Cybersecurity w2

Question 1

Wat zijn Assets?

Answer 1

In information security, computer security and network security, an asset is any data, device, or other component of the environment that supports information-related activities.

Assets generally include hardware (e.g. servers and switches), software (e.g. mission critical applications and support systems) and confidential information.

Question 2

Wat zijn de twee Information Assets?

Answer 2

Primary Assets: De meest belangrijke informatie waar de meeste resources na toe gaan.

Supporting (Secondary) Assets: Het bulk van de data maar niks speciaals dat extra aandacht vraagt.

Question 3

Noem een paar voorbeelden van Information Assets

Answer 3

Personal customer data
Login data
Backup of data
Business plans
Payroll processing applications
Server running enterprise software
Employee’s laptop
Employee’s mobile phone
Any hardware (printers, network elements, etc.)
Services (cloud services, electricity supply, air-conditioning etc.)
Cloud storage
VPN’s
Access management processes

Question 4

Waarom zou je data willen classificeren?

Answer 4

Het classificeren van informatie is benodigd om te bepalen of informatie mag worden verspreid.
Het verspreiden van informatie kan Digitaal, op papier maar ook mondeling.

Question 5

Waarom classificatie van Hardware & Software?

Answer 5

Het classificeren van assets (infrastructuur) is benodigd om de additionele veiligheidsmaatregelen vast te stellen en betere controle (lees: Granulair) mbt het toegang verlenen van gebruikers tot systemen.

Beveiligen van:

Databases and Software
Workstations/Mobile equipement
Back-end systems
Network equipement

Question 6

Information Lifecycle

Answer 6

Create -> Store -> Use -> Share -> Archive -> Destroy

Het is belangrijk dat je binnen elke stap kijkt welke security maatregelen nodig zijn, deze verschillen per stap.

Question 7

IAAA

Answer 7

Identification (Wie ben je)
Authentication (Ben je wie ke claimt te zijn)
Authorization (Toegang verlenen)
Accountability (Je bent verantwoordelijk voor jou acties)

Question 8

Granting Access

Answer 8

Het verlenen van toegang tot informatie (systemen) dient ingeregeld te zijn middels een formeel proces, bij voorkeur het change proces wat vaak toch al is ingeregeld.
Meestal wordt hiervoor een standaard change gehanteerd waarin afdelingsmanager goedkeuring moet geven. De afdelingsmanager is dan meestal de data-eigenaar.

Toegang wordt toegekend op het need to know principe, kortom wat heeft men nodig aan informatie om de functie te kunnen uitvoeren en meer dan dat moet niet worden toegekend.

Question 9

Ownership (Eigenaarschap)

Answer 9

De systeemeigenaar is verantwoordelijk voor het goed functioneren van de processen die een wisselwerking hebben met het informatiesysteem.

De gegevenseigenaar is verantwoordelijk voor de juistheid van de gegevens in het informatiesysteem in kwestie.

De proceseigenaar is verantwoordelijk voor het goed functioneren van de processen die een wisselwerking hebben met het informatiesysteem.

Question 10

Determine and Maintain Ownership

Answer 10

HR is verantwoordelijk voor het onderhouden van de rollen/functie omschrijvingen, liefst met bijbehorende rechten.
De data eigenaren hebben de verplichting om goed keuring te geven voor het toestaan van rechten en moeten de data sets waarvan zij eigenaar zijn onderhouden.
Asset Management onderhoud de systemen en ook de toegang tot deze systemen

Deze 3 gecombineerd moeten overzien worden door Security.

Question 11

Protecting Privacy

Answer 11

Data Owners: Are usually (senior) management approval via the data access policies

Data Custodians: Manage the data according to the policies

Data Processors: the users who edit/read the data

Question 12

Data Remanence

Answer 12

Data Remanence:
“Data that is still recoverable when erased”

Rewriting: Tool that overwrites the data with random “1”’s and 0”s, the more often the harder it is do recover the data.

Degaussing: Using a magnet to remove or reduce the magnetic fields of a hard drive.

Destruction: physically destroy the harddrive

Question 13

Cryptoshredding

Answer 13

Crypto-shredding is een valide vorm van data vernietiging wanneer men data in de cloud bewaard.

Data word versleuteld met een sterk algoritme/hash daarna wordt je sleutel weggegooid.

Question 14

Collection Limitation (AVG)

Answer 14

Information Limitation:
“Information that is not required you do not want to protect due to the costs involved”

Use only data required for the business proces.

Use data within the business proces at the right time.

Only request and safe data that is requirered for the business proces.

-Privacy-By-Design

Question 15

Information and Asset Handling Requirements

Answer 15

Marking: Determine requirements regarding the marking of documents.

Storage: Determine requirements regarding the storage of information (tape, secured locker, offsite storage).

Destruction: Determine requirements regarding the destruction of all the organizational information.

Question 16

Samenvatting HC week 2

Answer 16

Dit hoorcollege stond vooral in het teken van bescherming van data en, in het verlengde daarmee, bescherming van privacy.
Data dient gelabeld (geclassificeerd) te worden naar mate van belangrijkheid / gevoeligheid. Als classificatie toegepast is dient bekeken te worden welke security controls bij welke classificatie toegepast moeten worden.
Dit laatste moet ook bekeken worden in relatie tot de status waarin de data zich bevind (in rest, in use, in transit)

Question 17

Begrippenlijst

Answer 17

NSA = National Security Agency
IAAA = Identification, Authentication, Authorization and Accountability
HR = Human Resources (Personeelszaken)
SSL = Secure Socket Layer
IPSEC = Internet Protocol Security
PSN = Public Services Network