SlideShare une entreprise Scribd logo

Safeshops ? Nadenken over veiligheidsaspecten van E-shops/Commerce

Télécharger en tant que ODP, PDF
B.A.
B.A.

Presentatie over E-shop / E-commerce security voor The Retail Academy van Safeshops, 5 december 2014.

Technologie
1  sur  36
Safeshops? Nadenken over veiligheidsaspecten van E-shops/Commerce Safeshops – 5 december 2014 Jan Guldentops ( j@ba.be ) BA N.V. ( http://www.ba.be )
Wie ben ik ?  Jan Guldentops (°1973)  Dit jaar bouw ik 19 jaar server en netwerk infrastructuren  Oprichter Better Access (°1996) en BA (°2003)  Open Source Fundamentalist (na mijn uren)  Sterke praktische achtergrond op het vlak van ICT beveiliging ➢ Ben toevalling terechtgekomen in de securitywereld ➢ Documenteerde in 1996 de securityproblemen in de eerste Belgische internetbank ( Beroepskrediet / Belgium Offline) ➢ Plotseling ben je security expert  R&D (vooral security)
Samengevat: COMMON SENSE AS A SERVICE (CAAS)
Wat is security ? Het garanderen van CIA :
Moeilijk evenwicht ➢ Moeilijke (soms onmogelijke) balans tussen : ➢ veiligheid ➢ functionaliteit ➢ Gebruikersgemak ➢ Budget
Veel blabla, weinig boemboem ➢ Als het gaat over (ICT) beveiliging is er vaak een groot verschil tussen de theorie, de praktijk, de marketing en de sales. ➢ Security is vaak passe partout om je een “doosje” te verkopen dat al je problemen oplost. #not ➢ Fear, uncertainty, doubt als een business model
Politici... ● Het wordt pas helemaal erg als je het aan politici overlaat... ● Elio Dirupo ● Rik Daems ● En het meest recente uitwas : – Jacky Zwam ( FOD economie) – https://www.youtube.com/watch?v=1X4HDOjY41Q
Abstract begrip ➢ Veiligheid is een heel abstract begrip ➢ There is no such thing as absolute security ➢ Hoe kan je weten of iets veilig is ? ➢ Kan enkel negatief testen ➢ Het is niet omdat ik er niet voorbij geraak, dat iemand anders dat niet kan. ➢ heeft iets magisch / mythologisch
Eigen Taalgebruik ➢ Eigen Lingua Franca ➢ Veel terminologie ➢ Veel afkortingen ➢ Vaak inhoudsloze hypetermen
Complex ➢ Heel veel hoeken en kanten ➢ Heel veel technologie ➢ Probleem van de zwakste schakel ➢ Het kleinste security probleem kan in sommige gevallen alles, als een kaartenhuisje in elkaar laten vallen.
Overlaten aan ICTdienst of je technologie provider? ➢ Gevaarlijk ➢ Big picture ➢ ICT weet vaak te weinig over business, wat belangrijk is ➢ Engineersziekte van tegen elk probleem technologie aan te gooien ➢ Daarom : ➢ Belangrijk dat de directie zelf de krijtlijnen uittekent ➢ Bepaald wat er beveiligd moet worden ➢ Bepaald hoe belangrijk dit is en dus wat het mag kosten ➢ Alle concepten snapt ➢ Deze concepten ook ten allen tijde kan controleren.
Death, taxes, security ? ➢ Security verdwijnt niet meer... ➢ Het is geen modehype ! ➢ Permanent proces ! ➢ U zal er altijd mee geconfronteerd worden. ➢ Wat nu veilig is, is het morgen niet meer. ➢ Moet permanent aan gewerkt worden ➢ Nog altijd in volle ontwikkeling ➢ Bv. belang dat nu meer en meer aan privacy gekoppeld wordt
Klanten ● Bij E-commerce draait alles om vertrouwen ● Vertrouwen van de klant wordt ondermijnd door ● Phising – Vaak worden er hiervoor brands gebruikt – Soms heel moeilijk om te onderscheiden van de werkelijkheid – Heel vaak zijn legitieme mails ook moeilijk te onderscheiden van phisingmails ● Privacy ● https://www.youtube.com/watch?v=F7pYHN9iC9I
Privacy ● Komt een nieuwe Europese privacy richtlijn uit. ● Bouwt verder op wat er nu is... ● Wat moet je onthouden : – Als je meer dan 2000 klantengegevens verwerkt zal je een Digital Privacy Officer moeten hebben ( DPO ) – Neem de essentiële stappen om je data te beschermen : ● Bedrijfsdata in kaart brengen en classificieren ● Toegangen en afschermingen in kaart brengen ● Procedures voorzien bij datalek ( o.a. Meldingsplicht) ● Juiste security-infrastructuur voorzien ● Awareness creëren bij je mensen
Wat kan er misgaan? (1) ● Diefstal van klantengegevens ● – Gegevens van 700.000 klanten ( geboortedatum, ● – Konden zelfs niet vertellen wat er aan de hand was! – Gegevens van 70.000.000 klanten – Exit security officer, CIO & CEO
Wat kan er misgaan? (2) ● Diefstal van confidentiële, interne documenten ● Gebruik van uw infrastructuur voor illegale of andere doeleinden ● Onbeschikbaarheid ● Dataverlies ● Reputatieverlies ● Fraude ● Verspreiden van malware via uw shop ● Langdurig verstopte hackers die jaren meeluisteren
Gezond verstand ➢ Belangrijkste securityproduct is niet firewalls, encryptie, vpn, mobile device management of een ander product maar gezond verstand. ➢ Denk na ! ➢ Zorg dat je alle concepten snapt ! ➢ Als een ICT'er het niet aan een CEO uitgelegd krijgt, is de kans groot dat hij het zelf niet snapt !
Hoe wordt u gehacked ? ● Domheid, luiheid en onkunde
Hoe wordt u gehackt? Triviale wachtwoorden voor toegang of lijstjes die overal te vinden zijn ● Bv Sony pictures ● Top 10 wachtwoorden : – 123456 – 12345678 – 1234 – qwerty – 12345 – dragon – pussy – baseball – football – Letmein
Hoe wordt u gehackt? ● Slechte opgezette infrastructuur ● Fouten in de webshop software ● Slecht geschreven eigen software ● Laten rondslingeren van data ( usbdisks, backups, leveranciers, etc. ) ● Verouderde software die niet geupdate wordt ● e.g. Heartbleed ● Poodle ● (Ex)-werknemers ● Fysieke toegang tot systemen
Cirkel van Deming
Plan (1) ➢ Vat alles samen in een policy ➢ Wat je wil / moet bereiken o.a. ➢ Risico analyse ➢ Inventaris ➢ Business Continuity Plan ➢ Recovery Time Objective ( RTO ) ➢ Recovery Point Objective ( RPO) ➢ Hou ook rekening met de wettelijke / legal vereisten ! ➢ Wettelijke vereisten ( privacy, persoonsgegevens, etc.) ➢ Privacy ➢ PCI DSS ➢ Classificieer je data en applicaties ➢ Hoe je dit gaat doen en volgens welke procedures
Plan(2) ➢ Creëer een bewustzijn/kennis dat security belangrijk is bij : ➢ Op directieniveau ➢ Op ICT-niveau ➢ Bij het gehele personeel ➢ Maak goeie afspraken met iedereen : ➢ Leveranciers ➢ Duidelijk leesbare contracten met NDA, SLA, etc. ➢ Personeel ➢ Acceptable Use Policy ( maar zorg dat iedereen die begrijpt !)
Plan(3) ➢ Het is niet de vraag of je een securityprobleem gaat hebben maar wanneer... ➢ Plan for the worst ➢ Zorg dat je al weet wat je gaat doen als er iets misgaat ➢ Zorg voor een overleg / communicatiestructuur ➢ Security comité met overleg op vaste tijdstippen ➢ Hou cijfers, gegevens bij voor latere analyse
DO ➢ De eigenlijke implementatie van de security-infrastructuur ➢ Verschillende elementen en componenten ➢ Neem security altijd mee in elk stuk van je plan ➢ Geen bolt-on nadien ➢ Zorg altijd voor documentatie en kennisoverdracht ➢ Geen lockin van een leverancier ! ➢ To outsource or not to outsource ? ➢ Selecteer een goede partij en maak degelijke afspraken!
Voorzie de juiste security-infrastructuur ➢ Scherm data af ➢ Eigen segmenten los van het internet voor bepaalde confidentiele data ➢ Bouw de juiste infrastructuur ➢ Firewalling ➢ Web Application Firewalls ➢ Degelijk systeembeheer ➢ Hostbased IDS ➢ Systeembeheer ➢ Etc. ➢ Gestructureerde updates !
Cloud ➢ Hype du jour ➢ IAAS cloud is de motor van de e-commerce en app revolutie ➢ Elasticiteit ➢ Capex / Opex ➢ Gemak waarmee een global infrastructuur uitgerold kan worden. ➢ Maar is uw cloudprovider wel zo goed als hij beweert dat hij is ? ➢ Licht hem financieel door ➢ Heeft je provider / datacenter de juiste isonormen ? ➢ Referenties ➢ If you pay peanuts you get monkeys ! ➢ Technologie die de gebruiker meer controle geeft. ➢ Hou altijd je opties open ! ➢ Geen lockins
Authenticatie / rechten ➢ Password of token ➢ Als je passwoorden gebruikt, zet een stevige wachtwoordpolicy! ➢ Geen triviale wachtwoorden ➢ Alle 3 maanden veranderen ➢ Leer desnoods de mensen werken met een kluisje als Keeppass ➢ Tokens : EID, digipass/onetime, Biometrie ➢ Maar grotere complexiteit / kost ➢ Inventariseer alle userids / wachtwoorden
Encryptie ➢ Gebruik zoveel mogelijk encryptie ! ➢ Versleutelen van gevoelige bestanden ➢ Alle verbindingen moeten versleuteld zijn (https ipv http b.v.) ➢ Liefst ook de opslag van mobiele devices ( smartphone, laptops, tablets, usb) ➢ Gebruik encryptie ook op de juiste manier ➢ Geen Self-signed certificates!
Backups ➢ Gebruik je gezond verstand! ➢ Offline / online / cloud ? ➢ Hoe lang hou je backups bij ? ( retentie ) ➢ Hoe en hoe lang duurt het om te restoren ? ➢ Is mijn backup-medium wel betrouwbaar ? ➢ Past dit alles in mijn RTO / RPO ?
Open Source ➢ Kijk misschien eens naar Open Source als je een oplossing zoekt ➢ Flexibel, best-of-breed, goedkoop of zelfs gratis ➢ Veel eenvoudiger geworden door de komst van virtuele appliances ➢ Ongeloofelijke schatkist aan tools: firewalls, antivirus, etc.
CHECK (1) ➢ Controleer / Audit op vaste tijdstippen je security ➢ Met een extern consultant ➢ Automatische vulnerability Assessment tools ➢ Zelf ( er zijn tientallen tools beschikbaar ) ➢ Bv Kali Linux ➢ Controleer je Business Continuity Plan ➢ Op vaste tijdstippen een volledige test ( restore of failover) ➢ Check ook de logs van je backups
CHECK (2) ➢ Monitor ➢ Zorg ervoor dat je een proactief monitoringsysteem hebt met historische cijfers ➢ Noodzakelijk om je SLA te monitoren ➢ Helpt om snel problemen op te lossen ➢ Log alle interventies in een ticketing systeem ➢ Voorzie de nodige procedures om alles op te volgen
ACT ➢ Los de problemen die je hebt op ➢ Structureel ➢ Geen brandjes blussen met tijdelijke oplossingen ➢ Change Management ➢ Doe het gestructureerd ➢ Stuur bij ➢ Documenteer ➢ Zorg dat alles gedocumenteerd wordt ! ➢ Communiceer!
Thank You Contact us http://be.linkedin.com/in/janguldentops/ Twitter: JanGuldentops www.ba.be / Twitter: batweets info@ba.be 016/29.80.45 016/29.80.46 Remy Toren Vaartdijk 3/501 B-3018 Wijgmaal

Recommandé

Het begint allemaal bij gezond verstand
Het begint allemaal bij gezond verstandHet begint allemaal bij gezond verstand
Het begint allemaal bij gezond verstandB.A.
 
Cyberincidenten - Verhalen uit de loopgraven
Cyberincidenten - Verhalen uit de loopgravenCyberincidenten - Verhalen uit de loopgraven
Cyberincidenten - Verhalen uit de loopgravenB.A.
 
The good, the Bad & the Ugly : ICT-beveiliging en privacy bij lokale besturen
The good, the Bad & the Ugly : ICT-beveiliging en privacy bij lokale besturenThe good, the Bad & the Ugly : ICT-beveiliging en privacy bij lokale besturen
The good, the Bad & the Ugly : ICT-beveiliging en privacy bij lokale besturenB.A.
 
INFORUM - VEILIGHEIDSPROBLEMEN VOOR BIBLIOTHEEK EN ARCHIEF IN HET DIGITALE TI...
INFORUM - VEILIGHEIDSPROBLEMEN VOOR BIBLIOTHEEK EN ARCHIEF IN HET DIGITALE TI...INFORUM - VEILIGHEIDSPROBLEMEN VOOR BIBLIOTHEEK EN ARCHIEF IN HET DIGITALE TI...
INFORUM - VEILIGHEIDSPROBLEMEN VOOR BIBLIOTHEEK EN ARCHIEF IN HET DIGITALE TI...B.A.
 
Veiliger door gezond verstand - Presentatie Safe@schools 27 mei 2014
Veiliger door gezond verstand - Presentatie Safe@schools 27 mei 2014Veiliger door gezond verstand - Presentatie Safe@schools 27 mei 2014
Veiliger door gezond verstand - Presentatie Safe@schools 27 mei 2014B.A.
 
Van brandweerman tot brandpreventieadviseur
Van brandweerman tot brandpreventieadviseurVan brandweerman tot brandpreventieadviseur
Van brandweerman tot brandpreventieadviseurB.A.
 
20200221 cybersecurity een praktische introductie
20200221 cybersecurity een praktische introductie20200221 cybersecurity een praktische introductie
20200221 cybersecurity een praktische introductieAgentschap Innoveren & Ondernemen
 
Office-Magazine-blog
Office-Magazine-blogOffice-Magazine-blog
Office-Magazine-blogDennis Kabbedijk RDM
 

Recommandé

Het begint allemaal bij gezond verstand
Het begint allemaal bij gezond verstandHet begint allemaal bij gezond verstand
Het begint allemaal bij gezond verstandB.A.
 
Cyberincidenten - Verhalen uit de loopgraven
Cyberincidenten - Verhalen uit de loopgravenCyberincidenten - Verhalen uit de loopgraven
Cyberincidenten - Verhalen uit de loopgravenB.A.
 
The good, the Bad & the Ugly : ICT-beveiliging en privacy bij lokale besturen
The good, the Bad & the Ugly : ICT-beveiliging en privacy bij lokale besturenThe good, the Bad & the Ugly : ICT-beveiliging en privacy bij lokale besturen
The good, the Bad & the Ugly : ICT-beveiliging en privacy bij lokale besturenB.A.
 
INFORUM - VEILIGHEIDSPROBLEMEN VOOR BIBLIOTHEEK EN ARCHIEF IN HET DIGITALE TI...
INFORUM - VEILIGHEIDSPROBLEMEN VOOR BIBLIOTHEEK EN ARCHIEF IN HET DIGITALE TI...INFORUM - VEILIGHEIDSPROBLEMEN VOOR BIBLIOTHEEK EN ARCHIEF IN HET DIGITALE TI...
INFORUM - VEILIGHEIDSPROBLEMEN VOOR BIBLIOTHEEK EN ARCHIEF IN HET DIGITALE TI...B.A.
 
Veiliger door gezond verstand - Presentatie Safe@schools 27 mei 2014
Veiliger door gezond verstand - Presentatie Safe@schools 27 mei 2014Veiliger door gezond verstand - Presentatie Safe@schools 27 mei 2014
Veiliger door gezond verstand - Presentatie Safe@schools 27 mei 2014B.A.
 
Van brandweerman tot brandpreventieadviseur
Van brandweerman tot brandpreventieadviseurVan brandweerman tot brandpreventieadviseur
Van brandweerman tot brandpreventieadviseurB.A.
 
20200221 cybersecurity een praktische introductie
20200221 cybersecurity een praktische introductie20200221 cybersecurity een praktische introductie
20200221 cybersecurity een praktische introductieAgentschap Innoveren & Ondernemen
 
Office-Magazine-blog
Office-Magazine-blogOffice-Magazine-blog
Office-Magazine-blogDennis Kabbedijk RDM
 
Gemaco Gazette
Gemaco GazetteGemaco Gazette
Gemaco GazetteTom Vandeneede
 
Updated copyright presentation after chapter 3 6
Updated copyright presentation after chapter 3 6Updated copyright presentation after chapter 3 6
Updated copyright presentation after chapter 3 6albertrodriguez5150
 
Wordl I: Module 3
Wordl I: Module 3Wordl I: Module 3
Wordl I: Module 3gbgupresentations
 
FUM Samburu
FUM SamburuFUM Samburu
FUM SamburuKelly Kellum
 
高密度データセンターを選択する価値
高密度データセンターを選択する価値高密度データセンターを選択する価値
高密度データセンターを選択する価値KVH Co. Ltd.
 
real estate agent in patna 9304611353
real estate agent in patna 9304611353real estate agent in patna 9304611353
real estate agent in patna 9304611353Adore Global Pvt. Ltd
 
1 13
1 131 13
1 13Les Davy
 
3 concurrencycontrolone
3 concurrencycontrolone3 concurrencycontrolone
3 concurrencycontroloneKamal Shrish
 
How to be the employee your company can not do without
How to be the employee your company can not do withoutHow to be the employee your company can not do without
How to be the employee your company can not do withoutRaymond J. Ramirez DVM speaking
 
Hollyoaks storyboard - Our Trailer
Hollyoaks storyboard - Our TrailerHollyoaks storyboard - Our Trailer
Hollyoaks storyboard - Our TrailerSammi Wilde
 
Model answers
Model answers Model answers
Model answers Marian Domeni
 
Beyond Beads n Trinkets - CIM 1999
Beyond Beads n Trinkets - CIM 1999Beyond Beads n Trinkets - CIM 1999
Beyond Beads n Trinkets - CIM 1999Wayne Dunn
 
Power Notes Atomic Structure
Power Notes Atomic StructurePower Notes Atomic Structure
Power Notes Atomic Structurejmori1
 
Tailored Millwork
Tailored MillworkTailored Millwork
Tailored Millworkdscitthelm
 
Power Notes Measurements and Dealing with Data
Power Notes Measurements and Dealing with DataPower Notes Measurements and Dealing with Data
Power Notes Measurements and Dealing with Datajmori1
 
Research designku rev
Research designku revResearch designku rev
Research designku revBappeda Belitung Timur
 
leadership theories
leadership theoriesleadership theories
leadership theoriesElu Jain
 
ФГОС начальная школа
ФГОС начальная школаФГОС начальная школа
ФГОС начальная школаelvira38
 
Anders Celsius (presentation)
Anders Celsius (presentation) Anders Celsius (presentation)
Anders Celsius (presentation) Rizka Aldiany
 
The State of WordPress Business
The State of WordPress BusinessThe State of WordPress Business
The State of WordPress BusinessBrian Krogsgard
 
Jan guldentops ba
Jan guldentops baJan guldentops ba
Jan guldentops baWebshopVakbeurs
 
De verschillende beveiligingsrisico’s van mobiele toepassingen en Devices
De verschillende beveiligingsrisico’s van mobiele toepassingen en DevicesDe verschillende beveiligingsrisico’s van mobiele toepassingen en Devices
De verschillende beveiligingsrisico’s van mobiele toepassingen en DevicesB.A.
 

Contenu connexe

En vedette

Updated copyright presentation after chapter 3 6
Updated copyright presentation after chapter 3 6Updated copyright presentation after chapter 3 6
Updated copyright presentation after chapter 3 6albertrodriguez5150
 
高密度データセンターを選択する価値
高密度データセンターを選択する価値高密度データセンターを選択する価値
高密度データセンターを選択する価値KVH Co. Ltd.
 
real estate agent in patna 9304611353
real estate agent in patna 9304611353real estate agent in patna 9304611353
real estate agent in patna 9304611353Adore Global Pvt. Ltd
 
3 concurrencycontrolone
3 concurrencycontrolone3 concurrencycontrolone
3 concurrencycontroloneKamal Shrish
 
Hollyoaks storyboard - Our Trailer
Hollyoaks storyboard - Our TrailerHollyoaks storyboard - Our Trailer
Hollyoaks storyboard - Our TrailerSammi Wilde
 
Beyond Beads n Trinkets - CIM 1999
Beyond Beads n Trinkets - CIM 1999Beyond Beads n Trinkets - CIM 1999
Beyond Beads n Trinkets - CIM 1999Wayne Dunn
 
Power Notes Atomic Structure
Power Notes Atomic StructurePower Notes Atomic Structure
Power Notes Atomic Structurejmori1
 
Tailored Millwork
Tailored MillworkTailored Millwork
Tailored Millworkdscitthelm
 
Power Notes Measurements and Dealing with Data
Power Notes Measurements and Dealing with DataPower Notes Measurements and Dealing with Data
Power Notes Measurements and Dealing with Datajmori1
 
leadership theories
leadership theoriesleadership theories
leadership theoriesElu Jain
 
ФГОС начальная школа
ФГОС начальная школаФГОС начальная школа
ФГОС начальная школаelvira38
 
Anders Celsius (presentation)
Anders Celsius (presentation) Anders Celsius (presentation)
Anders Celsius (presentation) Rizka Aldiany
 
The State of WordPress Business
The State of WordPress BusinessThe State of WordPress Business
The State of WordPress BusinessBrian Krogsgard
 

En vedette (20)

Gemaco Gazette
Gemaco GazetteGemaco Gazette
Gemaco Gazette
 
Updated copyright presentation after chapter 3 6
Updated copyright presentation after chapter 3 6Updated copyright presentation after chapter 3 6
Updated copyright presentation after chapter 3 6
 
Wordl I: Module 3
Wordl I: Module 3Wordl I: Module 3
Wordl I: Module 3
 
FUM Samburu
FUM SamburuFUM Samburu
FUM Samburu
 
高密度データセンターを選択する価値
高密度データセンターを選択する価値高密度データセンターを選択する価値
高密度データセンターを選択する価値
 
real estate agent in patna 9304611353
real estate agent in patna 9304611353real estate agent in patna 9304611353
real estate agent in patna 9304611353
 
1 13
1 131 13
1 13
 
3 concurrencycontrolone
3 concurrencycontrolone3 concurrencycontrolone
3 concurrencycontrolone
 
How to be the employee your company can not do without
How to be the employee your company can not do withoutHow to be the employee your company can not do without
How to be the employee your company can not do without
 
Hollyoaks storyboard - Our Trailer
Hollyoaks storyboard - Our TrailerHollyoaks storyboard - Our Trailer
Hollyoaks storyboard - Our Trailer
 
Model answers
Model answers Model answers
Model answers
 
Beyond Beads n Trinkets - CIM 1999
Beyond Beads n Trinkets - CIM 1999Beyond Beads n Trinkets - CIM 1999
Beyond Beads n Trinkets - CIM 1999
 
Power Notes Atomic Structure
Power Notes Atomic StructurePower Notes Atomic Structure
Power Notes Atomic Structure
 
Tailored Millwork
Tailored MillworkTailored Millwork
Tailored Millwork
 
Power Notes Measurements and Dealing with Data
Power Notes Measurements and Dealing with DataPower Notes Measurements and Dealing with Data
Power Notes Measurements and Dealing with Data
 
Research designku rev
Research designku revResearch designku rev
Research designku rev
 
leadership theories
leadership theoriesleadership theories
leadership theories
 
ФГОС начальная школа
ФГОС начальная школаФГОС начальная школа
ФГОС начальная школа
 
Anders Celsius (presentation)
Anders Celsius (presentation) Anders Celsius (presentation)
Anders Celsius (presentation)
 
The State of WordPress Business
The State of WordPress BusinessThe State of WordPress Business
The State of WordPress Business
 

Similaire à Safeshops ? Nadenken over veiligheidsaspecten van E-shops/Commerce

De verschillende beveiligingsrisico’s van mobiele toepassingen en Devices
De verschillende beveiligingsrisico’s van mobiele toepassingen en DevicesDe verschillende beveiligingsrisico’s van mobiele toepassingen en Devices
De verschillende beveiligingsrisico’s van mobiele toepassingen en DevicesB.A.
 
Webinar de balans tussen security en gebruiksvriendelijkheid
Webinar de balans tussen security en gebruiksvriendelijkheidWebinar de balans tussen security en gebruiksvriendelijkheid
Webinar de balans tussen security en gebruiksvriendelijkheidDelta-N
 
Presentatie digitale preservering door PACKED tijdens cursusreeks 'Aan de Sla...
Presentatie digitale preservering door PACKED tijdens cursusreeks 'Aan de Sla...Presentatie digitale preservering door PACKED tijdens cursusreeks 'Aan de Sla...
Presentatie digitale preservering door PACKED tijdens cursusreeks 'Aan de Sla...Heemkunde Vlaanderen
 
Verhalen uit de loopgraven - Workshop Security & privacy
Verhalen uit de loopgraven - Workshop Security & privacyVerhalen uit de loopgraven - Workshop Security & privacy
Verhalen uit de loopgraven - Workshop Security & privacyB.A.
 
Business Continuity & Disaster Recovery introductie
Business Continuity & Disaster Recovery introductieBusiness Continuity & Disaster Recovery introductie
Business Continuity & Disaster Recovery introductieB.A.
 
20180328 heemkunde digitale_preservering
20180328 heemkunde digitale_preservering20180328 heemkunde digitale_preservering
20180328 heemkunde digitale_preserveringPACKED vzw
 
Presentatie digitale preservering_packed_20170329
Presentatie digitale preservering_packed_20170329Presentatie digitale preservering_packed_20170329
Presentatie digitale preservering_packed_20170329Heemkunde Vlaanderen
 
Security voor realisten
Security voor realistenSecurity voor realisten
Security voor realistenMark Vletter
 
Marketing_Trend_Event_2022_-_Digitale_hygiene_en_data_security_-_Data_securit...
Marketing_Trend_Event_2022_-_Digitale_hygiene_en_data_security_-_Data_securit...Marketing_Trend_Event_2022_-_Digitale_hygiene_en_data_security_-_Data_securit...
Marketing_Trend_Event_2022_-_Digitale_hygiene_en_data_security_-_Data_securit...OrangeValley
 
ICT & Gezond verstand
ICT & Gezond verstandICT & Gezond verstand
ICT & Gezond verstandB.A.
 
Multicloud - Nadenken over een polynimbus infrastructuur
Multicloud - Nadenken over een polynimbus infrastructuurMulticloud - Nadenken over een polynimbus infrastructuur
Multicloud - Nadenken over een polynimbus infrastructuurB.A.
 
Space Shelter! Webinar training #1 over account privacy en beveiliging
Space Shelter! Webinar training #1 over account privacy en beveiligingSpace Shelter! Webinar training #1 over account privacy en beveiliging
Space Shelter! Webinar training #1 over account privacy en beveiligingSOCIALware Benelux
 
BC, DR & SLA's
BC, DR & SLA'sBC, DR & SLA's
BC, DR & SLA'sB.A.
 
IT en wat u er over moet weten !
IT en wat u er over moet weten !IT en wat u er over moet weten !
IT en wat u er over moet weten !alex dossche
 
Correct toepassen van cryptografie - (ISC)2 NL - 10 juni 2014
Correct toepassen van cryptografie - (ISC)2 NL - 10 juni 2014Correct toepassen van cryptografie - (ISC)2 NL - 10 juni 2014
Correct toepassen van cryptografie - (ISC)2 NL - 10 juni 2014Luuk Danes
 
Samen betrouwbaar online - Eefje van der Harst - HO-link 2014
Samen betrouwbaar online - Eefje van der Harst - HO-link 2014Samen betrouwbaar online - Eefje van der Harst - HO-link 2014
Samen betrouwbaar online - Eefje van der Harst - HO-link 2014HOlink
 
De wereld van cybersecurity & ethisch hacken
De wereld van cybersecurity & ethisch hackenDe wereld van cybersecurity & ethisch hacken
De wereld van cybersecurity & ethisch hackenSijmen Ruwhof
 
Nieuwsbrief #8 Sebyde Academy: 10 vuistregels voor cybersecurity
Nieuwsbrief #8 Sebyde Academy: 10 vuistregels voor cybersecurityNieuwsbrief #8 Sebyde Academy: 10 vuistregels voor cybersecurity
Nieuwsbrief #8 Sebyde Academy: 10 vuistregels voor cybersecurityDerk Yntema
 

Similaire à Safeshops ? Nadenken over veiligheidsaspecten van E-shops/Commerce (20)

Jan guldentops ba
Jan guldentops baJan guldentops ba
Jan guldentops ba
 
De verschillende beveiligingsrisico’s van mobiele toepassingen en Devices
De verschillende beveiligingsrisico’s van mobiele toepassingen en DevicesDe verschillende beveiligingsrisico’s van mobiele toepassingen en Devices
De verschillende beveiligingsrisico’s van mobiele toepassingen en Devices
 
Webinar de balans tussen security en gebruiksvriendelijkheid
Webinar de balans tussen security en gebruiksvriendelijkheidWebinar de balans tussen security en gebruiksvriendelijkheid
Webinar de balans tussen security en gebruiksvriendelijkheid
 
Presentatie digitale preservering door PACKED tijdens cursusreeks 'Aan de Sla...
Presentatie digitale preservering door PACKED tijdens cursusreeks 'Aan de Sla...Presentatie digitale preservering door PACKED tijdens cursusreeks 'Aan de Sla...
Presentatie digitale preservering door PACKED tijdens cursusreeks 'Aan de Sla...
 
Verhalen uit de loopgraven - Workshop Security & privacy
Verhalen uit de loopgraven - Workshop Security & privacyVerhalen uit de loopgraven - Workshop Security & privacy
Verhalen uit de loopgraven - Workshop Security & privacy
 
Business Continuity & Disaster Recovery introductie
Business Continuity & Disaster Recovery introductieBusiness Continuity & Disaster Recovery introductie
Business Continuity & Disaster Recovery introductie
 
digitale_preservering 20180328
digitale_preservering 20180328digitale_preservering 20180328
digitale_preservering 20180328
 
20180328 heemkunde digitale_preservering
20180328 heemkunde digitale_preservering20180328 heemkunde digitale_preservering
20180328 heemkunde digitale_preservering
 
Presentatie digitale preservering_packed_20170329
Presentatie digitale preservering_packed_20170329Presentatie digitale preservering_packed_20170329
Presentatie digitale preservering_packed_20170329
 
Security voor realisten
Security voor realistenSecurity voor realisten
Security voor realisten
 
Marketing_Trend_Event_2022_-_Digitale_hygiene_en_data_security_-_Data_securit...
Marketing_Trend_Event_2022_-_Digitale_hygiene_en_data_security_-_Data_securit...Marketing_Trend_Event_2022_-_Digitale_hygiene_en_data_security_-_Data_securit...
Marketing_Trend_Event_2022_-_Digitale_hygiene_en_data_security_-_Data_securit...
 
ICT & Gezond verstand
ICT & Gezond verstandICT & Gezond verstand
ICT & Gezond verstand
 
Multicloud - Nadenken over een polynimbus infrastructuur
Multicloud - Nadenken over een polynimbus infrastructuurMulticloud - Nadenken over een polynimbus infrastructuur
Multicloud - Nadenken over een polynimbus infrastructuur
 
Space Shelter! Webinar training #1 over account privacy en beveiliging
Space Shelter! Webinar training #1 over account privacy en beveiligingSpace Shelter! Webinar training #1 over account privacy en beveiliging
Space Shelter! Webinar training #1 over account privacy en beveiliging
 
BC, DR & SLA's
BC, DR & SLA'sBC, DR & SLA's
BC, DR & SLA's
 
IT en wat u er over moet weten !
IT en wat u er over moet weten !IT en wat u er over moet weten !
IT en wat u er over moet weten !
 
Correct toepassen van cryptografie - (ISC)2 NL - 10 juni 2014
Correct toepassen van cryptografie - (ISC)2 NL - 10 juni 2014Correct toepassen van cryptografie - (ISC)2 NL - 10 juni 2014
Correct toepassen van cryptografie - (ISC)2 NL - 10 juni 2014
 
Samen betrouwbaar online - Eefje van der Harst - HO-link 2014
Samen betrouwbaar online - Eefje van der Harst - HO-link 2014Samen betrouwbaar online - Eefje van der Harst - HO-link 2014
Samen betrouwbaar online - Eefje van der Harst - HO-link 2014
 
De wereld van cybersecurity & ethisch hacken
De wereld van cybersecurity & ethisch hackenDe wereld van cybersecurity & ethisch hacken
De wereld van cybersecurity & ethisch hacken
 
Nieuwsbrief #8 Sebyde Academy: 10 vuistregels voor cybersecurity
Nieuwsbrief #8 Sebyde Academy: 10 vuistregels voor cybersecurityNieuwsbrief #8 Sebyde Academy: 10 vuistregels voor cybersecurity
Nieuwsbrief #8 Sebyde Academy: 10 vuistregels voor cybersecurity
 

Plus de B.A.

GDPR one year in: Observations
GDPR one year in: ObservationsGDPR one year in: Observations
GDPR one year in: ObservationsB.A.
 
Werken aan je (digitale) toekomst ?
Werken aan je (digitale) toekomst ? Werken aan je (digitale) toekomst ?
Werken aan je (digitale) toekomst ? B.A.
 
Infosecurity.be 2019: What are relevant open source security tools you should...
Infosecurity.be 2019: What are relevant open source security tools you should...Infosecurity.be 2019: What are relevant open source security tools you should...
Infosecurity.be 2019: What are relevant open source security tools you should...B.A.
 
GDPR Revealed: EU privacy wetgeving in het juiste perspectief
GDPR Revealed: EU privacy wetgeving in het juiste perspectiefGDPR Revealed: EU privacy wetgeving in het juiste perspectief
GDPR Revealed: EU privacy wetgeving in het juiste perspectiefB.A.
 
Belgium 101 - Snelle cursus zakendoen in België voor (Nederlandse) beginners
Belgium 101 - Snelle cursus zakendoen in België voor (Nederlandse) beginnersBelgium 101 - Snelle cursus zakendoen in België voor (Nederlandse) beginners
Belgium 101 - Snelle cursus zakendoen in België voor (Nederlandse) beginnersB.A.
 
Hit by a Cyberattack: lesson learned
Hit by a Cyberattack: lesson learned Hit by a Cyberattack: lesson learned
Hit by a Cyberattack: lesson learnedB.A.
 
Presentatie Proactieve Monitoring ( BA Monitoring )
Presentatie Proactieve Monitoring ( BA Monitoring )Presentatie Proactieve Monitoring ( BA Monitoring )
Presentatie Proactieve Monitoring ( BA Monitoring )B.A.
 
Storage: trends, oplossingen, caveats
Storage: trends, oplossingen, caveatsStorage: trends, oplossingen, caveats
Storage: trends, oplossingen, caveatsB.A.
 
Random thoughts on security
Random thoughts on securityRandom thoughts on security
Random thoughts on securityB.A.
 
Proactive monitoring tools or services - Open Source
Proactive monitoring tools or services - Open Source Proactive monitoring tools or services - Open Source
Proactive monitoring tools or services - Open Source B.A.
 
Zarafa Tour 2014: "Where Zarafa can make a difference"
Zarafa Tour 2014: "Where Zarafa can make a difference"Zarafa Tour 2014: "Where Zarafa can make a difference"
Zarafa Tour 2014: "Where Zarafa can make a difference"B.A.
 
Social media security
Social media securitySocial media security
Social media securityB.A.
 
BA Netapp Event - Always there IT Infrastructuur
BA Netapp Event - Always there IT InfrastructuurBA Netapp Event - Always there IT Infrastructuur
BA Netapp Event - Always there IT InfrastructuurB.A.
 
Quickintro2webapps
Quickintro2webappsQuickintro2webapps
Quickintro2webappsB.A.
 
Cloud: Frisse lucht of gebakken lucht ?
Cloud: Frisse lucht of gebakken lucht ?Cloud: Frisse lucht of gebakken lucht ?
Cloud: Frisse lucht of gebakken lucht ?B.A.
 
A pinguin as a bouncer... Open Source Security Solutions
A pinguin as a bouncer... Open Source Security SolutionsA pinguin as a bouncer... Open Source Security Solutions
A pinguin as a bouncer... Open Source Security SolutionsB.A.
 
Mobile security... The next challenge
Mobile security... The next challengeMobile security... The next challenge
Mobile security... The next challengeB.A.
 

Plus de B.A. (17)

GDPR one year in: Observations
GDPR one year in: ObservationsGDPR one year in: Observations
GDPR one year in: Observations
 
Werken aan je (digitale) toekomst ?
Werken aan je (digitale) toekomst ? Werken aan je (digitale) toekomst ?
Werken aan je (digitale) toekomst ?
 
Infosecurity.be 2019: What are relevant open source security tools you should...
Infosecurity.be 2019: What are relevant open source security tools you should...Infosecurity.be 2019: What are relevant open source security tools you should...
Infosecurity.be 2019: What are relevant open source security tools you should...
 
GDPR Revealed: EU privacy wetgeving in het juiste perspectief
GDPR Revealed: EU privacy wetgeving in het juiste perspectiefGDPR Revealed: EU privacy wetgeving in het juiste perspectief
GDPR Revealed: EU privacy wetgeving in het juiste perspectief
 
Belgium 101 - Snelle cursus zakendoen in België voor (Nederlandse) beginners
Belgium 101 - Snelle cursus zakendoen in België voor (Nederlandse) beginnersBelgium 101 - Snelle cursus zakendoen in België voor (Nederlandse) beginners
Belgium 101 - Snelle cursus zakendoen in België voor (Nederlandse) beginners
 
Hit by a Cyberattack: lesson learned
Hit by a Cyberattack: lesson learned Hit by a Cyberattack: lesson learned
Hit by a Cyberattack: lesson learned
 
Presentatie Proactieve Monitoring ( BA Monitoring )
Presentatie Proactieve Monitoring ( BA Monitoring )Presentatie Proactieve Monitoring ( BA Monitoring )
Presentatie Proactieve Monitoring ( BA Monitoring )
 
Storage: trends, oplossingen, caveats
Storage: trends, oplossingen, caveatsStorage: trends, oplossingen, caveats
Storage: trends, oplossingen, caveats
 
Random thoughts on security
Random thoughts on securityRandom thoughts on security
Random thoughts on security
 
Proactive monitoring tools or services - Open Source
Proactive monitoring tools or services - Open Source Proactive monitoring tools or services - Open Source
Proactive monitoring tools or services - Open Source
 
Zarafa Tour 2014: "Where Zarafa can make a difference"
Zarafa Tour 2014: "Where Zarafa can make a difference"Zarafa Tour 2014: "Where Zarafa can make a difference"
Zarafa Tour 2014: "Where Zarafa can make a difference"
 
Social media security
Social media securitySocial media security
Social media security
 
BA Netapp Event - Always there IT Infrastructuur
BA Netapp Event - Always there IT InfrastructuurBA Netapp Event - Always there IT Infrastructuur
BA Netapp Event - Always there IT Infrastructuur
 
Quickintro2webapps
Quickintro2webappsQuickintro2webapps
Quickintro2webapps
 
Cloud: Frisse lucht of gebakken lucht ?
Cloud: Frisse lucht of gebakken lucht ?Cloud: Frisse lucht of gebakken lucht ?
Cloud: Frisse lucht of gebakken lucht ?
 
A pinguin as a bouncer... Open Source Security Solutions
A pinguin as a bouncer... Open Source Security SolutionsA pinguin as a bouncer... Open Source Security Solutions
A pinguin as a bouncer... Open Source Security Solutions
 
Mobile security... The next challenge
Mobile security... The next challengeMobile security... The next challenge
Mobile security... The next challenge
 

Safeshops ? Nadenken over veiligheidsaspecten van E-shops/Commerce

  • 1. Safeshops? Nadenken over veiligheidsaspecten van E-shops/Commerce Safeshops – 5 december 2014 Jan Guldentops ( j@ba.be ) BA N.V. ( http://www.ba.be )
  • 2. Wie ben ik ?  Jan Guldentops (°1973)  Dit jaar bouw ik 19 jaar server en netwerk infrastructuren  Oprichter Better Access (°1996) en BA (°2003)  Open Source Fundamentalist (na mijn uren)  Sterke praktische achtergrond op het vlak van ICT beveiliging ➢ Ben toevalling terechtgekomen in de securitywereld ➢ Documenteerde in 1996 de securityproblemen in de eerste Belgische internetbank ( Beroepskrediet / Belgium Offline) ➢ Plotseling ben je security expert  R&D (vooral security)
  • 3.
  • 4. Samengevat: COMMON SENSE AS A SERVICE (CAAS)
  • 5. Wat is security ? Het garanderen van CIA :
  • 6. Moeilijk evenwicht ➢ Moeilijke (soms onmogelijke) balans tussen : ➢ veiligheid ➢ functionaliteit ➢ Gebruikersgemak ➢ Budget
  • 7. Veel blabla, weinig boemboem ➢ Als het gaat over (ICT) beveiliging is er vaak een groot verschil tussen de theorie, de praktijk, de marketing en de sales. ➢ Security is vaak passe partout om je een “doosje” te verkopen dat al je problemen oplost. #not ➢ Fear, uncertainty, doubt als een business model
  • 8. Politici... ● Het wordt pas helemaal erg als je het aan politici overlaat... ● Elio Dirupo ● Rik Daems ● En het meest recente uitwas : – Jacky Zwam ( FOD economie) – https://www.youtube.com/watch?v=1X4HDOjY41Q
  • 9. Abstract begrip ➢ Veiligheid is een heel abstract begrip ➢ There is no such thing as absolute security ➢ Hoe kan je weten of iets veilig is ? ➢ Kan enkel negatief testen ➢ Het is niet omdat ik er niet voorbij geraak, dat iemand anders dat niet kan. ➢ heeft iets magisch / mythologisch
  • 10. Eigen Taalgebruik ➢ Eigen Lingua Franca ➢ Veel terminologie ➢ Veel afkortingen ➢ Vaak inhoudsloze hypetermen
  • 11. Complex ➢ Heel veel hoeken en kanten ➢ Heel veel technologie ➢ Probleem van de zwakste schakel ➢ Het kleinste security probleem kan in sommige gevallen alles, als een kaartenhuisje in elkaar laten vallen.
  • 12. Overlaten aan ICTdienst of je technologie provider? ➢ Gevaarlijk ➢ Big picture ➢ ICT weet vaak te weinig over business, wat belangrijk is ➢ Engineersziekte van tegen elk probleem technologie aan te gooien ➢ Daarom : ➢ Belangrijk dat de directie zelf de krijtlijnen uittekent ➢ Bepaald wat er beveiligd moet worden ➢ Bepaald hoe belangrijk dit is en dus wat het mag kosten ➢ Alle concepten snapt ➢ Deze concepten ook ten allen tijde kan controleren.
  • 13. Death, taxes, security ? ➢ Security verdwijnt niet meer... ➢ Het is geen modehype ! ➢ Permanent proces ! ➢ U zal er altijd mee geconfronteerd worden. ➢ Wat nu veilig is, is het morgen niet meer. ➢ Moet permanent aan gewerkt worden ➢ Nog altijd in volle ontwikkeling ➢ Bv. belang dat nu meer en meer aan privacy gekoppeld wordt
  • 14. Klanten ● Bij E-commerce draait alles om vertrouwen ● Vertrouwen van de klant wordt ondermijnd door ● Phising – Vaak worden er hiervoor brands gebruikt – Soms heel moeilijk om te onderscheiden van de werkelijkheid – Heel vaak zijn legitieme mails ook moeilijk te onderscheiden van phisingmails ● Privacy ● https://www.youtube.com/watch?v=F7pYHN9iC9I
  • 15. Privacy ● Komt een nieuwe Europese privacy richtlijn uit. ● Bouwt verder op wat er nu is... ● Wat moet je onthouden : – Als je meer dan 2000 klantengegevens verwerkt zal je een Digital Privacy Officer moeten hebben ( DPO ) – Neem de essentiële stappen om je data te beschermen : ● Bedrijfsdata in kaart brengen en classificieren ● Toegangen en afschermingen in kaart brengen ● Procedures voorzien bij datalek ( o.a. Meldingsplicht) ● Juiste security-infrastructuur voorzien ● Awareness creëren bij je mensen
  • 16. Wat kan er misgaan? (1) ● Diefstal van klantengegevens ● – Gegevens van 700.000 klanten ( geboortedatum, ● – Konden zelfs niet vertellen wat er aan de hand was! – Gegevens van 70.000.000 klanten – Exit security officer, CIO & CEO
  • 17. Wat kan er misgaan? (2) ● Diefstal van confidentiële, interne documenten ● Gebruik van uw infrastructuur voor illegale of andere doeleinden ● Onbeschikbaarheid ● Dataverlies ● Reputatieverlies ● Fraude ● Verspreiden van malware via uw shop ● Langdurig verstopte hackers die jaren meeluisteren
  • 18. Gezond verstand ➢ Belangrijkste securityproduct is niet firewalls, encryptie, vpn, mobile device management of een ander product maar gezond verstand. ➢ Denk na ! ➢ Zorg dat je alle concepten snapt ! ➢ Als een ICT'er het niet aan een CEO uitgelegd krijgt, is de kans groot dat hij het zelf niet snapt !
  • 19. Hoe wordt u gehacked ? ● Domheid, luiheid en onkunde
  • 20. Hoe wordt u gehackt? Triviale wachtwoorden voor toegang of lijstjes die overal te vinden zijn ● Bv Sony pictures ● Top 10 wachtwoorden : – 123456 – 12345678 – 1234 – qwerty – 12345 – dragon – pussy – baseball – football – Letmein
  • 21. Hoe wordt u gehackt? ● Slechte opgezette infrastructuur ● Fouten in de webshop software ● Slecht geschreven eigen software ● Laten rondslingeren van data ( usbdisks, backups, leveranciers, etc. ) ● Verouderde software die niet geupdate wordt ● e.g. Heartbleed ● Poodle ● (Ex)-werknemers ● Fysieke toegang tot systemen
  • 23. Plan (1) ➢ Vat alles samen in een policy ➢ Wat je wil / moet bereiken o.a. ➢ Risico analyse ➢ Inventaris ➢ Business Continuity Plan ➢ Recovery Time Objective ( RTO ) ➢ Recovery Point Objective ( RPO) ➢ Hou ook rekening met de wettelijke / legal vereisten ! ➢ Wettelijke vereisten ( privacy, persoonsgegevens, etc.) ➢ Privacy ➢ PCI DSS ➢ Classificieer je data en applicaties ➢ Hoe je dit gaat doen en volgens welke procedures
  • 24. Plan(2) ➢ Creëer een bewustzijn/kennis dat security belangrijk is bij : ➢ Op directieniveau ➢ Op ICT-niveau ➢ Bij het gehele personeel ➢ Maak goeie afspraken met iedereen : ➢ Leveranciers ➢ Duidelijk leesbare contracten met NDA, SLA, etc. ➢ Personeel ➢ Acceptable Use Policy ( maar zorg dat iedereen die begrijpt !)
  • 25. Plan(3) ➢ Het is niet de vraag of je een securityprobleem gaat hebben maar wanneer... ➢ Plan for the worst ➢ Zorg dat je al weet wat je gaat doen als er iets misgaat ➢ Zorg voor een overleg / communicatiestructuur ➢ Security comité met overleg op vaste tijdstippen ➢ Hou cijfers, gegevens bij voor latere analyse
  • 26. DO ➢ De eigenlijke implementatie van de security-infrastructuur ➢ Verschillende elementen en componenten ➢ Neem security altijd mee in elk stuk van je plan ➢ Geen bolt-on nadien ➢ Zorg altijd voor documentatie en kennisoverdracht ➢ Geen lockin van een leverancier ! ➢ To outsource or not to outsource ? ➢ Selecteer een goede partij en maak degelijke afspraken!
  • 27. Voorzie de juiste security-infrastructuur ➢ Scherm data af ➢ Eigen segmenten los van het internet voor bepaalde confidentiele data ➢ Bouw de juiste infrastructuur ➢ Firewalling ➢ Web Application Firewalls ➢ Degelijk systeembeheer ➢ Hostbased IDS ➢ Systeembeheer ➢ Etc. ➢ Gestructureerde updates !
  • 28. Cloud ➢ Hype du jour ➢ IAAS cloud is de motor van de e-commerce en app revolutie ➢ Elasticiteit ➢ Capex / Opex ➢ Gemak waarmee een global infrastructuur uitgerold kan worden. ➢ Maar is uw cloudprovider wel zo goed als hij beweert dat hij is ? ➢ Licht hem financieel door ➢ Heeft je provider / datacenter de juiste isonormen ? ➢ Referenties ➢ If you pay peanuts you get monkeys ! ➢ Technologie die de gebruiker meer controle geeft. ➢ Hou altijd je opties open ! ➢ Geen lockins
  • 29. Authenticatie / rechten ➢ Password of token ➢ Als je passwoorden gebruikt, zet een stevige wachtwoordpolicy! ➢ Geen triviale wachtwoorden ➢ Alle 3 maanden veranderen ➢ Leer desnoods de mensen werken met een kluisje als Keeppass ➢ Tokens : EID, digipass/onetime, Biometrie ➢ Maar grotere complexiteit / kost ➢ Inventariseer alle userids / wachtwoorden
  • 30. Encryptie ➢ Gebruik zoveel mogelijk encryptie ! ➢ Versleutelen van gevoelige bestanden ➢ Alle verbindingen moeten versleuteld zijn (https ipv http b.v.) ➢ Liefst ook de opslag van mobiele devices ( smartphone, laptops, tablets, usb) ➢ Gebruik encryptie ook op de juiste manier ➢ Geen Self-signed certificates!
  • 31. Backups ➢ Gebruik je gezond verstand! ➢ Offline / online / cloud ? ➢ Hoe lang hou je backups bij ? ( retentie ) ➢ Hoe en hoe lang duurt het om te restoren ? ➢ Is mijn backup-medium wel betrouwbaar ? ➢ Past dit alles in mijn RTO / RPO ?
  • 32. Open Source ➢ Kijk misschien eens naar Open Source als je een oplossing zoekt ➢ Flexibel, best-of-breed, goedkoop of zelfs gratis ➢ Veel eenvoudiger geworden door de komst van virtuele appliances ➢ Ongeloofelijke schatkist aan tools: firewalls, antivirus, etc.
  • 33. CHECK (1) ➢ Controleer / Audit op vaste tijdstippen je security ➢ Met een extern consultant ➢ Automatische vulnerability Assessment tools ➢ Zelf ( er zijn tientallen tools beschikbaar ) ➢ Bv Kali Linux ➢ Controleer je Business Continuity Plan ➢ Op vaste tijdstippen een volledige test ( restore of failover) ➢ Check ook de logs van je backups
  • 34. CHECK (2) ➢ Monitor ➢ Zorg ervoor dat je een proactief monitoringsysteem hebt met historische cijfers ➢ Noodzakelijk om je SLA te monitoren ➢ Helpt om snel problemen op te lossen ➢ Log alle interventies in een ticketing systeem ➢ Voorzie de nodige procedures om alles op te volgen
  • 35. ACT ➢ Los de problemen die je hebt op ➢ Structureel ➢ Geen brandjes blussen met tijdelijke oplossingen ➢ Change Management ➢ Doe het gestructureerd ➢ Stuur bij ➢ Documenteer ➢ Zorg dat alles gedocumenteerd wordt ! ➢ Communiceer!
  • 36. Thank You Contact us http://be.linkedin.com/in/janguldentops/ Twitter: JanGuldentops www.ba.be / Twitter: batweets info@ba.be 016/29.80.45 016/29.80.46 Remy Toren Vaartdijk 3/501 B-3018 Wijgmaal

Notes de l'éditeur

  1. Belangrijk om te onthouden : 2 manieren waarop wij werken met lokale besturen : Leveren van volledige oplossingen Leveren van huurlingen : consultants die tijdelijk de kennis van de ict-manager aanvullen Leveren van technische ondersteuning en troubleshooting Leveren oplossingen aan lokale besturen sinds 1996