TENTAMEN INFORMATIEVEILIGHEID
TENTAMEN INFORMATIEVEILIGHEID (indeling kernwoorden
tentamenwijzer)
1
,TENTAMEN INFORMATIEVEILIGHEID
Inhoudsopgave
DIGITALISERING (TREND, OBJECTEN VAN)...........................................................................................................3
WERELDEN EN BIJBEHORENDE TECHNOLOGIEGEBIEDEN & CYBERNETISCHE LOOP...........................................5
DATA EN KUNSTMATIGE INTELLIGENCE (ALGORITMEN) EN DE TOEPASSING BIJ DE POLITIE & ONTWIKKELING
EN DISCUSSIE ROND BIG DATA IN HET ALGEMEEN EN IN HET BIJZONDER PREDICTIVE POLICING.....................8
DEFENITIE PRIVACY EN HET BELANG VAN (INFORMATIONELE) PRIVACY (VANUIT BREED MAATSCHAPPELIJK
PERSPECTIEF)......................................................................................................................................................11
RECHTEN EN PLICHTEN & DATALEKKEN............................................................................................................12
BASISBEGRIP PRIVACY IMPACT ASSESMENT......................................................................................................13
PERSOONSGEGVENS (DIRECT/INDIRECT)...........................................................................................................13
RECHTMATIGE VERWERKING PERSOONSGEGVENS (6 GRONDSLAGEN OF ‘CRITERIA’)....................................14
NOODZAKELIJKHEID, PROPORTIONALITEIT, SUBSIDARITEIT..............................................................................15
FAIR INFORMATION PRINCIPLES........................................................................................................................15
DEFINITIE EN VERSCHIJNINGVORMEN VAN INFORMATIEVEILIGHEID (EN RELATIE MEET DATA,
CYBERSECURITY, CYBERCRIME, PRIVACYBESCHERMIMNG) & KOPPELING MET RISICOMANAGEMENT..........18
INCIDENTCYCLUIS: VERSCHILLENDE TYPE RISICO’S, OORZAKEN (MOEDWILLIG/NIET-MOEDWILLIG &
MENSELIJKE/ NIET-MENSELIJKE OORZAKEN) EN MAATREGELEN......................................................................19
ORGANISEREN VAN INFORMATIEVEILIGHEID, ONTWIKKELSTADIA VAN INFORMATIEBEVEILIGING................22
ISO STANDAARD: ISO27001 (WAT IS HET, WAARTOE DIENT HET, WAAR BESTAAT HET UIT, CERTIFICATIE)....24
BUSSINES CONTINUITY MANAGEMENT.............................................................................................................25
BESCHIKBAARHEID, INTEGRITEIT VERTROUWELIJKHEID...................................................................................26
AUTORISATIE, AUTHENTICATIE..........................................................................................................................26
CLASSIFICATIE.....................................................................................................................................................27
SOCIAL ENGINEERING: OUTSIDE-IN-THREATS & INSIDE-OUT THREATS............................................................27
MODELLEN, THEORIEËN VOOR SOCIAL ENGINEERING......................................................................................28
BEINVLOEDINGSPRINCIPES CIALDINI.................................................................................................................31
DEFINIËRING & VORMEN VAN CYBERCRIMINALITEIT........................................................................................33
CYBERCRIMINALITEIT IN NEDERLAND................................................................................................................35
DADER- EN SLACHTOFFERSCHAP.......................................................................................................................35
DIGITALE BEDREIGINGEN VOOR VITALE PROCESSEN EN INFRASTRUCTUUR EN VERSCHILLENDE MIDDELEN
DIE DOOR DE VERSCHILLENDE AANVALLERS GEBRUIKT WORDEN....................................................................35
BELEGGING TAKEN EN VERANTWOORDLEIJKHEDEN OP NATIONAAL NIVEAU.................................................35
INCIDENTBESTRIJDING.......................................................................................................................................35
2
,TENTAMEN INFORMATIEVEILIGHEID
Informatieveiligheid
= Het treffen en onderhouden van een samenhangend pakket aan maatregelen om de
betrouwbaarheid (beschikbaarheid, integriteit en vertrouwelijkheid) van de
informatievoorziening te waarborgen.
Onopzettelijk handelen/fouten maken met gegevens, die vervelende consequenties
kunnen hebben.
Sociale veiligheid + fysieke veiligheid.
Informatieveiligheid kijkt naar de stap ervoor > hoe voorkom je dat gegevens in de
eerste plaats niet in de handen van criminelen komen?
Gaat zowel over digitale als analoge informatie > betere naam zal zijn dataveiligheid
(veiligheid/beveiliging van gegevens)
DIGITALISERING (TREND, OBJECTEN VAN)
Digitalisering in smalle zin
= informatie omzetten in digitale vorm.
Digitalisering in brede zin
= technologie heeft invloed op tal van maatschappelijke processen.
Digitalisering en veiligheid
= digitalisering, data en risico’s in digitale domein spelen in toenemende mate een rol
3 perspectieven: individu, organisatie, maatschappij
Individu
Nare gevolgen ondervinden van:
Als je niet kunt beschikken over jouw informatie.
Wanneer informatie onjuist is.
Wanneer informatie niet langer vertrouwelijk is.
Vb. slachtoffer van cybercriminaliteit. Identiteitsfraude
Organisatie
Het gaat hier vaak om een digitale aanval
Vb. Een groot bedrag moeten betalen aan hackers binnen een bepaalde tijdsperiode, als je
het bedrag betaald krijgt de organisatie weer toegang tot de software.
Vb. bij MKB-multinationals, van autodealer om de hoek tot ASML
Patches zijn updates in systemen van organisaties > voor de veiligheid van de software en
gegevens van de organisatie.
Types van menselijke fouten
Uitglijder =onbewust iets doen
o Maatregel: Werkomgeving aanpassen, maak onbewust gedrag bewust,
werkvariatie
Afdwaling =Onbewust iets vergeten
o Maatregel: werkomgeving aanpassen, werkplezier en ontspanning
3
, TENTAMEN INFORMATIEVEILIGHEID
Vergissing = onopzettelijk (rule-based of knowledge-based)
o Maatregel: Werkomgeving aanpassen, voorlichting en instructie
Overtreding = opzettelijk (ter goede trouw > incidenteel of structureel, boze opzet >
crimineel)
o Maatregel: werkomgeving aanpassen, beloningen en straffen, training (alleen
tegen bijzondere vorm van overtreding)
Maatschappij/ samenleving
Toenemend gebruik van BIG data en algoritmen. Er is een grote afhankelijkheid van data en
de systemen waar ze zijn opgeslagen. Gegevens zijn onmisbaar voro de vitale infrastructuur
(VI)
Vb. predicitive policing, zicht op ondermijning.
Predictive policing
= politie werk aan de hand van voorspellingen. Door verfijnde algoritmen los te laten op BIG
data> kan de politie misdaden voorspellen. Werkt preventief. Het biedt de politie de
mogelijkheid om daar aanwezig te zijn waar de kans op een volgend incident het grootst is.
Een risico van predictive policing is het plat slaan van criminaliteit = minder aandacht
voor de onderliggende sociale oorzaken
Data> Informatie > Kennis
Data is het nieuwe olie > een cijferlijst is data en dat ais feitelijk.
Gegevens zij kale opsommingen > observaties van de werkelijkheid.
Data wordt informatie als er context bijkomt (= gestructureerde gegevens
geanalyseerd voor een bepaalde context)
Kennis wordt het als je bijv. tijdens de spits NIET in Rotterdam moet rijden.
4
TENTAMEN INFORMATIEVEILIGHEID (indeling kernwoorden
tentamenwijzer)
1
,TENTAMEN INFORMATIEVEILIGHEID
Inhoudsopgave
DIGITALISERING (TREND, OBJECTEN VAN)...........................................................................................................3
WERELDEN EN BIJBEHORENDE TECHNOLOGIEGEBIEDEN & CYBERNETISCHE LOOP...........................................5
DATA EN KUNSTMATIGE INTELLIGENCE (ALGORITMEN) EN DE TOEPASSING BIJ DE POLITIE & ONTWIKKELING
EN DISCUSSIE ROND BIG DATA IN HET ALGEMEEN EN IN HET BIJZONDER PREDICTIVE POLICING.....................8
DEFENITIE PRIVACY EN HET BELANG VAN (INFORMATIONELE) PRIVACY (VANUIT BREED MAATSCHAPPELIJK
PERSPECTIEF)......................................................................................................................................................11
RECHTEN EN PLICHTEN & DATALEKKEN............................................................................................................12
BASISBEGRIP PRIVACY IMPACT ASSESMENT......................................................................................................13
PERSOONSGEGVENS (DIRECT/INDIRECT)...........................................................................................................13
RECHTMATIGE VERWERKING PERSOONSGEGVENS (6 GRONDSLAGEN OF ‘CRITERIA’)....................................14
NOODZAKELIJKHEID, PROPORTIONALITEIT, SUBSIDARITEIT..............................................................................15
FAIR INFORMATION PRINCIPLES........................................................................................................................15
DEFINITIE EN VERSCHIJNINGVORMEN VAN INFORMATIEVEILIGHEID (EN RELATIE MEET DATA,
CYBERSECURITY, CYBERCRIME, PRIVACYBESCHERMIMNG) & KOPPELING MET RISICOMANAGEMENT..........18
INCIDENTCYCLUIS: VERSCHILLENDE TYPE RISICO’S, OORZAKEN (MOEDWILLIG/NIET-MOEDWILLIG &
MENSELIJKE/ NIET-MENSELIJKE OORZAKEN) EN MAATREGELEN......................................................................19
ORGANISEREN VAN INFORMATIEVEILIGHEID, ONTWIKKELSTADIA VAN INFORMATIEBEVEILIGING................22
ISO STANDAARD: ISO27001 (WAT IS HET, WAARTOE DIENT HET, WAAR BESTAAT HET UIT, CERTIFICATIE)....24
BUSSINES CONTINUITY MANAGEMENT.............................................................................................................25
BESCHIKBAARHEID, INTEGRITEIT VERTROUWELIJKHEID...................................................................................26
AUTORISATIE, AUTHENTICATIE..........................................................................................................................26
CLASSIFICATIE.....................................................................................................................................................27
SOCIAL ENGINEERING: OUTSIDE-IN-THREATS & INSIDE-OUT THREATS............................................................27
MODELLEN, THEORIEËN VOOR SOCIAL ENGINEERING......................................................................................28
BEINVLOEDINGSPRINCIPES CIALDINI.................................................................................................................31
DEFINIËRING & VORMEN VAN CYBERCRIMINALITEIT........................................................................................33
CYBERCRIMINALITEIT IN NEDERLAND................................................................................................................35
DADER- EN SLACHTOFFERSCHAP.......................................................................................................................35
DIGITALE BEDREIGINGEN VOOR VITALE PROCESSEN EN INFRASTRUCTUUR EN VERSCHILLENDE MIDDELEN
DIE DOOR DE VERSCHILLENDE AANVALLERS GEBRUIKT WORDEN....................................................................35
BELEGGING TAKEN EN VERANTWOORDLEIJKHEDEN OP NATIONAAL NIVEAU.................................................35
INCIDENTBESTRIJDING.......................................................................................................................................35
2
,TENTAMEN INFORMATIEVEILIGHEID
Informatieveiligheid
= Het treffen en onderhouden van een samenhangend pakket aan maatregelen om de
betrouwbaarheid (beschikbaarheid, integriteit en vertrouwelijkheid) van de
informatievoorziening te waarborgen.
Onopzettelijk handelen/fouten maken met gegevens, die vervelende consequenties
kunnen hebben.
Sociale veiligheid + fysieke veiligheid.
Informatieveiligheid kijkt naar de stap ervoor > hoe voorkom je dat gegevens in de
eerste plaats niet in de handen van criminelen komen?
Gaat zowel over digitale als analoge informatie > betere naam zal zijn dataveiligheid
(veiligheid/beveiliging van gegevens)
DIGITALISERING (TREND, OBJECTEN VAN)
Digitalisering in smalle zin
= informatie omzetten in digitale vorm.
Digitalisering in brede zin
= technologie heeft invloed op tal van maatschappelijke processen.
Digitalisering en veiligheid
= digitalisering, data en risico’s in digitale domein spelen in toenemende mate een rol
3 perspectieven: individu, organisatie, maatschappij
Individu
Nare gevolgen ondervinden van:
Als je niet kunt beschikken over jouw informatie.
Wanneer informatie onjuist is.
Wanneer informatie niet langer vertrouwelijk is.
Vb. slachtoffer van cybercriminaliteit. Identiteitsfraude
Organisatie
Het gaat hier vaak om een digitale aanval
Vb. Een groot bedrag moeten betalen aan hackers binnen een bepaalde tijdsperiode, als je
het bedrag betaald krijgt de organisatie weer toegang tot de software.
Vb. bij MKB-multinationals, van autodealer om de hoek tot ASML
Patches zijn updates in systemen van organisaties > voor de veiligheid van de software en
gegevens van de organisatie.
Types van menselijke fouten
Uitglijder =onbewust iets doen
o Maatregel: Werkomgeving aanpassen, maak onbewust gedrag bewust,
werkvariatie
Afdwaling =Onbewust iets vergeten
o Maatregel: werkomgeving aanpassen, werkplezier en ontspanning
3
, TENTAMEN INFORMATIEVEILIGHEID
Vergissing = onopzettelijk (rule-based of knowledge-based)
o Maatregel: Werkomgeving aanpassen, voorlichting en instructie
Overtreding = opzettelijk (ter goede trouw > incidenteel of structureel, boze opzet >
crimineel)
o Maatregel: werkomgeving aanpassen, beloningen en straffen, training (alleen
tegen bijzondere vorm van overtreding)
Maatschappij/ samenleving
Toenemend gebruik van BIG data en algoritmen. Er is een grote afhankelijkheid van data en
de systemen waar ze zijn opgeslagen. Gegevens zijn onmisbaar voro de vitale infrastructuur
(VI)
Vb. predicitive policing, zicht op ondermijning.
Predictive policing
= politie werk aan de hand van voorspellingen. Door verfijnde algoritmen los te laten op BIG
data> kan de politie misdaden voorspellen. Werkt preventief. Het biedt de politie de
mogelijkheid om daar aanwezig te zijn waar de kans op een volgend incident het grootst is.
Een risico van predictive policing is het plat slaan van criminaliteit = minder aandacht
voor de onderliggende sociale oorzaken
Data> Informatie > Kennis
Data is het nieuwe olie > een cijferlijst is data en dat ais feitelijk.
Gegevens zij kale opsommingen > observaties van de werkelijkheid.
Data wordt informatie als er context bijkomt (= gestructureerde gegevens
geanalyseerd voor een bepaalde context)
Kennis wordt het als je bijv. tijdens de spits NIET in Rotterdam moet rijden.
4
