Privacy &
maatschappelijke systemen
Ir.drs. J. (Jurgen) van der Vlugt RE CISA
Noordbeek B.V.
Jurgen@Noordbeek.com
2 septem...
College Privacy & maatschappelijke systemen 2009 09 02 2
Intro; ik =
• Bedrijfseconomie (Rotterdam, finbel)
• Technische I...
College Privacy & maatschappelijke systemen 2009 09 02 3
Agenda
• Security ↔ privacy
• Risico’s, controls
• ‘Maatschappeli...
College Privacy & maatschappelijke systemen 2009 09 02 4
Security ↔ privacy
• Security: Safeguarding assets / resources
ag...
College Privacy & maatschappelijke systemen 2009 09 02 5
Security ↔ privacy
• Privacy: Het recht om anoniem te blijven
• V...
College Privacy & maatschappelijke systemen 2009 09 02 6
Wie wil privacy
• Maatschappij
• ‘Burgers’
• Hackers, crackers
• ...
College Privacy & maatschappelijke systemen 2009 09 02 7
Privacy ↔ Informatie
• ‘Information wants to be free’
• Kennis is...
College Privacy & maatschappelijke systemen 2009 09 02 8
‘Interne’ visie
‘Business’ Information Mgt IT
Strat
Tact
Oper
College Privacy & maatschappelijke systemen 2009 09 02 9
Informatiebeveiliging
‘Business’ Information Mgt IT
Strat
Tact
Op...
College Privacy & maatschappelijke systemen 2009 09 02 10
Tussenconclusie
• Informatie is macht
• Privacy is het tegendeel...
College Privacy & maatschappelijke systemen 2009 09 02 11
Agenda
• Security ↔ privacy
• Risico’s, controls
• ‘Maatschappel...
College Privacy & maatschappelijke systemen 2009 09 02 12
Risico’s
• Risico ≈ onzekerheid ( + en - )
• Fact of life;
‘niet...
College Privacy & maatschappelijke systemen 2009 09 02 13
Risico = Bedreiging
• Bedreiging van datgene wat iets waard
word...
College Privacy & maatschappelijke systemen 2009 09 02 14
Risico-benadering
• Bedreigingen: Inbreuken op
• Vertrouwelijkhe...
College Privacy & maatschappelijke systemen 2009 09 02 15
Bedreigingen
… Sorry!
Overstroming
Windhoos
Aardbeving
Grieppand...
College Privacy & maatschappelijke systemen 2009 09 02 16
Bedreigingen
• Enkelvoudig te eenvoudig
• Paniekvoetbal
• Aanval...
College Privacy & maatschappelijke systemen 2009 09 02 17
College Privacy & maatschappelijke systemen 2009 09 02 18
En dan: Controls
= Maatregelen, bijsturingsmiddelen
• Organisato...
College Privacy & maatschappelijke systemen 2009 09 02 19
Controls (bescherming)
• Afschrikkende
• Preventieve,
• Detectie...
College Privacy & maatschappelijke systemen 2009 09 02 20
Controls (vervolg)
• Accountantshobby,
maar niet alleen t.b.v. j...
College Privacy & maatschappelijke systemen 2009 09 02 21
Controls: kosten, baten
• Schade ↔ kosten van controls
(direct, ...
College Privacy & maatschappelijke systemen 2009 09 02 22
Niks nieuws
• Alleen de techniek is
veranderd …?
• … Maar oploss...
College Privacy & maatschappelijke systemen 2009 09 02 23
Privacy-controls
• All of the above, om privacygevoelige info te...
College Privacy & maatschappelijke systemen 2009 09 02 24
Controls ontwerpen
College Privacy & maatschappelijke systemen 2009 09 02 25
Tussenconclusie
• Mo’ money, mo’ problems
• Nog niet eens een go...
College Privacy & maatschappelijke systemen 2009 09 02 26
Agenda
• Security ↔ privacy
• Risico’s, controls
• ‘Maatschappel...
College Privacy & maatschappelijke systemen 2009 09 02 27
Maatschappelijke systemen
• IB Groep
• UWV / Belastingdienst
• E...
College Privacy & maatschappelijke systemen 2009 09 02 28
Overheid
• Algemeen nut (?)
• Politiek, toezicht, verantwoordeli...
College Privacy & maatschappelijke systemen 2009 09 02 29
(Overheid)
• Rijksoverheid
• Provincies
• Gemeenten
• Zelfstandi...
College Privacy & maatschappelijke systemen 2009 09 02 30
(Partijen en )
College Privacy & maatschappelijke systemen 2009 09 02 31
Overheid (II)
• Onbeheerste groei van data / koppelingen
• ‘Loka...
College Privacy & maatschappelijke systemen 2009 09 02 32
Druk op overheden
• Bezuinigen
• Andere Overheid
• Minder papier...
College Privacy & maatschappelijke systemen 2009 09 02 33
Oplossing: NORA
• Nederlandse
OverheidsReferentieArchitectuur
• ...
College Privacy & maatschappelijke systemen 2009 09 02 34
Plaatje
College Privacy & maatschappelijke systemen 2009 09 02 35
Plaatje II
College Privacy & maatschappelijke systemen 2009 09 02 36
‘Externe’ visie
‘Business’ Information Mgt IT‘Overheid’Burger
College Privacy & maatschappelijke systemen 2009 09 02 37
Principes
College Privacy & maatschappelijke systemen 2009 09 02 38
DigiD
• DigiD = pseudo-identiteit
• ID-theft / verlies
• Front-e...
College Privacy & maatschappelijke systemen 2009 09 02 39
Oh ja
• Digital natives, migrants, ignorants
• Ignorants: Te oud...
College Privacy & maatschappelijke systemen 2009 09 02 40
Oh ja - impact
• Ontwerp en bouw altijd
• Zo simpel bedienbaar m...
College Privacy & maatschappelijke systemen 2009 09 02 41
Wat is er te doen
(Maatschappelijke systemen)
• Vrijblijvend → v...
College Privacy & maatschappelijke systemen 2009 09 02 42
Agenda
• Security ↔ privacy
• Risico’s, controls
• ‘Maatschappel...
College Privacy & maatschappelijke systemen 2009 09 02 43
Wat er te onthouden is
• Risico-benadering en architectuur
• Ken...
College Privacy & maatschappelijke systemen 2009 09 02 44
Wat er te onthouden is (II)
• Er is nog veel te doen
• Ken de, u...
College Privacy & maatschappelijke systemen 2009 09 02 45
Stellingen ..?
College Privacy & maatschappelijke systemen 2009 09 02 46
Vragen …?
College Privacy & maatschappelijke systemen 2009 09 02 47
The End
Meer info:
• www.schneier.com
• www.security.nl
• www.pv...
Upcoming SlideShare
Loading in...5
×

Saxion Enschedé College Security 2009

167

Published on

Published in: Technology, News & Politics
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
167
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Transcript of "Saxion Enschedé College Security 2009"

  1. 1. Privacy & maatschappelijke systemen Ir.drs. J. (Jurgen) van der Vlugt RE CISA Noordbeek B.V. Jurgen@Noordbeek.com 2 september 2009, Enschedé
  2. 2. College Privacy & maatschappelijke systemen 2009 09 02 2 Intro; ik = • Bedrijfseconomie (Rotterdam, finbel) • Technische Informatica (Delft; KI) • KPMG EDP Auditors / IRM (WinNT, Y2K) • Post-grad IT-auditing (VU) • Sogeti • ABN AMRO (Group Audit, Group Security; projects++, outsourcing, security integration) • Noordbeek • VU, NOREA (VC, CHBr), ISACA, ISSA (NL, Int’l), PvIB
  3. 3. College Privacy & maatschappelijke systemen 2009 09 02 3 Agenda • Security ↔ privacy • Risico’s, controls • ‘Maatschappelijke systemen’ • Wat er te onthouden is
  4. 4. College Privacy & maatschappelijke systemen 2009 09 02 4 Security ↔ privacy • Security: Safeguarding assets / resources against abuse while enabling value realisation • Assets, kwetsbaar: Mensen, informatie, producten, vastgoed, geld (en, misschien, ‘Processen’) • Abuse: Bedreigingen; zelfde categorieën • (Tegenmaatregelen/controls: Idem)
  5. 5. College Privacy & maatschappelijke systemen 2009 09 02 5 Security ↔ privacy • Privacy: Het recht om anoniem te blijven • Vage definitie • Absoluut ↔ relatief (Voor wat hoort wat ..?)
  6. 6. College Privacy & maatschappelijke systemen 2009 09 02 6 Wie wil privacy • Maatschappij • ‘Burgers’ • Hackers, crackers • Bedrijven, MKB • Bedrijven, groot • Overheden Eigen Andermans √ +/- √ +/- √ -- √ - √ -- √ --
  7. 7. College Privacy & maatschappelijke systemen 2009 09 02 7 Privacy ↔ Informatie • ‘Information wants to be free’ • Kennis is macht • Organisatie versus de buitenwereld
  8. 8. College Privacy & maatschappelijke systemen 2009 09 02 8 ‘Interne’ visie ‘Business’ Information Mgt IT Strat Tact Oper
  9. 9. College Privacy & maatschappelijke systemen 2009 09 02 9 Informatiebeveiliging ‘Business’ Information Mgt IT Strat Tact Oper IT-beveiliging
  10. 10. College Privacy & maatschappelijke systemen 2009 09 02 10 Tussenconclusie • Informatie is macht • Privacy is het tegendeel • Alle organisaties willen ‘all take and no give’ • Hoe houden we e.e.a. in de hand?
  11. 11. College Privacy & maatschappelijke systemen 2009 09 02 11 Agenda • Security ↔ privacy • Risico’s, controls • ‘Maatschappelijke systemen’ • Wat er te onthouden is
  12. 12. College Privacy & maatschappelijke systemen 2009 09 02 12 Risico’s • Risico ≈ onzekerheid ( + en - ) • Fact of life; ‘niets is zeker, zoveel is zeker’, etc., etc. • No guts → no glory (NB hét model in de financiële wereld) • No guts ← ‘alles’ dichttimmeren
  13. 13. College Privacy & maatschappelijke systemen 2009 09 02 13 Risico = Bedreiging • Bedreiging van datgene wat iets waard wordt gevonden • Niks waard → geen zorg • Wie vindt het wat waard ..? • Wat is wat waard ..? Asset-classificatie • Assets onbekend (?) • Waarde onbekend (?)
  14. 14. College Privacy & maatschappelijke systemen 2009 09 02 14 Risico-benadering • Bedreigingen: Inbreuken op • Vertrouwelijkheid (C) • Integriteit (I) • Beschikbaarheid (A) • Extern, intern (!) • Kwetsbaarheden • Primaire componenten • Controls
  15. 15. College Privacy & maatschappelijke systemen 2009 09 02 15 Bedreigingen … Sorry! Overstroming Windhoos Aardbeving Grieppandemie Zonder opzet Crackers Fraudeurs Actiegroepen Tegenzin / Geen tijd ?Met opzet Acts of Man Acts of nature (‘Acts of God’)
  16. 16. College Privacy & maatschappelijke systemen 2009 09 02 16 Bedreigingen • Enkelvoudig te eenvoudig • Paniekvoetbal • Aanval / verdediging • Klein maar fijn • Groot maar …? • Verschillende doelen, verschillende middelen
  17. 17. College Privacy & maatschappelijke systemen 2009 09 02 17
  18. 18. College Privacy & maatschappelijke systemen 2009 09 02 18 En dan: Controls = Maatregelen, bijsturingsmiddelen • Organisatorisch (functiescheiding) • Procedureel (afvinken rapporten) • Fysiek (toegang) • IT (…) • Geld (verzekering) • In combinatie (Er is geen silver bullet!)
  19. 19. College Privacy & maatschappelijke systemen 2009 09 02 19 Controls (bescherming) • Afschrikkende • Preventieve, • Detectieve, • Repressieve, • Beperkende en opvangende, • Corrigerende en terugwinnende • Hoe eerder hoe beter • Net beter dan de buren
  20. 20. College Privacy & maatschappelijke systemen 2009 09 02 20 Controls (vervolg) • Accountantshobby, maar niet alleen t.b.v. jaarrekeningcontrole • Taalprobleem: Operationeel doen ↔ Op managementniveau uitleggen • Modes • RBAC • Classificatie • Architectuur
  21. 21. College Privacy & maatschappelijke systemen 2009 09 02 21 Controls: kosten, baten • Schade ↔ kosten van controls (direct, indirect, reputatie?) • Vantevoren cijfers nodig! • Frequentie / kans • Impact, schade (2x) • Kosten → continu → rapporteren (niks merkbaar?) • Effectiviteit • FUD werkt misschien toch beter
  22. 22. College Privacy & maatschappelijke systemen 2009 09 02 22 Niks nieuws • Alleen de techniek is veranderd …? • … Maar oplossingen complexer
  23. 23. College Privacy & maatschappelijke systemen 2009 09 02 23 Privacy-controls • All of the above, om privacygevoelige info te beschermen • “100% security” • Hoe minder privacygevoelige info, hoe minder imperfect te beschermen • Maar zonder, gaat niet (?) • (Informatie- en andere) architectuur to the rescue
  24. 24. College Privacy & maatschappelijke systemen 2009 09 02 24 Controls ontwerpen
  25. 25. College Privacy & maatschappelijke systemen 2009 09 02 25 Tussenconclusie • Mo’ money, mo’ problems • Nog niet eens een goed model • Roeien met de riemen die we hebben • Structureel slimmere oplossingen nodig
  26. 26. College Privacy & maatschappelijke systemen 2009 09 02 26 Agenda • Security ↔ privacy • Risico’s, controls • ‘Maatschappelijke systemen’ • Wat er te onthouden is
  27. 27. College Privacy & maatschappelijke systemen 2009 09 02 27 Maatschappelijke systemen • IB Groep • UWV / Belastingdienst • EPD • OV-chipkaart / NDW … rekeningrijden • Stemcomputers • Justitiële systemen/bestanden (camera’s!) • Kenmerk: Overheid beschikt over databases Risico’s: False positives, false negatives • Kenmerk: Complex, niemand weet alles Risico’s: Niemand beheerst, niemand verantwoordelijk
  28. 28. College Privacy & maatschappelijke systemen 2009 09 02 28 Overheid • Algemeen nut (?) • Politiek, toezicht, verantwoordelijkheden ..? • Beperkte middelen (?) • Macht • Vooraf: Altijd beter weten • Achteraf: Altijd gelijk krijgen
  29. 29. College Privacy & maatschappelijke systemen 2009 09 02 29 (Overheid) • Rijksoverheid • Provincies • Gemeenten • Zelfstandige Bestuursorganen • 1600 instellingen, 956.000 ambtenaren • Maatschappelijk Middenveld
  30. 30. College Privacy & maatschappelijke systemen 2009 09 02 30 (Partijen en )
  31. 31. College Privacy & maatschappelijke systemen 2009 09 02 31 Overheid (II) • Onbeheerste groei van data / koppelingen • ‘Lokale’ optimalisatie / afwegingen • Werking • Privacy • NORA, MARIJ, GEMMA
  32. 32. College Privacy & maatschappelijke systemen 2009 09 02 32 Druk op overheden • Bezuinigen • Andere Overheid • Minder papier • Meer e-diensten • Complexere maatschappij • Meer eisen (Wie wil privacy?) Minder macht (?)
  33. 33. College Privacy & maatschappelijke systemen 2009 09 02 33 Oplossing: NORA • Nederlandse OverheidsReferentieArchitectuur • Bottom-up ontwikkeld • Vrijblijvend • Hopelijk sterker • Afdwingen of Trust but Verify ? • Principes • Wie wint, wie verliest ?
  34. 34. College Privacy & maatschappelijke systemen 2009 09 02 34 Plaatje
  35. 35. College Privacy & maatschappelijke systemen 2009 09 02 35 Plaatje II
  36. 36. College Privacy & maatschappelijke systemen 2009 09 02 36 ‘Externe’ visie ‘Business’ Information Mgt IT‘Overheid’Burger
  37. 37. College Privacy & maatschappelijke systemen 2009 09 02 37 Principes
  38. 38. College Privacy & maatschappelijke systemen 2009 09 02 38 DigiD • DigiD = pseudo-identiteit • ID-theft / verlies • Front-end • Back-end …?
  39. 39. College Privacy & maatschappelijke systemen 2009 09 02 39 Oh ja • Digital natives, migrants, ignorants • Ignorants: Te oud om mee te moeten • Al met pensioen • Kan e-mail niet lezen • Migrants: Geleerd te • William B. Gates, Steve Jobs, Woz, etc. • Grote massa • Natives: Geboren met • Te stom om meer dan 1 knop te gebruiken • Te slim om tool normaal te gebruiken
  40. 40. College Privacy & maatschappelijke systemen 2009 09 02 40 Oh ja - impact • Ontwerp en bouw altijd • Zo simpel bedienbaar mogelijk, • Zo bugfree mogelijk, • Zo transparant mogelijk, • Zo vervangbaar mogelijk • Fool-proofing • Veronderstel nul inzicht • No tool can be fool proof because fools are so ingenious • Het simpelste is het moeilijkste, Maak dingen zo simpel mogelijk, maar niet simpeler! (Beide: © A. Einstein) • Business case-fantasieën
  41. 41. College Privacy & maatschappelijke systemen 2009 09 02 41 Wat is er te doen (Maatschappelijke systemen) • Vrijblijvend → verplicht? • Bouwen ↔ legacy (Organisaties, processen, systemen) • Openheid ↔ geheimhouding • Betere technologie • Beter (slimmer) toezicht
  42. 42. College Privacy & maatschappelijke systemen 2009 09 02 42 Agenda • Security ↔ privacy • Risico’s, controls • ‘Maatschappelijke systemen’ • Wat er te onthouden is
  43. 43. College Privacy & maatschappelijke systemen 2009 09 02 43 Wat er te onthouden is • Risico-benadering en architectuur • Ken uw technologie • Rekening houden met alternatieven • Weet te kiezen en genoeg is genoeg • Ken de context • Klein, directe omgeving • Groot, stakeholders
  44. 44. College Privacy & maatschappelijke systemen 2009 09 02 44 Wat er te onthouden is (II) • Er is nog veel te doen • Ken de, uw beperkingen • Neem verantwoordelijkheid
  45. 45. College Privacy & maatschappelijke systemen 2009 09 02 45 Stellingen ..?
  46. 46. College Privacy & maatschappelijke systemen 2009 09 02 46 Vragen …?
  47. 47. College Privacy & maatschappelijke systemen 2009 09 02 47 The End Meer info: • www.schneier.com • www.security.nl • www.pvib.nl • www.norea.nl • www.jbisa.nl • www.e-overheid.nl • Etc. etc.

×