infosec and data protection in b2b - exercise (dutch)
Post on 22-Jan-2018
155 Views
Preview:
TRANSCRIPT
Informatieveiligheid
Informatieveiligheid
• Informatiebeveiliging
• Gegevensbeveiliging
• Privacy
• Alle informatie
• C.I.A.
• Privacygevoelige gegevens
• Confidentialiteit
• Persoonsgegevens
• C.I.A. + doel
B2B, dus… dat telt allemaal niet?!
PrivacygevoeligBinnen Televic
Personeelsevaluaties,
loongegevens,…
Klanten
Communicatie
Klanten van klanten
Patiëntendossiers
B2B, dus… dat telt allemaal niet?!
PersoonsgegevensBinnen Televic
Personeelsevaluaties,
loongegevens,
klantencontacten,…
Klanten
Inlogggevens (cloud)users
Klanten van klanten
Patiëntendossiers, opleidings-
opvolging en -resultaten,…
B2B, dus… dat telt allemaal niet?!
AlgemeenBinnen Televic
Research & Development,
prijslijsten klanten, …
Klanten
Bedrijfsdocumenten gebruikt in
teleconferentie, besprekingen
over conferentiesystemen,…
Wat kan er gebeuren?
Wat kan er gebeuren?• Confidentiality
• Availability
• Privacy
• Integrity
C P
A I
Vertrouwelijkheid
• een patentaanvraag wordt ingediend net
voor Televic’s R&D afdeling dat kan doen
voor een technologie die wel bijzonder
sterk op die van Televic’s pipeline lijkt
Wat als
…C P
A I
Vertrouwelijkheid
• de loongegevens van het Televic
personeel en management
– onder het personeel worden gecirculeerd
– op een website worden geplaatst
Wat als
…C P
A I
Vertrouwelijkheid
• de opleidingsopvolgingsgegevens – en
resultaten van een klant van Televic
Education voor alle medewerkers van die
klant beschikbaar zijn
– de relatiebeheerder wordt gecontacteerd door
de klant
– de juridische afdeling krijgt een ingebreke-
stelling (of zelfs dagvaarding) binnen van de
klant ter vergoeding van schade
Wat als
…C P
A I
Vertrouwelijkheid
• een overname-deal van een klant
voortijdig op sociale media wordt
bekendgemaakt omdat journalisten /
hacktivisten toegang hadden tot de
gesprekken die via Televic tele-
conferencing gebeurden.
– kan dat echt?
– is er een communicatieplan klaar naar pers,
klant(en), beurswaakhond,…?
Wat als
…C P
A I
Beschikbaarheid
• alle informatie van R&D geëncrypteerd
wordt door “ransomware”
– de hackers betalen? zullen ze dan wel de
decryptiesleutel geven?
– kunnen we backups gebruiken? hoeveel
dagen werk verliezen we dan?
– zijn we de besmetting dan kwijt of zit ze nog in
het systeem?
Wat als
…C P
A I
Beschikbaarheid
• een relatie met een klant verzuurt, Televic
formele briefwisseling ontvangt die
refereert naar het contract dat 8 jaar
geleden is gesloten en we het contract
niet meer vinden?
– hoe professioneel is het om het contract bij de
klant op te vragen?
– moeten we antwoorden op zo’n brieven
zonder het contract onder ogen te hebben?
Wat als
…C P
A I
Doelgebondenheid
• een medewerker die politiek actief is, een
selectie op de klantenlijst gebruikt om zijn
campagne op te baseren
– door flyers toe te sturen
– om financiering te vragen
• het om het gebruik van televic’s twitter
account ging om te verwijzen naar de
campagnepagina?
Wat als
…C P
A I
Integriteit
• een klant denkt dat de opleidings-
resultaten gemanipuleerd zijn, omdat ze
heel onwaarschijnlijke statistische
analyses bekomen?
– kan dergelijke manipulatie als een
medewerker toegang heeft tot een ander rol?
– kunnen we de klant geruststellen dat het
product wel degelijk de resultaten correct
weergeeft?
Wat als
…C P
A I
Integriteit
• een medewerker van het salesteam heeft
vragen bij de nieuwe prijzen; hij wist niet
dat ze recent gewijzigd waren. De sales
directeur weet ook van niets.
– zijn de prijslijsten aangepast zonder dat er
een formele beslissing is geweest van het
management?
Wat als
…C P
A I
Hoe is dat mijn probleem?
Hoe kan ik daaraan bijdragen?
Informatieveiligheid door lagen
De zwakke schakel
• Mensen zijn de zwakke schakel in
informatieveiligheid.
• Jij bent de zwakke schakel in
informatieveiligheid.
Toch niet als het om klanten gaat?
• De klanten van Televic hebben zelf ook
belang bij informatieveiligheid.
• Voor sommige aspecten rekenen ze
daarbij op Televic. Soms wordt dat geëist:
in de tender, in het contract,…
• Als Televic die bekommernis kan
afdekken door informatieveiligheid in het
product-design op te nemen, …
Ik ben loyaal aan Televic
• Daaraan wordt niet getwijfeld.
• Niet alle incidenten doen zich
voor omdat een interne
medewerker in het complot zit.
• Als je een slechte dag
hebt, kan je al eens
incidentjes triggeren
door overdreven te
reageren.
“Vandaag is echt de dag niet”
“Bespeeld”
• Afpersing
– Met private foto’s,
emails,…
• “Social engineering”
– Gebruik maken van de
goed(gelovig)heid van
mensen.
Ladies first… of toch niet?
• Bezoekers moet langs
de receptie passeren,
zelfs personeel van
toeleveringsbedrijven
“Mijn” computer
• Als de computer (tablet,
…) de werkplek verlaat,
is de veiligheid ervan in
jouw handen.
– Achterlaten is een ding…
– maar soms is men uit op
de computer zelf en is de
data een toetje.
“Click click” – computer op slot
• Even weg van
je computer?
Sluit hem dan.
Wachtwoorden
• Je account is
persoonlijk. Wat
er op gebeurd
wordt jou
aangerekend.
• Er zijn do’s en
don’ts voor
wachtwoorden.
Kan je snel mijn cv even uitprinten?
Phishing
• Geef je
informatie in
op dit
formulier.
• Klik op deze
link.
• Surf naar deze
website.
Loose lips sink ships
Op het werk zijn
we bezig met…
“Foutje”
BCC syndroom
• Naar
verschillende
klanten in een
keer. Kan toch
met BCC?
Reply all
• Moeten ze allemaal op de
hoogte zijn van mijn antwoord?
– “Mijn estimaties voor dit kwartaal
zijn…”
– “Klopt ik ben laat met mijn
expenses, maar dat komt omdat
ik niet weet hoe ik mijn bezoek
aan een Russische “tent” moet
verantwoorden.”
“Dikke vingers”
• Oei, email over het
gesprek dat niet zo goed
is verlopen, ook naar de
klant gestuurd.
• Oei, evaluatie (incl.
verbeterpunten) van
Jean naar het ganse
team gestuurd.
Had ik dat geweten
Ook afval kan informatie bevatten
Fouten wegsteken ?!
• Tijd gaat
verloren.
• De fout kan een
sneeuwbaleffect
veroorzaken.
Op de goede weg…
… samen
top related