• Like
INFORUM - VEILIGHEIDSPROBLEMEN VOOR BIBLIOTHEEK EN ARCHIEF IN HET DIGITALE TIJDPERK
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

INFORUM - VEILIGHEIDSPROBLEMEN VOOR BIBLIOTHEEK EN ARCHIEF IN HET DIGITALE TIJDPERK

  • 170 views
Published

Deze presentatie gaat in op de praktische uitdagingen voor bibliotheken en archieven op het vlak van informatiebeveiliging. De uitdagingen zijn veelvuldig: van de valkuilen bij het digitaliseren van …

Deze presentatie gaat in op de praktische uitdagingen voor bibliotheken en archieven op het vlak van informatiebeveiliging. De uitdagingen zijn veelvuldig: van de valkuilen bij het digitaliseren van traditionele documenten om ze voor de toekomst te preserveren over vaak enorme volumes aan data tot het op een veilige manier online ontsluiten van deze collecties. Een paar dingen om rekening mee te houden bij digitale archieven.

Published in Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
170
On SlideShare
0
From Embeds
0
Number of Embeds
2

Actions

Shares
Downloads
3
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. INFORUM VEILIGHEIDSPROBLEMEN VOOR BIBLIOTHEEK EN ARCHIEF IN HET DIGITALE TIJDPERK Albertinabibliotheek - 5 juni 2014 Jan Guldentops ( j@ba.be ) BA N.V. ( http://www.ba.be )
  • 2. Wie ben ik ?  Jan Guldentops (°1973)  Dit jaar bouw ik 19 jaar server en netwerk infrastructuren  Oprichter Better Access (°1996) en BA (°2003)  Open Source Fundamentalist (na mijn uren)  Sterke praktische achtergrond op het vlak van ICT beveiliging  Breng veel tijd in het testlab door  R&D (vooral security) → journalistiek  Online te volgen via twitter (JanGuldentops), Linkedin, Slideshare
  • 3. 2015 ben ik 20 jaar afgestudeerd ● Wereld en vooral mijn vakgebied is in die 2 decenia totaal veranderd...
  • 4. Wet van Mo(o)re ● “Het aantal transistoren geïntegreerd in een enkele chip verdubbelt zich elke 18 maanden” (1965 Gordon Moore) ● Van toepassing op alles wat ICT aanbelangt... ● Performantie verdubbelt, prijs van de vorige generatie halveert. ● Harddisks ● CPU ● Connectiviteit
  • 5. Wet van Mo(o)re - CPU
  • 6. Google werd pas 3 jaar later opgericht !
  • 7. Explosie van het internet ● Bv 1994 129 .be, nu 1.466.215 .be
  • 8. Wat is security ? Het garanderen van CIA (+ Accountability, Non-repudiation, Authenticity, Reliability)
  • 9. Moeilijk evenwicht ● Balans tussen : ● Veiligheid ● Functionaliteit ● Gebruikersgemak
  • 10. Veel blabla, weinig boemboem ● Als het gaat over (ICT) beveiliging is er vaak een groot verschil tussen de theorie, de praktijk en de marketing / sales. ● Security is vaak passe partout om je een “doosje” te verkopen dat al je problemen oplost. #not ● De lijst met gigantische securityproblemen is enorm en er wordt zeer laks mee omgesprongen
  • 11. Je digitale veiligheid is belangrijk ● Te belangrijk om het over te laten aan : ● Politici – Er is een doorgedreven non-beleid op vlan van informatieveiligheid in dit land. ● ICT'ers – Parralel universum – Moeilijkheden om te communiceren ● Dus: zorg dat je zelf controle hebt over dit verhaal ! ● Iedereen is een doelwit en er valt bij u iets te halen...
  • 12. Wat is het belangrijkste security product ? GEZOND VERSTAND !
  • 13. Common Sense is so rare these days it should be classified as a Super Power...
  • 14. Hoe hou ik mijn data confidentieel? ● Classificieer je gegevens ● Niet alle data is even belangrijk ● Als alles geheim is, is niks geheim ● Duidelijk eenvoudig rechten en rollensysteem ● KISS ● Geef nooit rechten à la tête du clientèle
  • 15. Gebruikersauthenticatie ● Traditioneel userid/wachtwoord ● MAAR: – Geen triviale wachtwoorden – Alle 3 maanden veranderen – Gebruik letters, cijfers en tekens liefs > 8 tekens – Gebruik niet voor elke applicatie hetzelfde wachtwoord – Gebruik desnoods een kluisje zoals Keeppass ● Beter is tokens – Eid, onetimetokens, biometrie, etc. – Maar het probleem van complexiteit ( readers, middleware, etc.) ● Zorg voor één user en rechtensysteem voor alle applicaties
  • 16. Gebruik encrytie ● Om je verbindingen te beveiligen ● bv. https ● Ook op je intern netwerk ● Om je data in rust te versleutelen ● Zeker als het over hoog-confidentiële data gaat. ● Backups ● Ook al je devices best versleutelen ● Maar gebruik encryptie ook op een correcte manier.
  • 17. Andere elementen ● Je hoeft niet alles online te bewaren of op het internet te zetten. ● Gebruik een goeie antivirus ● Bugs in software ● De menselijke factor : ● social engineering ● amateurisme / domheid
  • 18. De menselijke factor
  • 19. Integriteit ● Moeilijk technisch probleem : ● Hoe kan ik aantonen dat een bestand is wat het zou moeten zijn (was)? – Hashes ( bv md5sum ) – Digitaal ondertekenen van bestanden ● Hoe kan ik aantonen dat data in een database nog in zijn originele / correcte toestand is? – Door gebruik te maken van een audittrail ● Hoe kan ik aantonen dat mijn server niet gehackt is ? – Door gebruik te maken van hostbased Intrusion Detection System
  • 20. Beschikbaarheid ● Belangrijke vraag naar je infrastructuur toe : ● Recovery Time Objective (RTO) – Bij een zware crash, hoe lang mag de service onbeschikbaar zijn ? ● Recover Point Objective (RPO) – Bij een zware crash, hoeveel data mag ik kwijt zijn ? ● Belangrijke vraag want deze bepaalt wat en hoe je dit gaat opbouwen ● Overbelasting / schaalbaarheid / DoS
  • 21. Backuppen / archiveren ● Enorme hoeveelheden data ( tientallen TB) ● Wordt zeer moeilijk om te backuppen ● Concept : warme data / koude data ● Warme data – wijzigt nog ● Koude data – wijzigt (nooit) niet meer – -> Archiveren
  • 22. Preservatie ICT denkt in periodes van 5 jaar, hoe zorg je ervoor dat je na decenia of voor de eeuwigheid je data kan bewaren ?
  • 23. Onbetrouwbare digitale opslag ● Data rot ● Onbetrouwbare media Floppy drive 3-5 jaar Flash media ( USB ) 1-10 jaar Harddisks 2-8 jaar CD/DVD/Blueray 2-10 jaar Zelf-beschreven CD/DVD/Blueray 1-5 jaar Tape 10-30 jaar
  • 24. Cirkel van Deming
  • 25. Plan (1) ● Vat alles samen in een policy ● Wat je wil / moet je bereiken o.a. – Risico analyse – Inventaris – Business Continuity Plan ● Recovery Time Objective ( RTO ) ● Recovery Point Objective ( RPO) – Hou ook rekening met de wettelijke vereisten ! ● Hoe je dit gaat doen en volgens welke procedures
  • 26. Plan(2) ● Creëer een bewustzijn/kennis dat security belangrijk is bij : ● Je directie ● Het personeel, zelfs bij de leerlingen / studenten ● Maak goeie afspraken met iedereen : ● Leveranciers – Duidelijke leesbare contracten met NDA, SLA, etc. ● Bezoekers / personeel – Acceptable Use Policy ( maar zorg dat iedereen die begrijpt !) ●
  • 27. Plan(3) ● Het is niet de vraag of je een securityprobleem gaat hebben maar wanneer... ● Plan for the worst ● zorg dat je al weet wat je gaat doen als er iets misgaat ● Zorg voor een overleg / communicatiestructuur ● Security comité met overleg op vaste tijdstippen ● Hou cijfers, gegevens bij voor latere analyse
  • 28. DO ● De eigenlijke implementatie van de security- infrastructuur ● Verschillende elementen en componenten ● Zorg altijd voor documentatie en kennisoverdracht ● Geen lockin van een leverancier ! ● Outsource de dingen die te complex zijn, insource de rest om het betaalbaar te houden...
  • 29. Cloud ● Hype du jour ● Technologie die de gebruiker meer controle geeft. ● Eigen set van problemen : ● Connectiviteit ● Veiligheid van die applicaties ? ● Beschikbaarheid van de applicaties
  • 30. CHECK (1) ● Controlleer / Audit op vaste tijdstippen je security ● Met een extern consultant ● Automatische vulnerability Assessment tools ● Zelf ( gebruik bv Kali Linux ) ● Vergeet zeker je wireless niet ! ● Controlleer je Business Continuity Plan ● Op vaste tijdstippen een volledige test ( restore of failover) ● Check ook de logs van je backups
  • 31. CHECK (2) ● Monitor ● Zorg ervoor dat je een proactief monitoringsysteem hebt met historische cijfers – Noodzakelijk om je SLA te monitoren en te weten hoe het gaat. ● Hiervoor kan je bij bij BA een gestandardiseerd monitoringsysteem aanschaffen. ● Log alle interventies in een ticketing systeem ● Voorzie de nodige procedures om alles op te volgen
  • 32. ACT ● Los de problemen die je hebt op ● Structureel – geen brandjes blussen met tijdelijke oplossingen ● Change Management – Doe het gestructureerd – Stuur bij ● Documenteer – Zorg dat je alles documenteert
  • 33. Thank You Contact us 016/29.80.45 016/29.80.46 www.ba.be / Twitter: batweets Remy Toren Vaartdijk 3/501 B-3018 Wijgmaal info@ba.be Twitter: JanGuldentops http://be.linkedin.com/in/janguldentops/