infosec and data protection in b2b - exercise (dutch)

Informatieveiligheid

Informatieveiligheid

• Informatiebeveiliging

• Gegevensbeveiliging

• Privacy

• Alle informatie

• C.I.A.

• Privacygevoelige gegevens

• Confidentialiteit

• Persoonsgegevens

• C.I.A. + doel

B2B, dus… dat telt allemaal niet?!

PrivacygevoeligBinnen Televic

Personeelsevaluaties,

loongegevens,…

Klanten

Communicatie

Klanten van klanten

Patiëntendossiers


PersoonsgegevensBinnen Televic

Personeelsevaluaties,

loongegevens,

klantencontacten,…

Klanten

Inlogggevens (cloud)users

Klanten van klanten

Patiëntendossiers, opleidings-

opvolging en -resultaten,…


AlgemeenBinnen Televic

Research & Development,

prijslijsten klanten, …

Klanten

Bedrijfsdocumenten gebruikt in

teleconferentie, besprekingen

over conferentiesystemen,…

Wat kan er gebeuren?

Wat kan er gebeuren?• Confidentiality

• Availability

• Privacy

• Integrity

C P

A I

Vertrouwelijkheid

• een patentaanvraag wordt ingediend net

voor Televic’s R&D afdeling dat kan doen

voor een technologie die wel bijzonder

sterk op die van Televic’s pipeline lijkt

Wat als

…C P

A I

Vertrouwelijkheid

• de loongegevens van het Televic

personeel en management

– onder het personeel worden gecirculeerd

– op een website worden geplaatst

Wat als

…C P

A I

Vertrouwelijkheid

• de opleidingsopvolgingsgegevens – en

resultaten van een klant van Televic

Education voor alle medewerkers van die

klant beschikbaar zijn

– de relatiebeheerder wordt gecontacteerd door

de klant

– de juridische afdeling krijgt een ingebreke-

stelling (of zelfs dagvaarding) binnen van de

klant ter vergoeding van schade

Wat als

…C P

A I

Vertrouwelijkheid

• een overname-deal van een klant

voortijdig op sociale media wordt

bekendgemaakt omdat journalisten /

hacktivisten toegang hadden tot de

gesprekken die via Televic tele-

conferencing gebeurden.

– kan dat echt?

– is er een communicatieplan klaar naar pers,

klant(en), beurswaakhond,…?

Wat als

…C P

A I

Beschikbaarheid

• alle informatie van R&D geëncrypteerd

wordt door “ransomware”

– de hackers betalen? zullen ze dan wel de

decryptiesleutel geven?

– kunnen we backups gebruiken? hoeveel

dagen werk verliezen we dan?

– zijn we de besmetting dan kwijt of zit ze nog in

het systeem?

Wat als

…C P

A I

Beschikbaarheid

• een relatie met een klant verzuurt, Televic

formele briefwisseling ontvangt die

refereert naar het contract dat 8 jaar

geleden is gesloten en we het contract

niet meer vinden?

– hoe professioneel is het om het contract bij de

klant op te vragen?

– moeten we antwoorden op zo’n brieven

zonder het contract onder ogen te hebben?

Wat als

…C P

A I

Doelgebondenheid

• een medewerker die politiek actief is, een

selectie op de klantenlijst gebruikt om zijn

campagne op te baseren

– door flyers toe te sturen

– om financiering te vragen

• het om het gebruik van televic’s twitter

account ging om te verwijzen naar de

campagnepagina?

Wat als

…C P

A I

Integriteit

• een klant denkt dat de opleidings-

resultaten gemanipuleerd zijn, omdat ze

heel onwaarschijnlijke statistische

analyses bekomen?

– kan dergelijke manipulatie als een

medewerker toegang heeft tot een ander rol?

– kunnen we de klant geruststellen dat het

product wel degelijk de resultaten correct

weergeeft?

Wat als

…C P

A I

Integriteit

• een medewerker van het salesteam heeft

vragen bij de nieuwe prijzen; hij wist niet

dat ze recent gewijzigd waren. De sales

directeur weet ook van niets.

– zijn de prijslijsten aangepast zonder dat er

een formele beslissing is geweest van het

management?

Wat als

…C P

A I

Hoe is dat mijn probleem?

Hoe kan ik daaraan bijdragen?

Informatieveiligheid door lagen

De zwakke schakel

• Mensen zijn de zwakke schakel in

informatieveiligheid.

• Jij bent de zwakke schakel in

informatieveiligheid.

Toch niet als het om klanten gaat?

• De klanten van Televic hebben zelf ook

belang bij informatieveiligheid.

• Voor sommige aspecten rekenen ze

daarbij op Televic. Soms wordt dat geëist:

in de tender, in het contract,…

• Als Televic die bekommernis kan

afdekken door informatieveiligheid in het

product-design op te nemen, …

Ik ben loyaal aan Televic

• Daaraan wordt niet getwijfeld.

• Niet alle incidenten doen zich

voor omdat een interne

medewerker in het complot zit.

• Als je een slechte dag

hebt, kan je al eens

incidentjes triggeren

door overdreven te

reageren.

“Vandaag is echt de dag niet”

“Bespeeld”

• Afpersing

– Met private foto’s,

emails,…

• “Social engineering”

– Gebruik maken van de

goed(gelovig)heid van

mensen.

Ladies first… of toch niet?

• Bezoekers moet langs

de receptie passeren,

zelfs personeel van

toeleveringsbedrijven

“Mijn” computer

• Als de computer (tablet,

…) de werkplek verlaat,

is de veiligheid ervan in

jouw handen.

– Achterlaten is een ding…

– maar soms is men uit op

de computer zelf en is de

data een toetje.

“Click click” – computer op slot

• Even weg van

je computer?

Sluit hem dan.

Wachtwoorden

• Je account is

persoonlijk. Wat

er op gebeurd

wordt jou

aangerekend.

• Er zijn do’s en

don’ts voor

wachtwoorden.

Kan je snel mijn cv even uitprinten?

Phishing

• Geef je

informatie in

op dit

formulier.

• Klik op deze

link.

• Surf naar deze

website.

Loose lips sink ships

Op het werk zijn

we bezig met…

“Foutje”

BCC syndroom

• Naar

verschillende

klanten in een

keer. Kan toch

met BCC?

Reply all

• Moeten ze allemaal op de

hoogte zijn van mijn antwoord?

– “Mijn estimaties voor dit kwartaal

zijn…”

– “Klopt ik ben laat met mijn

expenses, maar dat komt omdat

ik niet weet hoe ik mijn bezoek

aan een Russische “tent” moet

verantwoorden.”

“Dikke vingers”

• Oei, email over het

gesprek dat niet zo goed

is verlopen, ook naar de

klant gestuurd.

• Oei, evaluatie (incl.

verbeterpunten) van

Jean naar het ganse

team gestuurd.

Had ik dat geweten

Ook afval kan informatie bevatten

Fouten wegsteken ?!

• Tijd gaat

verloren.

• De fout kan een

sneeuwbaleffect

veroorzaken.

Op de goede weg…

… samen