Nuttige links

Beste CYSSEC’er,

Op deze pagina tref je een verzameling aan nuttige links aan, om jou en je organisatie te helpen met digitale veiligheid! Deze links verwijzen door naar webpagina’s waarop relevante kennis, tools of tips ter beschikking staan. De links zijn verdeeld over de volgende thema’s:

Bewustwordingscampagne: Onderzoek heeft aangetoond dat het merendeel van de cyberincidenten ontstaan door menselijke fouten. Een bewustwordingscampagne gericht op informatiebeveiliging kan er voor zorgen dat medewerkers bewust en alert worden op de risico’s die ze lopen en kan hen helpen deze risico’s te beperken. Het DTC (Digital Trust Center) heeft een stappenplan gepubliceerd voor het opzetten van een bewustwordingscampagne:

• https://www.digitaltrustcenter.nl/informatie-en-advies/strategische-besluitvorming/cyberbewustwording-creeren-binnen-je-organisatie/stappenplan-opzetten-bewustwordingscampagne

BIA (Business Impact Analyse): een BIA wordt in het kader van Business Continuity Management binnen een organisatie gebruikt om de kritieke van de niet-kritieke processen te scheiden. Een BIA is de eerste stap in het proces van het opmaken van een Business Continuity Plan.

• https://publications.tno.nl/publication: Aan de BIA zoals die tegenwoordig in de meeste organisaties wordt uitgevoerd kan nog veel verbeterd worden. Dat is de conclusie van een aantal interviews en een expertsessie met verscheidene information-security-consultants met meerjarige ervaring in het ondersteunen van organisaties met het uitvoeren van BIA’s. Dit document beschrijft de geconstateerde onvolkomenheden en een aantal mogelijke verbeterpunten voor zowel de korte, als de wat langere termijn.
• https://www.informatiebeveiligingsdienst.nl/wp-content/uploads/2016/09/20160909-Handreiking-Bedrijfscontinuiteit: Dit document bevat een good practice voor bedrijfscontinuïteitsbeheer. Deze good practice bevat een (pragmatische) aanpak om (kritische) bedrijfsprocessen te beschermen tegen de gevolgen van omvangrijke storingen of calamiteiten/rampen en om tijdig herstel te bewerkstelligen.
• https://www.ncsc.nl/binaries/content/documents/ncsc-nl/actueel/whitepapers/business-continuity-management: Dit document bevat een beschrijving van wat Business Continuity Management is, hoe het Continuïteitskader wordt bepaald, en hoe de Continuïteitsstrategie wordt bepaald.

BYOD (Bring Your Own Device): steeds meer organisaties maken gebruik van een BYOD-beleid. Wat is het nu precies en wat zijn de voor – en nadelen ervan? Hoe ziet een BYOD-beleid eruit?

• https://www.ncsc.nl/binaries/content/documents/ncsc-nl/actueel/whitepapers/beveiligingsrichtlijnen-voor-mobiele-apparaten: De Richtlijnen geven een overzicht van beveiligingsmaatregelen die gebruikers en beheerders van mobiele apparaten moeten nemen om een bepaalde mate van veiligheid te bereiken.
• https://decentrale.regelgeving.overheid.nl –> voorbeeld BYOD beleid, Gemeente Velsen

Cloud: Je wilt (of moet) als ondernemer naar de Cloud. Waar moet je rekening mee houden bij het kiezen van een Cloud-leverancier? Het DTC (Digital Trust Center) heeft een aantal vragen opgesteld die kunnen helpen bij het beantwoorden van deze vragen:

• https://www.digitaltrustcenter.nl/informatie-en-advies/strategische-besluitvorming/kiezen-voor-de-cloud/ik-wil-naar-de-cloud

Cybersecurity quizzen: wilt u uw eigen cybersecurity kennis testen of het kennisniveau van uw personneel testen? Onderstaande cybersecurity quizzen bieden hiervoor de uitkomst. Deze kunnen bijvoorbeeld ingezet worden tijdens een awareness-campagne.

• https://www.alertonline.nl/cyberskillstest#/: Benieuwd naar hoe alert u online bent? Start de test, klik op de categorieën en beantwoord de vragen. U krijgt direct uitleg en praktische tips om uw skills te verbeteren.
• https://cybersecuritymonth.eu/references/quiz-demonstration/welcome-to-the-network-and-information-security-quiz/: The Network and Information Security quiz provides two quizzes; one on Privacy and one on Security. Test your knowledge level.
• https://www.kaspersky.com/blog/security-terms-quiz: Find out how good you are at recognizing a cyber threat when you read about one.

Cybersecurity volwassenheid scan: Hoe goed is de beveiliging van uw organisatie? Wat moeten jullie doen om meer in control te komen? Cyber maturity scans geven inzicht in het beveiligingsniveau van uw organisatie. Hieronder enkele goede (vrij beschikbare) scans:

• https://securelink.net/campagne/survey/: Met deze basis Security Maturity Assessment krijgt u een eerste blik op hoe volwassen uw organisatie is met betrekking tot cyberbeveiliging. Het model achter deze assessment is gebaseerd op drie elementen: mensen, processen en technologie.
• https://nederlandscybercollectief.nl/de-adviesmachine/kies-themas: Kies de thema’s die voor uw organisatie van belang zijn en ontdek welke stappen uw bedrijf veiliger maken.
• https://www.cybersecurityraad.nl/binaries/Cybersecurity_Health_Check_ENG: This is the Cyber Security Health Check – a tool that allows you to gain an insight into cyber security within your organisation. This Health Check is primarily aimed at medium-sized companies.

Identiteitsfraude: Tegenwoordig is veel van onze persoonlijke data ergens digitaal opgeslagen. Eén van de grootste en meest verregaande risico’s die dit met zich meebrengt is dat bijvoorbeeld een grootschalig datalek tot identiteitsfraude kan leiden. Hoe kan ik mij of mijn organisatie nou hiertegen beschermen? De links hieronder geven nuttige tips.

• KopieID app: Met de KopieID app kunt u in de kopie de identiteitsgegevens doorstrepen die organisaties niet nodig hebben of niet mogen verwerken. Ook zet u met de app een watermerk in de kopie met daarin het doel en de datum van de kopie.
• Hoe kan ik identiteitsfraude voorkomen?
• Hoe bescherm ik mijn bedrijf tegen identiteitsfraude?
• Meldingsformulieren identiteitsfraude
• Ik ben slachtoffer geworden van identiteitsfraude, wat moet ik doen?

Privacy: “You can have security without privacy, but you can’t have privacy without security”. Met de komst van de AVG in mei 2018 staat Privacy bij iedereen hoog op de agenda. De implementatie van de AVG brengt met zich de nodige kopzorgen. Gelukkig zijn er veel nuttige guidelines die de lastige wetstekst van de AVG vertalen naar praktische tips en handleidingen. Hieronder een aantal voorbeelden op een rij:

• https://www.autoriteitpersoonsgegevens.nl/nl/zelf-doen/voorbeeldbrieven: Om u te helpen bij het uitoefenen van uw privacyrechten, heeft de Autoriteit Persoonsgegevens een aantal voorbeeldbrieven gemaakt.
• https://www.autoriteitpersoonsgegevens.nl/nl/zelf-doen/avg-guidelines: De Autoriteit Persoonsgegevens publiceert samen met de andere Europese privacytoezichthouders guidelines die bepaalde onderwerpen uit de AVG verduidelijken.
• https://www.autoriteitpersoonsgegevens.nl/nl/zelf-doen/data-protection-impact-assessment-dpia: De Data Privacy Impact Assessment is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. En om daarna maatregelen te kunnen nemen om de risico’s te verkleinen.
• https://www.autoriteitpersoonsgegevens.nl/nl/publicaties/onderzoeken
• https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/handleiding
  _privacybescherming_internet_of_things.pdf: In deze handleiding geeft de Autoriteit Persoonsgegevens een aantal tips voor het kopen, installeren en gebruiken van een internet of things-apparaat.
• https://hulpbijprivacy.nl/: praktische tips voor het MKB
• https://www.rijksoverheid.nl/handleiding-privacy-by-design.pdf
• https://ico.org.uk/for-organisations/guide-to-data-protection/
• https://ico.org.uk/for-organisations/data-protection-self-assessment/: This self assessment toolkit has been created with small organisations in mind and is most useful for SMEs. Use the checklists to assess your compliance with data protection law and find out what you need to do to make sure you are keeping people’s personal data secure.
• https://www.norea.nl/download/NOREA Guide Privacy Control Framework: The documents’ primary objective is to provide guidance to (audit) professionals in assessing whether an entity’s control objectives regarding privacy and personal data protection are achieved.
• https://www.cnil.fr/en/open-source-pia-software –> gratis tool aangeboden door de Franse Autoriteit Persoonsgegevens voor het uitvoeren van DPIAs
• https://ec.europa.eu/newsroom/article29/: Overzicht documenten en artikelen gepubliceerd door de Working Party Article 29.

Ransomware: The “No More Ransom” website is an initiative by the National High Tech Crime Unit of the Netherlands’ police, Europol’s European Cybercrime Centre and McAfee with the goal to help victims of ransomware retrieve their encrypted data without having to pay the criminals.

• https://www.nomoreransom.org/en/decryption-tools.html

Responsible disclosure: responsible disclosure is het op een verantwoorde wijze en in gezamenlijkheid tussen melder en organisatie openbaar maken van ICT-kwetsbaarheden. Met een bug bounty nodig je mensen uit om jouw organisatie op een (ethische) wijze te hacken, en de gevonden kwetsbaarheden aan jou te rapporteren. De organisatie heeft dan de kans om de kwetsbaarheid op te lossen en de ‘hacker’ ontvangt hiervoor een beloning (‘bounty’).

• https://ma.hacker.one/bug-bounty-field-manual: A manual on how to plan, launch, and operate a successful Bug Bounty Program.
• NL: https://www.ncsc.nl/actueel/nieuwsberichten/leidraad-responsible-disclosure: De leidraad is een handreiking voor organisaties en melders voor het op een verantwoordelijke wijze melden en afhandelen van kwetsbaarheden in informatiesystemen en (software)producten. Met de handreiking kunnen organisaties een eigen responsible disclosure policy opstellen.
• EN: https://www.ncsc.nl/english/current-topics/news/responsible-disclosure-guideline: The guideline is a tool for organisations and incident reporters to facilitate responsible reporting and handling of vulnerabilities in information systems, software and other ICT products. Organisations can use the guideline to help them draft their own responsible disclosure policies.
• https://www.ncsc.nl/security –> Coordinated Vulnerability Disclosure melding
• https://www.ncsc.nl/actueel/leidraad-coordinated-vulnerability-disclosure: In deze herziene leidraad is extra aandacht voor de menselijke factor bij succesvol CVD-beleid én voor het belang van goede onderlinge communicatie.

Spam: heb je last van spam? Meld het dan vooral bij de ACM en help hen spam aan te pakken (let op: phishing berichten vallen buiten hun scope!). De ACM heeft daarnaast een lijst met tips om spam te voorkomen.

• https://www.acm.nl/nl/onderwerpen/telecommunicatie/meld-spam-bij-de-acm
• https://www.acm.nl/nl/onderwerpen-telecommunicatie-meld-spam-bij-acm/tips-om-spam-te-voorkomen

VPN tips: VPN staat voor Virtual Private Network. Een VPN online gebruiken helpt om je om jouw privacy en gegevens te beschermen. Lees hieronder meer over wat een VPN precies is en welke VPNs worden aangeraden om te installeren.

• https://www.vpngids.nl/vpn-info/wat-is-een-vpn/
• https://www.vpngids.nl/reviews/beste-vpn/