

Integrated Security Assessment

Dat informatiebeveiliging steeds meer aandacht krijgt binnen het publieke en private domein hoeven wij niet nader toe te lichten. In een tijd van toenemende eisen vanuit compliance en dreigingen vanuit ‘cybercrime’ is dit ook geen overbodige luxe. Desondanks zien wij dat beveiligingsmaatregelen hopeloos achterblijven bij de zich steeds verder ontwikkelende dreigingen. Uit de meest recente…