BCM

Business Continuity Management – Building an effective Incident Management Plan.

admin

Auteur: Michael Blyth

In dit boek werkt de auteur in de eerste drie hoofdstukken gestaag naar zijn doel: het aantonen van het belang van Incident Management Plannen (IMP), aanvullend bij een BCP.

Daarbij komt hij in hoofdstuk 4 tot het beschrijven van het onvermijdelijke: “wat als?” is daarbij de hamvraag voor een goede 40 casussen, die stuk voor stuk toegelicht worden in tekstvorm, met in hoofdstukken 5 en 6 de beloftevolle basis van de uitwerking in plannen en vragenlijsten.

Hoofdstuk 5 geeft de richtlijnen van de plannen, waarbij er een principe van een drieluik bestaat: een eerste tabel vult men in om een idee te krijgen van over welk (deel van) de organisatie het gaat. Een schets van entiteit, plaats, tijd… Daarna komen de te nemen stappen: Deze zijn opgesteld als een zogn. “guideline”, niet om slaafs te volgen, maar interpreterend. Het derde luik van de richtlijnen vormt het kader met geschikte organisaties / sleutelpersonen die kunnen gecontacteerd worden.

Hoofdstuk 6 geeft vragenlijsten, een per IMP, die gebruikt kunnen worden om de situatie in te schatten, aanvullend aan de vragen van “SAD CHALETS”, het letterwoord dat gebruikt wordt door de Engelse Politie om een zicht te krijgen op de situatie. Daarnaast bevat dit hoofdstuk tevens een template voor een risico-assessment, dat gebruikt kan worden tijdens de crisis, om de evolutie van de crisis in te schatten.

Het boek bevat eveneens een URL met paswoord, waar je de Engelse tekst van hoofdstukken 5 en 6 in een word document kan terugvinden voor verdere ontwikkeling op maat van je eigen organisatie.

Het boek is dus eigenlijk een boek voor doeners, met in beperkte mate een inleidende theoretische uiteenzetting.

Het is echter qua IMP voor cybersecurity te weinig uitgewerkt (wat volgens mij een apart stuk had kunnen zijn). Andere bedreigingen zijn sterk uitgewerkt. Sommige dreigingen worden steeds relevanter voor filialen in de USA en elders met de huidige klimaatswijzigingen. Andere zijn universeler van aard.

Cybercrime – recht op zijn scherpst

admin

Auteurs: Jan Kerkhofs en Philippe Van Linthout

Cybersecurity wordt steeds belangrijker voor risicomanagement alsook voor BCM. De BCM organisaties leggen almaar meer nadruk op het opnemen van cyberveiligheid in hun gamma. Veelal gaat dit om technische aspecten van cybersecurity en hoe technisch een cyberaanval kan worden afgeslagen. Velen vergeten echter dat er een juridisch plaatje vasthangt aan cybersecurity. Wat kan er juridisch en wat niet? De auteurs zochten het uit en publiceerden een boek dat up-to-date was tot en met 1/dec/2013. Het gaat over juridische aspecten en een deel van het boek is geïllustreerd adhv een casus waarin YAHOO! betrokken was. Of hoe een wetgeving kan geïnterpreteerd worden.

Het volgende bleef bij:

  • Criminelen van nu hebben hun werkwijzen veranderd: ze hebben niet allemaal een revolver, maar wel een smartphone.
  • Cyberspace is voor criminaliteit een ongelofelijk braakliggend terrein met (nog steeds) ongekende mogelijkheden die kunnen geperfectioneerd worden.
  • Wellicht dringt Cyberspace zich op als een apart juridisch territorium. Want daar zijn geen landsgrenzen zichtbaar.
  • Misdaden bestaan uit (niet limitatieve lijst) o.a.:
    • Illegale transferts van data of fondsen etc
    • Vervalsing
    • Hinderen van computersystemen en telecommunicatiesystemen
    • Misbruik van beschermde software
    • Onderscheppen van berichten
    • Fraude
    • Schade aan hardware, software of data
    • Sabotage
    • Oneigenlijke toegang
    • Plagiaat
  • De evolutie van ICT gaat steeds te snel voor de wetgever.

Deel 1 van het boek gaat over materieel cyberstrafrecht. Daarvan bleven als belangrijkste zaken bij:

  • Het is economische wetgeving.
  • Er is een afzonderlijke strafbaarstelling voor het opzettelijk vermommen van de waarheid via datamanipulatie mbt juridisch relevante data.
  • Er dient iets ingevoerd, gewijzigd, gewist of veranderd te worden om te spreken van een misdrijf van informaticavalsheid. Omissiedelicten zijn echter ook mogelijk.
  • Men spreekt van informaticavalsheid indien er het oogmerk aanwezig was om te schaden of indien er bedrieglijk opzet was.
  • Indien iemand wetens en willens gegevens gebruikt waarvan hij weet dat ze vals zijn, is strafbaar alsof hij de dader van de valsheid was. Een mislukte poging is niet strafbaar.
  • Een poging is wel strafbaar indien economisch voordeel beoogd wordt met het plegen van informaticabedrog. (Dit is niet hetzelfde als valsheid in informatica waar het in hoofdzaak gaat om het vermommen van de waarheid.)
  • Naast valsheid in informatica en informaticabedrog bestaat er ook het begrip van ongeoorloofde manipulaties ten aanzien van een machine. Bijv. computerfraude.
  • Het strafwetboek hecht veel belang aan misdrijven tegen confidentialiteit, integriteit en beschikbaarheid, begrippen die niet toevallig terugkomen in ISO 2700x. Een van de gevolgen is dat er onderscheid gemaakt wordt tussen externe en interne hacking.
  • Niet alleen het feitelijke hacken is strafbaar, maar ook een aantal verwante zaken, zoals het ter beschikking hebben van hackertools, aanzetten tot hacking etc.
  • Er bestaat eveneens informaticasabotage: het invoeren, wijzigen of wissen van gegevens of hun normale aanwending veranderen door enig technologisch middel. Bijv.: een virus.
  • Opvallend is dat straffen voor een overheidsvertegenwoordiger bij illegale communicatie-interceptie bij de uitoefening van zijn bediening zwaarder zijn dan daarbuiten of door een burger.
  • Niet alleen de uitvoerder van een illegale tap is strafbaar, maar ook de heler van de illegaal gecapteerde data.
  • Cyberstrafrecht bevat ook regels betreffende elektronische communicatie. Het gaat om het gebruik van 1) een elektronisch netwerk, 2) of een elektronische communicatiedienst of 3) andere elektronische communicatiemiddelen waarmee het misdrijf zal kunnen gepleegd worden. Dit laatste dekt een zeer breed instrumentarium. Het vaakst wordt dit aspect van cyberstrafrecht gebruikt voor overlast. Schade, waaronder psychologische schade, is ook mogelijk.
  • Digitale verspreiding wordt gelijkgesteld met vermenigvuldiging via een drukpers.
  • Gebruik maken van gegevens van elektronische communicatie, zonder toestemming van alle communicerende partijen, is strafbaar.
  • Er bestaat zoiets als een informatiemaatschappij, waarbij ISP’s (Internet Service Providers) en IAP’s (Internet Access Providers) een belangrijke rol spelen. Deze dienstverleners hebben geen algemene toezichtsverplichting, maar kunnen in een specifiek geval wel een tijdelijke toezichtsverplichting opgelegd krijgen. Bij vermeend misbruik dienen zij echter wel de administritatieve autoriteiten onverwijld op de hoogte brengen. Tevens meten zij op vraag van de autoriteiten alle informatie verschaffen die nuttig is voor de opsporing en vaststelling van inbreuken gepleegd door hun tussenkomst.

Deel 2 van het boek gaat over procedureel cyberstrafrecht. Daarvan bleven als belangrijkste zaken bij:

  • Het gaat om het procedure-instrumentarium waarmee cybercriminaliteit kan bestreden worden.
  • Wapens waarover de internetrecherche in het opsporingsonderzoek beschikt:
    • Databeslag als bewijslast.
    • Beslag en het uitlezen van een GSM of smartphone.
    • Kopiëren van data op dragers van de overheid zonder verlies van bewijslast.
    • Kennisgeving van het beslag of de kopiëring van gegevens.
    • Het ontoegankelijk maken van het internet of delen ervan. Bijv. in het kader van negationisme of of aanzetten tot racisme of xenophobie enz.
    • Reverse IP domain check.
    • Identificatie van internauten met medewerking van ISP’s en IAP’s en operatoren en dienstverstrekkers.
    • Een officier van de gerechtelijke politie kan in geval van hoogdringendheid binnen bepaalde spelregels zelf gegevens opvorderen.
    • Er is de wettelijke verplichting tot medewerking en geheimhouding door operatoren van elektronische communicatienetwerken en verstrekkers van elektronische communicatiediensten.
    • Er is registratieplicht van internetcommunicatie en internetgebruik. Inhoud mag echter nooit worden opgeslagen, enkel bepaalde metadata.
    • Data-interceptie en netwerkzoeking is voor hen mogelijk via mini-instructies.
    • Sociale media en hun inhoud kunnen gebruikt worden als onderzoeksmiddel, als bron van informatie voor politie en justitie.
    • Geotagging en facerecognition.
    • Publiek toegankelijke delen van het internet kunnen door politie bekeken worden. Zij kunnen er bovendien in participeren.
    • Inkijkoperaties met zoekend rondkijken in private delen van het internet, mits voldoen aan bepaalde randvoorwaarden.
    • Politie en justitie knnen tappen, observeren en infiltreren op het internet en in de sociale media.
  • Echter, er is ook privacywetgeving van toepassing, alsook het recht op anonimiteit. Tevens bestaan er cyber-privéclubs
  • Daarnaast bestaat er internetrecherche in het gerechtelijk onderzoek. Het heeft een aantal (juridisch-technische) wapens gemeenschappelijk met het opsporingsonderzoek.
    • Het kan een heimelijke fase bevatten alsook een openlijke. Bijv. bij het onderscheppen van webmail.
  • Een van de sterke wapens voor justitie is de medewerkingsplicht inzake internetrecherche.
    • Dit geldt voor operatoren, dienstverstrekkers, maar ook voor houders van kennis. (zowel van informaticasysteemkennis als kennis van machinewerking als kennis van diensten om gegevens te versleutelen of te beveiligen)
    • Hierin wordt het voorbeeld gestart van de Yahoo !-zaak nav een proces verbaal op 3 oktober 2007.
    • Secundaire internetverstrekkers hebben minder verplichtingen.
    • Verdachten kunnen niet verplicht worden tot het verstrekken van inlichtingen.

Deel 3 gaat over dataretentie van de ISP’s en IAP’s. Deel 4 gaat over territoriale bevoegdheid in Cyberspace. Daarbij kan het Belgisch gerecht een rechtstreekse vraag stellen aan ISP’s en IAP’s die diensten aanbieden op het Belgisch grondgebied, of een rogatoir onderzoek instellen. De dataretentie is minimaal 6 maanden en maximaal 2 jaar, waarbinnen elk land zijn eigen regels dient te stellen. Zo geldt voor België bij koninklijk besluit een dataretentie van 1 jaar. ISP’s of IAP’s die niet wensen mee te werken met het juridisch onderzoek hebben altijd de vrijheid om hun diensten niet langer aan te bieden op het Belgisch grondgebied.

Informatieveiligheid bij de Overheid

admin

Auteur: Ivan Stuer

Cybercriminaliteit is in deze dagen. Daarvan moet iedereen zich inmiddels bewust zijn. Maar waarom zijn dan bijv. zo weinig sites reeds bestand tegen DDOS aanvallen? Wanneer weten mensen dat informatieveiligheid een must is? Meestal als het te laat is. Daarom bestaan er een aantal wetten en normen over: om mensen te helpen zich te realiseren dat bijv. privacy belangrijk is. Ook voor de overheid.

Zoals de auteur van dit boekje zegt, is het best doenbaar om een hele bibliotheek te vullen over het onderwerp. Zijn doel is om de veiligheidsconsulenten een paar handvatten te geven voor het opzetten van een ISMS (Integrated security management system).

Het boekje dateert van 2015, dus van voor de wijziging van de Europese privacywetgeving in de GDPR. Veiligheidsconsulenten worden daarin vervangen door Data Protection Officers, die nog veel meer specialistische kennis zullen moeten hebben.

Wat bleef er bij?

Het wetgevend kader van de privacy maakt van een aantal voorstellen van acties uit ISO 27001, en ISO 27002, waarop het gebaseerd is, een verplichting. Daarbij is nu meer de nadruk op de beveiliging van het geheel van de processen, in plaats van op de onderdelen. Ook wordt Business continuïteitsmanagement steeds belangrijker als een kapstok waaraan informatieveiligheid kan worden opgehangen binnen het ISMS. (Zie daarvoor ook de toekomstige versie van de Good Practice Guidelines van The Business Continuity Institute dat op dat onderwerp aan het voortborduren is.) Tevens lijkt het er op dat het te ontwikkelen ISMS moet streven naar een overkoepelend gebeuren van alle veiligheidsdisciplines.

Tevens is het niet slecht om over de muurtjes te kijken en eens te kijken wat andere normen/raamwerken als COSOS en COBIT te bieden hebben. Ook een goede algemene kennis van projectmanagement en andere managementdisciplines is aangeraden.

Naar het einde van het boekje richt de auteur zijn aandacht op de CLOUD en de diensten die daarbij kunnen dienen. Daarna geeft hij een stappenplan om een informatieveiligheidsbeleid uit te werken.

Hoewel er enkele termen gebruikt worden zoals ISMS, ITIL, en ander licht vakjargon, is het boekje geschikt voor niet-ICTers. Het boekje is daarmee als dusdanig verhelderend voor een veiligheidsconsulent-in-spe omdat het een aantal aandachtsgebieden raakt waarin hij/zij zich zal moeten verdiepen.

Self-assessment BCM – tools

admin

Als je wil weten hoever je staat met het doorvoeren van je BCM-werking, moet je een (self) assessment uitvoeren.

Daarvoor bestaan specialisten die zich laten inhuren, om een audit te doen en een duur rapport schrijven. Maar vaak heb je in tijden van crisis daar het geld niet voor. Dan moet je het zelf doen. Daarvoor heb je een tool nodig. Hierbij vind je een Nederlandstalige eenvoudige tool (en een Engelse vertaling) die je nog kan aanpassen aan je eigen noden.

Icoon

Self assessment BCM - Nederlands

1 file(s)   54.92 KB
Icoon

Self-assessment BCM English

1 file(s)   54.20 KB

 

BCM en de Kerstman

admin

Beschouw een complexe organisatie met productiehallen en logistieke units, gebaseerd op de Noordpool, traditioneel heel erg in de weer rond 25 december. Zoals u zich kan inbeelden, behelst de planning voor deze gebeurtenis een heel jaar. De CEO “Santa” is nog geen vijf minuten terug van het afleveren van de pakjes, of de cyclus begint opnieuw. En hij wordt voortdurend geroepen om onverwachte problemen op te lossen die dringend aandacht vereisen…

Dit jaar begon het al vroeg. Santa had net de slee in de garage gezet, of hij werd al op de korrel genomen door het Kerstvrouwtje.  “Wat hebben al die reportages op de TV te betekenen, waarin je te zien bent terwijl je de mama van een kindje kust?”, vraagt ze streng. “W, w, watte? Wie?” stamelde Santa.  Hij kon uitleggen dat het hier ging over een geval van identiteitswisseling. Het imago van Santa had een flinke opdoffer gekregen door toedoen van een bedrieger. Hij ging recht naar zijn Crisiscommunicatie team, en na een snel ingrijpen en een publieke verontschuldiging was zijn reputatie hersteld. Hij kan zich gewoonweg niet veroorloven dat zijn klanten zich kunnen verbeelden dat hij stout is op welke manier dan ook…    Februari bracht veel ijsstormen op de Noordpool.  “Santa, het is momenteel veel te koud voor de Elfjes om te werken,” zei de Elfjes manager en veiligheidself hem, “Ik heb de opdracht gegeven om het werk neer te leggen.”   Santa zuchtte en greep naar de Gouden Pagina’s op het internet, “Hallo, verwarmingsingenieurs? Is het mogelijk dat jullie mijn Elfjes terug een aangename werktemperatuur bezorgen…”.   Ondanks de onderbreking, en door bereidwillig overuren te kloppen, waren de Elfjes snel terug op schema.

De zaken gingen goed, en het werk verliep ononderbroken tot de trekvogels in de lente terugkwamen uit hun winterse habitats. Er groeide onrust onder de Elfjes dat de wilde vogels het gevreesde H5N1 vogelgriep met zich zouden meebrengen. Dit gaf angst voor een regelrechte epidemie. Santa consulteerde de WHO website om het laatste advies in te winnen.    “Er is momenteel erg weinig risico op vogelgriep. De vogels die terugkeren komen uit verre landen zonder gekende uitbraken van H5N1-virus, maar om zeker te zijn zal ik een paar bewakers aanduiden die een oogje moeten houden op de gezondheid van de vogels”, zei Santa tegen zijn Elfjes. Hij hoopte dat hij niet nog meer bewakers moest inzetten, wanneer de kudden wilde rendieren terugkeren. Hij had immers gelezen dat het blauwtongvirus zich verspreidde naar het noorden, en hij had al een rendier met een rode neus…    De zomervakantie had zoals elk jaar zijn typische problemen: verveelde kinderen met teveel tijd en niets om handen, waren op de uitkijk om kattenkwaad aan te richten. Dit jaar kwam het alarm van Santa’s Exploitatie-elfjes, die in paniek kwamen vertellen dat enkele stoute kinderen die ochtend de “Braaf en Stout”-database hadden gehackt, en alles op “braaf” hadden gezet. Er was geen manier meer om te weten wie braaf en stout was geweest het laatste halfjaar. Gelukkig is Santa goed op de hoogte van de laatste technologische snufjes en had hij een back-up gemaakt en liet die “restoren”. Voor de volledigheid liet hij daarna nog een virusscanner lopen over de servers, stelde de Firewalls opnieuw in en gaf het bevel aan alle Elfjes om hun paswoorden te wijzigen.    In de herfst waren er gelukkig geen verdere problemen die Santa vermoeiden. Maar 24 december was, zoals elk jaar, nagelbijten: de generale repetitie voor de 25ste. De Elfjes laadden de slee van Santa in en de kudde rendieren werden in hun harnas gehesen. Santa klom in het zadel vooraan in de slee, nam de leidsels van de slee in de ene hand, en draaide de sleutel in het contact van de slee met de andere hand. Een kort gegrom van de raketmotoren en niets meer. Hij draaide opnieuw met de sleutel in het contact. Weer een kort gegrom van de motoren en dan niets meer. Santa realiseerde zich dat hij vorig jaar, tijdens het oplossen van het reputatieprobleem, vergeten was om de lichten van zijn slee uit te zetten. Gevolg: een lege batterij.    Gelukkig, op aandringen van het Kerstvrouwtje, was de opstarttest wel degelijk doorgegaan op 24 december. Natuurlijk vond Santa het niet leuk dat hij zich al in zijn slee moest hijsen terwijl hij zijn jaarlijks diner nog niet had beëindigd en hij al die lekkere stukjes taart moest laten staan, en natuurlijk klaagden de Elfjes dat ze de wagen opnieuw zouden moeten uitladen en inladen voor een technisch onderhoud. Maar het Kerstvrouwtje had Santa overhaald om de test toch uit te voeren voordat de grote kadootjesdag was aangebroken. De batterij werd vervangen door een geladen exemplaar, en op 25 december kregen alle écht brave kinderen de juiste kadootjes dankzij Santa’s Business Continuity Voorzieningen…

Icoon

BCM en de Kerstman

1 file(s)   32.26 KB