Op basis van 22 jaar praktijk-ervaring op het vlak van informatieveiligheid en privacy bij lokale besturen, maakt Jan Guldentops de rekening. Doorspekt met praktijkvoorbeelden lijst hij ongezouten op wat hij ziet goed (the good) en totaal fout (the bad) gaan en waar het volledig misgroeid is op beveiligingsvlak bij gemeentes, OCMWS en politiezones. Daarna legt hij in een paar basisstappen hoe u als openbaar bestuur dit zelf kan verbeteren en uw burgers de privacy en veiligheid geven die ze verdienen
V-ict-or Shopt-IT, Gent 26 april 2019.
Veiliger door gezond verstand - Presentatie Safe@schools 27 mei 2014B.A.
Veiliger door gezond verstand
Naar een geïntegreerde aanpak van IT-beveiliging
ICT veiligheid is meer dan enkel een aantal producten of softwarepakketten installeren. Om echt tot een volledig plaatje te komen is het essentieel om een hele security aanpak te hebben, in verschillende stappen, van het plannen met een goede security policy en duidelijke afspraken over het implementeren van de juiste oplossingen om die afspraken te kunnen waarmaken (firewalls, antivirus, etc. ) tot het controleren en bijsturen via een audit. Dure consultants hebben voor deze logische stappen zelfs een naam verzonnen : de cirkel van Demming of PDCA ( Plan-Do-Check-Act )
INFORUM - VEILIGHEIDSPROBLEMEN VOOR BIBLIOTHEEK EN ARCHIEF IN HET DIGITALE TI...B.A.
Deze presentatie gaat in op de praktische uitdagingen voor bibliotheken en archieven op het vlak van informatiebeveiliging. De uitdagingen zijn veelvuldig: van de valkuilen bij het digitaliseren van traditionele documenten om ze voor de toekomst te preserveren over vaak enorme volumes aan data tot het op een veilige manier online ontsluiten van deze collecties. Een paar dingen om rekening mee te houden bij digitale archieven.
Business Continuity & Disaster Recovery introductieB.A.
Presentatie van 30 september 2016 voor Syntra West's IT club @ DCO datacenter. Het bevat een korte introductie en tips en trucks om ervoor te zorgen dat de kritische ICT-infrastructuur en bijhorende data ten allen tijden beschikbaar blijft.
Veiliger door gezond verstand - Presentatie Safe@schools 27 mei 2014B.A.
Veiliger door gezond verstand
Naar een geïntegreerde aanpak van IT-beveiliging
ICT veiligheid is meer dan enkel een aantal producten of softwarepakketten installeren. Om echt tot een volledig plaatje te komen is het essentieel om een hele security aanpak te hebben, in verschillende stappen, van het plannen met een goede security policy en duidelijke afspraken over het implementeren van de juiste oplossingen om die afspraken te kunnen waarmaken (firewalls, antivirus, etc. ) tot het controleren en bijsturen via een audit. Dure consultants hebben voor deze logische stappen zelfs een naam verzonnen : de cirkel van Demming of PDCA ( Plan-Do-Check-Act )
INFORUM - VEILIGHEIDSPROBLEMEN VOOR BIBLIOTHEEK EN ARCHIEF IN HET DIGITALE TI...B.A.
Deze presentatie gaat in op de praktische uitdagingen voor bibliotheken en archieven op het vlak van informatiebeveiliging. De uitdagingen zijn veelvuldig: van de valkuilen bij het digitaliseren van traditionele documenten om ze voor de toekomst te preserveren over vaak enorme volumes aan data tot het op een veilige manier online ontsluiten van deze collecties. Een paar dingen om rekening mee te houden bij digitale archieven.
Business Continuity & Disaster Recovery introductieB.A.
Presentatie van 30 september 2016 voor Syntra West's IT club @ DCO datacenter. Het bevat een korte introductie en tips en trucks om ervoor te zorgen dat de kritische ICT-infrastructuur en bijhorende data ten allen tijden beschikbaar blijft.
Webinar de balans tussen security en gebruiksvriendelijkheidDelta-N
In de huidige situatie maken vele organisaties een versnelde overstap naar de Cloud. Ideaal om thuiswerken mogelijk te maken, maar het brengt ook risico’s met zich mee. Technische beveiligingsmaatregelen die zijn ingeregeld met de kantoorlocatie als uitgangspunt, werken wellicht minder adequaat vanaf een thuiswerkplek.
Office 365 biedt vele mogelijkheden om deze risico’s te beperken, maar hierin schuilt wel een ander gevaar. Het nemen van teveel security maatregelen kan leiden tot frustratie bij gebruikers. Hoe maak je de werkomgeving van medewerkers zo veilig mogelijk zonder hun productiviteit te beperken?
Tijdens dit webinar gaan we in op de vele security opties die binnen Office 365 beschikbaar zijn en het vinden van de juiste balans tussen security en gebruikersvriendelijkheid.
GDPR Revealed: EU privacy wetgeving in het juiste perspectiefB.A.
Korte presentatie @ infosecurity 2018 beurs, 14 maart 2018 in de Brussels Expo. De organisatie vroeg me om in te vallen voor de oorspronkelijke spreker Eddy Vanderstock. Poging om op een bevattelijke manier met mijn beperkte kennis GDPR praktisch te duiden.
Wat is anno 2022 de basis van digitale hygiëne? Welke maatregelen kan je organisatie en jijzelf nemen om vanuit een solide basis digitaal succesvol te zijn? In de meeste organisaties staat data security al volledig op de agenda. De vraag is echter hoe effectief data security is in een dynamische digitale wereld.
Aubergine IT ontwikkelt websites en webapplicaties, security is daar een belangrijk onderdeel van. Data beveiliging moet in een veranderend digitaal landschap meebewegen met de technische ontwikkelingen en integraal onderdeel uitmaken van IT-systemen.
Steven Heijtel geeft tips om veilig te blijven in een snel ontwikkelend IT-landschap, zodat je met een gerust hart kunt concluderen dat je alles goed voor elkaar hebt… Toch?
Talk voor de SBM IT Club op 28 maart 2018 over Business continuity, Disaster Recovery en bijhorende Service Level Agreements. Een verhaal over risico en vooral leugens, grote leugens en SLA's.
Talk voor laatstejaarstudenten van de faculteit letteren over welke carriere ze kunnen hebben in onze digitale wereld. Het is een pleidooi voor humane wetenschappers om hun kansen te grijpen.
Presentatie Meldplicht Datalekken door SophosSLBdiensten
Beveiligingsdag SLBdiensten: 26 juni 2015
De nieuwe meldplicht datalekken WBP. Voorgestelde wijzigingen en wat dit betekent voor uw organisatie. Door Harm van Koppen, Channel Accountmanager, Sophos.
Veilige wachtwoorden zijn lang, complex en variabel. Je moet over een olifantengeheugen beschikken om zulke wachtwoorden te onthouden. Gelukkig zijn er wachtwoordbeheerders die je het leven een stuk gemakkelijker kunnen maken.
We demonstreren het gebruik van zo’n wachtwoordbeheerder of wachtwoordkluis. Ook leggen we uit waarom het gebruik van ‘sociale logins’ (inloggen met Facebook, Google, OpenID e.a.) af te raden is.
Daarna overlopen we een aantal (relatief) nieuwe authenticatiemethodes, onder te verdelen in volgende categorieën:
Iets wat je weet (pincode, wachtwoord);
Iets wat je hebt (pasje, smartphone, usb-sleutel);
Iets wat je bent (iris-scan, vingerafdruk, gezichtsherkenning)
Niet zelden gaat het erom bijkomstige veiligheidsbarrières op te werpen, zoals bij ‘tweestapsverificatie’ ofte ‘twee-factor-authenticatie’. We demonstreren tot slot ook itsme, de Belgische identificatie-app om aan te melden bij overheidsdiensten en bij een groeiend aantal andere websites.
171031 fex - op tijd compliant met gdpr - presentatie validFlevum
Innovatie | Op tijd compliant met GDPR (AVG)? Ja het kan!
De tijd dringt, er is veel werk aan de winkel om op 25 mei 2018 compliant te zijn met deze nieuwe privacy wetgeving! Vele bedrijven bieden hun hulp aan, en dat is hard nodig. Om risico’s op boetes te vermijden dient u veel te regelen. Nieuwe processen moeten ingericht worden en uw medewerkers zullen hiermee om kunnen gaan. IT kunt u als bottleneck beschouwen… Of u kunt IT zien als een kans om uw organisatie werk uit handen te nemen!
Volgens de EU zelf is de Algemene Verordening Gegevensbescherming (AVG) – in het Engels General Data Protection Regulation (GDPR) – ”the most important change in data privacy regulation in 20 years”. De Nederlandse Autoriteitspersoonsgegevens heeft niet minder dan 10 stappen (!) geïdentificeerd om voorbereid te zijn. Gelukkig hebben de specialisten van Valid dit weten te reduceren tot 4 stappen. Hoe dan ook: u kunt hulp gebruiken, en snel een beetje. Wist u dat bijvoorbeeld een paspoort foto privacygevoelig is? Een cookie trouwens ook!
Valid heeft een methode ontwikkeld met redelijke gangbare tooling om privacy-gevoelige gegevens – gestructureerde of niet! – te identificeren tussen al de systemen die uw organisatie gebruikt. Tevens creëren we virtuele verbindingen tussen de gegevens verspreid tussen systemen die bij één persoon horen. Vrij handig om uw register bij te houden! Via een dashboard wordt vervolgens de locatie, de kwaliteit en gevoeligheid van deze gegevens getoond zodat u gericht actie kunt ondernemen.
Deze sessie is uiteraard interactief van aard, en niet erg technisch. Hoewel IT- en privacy-specialisten wat op kunnen steken is de sessie meer bedoeld voor algemeen management zodat met de dialoog aan kan gaan met de interne organisatie.
Presentatie over meldplicht datalekken en ecryptie door SophosSLBdiensten
Presentatie door Sophos over:
- de Nederlandse meldplicht voor datalekken, die op 1 januari 2016 is ingegaan
- hoe encryptie een eerste belangrijke stap richting adequate databeveiliging kan zijn.
Deze presentatie werd gegeven door Harm van Koppen van Sophos op de Securitydag van SLBdiensten op 15 april 2016 bij Aventus te Apeldoorn
Weet u wat nu een datalek is? Wie is bij u verantwoordelijk voor het melden van een datalek binnen uw organisatie? Heeft u een draaiboek? weet u wat u moet doen?
Webinar de balans tussen security en gebruiksvriendelijkheidDelta-N
In de huidige situatie maken vele organisaties een versnelde overstap naar de Cloud. Ideaal om thuiswerken mogelijk te maken, maar het brengt ook risico’s met zich mee. Technische beveiligingsmaatregelen die zijn ingeregeld met de kantoorlocatie als uitgangspunt, werken wellicht minder adequaat vanaf een thuiswerkplek.
Office 365 biedt vele mogelijkheden om deze risico’s te beperken, maar hierin schuilt wel een ander gevaar. Het nemen van teveel security maatregelen kan leiden tot frustratie bij gebruikers. Hoe maak je de werkomgeving van medewerkers zo veilig mogelijk zonder hun productiviteit te beperken?
Tijdens dit webinar gaan we in op de vele security opties die binnen Office 365 beschikbaar zijn en het vinden van de juiste balans tussen security en gebruikersvriendelijkheid.
GDPR Revealed: EU privacy wetgeving in het juiste perspectiefB.A.
Korte presentatie @ infosecurity 2018 beurs, 14 maart 2018 in de Brussels Expo. De organisatie vroeg me om in te vallen voor de oorspronkelijke spreker Eddy Vanderstock. Poging om op een bevattelijke manier met mijn beperkte kennis GDPR praktisch te duiden.
Wat is anno 2022 de basis van digitale hygiëne? Welke maatregelen kan je organisatie en jijzelf nemen om vanuit een solide basis digitaal succesvol te zijn? In de meeste organisaties staat data security al volledig op de agenda. De vraag is echter hoe effectief data security is in een dynamische digitale wereld.
Aubergine IT ontwikkelt websites en webapplicaties, security is daar een belangrijk onderdeel van. Data beveiliging moet in een veranderend digitaal landschap meebewegen met de technische ontwikkelingen en integraal onderdeel uitmaken van IT-systemen.
Steven Heijtel geeft tips om veilig te blijven in een snel ontwikkelend IT-landschap, zodat je met een gerust hart kunt concluderen dat je alles goed voor elkaar hebt… Toch?
Talk voor de SBM IT Club op 28 maart 2018 over Business continuity, Disaster Recovery en bijhorende Service Level Agreements. Een verhaal over risico en vooral leugens, grote leugens en SLA's.
Talk voor laatstejaarstudenten van de faculteit letteren over welke carriere ze kunnen hebben in onze digitale wereld. Het is een pleidooi voor humane wetenschappers om hun kansen te grijpen.
Presentatie Meldplicht Datalekken door SophosSLBdiensten
Beveiligingsdag SLBdiensten: 26 juni 2015
De nieuwe meldplicht datalekken WBP. Voorgestelde wijzigingen en wat dit betekent voor uw organisatie. Door Harm van Koppen, Channel Accountmanager, Sophos.
Veilige wachtwoorden zijn lang, complex en variabel. Je moet over een olifantengeheugen beschikken om zulke wachtwoorden te onthouden. Gelukkig zijn er wachtwoordbeheerders die je het leven een stuk gemakkelijker kunnen maken.
We demonstreren het gebruik van zo’n wachtwoordbeheerder of wachtwoordkluis. Ook leggen we uit waarom het gebruik van ‘sociale logins’ (inloggen met Facebook, Google, OpenID e.a.) af te raden is.
Daarna overlopen we een aantal (relatief) nieuwe authenticatiemethodes, onder te verdelen in volgende categorieën:
Iets wat je weet (pincode, wachtwoord);
Iets wat je hebt (pasje, smartphone, usb-sleutel);
Iets wat je bent (iris-scan, vingerafdruk, gezichtsherkenning)
Niet zelden gaat het erom bijkomstige veiligheidsbarrières op te werpen, zoals bij ‘tweestapsverificatie’ ofte ‘twee-factor-authenticatie’. We demonstreren tot slot ook itsme, de Belgische identificatie-app om aan te melden bij overheidsdiensten en bij een groeiend aantal andere websites.
171031 fex - op tijd compliant met gdpr - presentatie validFlevum
Innovatie | Op tijd compliant met GDPR (AVG)? Ja het kan!
De tijd dringt, er is veel werk aan de winkel om op 25 mei 2018 compliant te zijn met deze nieuwe privacy wetgeving! Vele bedrijven bieden hun hulp aan, en dat is hard nodig. Om risico’s op boetes te vermijden dient u veel te regelen. Nieuwe processen moeten ingericht worden en uw medewerkers zullen hiermee om kunnen gaan. IT kunt u als bottleneck beschouwen… Of u kunt IT zien als een kans om uw organisatie werk uit handen te nemen!
Volgens de EU zelf is de Algemene Verordening Gegevensbescherming (AVG) – in het Engels General Data Protection Regulation (GDPR) – ”the most important change in data privacy regulation in 20 years”. De Nederlandse Autoriteitspersoonsgegevens heeft niet minder dan 10 stappen (!) geïdentificeerd om voorbereid te zijn. Gelukkig hebben de specialisten van Valid dit weten te reduceren tot 4 stappen. Hoe dan ook: u kunt hulp gebruiken, en snel een beetje. Wist u dat bijvoorbeeld een paspoort foto privacygevoelig is? Een cookie trouwens ook!
Valid heeft een methode ontwikkeld met redelijke gangbare tooling om privacy-gevoelige gegevens – gestructureerde of niet! – te identificeren tussen al de systemen die uw organisatie gebruikt. Tevens creëren we virtuele verbindingen tussen de gegevens verspreid tussen systemen die bij één persoon horen. Vrij handig om uw register bij te houden! Via een dashboard wordt vervolgens de locatie, de kwaliteit en gevoeligheid van deze gegevens getoond zodat u gericht actie kunt ondernemen.
Deze sessie is uiteraard interactief van aard, en niet erg technisch. Hoewel IT- en privacy-specialisten wat op kunnen steken is de sessie meer bedoeld voor algemeen management zodat met de dialoog aan kan gaan met de interne organisatie.
Presentatie over meldplicht datalekken en ecryptie door SophosSLBdiensten
Presentatie door Sophos over:
- de Nederlandse meldplicht voor datalekken, die op 1 januari 2016 is ingegaan
- hoe encryptie een eerste belangrijke stap richting adequate databeveiliging kan zijn.
Deze presentatie werd gegeven door Harm van Koppen van Sophos op de Securitydag van SLBdiensten op 15 april 2016 bij Aventus te Apeldoorn
Weet u wat nu een datalek is? Wie is bij u verantwoordelijk voor het melden van een datalek binnen uw organisatie? Heeft u een draaiboek? weet u wat u moet doen?
Belgium 101 - Snelle cursus zakendoen in België voor (Nederlandse) beginnersB.A.
Ruwe nota's van een korte talk die in @BECI gaf op 13 december voor een groep Nederlandse security-ondernemers over zakendoen in België en de culturele verschillen.
Hit by a Cyberattack: lesson learned. When you get hacked, how did it happen and what do you do? Rough side notes of a presentation for IFE, 8 december 2015.
Proactive monitoring tools or services - Open Source B.A.
Deel 1: (Open source) Monitoring tools in alle maten en gewichten [18:00 tot 19:30]
In deze sessie probeert Jan Guldentops op basis van zijn 20 jaar ervaring uit te leggen wat een monitoring oplossing in theorie zou moeten kunnen, waar u het kan toepassen en waar u moet op letten bij de selectie van een monitoring oplossing.
We overlopen de verschillende oplossingen op de markt ( open source, close source, hosted services, etc.) Daarna gaan we dieper in op de open source nagios oplossing en hoe wij bij BA deze geintegreerd hebben in ons eigen monitoringsysteem. Daarna geven we een korte demo van dit monitoringsysteem in een aantal verschillende omgevingen en hoe ver u kan gaan in het naar uw hand zetten van de oplossing.
Zarafa Tour 2014: "Where Zarafa can make a difference"B.A.
Presentation about where I think Zarafa can and should make a difference in developping its platform into a complete open, html5, security-oriented ecosystem and platform.
Tien praktische tips rond ICT-infrastructuur die niemand je vertelt.
Talk over wat een ICT van een lokaal bestuur allemaal rekening mee moet houden als hij een degelijke ICT infrastructuur wil opbouwen.
Presentatie v ict-or shopt it! 28 mei 2014, Antwerp Hilton
BA Netapp Event - Always there IT InfrastructuurB.A.
Presentatie van Jan Guldentops ( j@ba.be ) gegeven 15 september 2011 in het Provinciehuis Vlaams-Brabant.
Het bevat een hele samenvatting over hoe wij IT-infrastructuur met een hoge beschikbaarheid bouwen ( Always there IT infrastructure)
The good, the Bad & the Ugly : ICT-beveiliging en privacy bij lokale besturen
1. The good, the bad and the ugly
ICT-beveiliging en privacy bij lokale
besturen
V-ict-or shopt-IT – 26 april 2018
Jan Guldentops ( j@ba.be )
BA N.V. ( http://www.ba.be )
2. Wie ben ik ?
Jan Guldentops (°1973)
Dit jaar bouw ik 20 jaar server en netwerk
infrastructuren
Oprichter Better Access (°1996) en BA (°2003)
Open Source Fundamentalist (na mijn uren)
Sterke praktische achtergrond op het vlak van ICT
beveiliging
➢
Ben toevalling terechtgekomen in de securitywereld
➢
Documenteerde in 1996 de securityproblemen in de eerste
Belgische internetbank ( Beroepskrediet / Belgium Offline)
➢
Plotseling ben je security expert
R&D (vooral security)
“gecertifieerd” Data Protection Officer
5. Sterk wettelijk kader
● Informatie Veiligheids Consulent ( IVC )
● 4 uur per week / organisatie
● De vragenlijsten van VTC en KSZ worden
afdwingbaar m.a.w. er worden er soms
geweigerd !
● Binnen GDPR een verplicht DPO
● Verbetering van de organisaties zelf
7. Waarom GDPR? (2)
“Verloren” persoonsgegevens
Open S3 bucket met massa’s klantengegevens ( id-kaarten,
transportdocumenten, etc. )
Gegevens van 700.000 klanten ( geboortedatum, gsm,
telefoonnummer, etc.)
Konden zelfs niet vertellen wat er aan de hand was!
Gegevens van 70.000.000 klanten
Exit security officer, CIO & CEO
19GB aan klantendata
Josh Duggar
9. Doelstellingen van GDPR
➢ Persoonsgegevens
beter beschermen
➢ Inventaris
➢ Degelijk register
➢ Goeie backups
➢ DPO
➢ Meldplicht bij
datalekken
➢ Etc.
➢ Meer rechten aan de
burgers geven
➢ Duidelijke afspraken
➢ Inzage- en
verbeterrecht
➢ Right-to-be-forgotten
➢ Data-overdracht
10. Persoonsgegevens
➢ Persoonsgegevens zijn alle gegevens die betrekking hebben op een persoon die
rechtstreeks of onrechtstreeks geïdentificeerd wordt of kan worden.
Dus :
➢ de naam van een persoon
➢ een foto
➢ een telefoonnummer (zelfs een telefoonnummer op het werk)
➢ een code
➢ een bankrekeningnummer
➢ een e-mailadres
➢ een vingerafdruk of andere biometrische gegevens
➢ adressen
➢ leeftijd
➢ gezinssituatie
➢ nummerplaat
➢ Strafregister
➢ DNA
➢ Enz.
11. Belangrijke bijkomende vraag
➢ Verwerkt u gevoelige informatie, dit wil zeggen informatie over :
➢ Ras
➢ Politieke opvattingen
➢ Religie
➢ Biometrische gegevens
➢ Genetische gegevens
➢ Gezondheid
➢ Seksuele geaardheid
➢ Strafrechterlijke vervolgingen
➢ Bent u een overheidsorganisatie ?
●
12. Niks nieuws onder de zon
➢ Bescherming van persoonsgegevens bestaat in België al sinds 1992 ( 25 jaar !)
➢ Strenger, duidelijker geworden
➢ Vooral toevoegen boeteclausules
➢ Informatieveiligheidsindustrie werkt al jaren volgens dezelfde principes
➢ ISO27000, Cobit, etc.
➢ Vereisten van GDPR zijn eigenlijk best practices
➢ Inventaris
➢ Nadenken over security
➢ Etc.
➢ Er is heel veel bangmakerij
● Het nieuwe Y2K
● Opportuniteit voor advocaten, IT-bedrijven en security-consultants en consultants
● De wereld gaat niet vergaan op 25 mei 2018
13. 13 + 1 stappen
➢ Bewustmaking
➢ Dataregister
➢ Communicatie
➢ Rechten van de
betrokkene
➢ Verzoek tot toegang
➢ Wettelijke grondslag
verwerking
persoonsgegevens
➢ Toestemming
➢ Kinderen
➢ Datalekken
➢ Privacy by design en PIA
➢ Functionaris voor
gegevensverwerking (DPO )
➢ Internationaal
➢ Bestaande contracten
➢ Beveiligen van
persoonsgegevens
14.
15. 1. De goedheid van de
medewerker
● Medewerkers willen helpen en
meestal heeft niemand hen
duidelijk verteld wat ze wel of
niet mogen doen.
● Dus als je vriendelijk vraagt :
● Vertellen ze je alles wat je wil
weten ;
● Laten ze je overal binnen ;
● En loggen ze nog voor je in ook
● Social Engineering
● Belangrijk: mensen bewust
maken !
16. 2. Weinig logische en fysieke
beveiliging
● Ongeloofelijk waar je allemaal
binnen kan wandelen en wat je kan
meenemen.
● Toegangscontrole is vaak een grapje of
makkelijk te omzeilen.
● Dossierkasten met bv
personeelsgegevens worden niet
afgesloten
● Enz.
● PC’s zonder screenlocker
● Slecht beveiligde netwerkpoorten
● In vergaderzalen, wachtruimtes, etc.
● Onbewaakt, gepatched en je zit als
bezoeker recht op het interne netwerk
17. 3. Basis netwerk security
● Opdelen van het interne netwerk in verschillende logisch
gescheiden onderdelen ( VLAN’s)
● Belangrijk : management VLAN
● Ook controles tussen die vlan’s !
● Slecht opgezette publiekswifi’s
● Interne WIFI’s met één WPA2-key !
● Tunnels
● Openvpn / ssh
● Teamviewers
18. 4. Phising
● Iedereen denkt aan de standaard, in slecht Nederlands
geschreven mail van een Oekraïnse schone die zegt
dat je de man (m/v) van haar leven bent...
● Makkelijk te ontdekken
● Maar:
● Wat als ik nu eens een phish op maat van uw organisatie
maak ?
– “Kortingsbon van Torfs” onderhandelt voor uw organisatie
– “Sinterklaas heeft een verrassing voor jou”
– “Wij werken aan de beveiliging en zouden graag willen dat u
19. 5. Wachtwoorden / rollen /
rechten
● Waarom, oh waarom gebruiken we nog altijd
userid/wachtwoorden voor toegang tot onze systemen ?
● Mensen gaan er slordig mee om ;
● Kiezen altijd en overal hetzelfde wachtwoord ;
● Geven het door ;
● Laten het staan op het oorspronkelijke, voorspelbare wachtwoord
● Etc.
● We hebben nog altijd verschillende wachtwoordsystemen !
● Uitdienstprocedures – toegangen wissen als iemand vertrekt.
● -> We moeten naar 2 factor authenticatie
20. 7. Leveranciers
● Abominabele security niveau van lokale overheidsleveranciers
● Bv. bij elke klant root-wachtwoord gebruiken dat hetzelfde gebleven
en verwijst naar een calculator uit 1977.
● Geen change management
● Carte blanche altijd en overal
● Geen geintegreerde software in de AD
● Onvolwassen reacties op securitybugs
– “Alles is volgens onze interne security standaarden”
● Geen updates, etc.
● Aan de klant om hen tot de orde te roepen
21. 8. Traditionele antivirus werkt
niet meer
● Traditionele, signature-
based antivirus werkt niet
meer...
● Zie Cryptolocker epidemie
● Komen vaak door 2
verschillende anti-virus
engines
● Groot probleem
● Verschillende hoopvolle
technologieën
● e.g. Cylance
22. 9. Degelijk systeembeheer
● Zelfs luidruchtige interne aanvallen worden nooit opgemerkt.
● IT’ers blussen branden maar doen nooit aan brandpreventie
● Nood aan gestructureerde IT
– Documentatie
– Opvolging
– Monitoring
– Logging
● Meldingen
● Correct gebruik maken van informatieveiligheidsconsulent en
ISMS.
23. 10. We hangen vanalles aan ons
netwerk
● Internet-of-things
● De vraag is dit alles veilig en
blijft het veilig ?
● Kan het misbruikt worden ? Is
het voldoende geïsoleerd ?
● Vaak worden er ook
onzinnige deuren opengezet
om het toegankelijk te maken
● Port forwardings
24.
25. Wachttorens en paniekvoetbal
● Dirty Cow
● Voorbeeld van getuigen-van-
jehova-journalistiek
– “Het einde is nabij !”
● Paniek
● Paniekvoetbal
● Geen structurele oplossingen
● Grote FUD en propaganda
● Android is onveilig ! Koop
een Iphone !
27. Zeer lelijk
● Pro forma IVC en DPO’s
● Intercommunales
● 1 IVC voor 27 besturen ?
● Waarom niet zelf doen ?
● Pro forma verwerkingsafspraken
● Juridisch heel tof maar geen concrete afspraken
– Change management !
– SLA’s
– Etc.
28. Realisme
● Absolute veiligheid
bestaat niet !
● Vroeg of laat heb je een
security probleem of
een datalek met
persoonsgegevens
● Niemand is onfeilbaar,
tenzij de paus
29. Tijd om wakker te worden
● 2 voornaamste security producten zijn :
● Gezond verstand
● Structuur
● Iedereen heeft security problemen, niemand is onfeilbaar
● Face it, get over it en ga aan de slag
● Een securityprobleem hebben is geen schande, maar doe er iets mee !
● Hard werk
● Zelf het IVC en DPO verhaal in handen houden !
● Doe het zelf met externe hulp ?
● Volg het op zijn minst op !
● Goeie afspraken maken met je leveranciers !
30. Samengevat: GDPR
➢ Maak een plan
➢ Actieplan : niet alles moet onmiddellijk gebeuren
➢ Maak iedereen bewust van wat GDPR inhoudt ( awareness )
➢ Bekijk waar / hoe je persoonsgegevens opslaat en verwerkt in je
organisatie ?
➢ Bekijk waar je allemaal aan moet voldoen ?
➢ Gevoelige informatie ? / DPO Ja / neen / Kinderen ?
➢ Dataregister en register van verwerking opstellen
➢ Zorg voor wettelijke basis van verwerking
➢ Worst case consent vragen !
➢ Schep duidelijkheid met duidelijke privacy-statements
➢ Op je website ;
➢ Naar al je klanten toe ;
➢ In je verkoopsvoorwaarden ;
➢ Telkens je iets doet
➢ Maillinglists etc.
➢ Kijk je beveiliging na ( art 28)of die op snelheid is
➢ Stel de juiste procedures op
➢ Zet procedures op om aan de rechten van het data subject te kunnen voldoen !
➢ Zet procedures op voor als het misgaat
➢ Kijk je bestaande contracten na
➢ maak afspraken hierrond met je leveranciers
➢
➢ Don’t panic !
➢ Denk na over privacy voor
alle acties, projecten, software,
etc. waar je persoonsgegevens
gaat gebruiken en verwerken
➢ o.a. Beperk de gegevens die
je opvraagt en bijhoudt !
➢ Privacy Impact Assessment
➢ Zoek eventueel hulp van
externe partijen maar hou de
touwtjes in handen !