ICT Security Handboek NL800

Deel I: Inleiding en fundamenten van informatiebeveiliging

Inhoudsopgave

Deel I: Inleiding en fundamenten van informatiebeveiliging

  • Hoofdstuk 1: Wat is informatiebeveiliging?

  • Hoofdstuk 2: Belangrijke begrippen en modellen

  • Hoofdstuk 3: Wet- en regelgeving

  • Hoofdstuk 4: Rollen en verantwoordelijkheden

Deel II: Risicobeheer en beleidsvorming

  • Hoofdstuk 5: Risicoanalyse uitvoeren

  • Hoofdstuk 6: Securitybeleid opstellen

Deel III: Technische beveiliging van systemen en endpoints

  • Hoofdstuk 7: Endpoint security

  • Hoofdstuk 8: Patchmanagement

  • Hoofdstuk 9: Versleuteling en cryptografie

Deel IV: Netwerk- en communicatiebeveiliging

  • Hoofdstuk 10: Netwerkarchitectuur

  • Hoofdstuk 11: Firewalls en VPN

  • Hoofdstuk 12: IDS/IPS-systemen

  • Hoofdstuk 13: Wireless netwerkbeveiliging

Deel V: Toegangsbeheer en identiteit

  • Hoofdstuk 14: Authenticatie en autorisatie

  • Hoofdstuk 15: Identity & Access Management (IAM)

Deel VI: Databeveiliging

  • Hoofdstuk 16: Beveiliging van datadragers

  • Hoofdstuk 17: Data verwijderen

Deel VII: Incidentrespons en herstel

  • Hoofdstuk 18: Incidentrespons

  • Hoofdstuk 19: Back-up en herstel

Deel VIII: Organisatie en gedrag

  • Hoofdstuk 20: Security awareness en training

Deel IX: Governance en controle

  • Hoofdstuk 21: Audits en compliance

  • Hoofdstuk 22: Certificering

Deel X: Ondersteunende hulpmiddelen

  • Hoofdstuk 23: Praktische checklists

  • Hoofdstuk 24: Tools en sjablonen

Hoofdstuk 1: Wat is informatiebeveiliging?

Informatiebeveiliging omvat het geheel aan maatregelen en processen die ervoor zorgen dat informatie beschermd is tegen ongeautoriseerde toegang, wijziging, vernietiging of verstoring. Het doel is om de waardevolle informatie van een organisatie, individu of systeem veilig te houden en operationele continuïteit te waarborgen.

Informatie kan in vele vormen voorkomen: digitaal, gedrukt, mondeling of als beeldmateriaal. Onafhankelijk van de vorm is bescherming noodzakelijk om reputatieschade, financiële verliezen, juridische gevolgen en operationele verstoringen te voorkomen.

De kern van informatiebeveiliging ligt in het hanteren van drie fundamentele principes, vaak samengevat als het CIA-triad:

  • Vertrouwelijkheid (Confidentiality): Alleen bevoegde personen hebben toegang tot informatie. Denk aan het afschermen van patiëntgegevens in de zorg of financiële gegevens van klanten.

  • Integriteit (Integrity): Gegevens zijn correct, volledig en up-to-date. Dit voorkomt dat informatie opzettelijk of per ongeluk wordt gewijzigd. Bijvoorbeeld, een wijziging in bankrekeningnummers zonder juiste autorisatie kan ernstige gevolgen hebben.

  • Beschikbaarheid (Availability): Informatie is beschikbaar wanneer nodig. Dit houdt in dat systemen operationeel zijn en gebruikers op het juiste moment toegang hebben tot de informatie, bijvoorbeeld bij een online transactie of medische noodsituatie.

Een goede informatiebeveiliging vereist een combinatie van technische, organisatorische en menselijke maatregelen. Denk aan firewalls, encryptie, toegangscontrole, bewustwordingstraining en een duidelijk beleid. Beveiliging is geen eenmalige actie, maar een continu proces dat mee-evolueert met bedreigingen, technologie en wetgeving.

Hoofdstuk 2: Belangrijke begrippen en modellen

In dit hoofdstuk worden fundamentele begrippen en modellen besproken die van cruciaal belang zijn voor het begrijpen en toepassen van informatiebeveiliging.

Risico

Een risico is de kans dat een bedreiging gebruikmaakt van een kwetsbaarheid met een bepaalde impact tot gevolg. In formulevorm: Risico = Kans × Impact. Hoe groter de kans én hoe groter de mogelijke schade, hoe hoger het risico. Risicobeoordeling helpt prioriteiten te stellen in beveiligingsmaatregelen.

Bedreiging (Threat)

Een bedreiging is een potentieel gevaar dat misbruik kan maken van een kwetsbaarheid om schade aan te richten. Voorbeelden van bedreigingen zijn:

  • Malware (zoals virussen, ransomware)

  • Menselijke fouten (per ongeluk data wissen)

  • Social engineering (manipulatie van mensen om toegang te verkrijgen)

  • Fysieke bedreigingen (brand, diefstal)

Kwetsbaarheid (Vulnerability)

Een kwetsbaarheid is een zwakke plek in systemen, processen of gedrag die misbruikt kan worden door een bedreiging. Dit kan gaan om verouderde software, slechte wachtwoorden of een onbeveiligde netwerkinfrastructuur.

Maatregelen (Controls)

Controls zijn beheersmaatregelen die risico’s mitigeren of beheersbaar maken. Er zijn verschillende typen:

  • Preventieve maatregelen (firewalls, toegangscontrole)

  • Detectieve maatregelen (logging, IDS)

  • Correctieve maatregelen (back-ups, herstelprocedures)

ISO/IEC 27001

Deze internationale norm biedt een kader voor het opzetten, implementeren, beheren en verbeteren van een Information Security Management System (ISMS). Het is gebaseerd op risicomanagement en omvat beleidsvorming, processen, verantwoordelijkheden en continue verbetering. De norm bevat ook een annex met 114 beveiligingsmaatregelen verdeeld over thema’s zoals beleid, personeel, toegangsbeheer, fysieke beveiliging en incidentmanagement.

Andere relevante modellen:

  • CIA-triad (besproken in Hoofdstuk 1): Vertrouwelijkheid, Integriteit, Beschikbaarheid

  • NIST Cybersecurity Framework: Identificeren, beschermen, detecteren, reageren, herstellen

  • STRIDE-model: Dreigingsmodellering: Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, Elevation of Privilege

Deze begrippen en modellen vormen de basis voor de verdere hoofdstukken in dit handboek.

Hoofdstuk 3: Wet- en regelgeving

Een belangrijk aspect van informatiebeveiliging is het naleven van geldende wet- en regelgeving. In veel gevallen zijn organisaties wettelijk verplicht om maatregelen te treffen ter bescherming van persoonsgegevens en bedrijfsgevoelige informatie.

Algemene Verordening Gegevensbescherming (AVG / GDPR)

De AVG (in het Engels GDPR) is een Europese verordening die de privacyrechten van burgers versterkt en organisaties verplicht zorgvuldig met persoonsgegevens om te gaan. Belangrijke verplichtingen zijn:

  • Het vastleggen van een grondslag voor gegevensverwerking

  • Transparantie richting betrokkenen (privacyverklaring)

  • Beveiliging van persoonsgegevens

  • Datalekken melden binnen 72 uur aan de Autoriteit Persoonsgegevens

  • Het recht op inzage, correctie en verwijdering van gegevens

  • Verwerkersovereenkomsten afsluiten met derden

De boetes voor niet-naleving kunnen oplopen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet.

NIS2-richtlijn (Network and Information Security Directive 2)

Deze Europese richtlijn, opvolger van NIS1, richt zich op de beveiliging van netwerk- en informatiesystemen van vitale en belangrijke sectoren, zoals energie, vervoer, gezondheidszorg en digitale infrastructuren. Belangrijke eisen zijn:

  • Aanstelling van verantwoordelijken voor cybersecurity

  • Verplichting tot risicomanagementmaatregelen

  • Meldplicht van incidenten

  • Periodieke audits en toezicht

NIS2 verplicht lidstaten ook om sancties op te leggen bij niet-naleving, en geldt voor zowel publieke als private organisaties in kritieke sectoren.

Telecommunicatiewet

De Telecommunicatiewet regelt onder andere de vertrouwelijkheid van communicatie, het gebruik van cookies en meldplicht bij inbreuken op gegevensbeveiliging voor telecomaanbieders. Belangrijke onderdelen:

  • Beveiligingsverplichting voor aanbieders van elektronische communicatiediensten

  • De meldplicht datalekken aan de toezichthouder (ACM en AP)

  • Regels over het gebruik van tracking cookies (cookiebanners en toestemming)

Andere relevante wetten en normen

  • Wet beveiliging netwerk- en informatiesystemen (Wbni): Nederlandse implementatie van de NIS-richtlijn

  • Wet politiegegevens / zorgspecifieke wetgeving: Voor organisaties in zorg en veiligheid

  • ISO/IEC 27001 en NEN 7510: Geen wetten, maar veelgebruikte normen voor compliance en certificering

Het naleven van wet- en regelgeving is geen keuze, maar een fundamenteel onderdeel van een volwassen informatiebeveiligingsbeleid. Organisaties doen er verstandig aan om juridische expertise te betrekken bij de inrichting van hun beveiligingsprocessen.

Hoofdstuk 4: Rollen en verantwoordelijkheden

Effectieve informatiebeveiliging vereist een duidelijke verdeling van rollen en verantwoordelijkheden binnen een organisatie. Iedere rol draagt bij aan het beschermen van informatie, het voorkomen van incidenten en het voldoen aan wet- en regelgeving.

Chief Information Security Officer (CISO)

De CISO is verantwoordelijk voor het ontwikkelen, implementeren en onderhouden van het informatiebeveiligingsbeleid. Deze persoon zorgt voor:

  • Strategische aansturing van beveiligingsprogramma's

  • Bewustwording en training binnen de organisatie

  • Rapportage aan het hoger management over risico's en incidenten

  • Implementatie van normen zoals ISO 27001

Data Protection Officer (DPO)

De DPO (ook wel functionaris voor gegevensbescherming genoemd) is wettelijk verplicht in veel organisaties volgens de AVG. Taken van de DPO:

  • Toezicht houden op naleving van de AVG

  • Informeren en adviseren van medewerkers over privacy

  • Contactpersoon voor de Autoriteit Persoonsgegevens

  • Uitvoeren van Data Protection Impact Assessments (DPIA’s)

IT-beheerder

De IT-beheerder is verantwoordelijk voor de technische uitvoering van beveiligingsmaatregelen, waaronder:

  • Installeren van updates en patches

  • Configureren van firewalls, antivirussoftware en toegangscontrole

  • Beheren van back-upsystemen

  • Monitoren van logbestanden en netwerkverkeer

Applicatiebeheerder

De applicatiebeheerder houdt toezicht op de veiligheid van softwaretoepassingen:

  • Beveiligingsinstellingen in software

  • Gebruikersautorisatie en -rollen beheren

  • Software hardening en versiebeheer

Gebruikers

Iedere medewerker is verantwoordelijk voor het naleven van beveiligingsbeleid. Gebruikers moeten:

  • Veilig omgaan met wachtwoorden en persoonsgegevens

  • Opleidingen volgen over security awareness

  • Incidenten en verdachte activiteiten melden

  • Alleen toegang gebruiken die nodig is voor hun functie

Management

Het hoger management heeft een toezichthoudende rol:

  • Ondersteunt het informatiebeveiligingsbeleid financieel en organisatorisch

  • Stelt prioriteiten op basis van risicoanalyses

  • Zorgt voor integratie van security in strategische besluitvorming

Een heldere verantwoordelijkheidsstructuur is essentieel voor een veerkrachtige beveiligingsorganisatie. Rollen moeten worden vastgelegd in functieprofielen, beleidsdocumenten en procedures.

 

 

Deel II: Risicoanalyse en beleid

Hoofdstuk 5: Risicoanalyse uitvoeren

Een risicoanalyse vormt de basis voor elk informatiebeveiligingsbeleid. Het helpt organisaties om bedreigingen te identificeren, hun kwetsbaarheden in kaart te brengen en gepaste maatregelen te nemen. De aanpak moet systematisch, herhaalbaar en gedocumenteerd zijn.

Stap 1: Identificeer assets

Assets zijn waardevolle bedrijfsmiddelen zoals:

  • Hardware (servers, laptops, netwerkapparatuur)

  • Software (besturingssystemen, applicaties)

  • Data (klantgegevens, financiële gegevens, intellectueel eigendom)

  • Personeel (kennis en toegang tot systemen)

Stap 2: Identificeer dreigingen en kwetsbaarheden

Dreigingen kunnen zijn:

  • Cyberaanvallen (phishing, ransomware)

  • Interne fouten (verkeerde configuraties, menselijke vergissingen)

  • Fysieke incidenten (diefstal, brand, stroomuitval)

Kwetsbaarheden zijn zwakke plekken in de beveiliging, zoals:

  • Verouderde software

  • Zwakke wachtwoorden

  • Geen toegangscontrole

  • Onversleutelde communicatie

Stap 3: Analyseer risico’s

Gebruik risicomodellen zoals:

  • DREAD-model (Damage, Reproducibility, Exploitability, Affected Users, Discoverability)

  • CVSS (Common Vulnerability Scoring System)

  • Risicomatrix: plot kans versus impact

Bepaal per risico de ernst:

  • Hoog: onmiddellijke actie vereist

  • Middel: actie vereist op korte termijn

  • Laag: monitoren of later aanpakken

Stap 4: Bepaal mitigerende maatregelen

Voor elk hoog risico moet worden vastgesteld:

  • Welke controls al bestaan

  • Wat aanvullende maatregelen zijn (technisch, organisatorisch, juridisch)

  • Wie verantwoordelijk is voor de implementatie

Voorbeeldmaatregelen:

  • Invoeren van MFA voor vertrouwelijke systemen

  • Beperken van netwerktoegang via segmentatie

  • Trainen van personeel op phishing

Documentatie en evaluatie

Alle stappen moeten worden gedocumenteerd in een risicoanalyseverslag. Evaluaties vinden idealiter jaarlijks plaats of bij grote veranderingen (bijv. nieuwe IT-infrastructuur).

Een goed uitgevoerde risicoanalyse helpt organisaties om effectief te investeren in beveiligingsmaatregelen en prioriteiten te stellen op basis van feiten in plaats van aannames.

Hoofdstuk 6: Securitybeleid opstellen

Een securitybeleid (informatiebeveiligingsbeleid) is een strategisch document waarin de doelstellingen, principes en regels staan die een organisatie hanteert om haar informatie en systemen te beschermen. Het beleid vormt de ruggengraat van alle beveiligingsmaatregelen en moet worden afgestemd op de bedrijfsdoelen, wetgeving en risicobeoordeling.

Doel en reikwijdte

Het securitybeleid beschrijft:

  • Het belang van informatiebeveiliging voor de organisatie

  • De toepassingsgebieden (bijv. alleen digitale informatie of ook fysieke documenten)

  • Welke systemen, gebruikers en processen onder het beleid vallen

  • Koppeling met andere beleidsdocumenten (zoals privacybeleid of ICT-beleid)

Kernonderwerpen in het beleid

  1. Toegangsbeheer:

    • Procedures voor autorisatie en authenticatie

    • Beheer van gebruikersrechten

    • Gebruik van sterke wachtwoorden en MFA

  2. Netwerkgebruik en connectiviteit:

    • Beleid voor het gebruik van Wi-Fi, VPN en gastnetwerken

    • Segmentatie van netwerken

    • Verboden activiteiten (zoals peer-to-peer bestanden delen, gebruik van onveilige clouddiensten)

  3. Softwarebeheer en updates:

    • Procedures voor patchmanagement

    • Beleid voor installatie van software en BYOD (Bring Your Own Device)

    • Gebruik van goedgekeurde applicaties

  4. Mobiele apparaten en thuiswerken:

    • Beveiliging van laptops, tablets en telefoons

    • Gebruik van versleutelde verbindingen

    • Verbod op lokale opslag van gevoelige informatie

  5. E-mail- en internetgebruik:

    • Regels voor veilig gebruik van e-mail

    • Maatregelen tegen phishing

    • Beperkingen op gebruik van sociale media op bedrijfsapparatuur

Incidentresponsebeleid

Het securitybeleid moet ook richtlijnen bevatten voor:

  • Het melden van beveiligingsincidenten en datalekken

  • Wie te informeren (interne verantwoordelijken en externe toezichthouders)

  • Documentatie en opvolging van incidenten

  • Escalatieprocedures

Beleidsonderhoud en evaluatie

Een goed beleid is geen statisch document. Daarom moet het:

  • Minimaal jaarlijks worden geëvalueerd en aangepast indien nodig

  • Worden herzien bij ingrijpende veranderingen (nieuwe IT-systemen, fusies, wetgeving)

  • Worden goedgekeurd door het hoger management

  • Toegankelijk zijn voor alle medewerkers

Communicatie en handhaving

Het beleid moet worden gedeeld met alle medewerkers en ingebed in de organisatiecultuur:

  • Tijdens onboarding

  • Via e-learnings en workshops

  • Via regelmatige herhaling en bewustmakingscampagnes

Naleving wordt ondersteund door toezicht, interne audits en sancties bij overtredingen.

Een helder, actueel en gedragen securitybeleid is een hoeksteen van effectieve informatiebeveiliging.

 

 

Deel III: Technische beveiliging van systemen

Hoofdstuk 7: Endpoint security

Endpoint security richt zich op de bescherming van eindgebruikersapparaten zoals laptops, desktops, tablets en mobiele telefoons. Deze apparaten zijn vaak het eerste doelwit van aanvallen en vormen daarom een cruciale schakel in de beveiligingsketen.

Antivirus en Endpoint Detection & Response (EDR)

  • Antivirussoftware detecteert en blokkeert bekende malware op basis van signatures.

  • EDR-oplossingen gaan verder en bieden geavanceerde detectie van verdacht gedrag, forensische analyse en automatische responsmogelijkheden.

  • Voorbeelden: Microsoft Defender for Endpoint, CrowdStrike, SentinelOne.

Automatische updates

  • Regelmatige software-updates en patches zijn essentieel om bekende kwetsbaarheden te dichten.

  • Automatische updates moeten worden ingeschakeld voor besturingssystemen, browsers en andere veelgebruikte software.

  • Centraal patchbeheer via tools zoals WSUS, SCCM of Intune wordt aanbevolen in grotere organisaties.

Endpoint hardening

Hardening is het minimaliseren van de aanvalsoppervlakte van systemen:

  • Uitschakelen van overbodige services en protocollen

  • Configureren van veilige standaardinstellingen

  • Blokkeren van externe apparaten zoals USB-sticks waar mogelijk

  • Implementeren van applicatie-whitelisting

Beperkte gebruikersrechten

  • Gebruikers mogen geen administratorrechten hebben op hun apparaten.

  • Werk met het principe van 'least privilege': gebruikers hebben alleen toegang tot wat strikt noodzakelijk is.

  • Gebruik van privilege management software kan helpen bij tijdelijke verhoging van rechten indien nodig.

Aanvullende maatregelen

  • Schijfversleuteling: zoals BitLocker of FileVault, om diefstal van gegevens bij verlies van apparaten te voorkomen

  • Beveiligde toegang: VPN, MFA en endpoint compliance checks

  • Remote wipe: mogelijkheid om apparaten op afstand te wissen bij verlies of diefstal

Endpoint security is een voortdurend proces dat begint bij correcte configuratie en eindigt bij continue monitoring en training van eindgebruikers. Regelmatige audits en naleving van securitystandaarden verhogen de weerbaarheid tegen aanvallen.

Hoofdstuk 8: Patchmanagement

Patchmanagement is het proces van het beheren van updates voor softwaretoepassingen, besturingssystemen en firmware. Het doel is om bekende kwetsbaarheden te verhelpen en zo de beveiliging en stabiliteit van systemen te waarborgen.

Belang van patchmanagement

Kwetsbaarheden in software worden regelmatig ontdekt. Zonder patches kunnen deze gaten worden misbruikt door aanvallers om toegang te krijgen tot systemen, gegevens te stelen of malware te installeren. Effectief patchmanagement verkleint dit risico aanzienlijk.

Patchbeheerproces

  1. Detectie en inventarisatie

    • Gebruik van tools om assets te inventariseren en versies van software te identificeren.

    • Abonneren op leveranciersbulletins en CVE-databases om op de hoogte te blijven van nieuwe kwetsbaarheden.

  2. Beoordeling en prioritering

    • Bepaal de relevantie van patches voor jouw omgeving.

    • Prioriteer op basis van risico (bijvoorbeeld CVSS-score) en impact op kritieke systemen.

  3. Testen en valideren

    • Voer patches eerst uit in een testomgeving om compatibiliteit en stabiliteit te controleren.

    • Documenteer eventuele bijwerkingen of problemen.

  4. Implementatie

    • Plan implementaties op momenten met minimale impact voor gebruikers.

    • Gebruik gecentraliseerde beheertools zoals Microsoft WSUS, SCCM, Intune of Linux-oplossingen zoals Spacewalk en Ansible.

  5. Controle en rapportage

    • Verifieer of patches correct zijn toegepast.

    • Houd logs bij voor compliance- en auditdoeleinden.

    • Stel periodieke rapportages op voor IT-beheer en management.

Automatisering

Automatisering versnelt het patchproces, vermindert menselijke fouten en verhoogt de consistentie. Veel oplossingen bieden automatische detectie, distributie en installatie van patches. Toch blijft toezicht noodzakelijk, vooral voor kritieke systemen.

Uitdagingen

  • Downtime of verstoringen door ongeteste patches

  • Complexe omgevingen met veel verschillende systemen

  • Afhankelijkheid van leveranciers voor updates

Best practices

  • Implementeer een formeel patchbeleid

  • Plan maandelijkse patchrondes, maar houd ruimte voor spoedupdates (zero-days)

  • Combineer patchmanagement met kwetsbaarheidsscans

Goed patchmanagement is een fundamentele verdedigingslaag in een gelaagd beveiligingsmodel en vereist samenwerking tussen IT, security en management.

Hoofdstuk 9: Versleuteling en cryptografie

Cryptografie vormt de basis van digitale beveiliging en zorgt ervoor dat informatie alleen toegankelijk is voor bevoegde partijen. Versleuteling (encryptie) is een techniek waarbij data onleesbaar wordt gemaakt voor onbevoegden, tenzij zij over de juiste sleutel beschikken.

Symmetrische vs. asymmetrische encryptie

  • Symmetrische encryptie: Hierbij wordt dezelfde sleutel gebruikt voor versleuteling en ontsleuteling. Het is snel en efficiënt voor grote hoeveelheden data. Voorbeelden: AES (Advanced Encryption Standard), 3DES.

  • Asymmetrische encryptie: Hierbij wordt gebruikgemaakt van een sleutelparen: een publieke en een private sleutel. De publieke sleutel versleutelt de data, de private sleutel ontsleutelt deze. Voorbeelden: RSA, ECC.

Gebruikstoepassingen:

  • Symmetrisch: versleuteling van bestanden, harde schijven, VPN-tunnels.

  • Asymmetrisch: veilige e-mail (PGP), digitale handtekeningen, TLS-verbindingen.

Hashing

Hashfuncties zijn eenrichtingsalgoritmes die data omzetten in een vaste tekenreeks (de hash). Het is niet de bedoeling om deze te decoderen.

  • Hashes worden gebruikt voor wachtwoordopslag, integriteitscontrole en digitale handtekeningen.

  • Veelgebruikte algoritmen: SHA-2 (SHA-256, SHA-512), bcrypt, Argon2.

  • Belangrijk: gebruik altijd salt bij wachtwoordhashing om rainbow table-aanvallen te voorkomen.

Digitale certificaten en Public Key Infrastructure (PKI)

PKI is een systeem dat publieke sleutels koppelt aan de identiteit van personen of systemen. Het maakt gebruik van digitale certificaten die uitgegeven worden door een Certificate Authority (CA).

  • Voorbeeld: TLS-certificaten voor websites (HTTPS)

  • PKI maakt veilige communicatie en authenticatie mogelijk

  • Certificaten bevatten informatie zoals domeinnaam, publieke sleutel, geldigheidstermijn en handtekening van de CA

Encryptie van opslag en communicatie

  • Opslagversleuteling: Encryptie van data op schijven, SSD’s, USB-sticks met tools als BitLocker, VeraCrypt of FileVault.

  • Communicatieversleuteling: Beveiliging van data die over netwerken wordt verzonden, bijvoorbeeld met TLS (HTTPS), IPsec (VPN) of end-to-end encryptie bij chatdiensten.

Best practices

  • Gebruik alleen sterke, moderne algoritmes (vermijd MD5, SHA-1, RC4)

  • Beheer sleutels veilig, bijvoorbeeld via een Hardware Security Module (HSM) of Key Management System (KMS)

  • Controleer certificaten regelmatig op geldigheid en vervang ze tijdig

  • Gebruik encryptie als standaard voor gevoelige gegevens, zowel in rust als tijdens transport

Versleuteling en cryptografie zijn essentieel om vertrouwelijkheid, integriteit en authenticiteit van data te waarborgen in elke organisatie.

 

 

Deel IV: Netwerkbeveiliging

Hoofdstuk 10: Netwerkarchitectuur

Een veilige netwerkarchitectuur vormt de basis voor een weerbare IT-omgeving. Door het netwerk logisch en fysiek goed in te richten, kunnen potentiële aanvallen worden beperkt en gedetecteerd voordat zij schade aanrichten. Dit hoofdstuk bespreekt de belangrijkste principes en methoden.

Netwerksegmentatie

Netwerksegmentatie is het verdelen van het netwerk in kleinere, logisch gescheiden zones om risico’s te beperken.

  • VLANs (Virtual LANs): Virtuele scheidingen binnen een fysiek netwerk. Hierdoor kan verkeer worden beperkt tussen afdelingen of functies.

  • DMZ (Demilitarized Zone): Een aparte zone waarin systemen staan die extern toegankelijk zijn (bijvoorbeeld webservers, mailgateways). Deze zone is geïsoleerd van het interne netwerk.

  • Subnetting: Opdelen van het IP-bereik in kleinere segmenten voor efficiënter beheer en controle.

Voordelen van segmentatie:

  • Beperkt laterale beweging van aanvallers

  • Verbetert prestaties en beheer

  • Verhoogt beveiligingscontrole per segment

Firewallarchitectuur

Een juiste plaatsing van firewalls is essentieel:

  • Perimeterfirewall: Scheidt het interne netwerk van het internet

  • Interne firewalls: Beschermen kritieke zones (zoals datacenters) tegen interne dreigingen

  • Applicatiefirewalls / Web Application Firewalls (WAF): Beschermen webapplicaties tegen specifieke aanvallen zoals SQL-injectie

Zero Trust Architectuur

Het traditionele model waarbij alles binnen het netwerk wordt vertrouwd, is achterhaald. Zero Trust gaat uit van het principe: "Never trust, always verify."

Kenmerken:

  • Verificatie en autorisatie bij elke toegangspoging, ongeacht locatie

  • Microsegmentatie: minimale toegangsrechten per zone of applicatie

  • Continue monitoring en gedragsevaluatie

  • Gebruik van technologieën zoals MFA, identiteit-gebaseerde toegangscontrole en device compliance

Zero Trust vereist integratie tussen netwerkarchitectuur, authenticatieplatformen, endpointbeheer en monitoringtools. Het is een verschuiving van locatiegebaseerde beveiliging naar identiteits- en contextgebaseerde controle.

Beveiligingsprincipes bij ontwerp

  • Defence in Depth: Meerdere lagen van bescherming (firewalls, detectiesystemen, encryptie)

  • Least Privilege: Minimale toegangsrechten voor gebruikers, applicaties en systemen

  • Fail Secure: Bij een fout stopt toegang in plaats van open te blijven

  • Redundantie: Voorkomen van single points of failure

Een veilige netwerkarchitectuur moet schaalbaar, beheersbaar en dynamisch zijn. Regelmatige evaluatie, documentatie en tests (zoals pentests of netwerkassessments) zijn noodzakelijk om aanpassingen in dreigingen het hoofd te bieden.

Hoofdstuk 11: Firewalls en VPN

Firewalls en Virtual Private Networks (VPN) zijn fundamentele bouwstenen van netwerkbeveiliging. Ze beschermen de grens van het netwerk en bieden veilige externe toegang tot interne systemen.

Firewalls

Een firewall controleert het inkomende en uitgaande netwerkverkeer op basis van vooraf ingestelde beveiligingsregels. Ze kunnen hardwarematig, softwarematig of hybride zijn.

Packet filtering

  • Analyseert individuele netwerkpakketten op basis van bron/dobestemming-IP, poorten en protocollen.

  • Eenvoudig, snel, maar beperkt in diepgang.

  • Voorbeeldregel: blokkeer alle inkomende verbindingen naar poort 23 (Telnet).

Stateful inspection

  • Houdt de staat van actieve verbindingen bij en maakt beslissingen op basis van context.

  • Biedt meer veiligheid dan basic packet filtering.

  • Herkent legitieme verbindingen en blokkeert ongeautoriseerd verkeer effectiever.

Next-Generation Firewalls (NGFW)

  • Combineren traditionele firewallfunctionaliteit met geavanceerde inspectie (DPI, IDS/IPS, applicatiecontrole).

  • Kunnen ook gebruikersidentiteiten en applicatiespecifiek verkeer herkennen.

  • Geschikt voor moderne, complexe netwerken.

Virtual Private Network (VPN)

Een VPN creëert een versleutelde verbinding (tunnel) tussen twee netwerken of tussen een apparaat en een netwerk. Het beschermt gegevens die via onbeveiligde netwerken (zoals internet) worden verzonden.

IPSec VPN

  • Gebruikt op netwerkniveau, ondersteunt site-to-site en remote access verbindingen.

  • Biedt sterke encryptie, authenticatie en integriteit via protocollen zoals AH (Authentication Header) en ESP (Encapsulating Security Payload).

SSL VPN

  • Werkt via de browser (HTTPS), geschikt voor toegang op applicatieniveau.

  • Minder configuratievereisten aan clientzijde.

  • Vaak gebruikt voor toegang tot specifieke webapplicaties of portalen.

VPN-beveiligingsmaatregelen

  • Gebruik sterke encryptiestandaarden (AES-256, SHA-2).

  • Combineer met multi-factor authenticatie (MFA).

  • Beperk toegang tot enkel noodzakelijke systemen (least privilege).

  • Monitor VPN-gebruik en log verdachte activiteiten.

Best practices

  • Plaats firewalls op strategische locaties (perimeter, interne segmenten, DMZ).

  • Implementeer een "default deny"-beleid: alleen expliciet toegestaan verkeer mag passeren.

  • Beheer firewallregels centraal en houd ze up-to-date.

  • Gebruik VPN alleen met actuele certificaten en veilige protocollen.

Firewalls en VPN’s vormen samen een krachtige verdedigingslinie tegen ongeautoriseerde toegang en datalekken. Ze vereisen echter voortdurend beheer, monitoring en aanpassing aan veranderende dreigingen.

Hoofdstuk 12: IDS/IPS-systemen

Intrusion Detection Systems (IDS) en Intrusion Prevention Systems (IPS) zijn beveiligingstechnologieën die netwerken en systemen monitoren op verdachte activiteiten of bekende dreigingen. Ze vormen een essentiële aanvulling op firewalls en antivirusoplossingen.

IDS (Intrusion Detection System)

Een IDS detecteert en signaleert mogelijke aanvallen of misbruik, zonder direct in te grijpen. Het werkt op basis van:

  • Signature-based detection: Herkent bekende aanvalspatronen (bijv. malware, exploits)

  • Anomaly-based detection: Spoort afwijkingen van normaal gedrag op (bijvoorbeeld pieken in netwerkverkeer)

  • Heuristische analyse: Identificeert verdacht gedrag op basis van gedragspatronen

IDS-systemen worden vaak ingezet om:

  • Real-time waarschuwingen te genereren bij verdachte activiteiten

  • Aanvullende inzichten te bieden voor SOC-analisten

  • Loggegevens te verrijken voor forensisch onderzoek

Voorbeelden van IDS-tools:

  • Snort: Open source, veelgebruikt in netwerkbeveiliging

  • Suricata: IDS/IPS-engine met ondersteuning voor multi-threading en protocolanalyse

IPS (Intrusion Prevention System)

Een IPS gaat verder dan detectie en grijpt automatisch in bij verdachte activiteiten. Het kan:

  • Kwaadaardig verkeer blokkeren

  • Verbindingen resetten

  • Regels aanpassen om verdere schade te voorkomen

IPS wordt vaak geïntegreerd in next-generation firewalls (NGFW). Nadeel is het risico op false positives die legitiem verkeer kunnen blokkeren.

Vergelijking IDS vs. IPSKenmerkIDSIPSWerkingDetecteertDetecteert én grijpt inPositie in netwerkPassief (mirror poort)Actief (inline)Risico op vertragingLaagMogelijk hogerBeheerslastAnalyse van meldingen vereistFijnmazige configuratie vereistBest practices

  • Combineer IDS/IPS met SIEM-systemen voor centrale monitoring

  • Pas regels regelmatig aan op basis van nieuwe dreigingen

  • Implementeer IDS/IPS in gesegmenteerde netwerken (bijv. tussen DMZ en intern netwerk)

  • Test configuraties grondig om false positives en negatives te minimaliseren

IDS/IPS-systemen zijn cruciaal voor detectie en verdediging tegen moderne aanvallen. Ze vergroten de zichtbaarheid van beveiligingsincidenten en stellen organisaties in staat om snel en accuraat te reageren.

Hoofdstuk 13: Wireless netwerkbeveiliging

Draadloze netwerken bieden flexibiliteit en mobiliteit, maar brengen ook unieke beveiligingsrisico's met zich mee. Omdat Wi-Fi-netwerken via radiogolven communiceren, zijn ze gevoelig voor onderschepping en ongeautoriseerde toegang. Dit hoofdstuk behandelt de best practices voor het beveiligen van draadloze netwerken.

Encryptie en authenticatie

  • WPA3 (Wi-Fi Protected Access 3) is de huidige standaard voor draadloze beveiliging en biedt verbeterde bescherming tegen brute-force aanvallen en betere versleuteling via Simultaneous Authentication of Equals (SAE).

  • Gebruik geen verouderde protocollen zoals WEP of WPA.

  • Kies een sterk, uniek wachtwoord voor het Wi-Fi-netwerk.

  • Gebruik enterprise-modus (WPA2/WPA3-Enterprise) met RADIUS-server voor zakelijke omgevingen i.p.v. PSK (Pre-Shared Key).

SSID-configuratie

  • Wijzig de standaard SSID (netwerknaam) en verberg deze indien nodig.

  • Gebruik geen herkenbare of persoonsgebonden namen (zoals "bedrijfsnaam_wifi").

  • Schakel WPS (Wi-Fi Protected Setup) uit om kwetsbaarheden te vermijden.

Gastnetwerken

  • Implementeer een gescheiden netwerk voor bezoekers, los van het interne bedrijfsnetwerk.

  • Beperk bandbreedte en toegangstijd voor gasten.

  • Voer extra authenticatie in via captive portal of tijdelijke toegangscodes.

MAC-adresfiltering

  • MAC-filtering kan het verbinden van niet-geautoriseerde apparaten beperken, maar is geen afdoende beveiliging omdat MAC-adressen gespoofd kunnen worden.

  • Gebruik het enkel als aanvullende maatregel.

Beheer en monitoring

  • Zet de toegang tot het draadloze netwerk centraal via een WLAN-controller.

  • Monitor draadloos verkeer op ongeautoriseerde toegang en verdachte activiteit.

  • Gebruik tools voor draadloze detectie en preventie (WIDS/WIPS) om rogue access points te detecteren.

Locatie en bereik

  • Positioneer access points zodanig dat het signaal zich beperkt tot het gewenste gebied.

  • Gebruik directional antennes en verminder zendvermogen indien mogelijk om signalen buiten het gebouw te beperken.

Firmware en updates

  • Houd de firmware van access points up-to-date om bekende kwetsbaarheden te dichten.

  • Beheer apparatuur centraal voor consistente configuraties en updates.

Beveiliging van draadloze netwerken vereist een combinatie van technische configuratie, goed beleid en voortdurende monitoring. In een zakelijke omgeving is het sterk aanbevolen om Wi-Fi-beveiliging te integreren in het bredere netwerkbeveiligingsbeleid en periodiek te testen op zwakke plekken.

 

 

Deel V: Gebruikersbeheer en toegangscontrole

Hoofdstuk 14: Authenticatie en autorisatie

Authenticatie en autorisatie vormen de kern van veilige toegangscontrole. Ze zorgen ervoor dat alleen bevoegde gebruikers toegang krijgen tot systemen en data, en alleen tot datgene waarvoor zij gemachtigd zijn.

Authenticatie

Authenticatie is het proces waarbij een gebruiker, systeem of apparaat zijn identiteit bewijst. Er zijn drie hoofdvormen:

  1. Wat je weet (bijv. wachtwoord, pincode)

  2. Wat je hebt (bijv. token, smartcard, smartphone)

  3. Wat je bent (biometrie zoals vingerafdruk of gezichtsherkenning)

Wachtwoordbeleid

  • Minimale lengte (bijv. 12 tekens)

  • Complexiteit (hoofdletters, cijfers, speciale tekens)

  • Regelmatige rotatie alleen bij vermoede inbreuk

  • Geen hergebruik van oude wachtwoorden

  • Gebruik van wachtwoordmanagers wordt aanbevolen

Multi-Factor Authenticatie (MFA)

  • MFA combineert meerdere factoren (bijv. wachtwoord + smartphone).

  • Verhoogt de veiligheid aanzienlijk, vooral voor toegang tot cloudapplicaties, e-mail en VPN.

  • Voorbeelden: Authenticator apps, hardware tokens, SMS-codes (let op: sms is minder veilig)

Biometrische authenticatie

  • Toepassingen: toegangscontrole bij werkstations, mobiele apparaten, en gebouwen.

  • Let op privacy- en AVG-aspecten bij gebruik van biometrie (DPIA vereist).

Autorisatie

Autorisatie bepaalt waar een gebruiker toegang tot heeft, nadat authenticatie is geslaagd. Het voorkomt dat gebruikers onnodige of ongepaste toegang hebben.

Rolgebaseerde toegangscontrole (RBAC)

  • Gebruikers worden op basis van hun functie (rol) geautoriseerd.

  • Rollen zijn gekoppeld aan rechten op systemen of data.

  • Eenvoudig te beheren, vooral in grotere organisaties.

Attribuutgebaseerde toegangscontrole (ABAC)

  • Autorisatie gebaseerd op kenmerken van de gebruiker, het object of de context (bijv. tijdstip, locatie).

  • Flexibeler en dynamischer dan RBAC.

  • Geschikt voor omgevingen met veel variabele toestanden en granulariteit.

Best practices

  • Minimaal noodzakelijke toegang: het "least privilege"-principe

  • Toegangsrechten regelmatig herzien

  • Automatische intrekking van rechten bij functiewijzigingen of vertrek

  • Logging van toegangsverzoeken en gebruik voor auditdoeleinden

  • Centralisatie van authenticatie (bijv. via SSO – Single Sign-On)

Authenticatie en autorisatie zijn onmisbaar voor het beschermen van informatiesystemen. Een zorgvuldig opgezet toegangsbeleid voorkomt zowel externe aanvallen als interne misbruik.

Hoofdstuk 15: Identity & Access Management (IAM)

Identity & Access Management (IAM) omvat het geheel van processen, beleidsregels en technologieën die nodig zijn om de digitale identiteiten van gebruikers te beheren en hen op gecontroleerde wijze toegang te geven tot IT-resources. IAM helpt organisaties om risico’s te beperken en de compliance te verbeteren.

Doel van IAM

  • Centrale beheersing van wie toegang heeft tot wat, wanneer, hoe en waarom.

  • Automatiseren en afdwingen van toegangsbeheer volgens het 'least privilege'-principe.

  • Transparantie en controle over digitale identiteiten en toegangsrechten.

IAM-componenten

  1. Identiteitsbeheer:

    • Aanmaken, bijwerken, en verwijderen van gebruikersaccounts.

    • Beheer van gebruikersprofielen, attributen en authenticatiemethoden.

  2. Toegangsbeheer:

    • Bepalen van welke gebruikers toegang hebben tot welke applicaties of data.

    • Toepassing van RBAC (Role-Based Access Control) of ABAC (Attribute-Based Access Control).

  3. Authenticatie en autorisatie:

    • Inzet van sterke authenticatiemethoden zoals MFA.

    • Dynamische toegangscontrole op basis van context en risiconiveau.

  4. Lifecyclebeheer:

    • IAM volgt de levenscyclus van de gebruiker: onboarding, rolwijzigingen, vertrek.

    • Automatische provisioning en deprovisioning van rechten bij functie- of statuswijzigingen.

IAM-processen

  • Toegangsaanvraag en goedkeuring: Werknemers vragen toegang aan tot systemen via een IAM-portaal. Managers of systeemverantwoordelijken keuren dit goed of af.

  • Periodieke recertificatie: Toegangsrechten worden periodiek herzien en aangepast op basis van actuele rollen en behoeften.

  • Logging en rapportage: IAM-systemen loggen alle toegangsverzoeken en wijzigingen, wat essentieel is voor audits en forensisch onderzoek.

Integratie met HR- en IT-systemen

  • IAM wordt vaak gekoppeld aan HR-systemen voor automatische gebruikersregistratie bij indiensttreding.

  • Integratie met Active Directory, Azure AD, LDAP en cloudtoepassingen is standaard.

  • Single Sign-On (SSO) en federatieve identiteiten (bijv. via SAML, OAuth) verbeteren gebruikerservaring én veiligheid.

IAM-tools en platformen

  • Microsoft Entra (Azure AD)

  • Okta

  • One Identity

  • IBM Security Verify

  • Ping Identity

Best practices

  • Automatiseer zoveel mogelijk (provisioning, wachtwoordreset, monitoring).

  • Implementeer "just-in-time" toegangsverlening voor tijdelijke toegang.

  • Houd gebruikersgroepen en rollen actueel.

  • Beperk shadow IT door centrale registratie van alle applicaties en toegangen.

IAM is een essentieel onderdeel van een moderne cybersecuritystrategie en vormt een basislaag voor governance, risk en compliance (GRC). Het helpt organisaties de juiste balans te vinden tussen gebruiksgemak en beveiliging.

 

 

Deel VI: Beveiliging van data en digitale media

Hoofdstuk 16: Beveiliging van datadragers

Het beveiligen van datadragers is essentieel om vertrouwelijke en gevoelige informatie te beschermen tegen verlies, diefstal of ongeoorloofde toegang. Dit geldt voor zowel fysieke als digitale media.

Soorten datadragers

  • Externe harde schijven en SSD’s

  • USB-sticks en geheugenkaarten

  • Optische media (CD/DVD)

  • Back-up tapes

  • Mobiele apparaten (telefoons, tablets)

Versleuteling van datadragers

Versleuteling maakt data ontoegankelijk zonder de juiste sleutel of wachtwoord:

  • Full disk encryption (FDE): de gehele schijf wordt versleuteld, inclusief het besturingssysteem (bijv. BitLocker, VeraCrypt, FileVault).

  • Bestand- of mapversleuteling: alleen specifieke gegevens worden versleuteld, vaak toegepast bij USB-sticks.

  • Hardware-encryptie: ingebouwde encryptie in het opslagapparaat zelf (vaak aanwezig in enterprise USB-sticks en SSD’s).

Voordelen van encryptie:

  • Bescherming bij verlies of diefstal

  • Voldoen aan privacywetgeving (AVG)

  • Verminderen van risico op datalekken

Fysieke beveiliging van datadragers

  • Opslag: Bewaar gevoelige datadragers in afsluitbare kasten of kluizen.

  • Transport: Gebruik transportmiddelen met sloten en verzegeling. Vermijd het onbeheerd achterlaten van media.

  • Toegangscontrole: Beperk toegang tot opslagruimten tot geautoriseerd personeel.

  • Labeling en inventarisatie: Registreer en label alle datadragers. Houd een logboek bij van uitgifte en terugname.

Beheer en lifecycle

  • Implementeer beleid voor gebruik, uitgifte en terugname van datadragers.

  • Wijs verantwoordelijkheden toe voor het beheer van externe media.

  • Houd controle over het gebruik van USB-poorten (via endpoint control software).

Risico’s en maatregelenRisicoMaatregelVerlies/diefstalEncryptie + fysieke beveiligingOnbevoegd gebruikEndpoint control, toegangsbeheerMalware via USBUSB-blokkade, antivirus, scanbeleidLekkende data bij verwijderingZie hoofdstuk 17 over data verwijderen

Het goed beveiligen van datadragers vereist technische oplossingen én duidelijke beleidsmaatregelen. Bewustwording bij medewerkers is hierbij cruciaal: zij zijn vaak degene die deze media gebruiken

Hoofdstuk 17: Data verwijderen

Het veilig verwijderen van data is essentieel om te voorkomen dat gevoelige of vertrouwelijke informatie later alsnog kan worden teruggehaald. Simpele handelingen zoals bestanden verplaatsen naar de prullenbak of een schijf formatteren, zijn onvoldoende: gegevens blijven dan vaak op het opslagmedium aanwezig en kunnen met herstelsoftware worden teruggehaald.

Soorten data-verwijdering

  1. Standaard verwijdering:

    • Alleen de verwijzing naar het bestand wordt gewist, niet de inhoud zelf.

    • Herstel is eenvoudig met gratis of commerciële recoverytools.

  2. Veilige verwijdering (Secure Erase):

    • Data wordt overschreven met nullen of willekeurige patronen.

    • Tools zoals sdelete, shred, en ingebouwde BIOS/UEFI-opdrachten bij SSD’s kunnen hiervoor worden gebruikt.

  3. DoD-wiping:

    • Een methode afkomstig van het Amerikaanse Department of Defense.

    • Bestanden worden meerdere keren overschreven met specifieke patronen (bijvoorbeeld 3 of 7 keer).

    • Tegenwoordig vaak niet meer noodzakelijk door moderne opslagtechnologieën.

  4. Cryptografische verwijdering:

    • Alleen bruikbaar bij versleutelde opslag.

    • Door het vernietigen van de encryptiesleutel wordt de data permanent onleesbaar.

  5. Fysieke vernietiging:

    • Voor media die niet opnieuw gebruikt zullen worden.

    • Methoden: shredderen, verbranden, boren of vermalen van schijven en USB-sticks.

Beleid en verantwoordelijkheden

  • Stel een formeel beleid op voor data-verwijdering, inclusief methoden per type medium en situatie.

  • Registreer alle verwijderingen van gevoelige data in een logboek.

  • Wijs specifieke rollen toe (IT, security officer) voor verwijder- en vernietigingsacties.

Wettelijke en compliance-overwegingen

  • Voldoen aan AVG-vereisten, zoals het recht op vergetelheid.

  • Houd rekening met bewaartermijnen voor bepaalde data (bijvoorbeeld boekhouding, patiëntendossiers).

Tools en technieken

  • Windows: cipher /w, sdelete (Sysinternals)

  • Linux: shred, wipe, dd if=/dev/zero

  • macOS: Schijfhulpprogramma of Terminal-commando’s voor veilige verwijdering

  • Commerciële tools: Blancco, KillDisk, Eraser

Best practices

  • Combineer encryptie vooraf met cryptografische vernietiging als snelle, veilige verwijderoptie.

  • Beoordeel regelmatig de effectiviteit van toegepaste verwijdermethodes.

  • Train personeel in het veilig wissen van gegevens en het verschil tussen verwijderen en vernietigen.

Een doordachte aanpak van data-verwijdering is cruciaal voor het voorkomen van datalekken en reputatieschade. Het vormt een integraal onderdeel van het lifecyclebeheer van informatie.

Hoofdstuk 18: Incidentrespons

Incidentrespons is het georganiseerde proces waarmee een organisatie beveiligingsincidenten detecteert, beheert en herstelt. Het doel is om schade te beperken, de impact op bedrijfsvoering te minimaliseren en zo snel mogelijk weer normale operaties te hervatten.

Wat is een beveiligingsincident?

Een beveiligingsincident is een gebeurtenis die de vertrouwelijkheid, integriteit of beschikbaarheid van informatie of systemen bedreigt. Voorbeelden:

  • Malware-infecties

  • Datalekken

  • Ongeautoriseerde toegang tot systemen

  • Verstoring van dienstverlening door DDoS-aanvallen

Fasen van incidentrespons

  1. Voorbereiding:

    • Opstellen van een incidentresponsplan (IRP)

    • Benoemen van een incidentrespons-team (CSIRT)

    • Training en simulatie-oefeningen (tabletops, red teaming)

  2. Identificatie:

    • Vaststellen of een incident heeft plaatsgevonden

    • Classificatie van het type incident (technisch, fysiek, insider threat)

    • Logging en monitoring via SIEM-systemen, IDS/IPS of endpoint monitoring

  3. Containment:

    • Snelle afscherming van het incident om verdere schade te beperken

    • Tijdelijke maatregelen (bijv. uitschakelen netwerkverbinding, blokkeren accounts)

    • Beslissen over korte vs. lange termijn containmentstrategieën

  4. Eradicatie:

    • Volledige verwijdering van malware, rootkits of andere bedreigingen

    • Herstellen van getroffen systemen naar een veilige staat

  5. Herstel (Recovery):

    • Systemen gecontroleerd terugbrengen in productie

    • Monitoring op herinfectie of terugkerende dreigingen

    • Communicatie met belanghebbenden

  6. Evaluatie (Lessons Learned):

    • Evalueren van de aanpak en documenteren van bevindingen

    • Aanpassen van beleid, procedures of technische maatregelen

    • Rapportage aan het management en (indien van toepassing) aan toezichthouders

Rollen en verantwoordelijkheden

  • CSIRT (Computer Security Incident Response Team)

  • Communicatieverantwoordelijke voor interne en externe berichtgeving

  • Juridische en compliance-experts voor beoordeling meldplicht (bijv. AVG)

Communicatie tijdens incidenten

  • Interne communicatie moet duidelijk, snel en feitelijk zijn

  • Externe communicatie vereist zorgvuldige afstemming, zeker bij datalekken

  • Duidelijke richtlijnen voor wie wat zegt en op welk moment

Tools en ondersteuning

  • Ticketing- en incidentregistratiesystemen

  • Forensische tools voor analyse (bijv. EnCase, FTK)

  • SIEM- en loganalyseplatformen (Splunk, QRadar, ELK)

Best practices

  • Incidentrespons opnemen in het informatiebeveiligingsbeleid

  • Regelmatig oefenen met scenario’s en verbeteren op basis van feedback

  • Zorg voor 24/7 beschikbaarheid van sleutelpersonen of achterwacht

Een robuust incidentresponsproces is onmisbaar voor elke organisatie die haar informatiebeveiliging serieus neemt. Het beperkt schade en versterkt het vertrouwen van klanten, partners en toezichthouders.

Hoofdstuk 19: Back-up en herstel

Back-up en herstel (disaster recovery) zijn fundamentele onderdelen van informatiebeveiliging. Ze zorgen ervoor dat data behouden blijft en systemen hersteld kunnen worden na incidenten zoals ransomware-aanvallen, hardwarefalen of menselijke fouten.

Doel van back-up en herstel

  • Bescherming tegen dataverlies

  • Herstel van de operationele continuïteit

  • Voldoen aan wet- en regelgeving m.b.t. gegevensbewaring

Back-upstrategieën

  1. Volledige back-up:

    • Een complete kopie van alle bestanden en systemen.

    • Nadeel: tijd- en opslagintensief.

  2. Differentiële back-up:

    • Bevat wijzigingen sinds de laatste volledige back-up.

    • Herstel vereist slechts twee back-ups (volledig + laatste differentieel).

  3. Incrementele back-up:

    • Bevat alleen wijzigingen sinds de vorige back-up (volledig of incrementeel).

    • Sneller en zuiniger qua opslag, maar trager bij herstel.

De 3-2-1-regel

Een gangbare best practice:

  • 3 kopieën van data

  • 2 verschillende opslagmedia

  • 1 kopie op een andere (offsite) locatie

Soorten opslag

  • Lokale opslag: NAS, externe harde schijven

  • Offsite: Tape, andere fysieke locatie

  • Cloudopslag: Azure, AWS, Google Cloud of gespecialiseerde back-updiensten

  • Immutable storage: Niet-wijzigbare opslag tegen ransomware

Herstelprocedures

  • Documenteer stapsgewijs hoe systemen en data hersteld worden

  • Regelmatig testen van herstel (restore tests) om betrouwbaarheid te waarborgen

  • Prioriteer kritieke systemen (Recovery Time Objective, Recovery Point Objective)

Automatisering en monitoring

  • Gebruik back-upsoftware met planning, logging en monitoring

  • Configureer meldingen bij fouten of gemiste back-ups

  • Automatiseer rapportage aan IT- of securityteams

Best practices

  • Back-ups versleutelen, vooral bij externe of cloudopslag

  • Toegang tot back-upsystemen beperken en loggen

  • Verwijder verouderde back-ups volgens bewaarbeleid

  • Integreer back-up en herstel in het bedrijfscontinuïteitsplan

Een robuuste back-up- en herstelstrategie vermindert het risico op permanent dataverlies en versnelt het herstelproces. Het is een laatste verdedigingslinie die essentieel is bij ernstige incidenten.

Hoofdstuk 20: Security awareness en training

Technologie alleen is niet voldoende om informatie te beschermen: mensen blijven een cruciale schakel. Security awareness en training zorgen ervoor dat medewerkers zich bewust zijn van risico’s en hun rol in het voorkomen van incidenten.

Waarom awareness?

  • De meeste beveiligingsincidenten ontstaan door menselijk gedrag: phishing, slordig omgaan met wachtwoorden of het openen van malafide bijlagen.

  • Medewerkers zijn vaak het eerste verdedigingsmechanisme.

  • Regelmatige training helpt bij het herkennen van bedreigingen en versterkt een veiligheidscultuur.

Onderdelen van een awarenessprogramma

  1. Introductietraining:

    • Bij indiensttreding verplicht volgen van een basisopleiding over informatiebeveiliging en privacy.

  2. Doorlopende training:

    • Jaarlijkse opfriscursussen over actuele dreigingen (phishing, ransomware, social engineering).

    • Gebruik van e-learning, workshops, webinars of fysieke sessies.

  3. Phishingsimulaties:

    • Periodieke nep-phishingmails om bewustwording te meten.

    • Analyse van klikgedrag en opvolging met gerichte coaching.

  4. Posters en reminders:

    • Visuele hulpmiddelen in de werkomgeving (bijvoorbeeld bij printers of vergaderruimtes).

    • Digitale herinneringen via intranet of nieuwsbrieven.

  5. Themamaanden of security week:

    • Extra aandacht voor onderwerpen als wachtwoorden, mobiel werken of privacy.

    • Gastsprekers of live demonstraties.

Wat moet een medewerker minimaal weten?

  • Herkennen van verdachte e-mails, links en bijlagen

  • Het belang van sterke wachtwoorden en MFA

  • Gegevens delen alleen op basis van noodzaak

  • Hoe en waar incidenten gemeld moeten worden

  • Regels voor thuiswerken en mobiele apparaten

Meetbaarheid en effectiviteit

  • Gebruik vragenlijsten, scores of gedragsanalyses om voortgang te meten

  • Combineer met risicoanalyses en auditresultaten

  • Rapportage naar management voor continuïteitsdoelen en verbetering

Best practices

  • Stem trainingen af op functies (bijv. IT, HR, management)

  • Houd de inhoud actueel en praktijkgericht

  • Beloon positief gedrag (gamification, certificaten)

  • Integreer awareness in bredere HR- en compliance-initiatieven

Security awareness is geen eenmalige actie maar een continu proces. Door kennis en gedrag centraal te stellen in je beveiligingsstrategie, vergroot je de weerbaarheid van de hele organisatie.

Hoofdstuk 21: Audits en compliance

Audits en compliance vormen de brug tussen beleid en praktijk. Ze toetsen of de maatregelen voor informatiebeveiliging effectief zijn, en of de organisatie voldoet aan interne en externe vereisten zoals wetgeving, normen en contractuele verplichtingen.

Interne audits

Een interne audit is een systematische beoordeling van beveiligingsmaatregelen door de eigen organisatie. Het doel is verbeterpunten te identificeren en risico’s te beheersen voordat externe partijen dit signaleren.

Stappen in een interne audit:

  1. Voorbereiding:

    • Bepaal scope en doelstellingen

    • Stel een auditteam aan en verzamel relevante documentatie

  2. Uitvoering:

    • Interviews met sleutelpersonen

    • Controle van logs, procedures, configuraties en fysieke beveiliging

    • Verificatie van naleving van beleid en technische controls

  3. Rapportage en opvolging:

    • Documenteer bevindingen, classificatie van tekortkomingen en aanbevelingen

    • Koppel terug aan management en volg verbeteracties op

Externe audits en certificering

Externe audits worden uitgevoerd door onafhankelijke auditors en leiden vaak tot certificeringen of complianceverklaringen.

Veelvoorkomende normen:

  • ISO/IEC 27001 – managementsysteem voor informatiebeveiliging

  • NEN 7510 – informatiebeveiliging in de zorg

  • ISAE 3402/SOC 2 – rapportage voor dienstverleners

  • PCI-DSS – beveiliging van betaalkaartgegevens

Externe audits toetsen onder andere:

  • Beleid en procedures

  • Risicobeoordelingen en mitigatie

  • Logging, monitoring en incidentmanagement

  • Rechtenbeheer en toegangscontrole

Compliance

Compliance betekent aantoonbare naleving van regels, normen en wetgeving:

  • Juridisch: AVG, Wbni, Telecommunicatiewet

  • Contractueel: SLA’s, verwerkersovereenkomsten

  • Normatief: interne securitystandaarden of externe certificeringen

Compliance vereist:

  • Gedocumenteerd beleid en processen

  • Bewijsvoering (bijv. logs, rapporten, contracten)

  • Continue monitoring en periodieke controles

Tools en technieken

  • GRC-software (Governance, Risk & Compliance): RSA Archer, ServiceNow, LogicGate

  • Auditchecklists en self-assessments

  • Logging- en SIEM-oplossingen voor aantoonbaarheid

Best practices

  • Plan jaarlijkse interne audits en externe audits volgens meerjarenplanning

  • Integreer auditresultaten in verbetercyclus (PDCA: Plan-Do-Check-Act)

  • Betrek juridische en operationele stakeholders

  • Gebruik auditresultaten als input voor strategische besluitvorming

Audits en compliance zijn geen doel op zich, maar helpen organisaties om risico’s te beheersen, vertrouwen te wekken en verantwoordelijkheid af te leggen. Ze zorgen voor continue verbetering en transparantie in informatiebeveiliging.

Hoofdstuk 22: Certificering

Certificering is een formele erkenning dat een organisatie voldoet aan een erkende standaard voor informatiebeveiliging. Het verkrijgen van een certificaat toont aan dat beveiligingsmaatregelen op structurele wijze zijn geïmplementeerd, onderhouden en verbeterd. Dit vergroot het vertrouwen van klanten, toezichthouders en partners.

Waarom certificeren?

  • Aantoonbare naleving van beveiligingsnormen

  • Concurrentievoordeel bij aanbestedingen of klantcontracten

  • Interne kwaliteitsverbetering door gestructureerde aanpak

  • Vermindering van risico’s en incidenten

  • Verplichting vanuit wetgeving of branche

Belangrijke certificeringen in ICT-security

  1. ISO/IEC 27001 – Internationale standaard voor informatiebeveiligingsmanagement (ISMS)

    • Richt zich op risicogebaseerde aanpak en continue verbetering

    • Vereist documentatie, interne audits en externe toetsing

  2. NEN 7510 – Nederlandse norm voor informatiebeveiliging in de zorg

    • Gebaseerd op ISO 27001, maar toegespitst op patiëntgegevens en zorginstellingen

  3. ISO/IEC 27701 – Uitbreiding op ISO 27001 voor privacyinformatiebeheer (PIMS)

    • Specifiek gericht op naleving van AVG/GDPR

  4. ISAE 3402 / SOC 2 – Assurance-rapportages voor uitbestedingspartijen

    • Gericht op interne controles met betrekking tot beveiliging, beschikbaarheid, integriteit, vertrouwelijkheid en privacy

  5. PCI-DSS – Payment Card Industry Data Security Standard

    • Verplicht voor organisaties die creditcardgegevens verwerken

    • Technisch-strenge eisen op gebied van netwerkbeveiliging, toegangsbeheer en monitoring

Certificeringstraject

  1. Voorbereiding

    • Gap-analyse: wat is er al aanwezig, wat ontbreekt?

    • Inrichting van beleid, procedures, en documentatie

    • Bewustwording en training van personeel

  2. Implementatie

    • Technische en organisatorische maatregelen doorvoeren

    • Intern auditplan opstellen en uitvoeren

  3. Externe audit

    • Uitgevoerd door een geaccrediteerde certificerende instelling (CI)

    • Toetsing op documentatie én werking in de praktijk

  4. Certificaat en onderhoud

    • Geldigheid: doorgaans 3 jaar met jaarlijkse controles (surveillance audits)

    • Continue verbetering vereist via de Plan-Do-Check-Act-cyclus

Best practices

  • Begin tijdig met de voorbereiding en betrek alle afdelingen

  • Zorg voor duidelijke rolverdeling en eigenaarschap

  • Gebruik auditbevindingen om gericht te verbeteren

  • Kies een norm die past bij je sector, klanten en wettelijke vereisten

Certificering is geen eenmalige actie, maar een continu proces van professionalisering. Het draagt bij aan een volwassen beveiligingscultuur en stelt organisaties in staat om aantoonbaar grip te houden op hun informatiebeveiligingsrisico’s.

Hoofdstuk 23: Praktische checklists

Checklists zijn handige hulpmiddelen om de implementatie en controle van beveiligingsmaatregelen te structureren. Ze helpen bij audits, awareness, onboarding en periodieke controles. Onderstaande checklists kunnen worden aangepast aan de specifieke context van een organisatie.

Checklist: Endpointbeveiliging

  • ☐ Antivirus en/of EDR-oplossing geïnstalleerd en actief

  • ☐ Volledig versleutelde harde schijf (bijv. BitLocker, FileVault)

  • ☐ Automatische updates ingeschakeld

  • ☐ Geen lokale administratorrechten voor gebruikers

  • ☐ USB-poorten gecontroleerd of geblokkeerd

Checklist: Netwerkbeveiliging

  • ☐ Firewall actief en correct geconfigureerd

  • ☐ VPN verplicht voor externe toegang

  • ☐ Segmentatie toegepast (bijv. DMZ, VLANs)

  • ☐ IDS/IPS actief en gemonitord

  • ☐ Gastnetwerk gescheiden van bedrijfsnetwerk

Checklist: Gebruikersbeheer en toegangscontrole

  • ☐ MFA geactiveerd voor alle kritieke systemen

  • ☐ Toegangsrechten toegekend op basis van rol (RBAC)

  • ☐ Regelmatige herziening van gebruikersrechten

  • ☐ Geen gedeelde accounts toegestaan

  • ☐ Automatische deactivatie bij vertrek werknemer

Checklist: Fysieke beveiliging

  • ☐ Serverruimtes afgesloten en gelogd

  • ☐ Back-upmedia fysiek beveiligd en geregistreerd

  • ☐ Bezoekersregistratie en -begeleiding verplicht

Checklist: Beveiligingsbeleid

  • ☐ Informatiebeveiligingsbeleid actueel en goedgekeurd

  • ☐ Beleid beschikbaar voor alle medewerkers

  • ☐ Regelmatige evaluatie en bijwerking

  • ☐ Duidelijke procedure voor meldingen van incidenten

Checklist: Back-up en herstel

  • ☐ Dagelijkse back-up geautomatiseerd en gecontroleerd

  • ☐ Back-upversies versleuteld opgeslagen

  • ☐ Restore-test recent uitgevoerd

  • ☐ Offsite- of cloudkopieën aanwezig

Checklist: Awareness en training

  • ☐ Introductietraining voltooid bij indiensttreding

  • ☐ Jaarlijkse awareness herhaling gepland

  • ☐ Resultaten van phishingsimulaties geanalyseerd

  • ☐ Securitycampagnes of reminders aanwezig

Deze checklists kunnen digitaal worden beheerd in een GRC-systeem, of fysiek worden ingevuld tijdens interne controles. Ze vormen een nuttige leidraad om inzicht te krijgen in de actuele stand van zaken en stimuleren continue verbetering.

Hoofdstuk 24: Tools en sjablonen

Voor een effectieve informatiebeveiliging zijn praktische hulpmiddelen essentieel. In dit hoofdstuk worden nuttige tools, scripts en sjablonen besproken die organisaties ondersteunen bij de implementatie en het onderhoud van hun beveiligingsmaatregelen.

Beleidssjablonen

Het gebruik van gestandaardiseerde sjablonen versnelt het opstellen van beleid en zorgt voor consistentie. Voorbeelden:

  • Sjabloon informatiebeveiligingsbeleid (ISMS)

  • Privacybeleid (conform AVG)

  • Toegangsbeheerbeleid

  • Incidentresponsplan (IRP)

  • Back-up- en herstelbeleid

Veel organisaties gebruiken Microsoft Word of Google Docs om sjablonen te beheren, eventueel geïntegreerd in documentmanagementsystemen.

Risicoanalyse-tools

  • ISO 27005 of NIST-gebaseerde Excel-modellen voor risico-inventarisatie

  • FAIR-modeltools voor kwantitatieve risicoanalyse

  • Tools zoals RiskLens, Octave Allegro of CRAMM (veelal betaald)

Kwetsbaarheidsscanners en audittools

  • OpenVAS / Greenbone: open source kwetsbaarhedenscanner

  • Nessus / Qualys: commerciële netwerk- en hostscanners

  • Nmap: poortscanner en netwerkinventarisatietool

  • Lynis: Linux-auditscript voor systeemhardening

Logging, SIEM en monitoring

  • ELK-stack (Elasticsearch, Logstash, Kibana): open source logbeheer en visualisatie

  • Graylog: logmanagementplatform

  • Splunk / IBM QRadar / Microsoft Sentinel: commerciële SIEM-oplossingen

Endpointbeheer en patchmanagement

  • Microsoft Intune / SCCM

  • WSUS voor Windows-patching

  • PDQ Deploy, ManageEngine, Ansible (automatisering Linux/Windows)

Awareness en training

  • KnowBe4, Phished, SoSafe: platforms voor phishing-simulatie en trainingen

  • Cybrary, Udemy, ITProTV: online cursussen over security

  • Openbare e-learnings van NCSC-NL, Europol en andere instanties

Overige nuttige tools

  • KeePass / Bitwarden: wachtwoordbeheerders

  • VeraCrypt: versleuteling van schijven en bestanden

  • GnuPG / Kleopatra: e-mailversleuteling (PGP)

  • Wireshark: netwerkverkeer analyseren

  • Shodan: zoekmachine voor internet-exposed apparaten

Gebruik en beheer

  • Tools moeten up-to-date gehouden worden (patches, updates)

  • Beperk gebruik tot goedgekeurde software in het securitybeleid

  • Documenteer alle tools en hun configuraties voor audits

  • Geef training aan gebruikers en beheerdersteams

De juiste combinatie van tools en sjablonen versterkt de operationele weerbaarheid van een organisatie. Maak keuzes op basis van risicoanalyse, schaal, compliance-eisen en beschikbare expertise.

Samenvatting

Het "ICT Security Handboek" biedt een volledig en gestructureerd overzicht van de essentiële aspecten van informatiebeveiliging. Het behandelt zowel de theoretische fundamenten als de praktische toepassingen voor het beveiligen van digitale informatie, systemen, netwerken en gebruikers.

In Deel I worden de kernprincipes van informatiebeveiliging uitgelegd, waaronder vertrouwelijkheid, integriteit en beschikbaarheid (CIA-triad). Verder komen belangrijke modellen zoals het NIST Cybersecurity Framework en STRIDE aan bod, evenals wet- en regelgeving zoals de AVG en NIS2-richtlijn.

Deel II richt zich op risicoanalyse en beleid. Organisaties leren risico’s identificeren, beoordelen en beheersen, en hoe ze een effectief securitybeleid opstellen.

Deel III t/m VI bieden praktische richtlijnen voor het beveiligen van systemen, netwerken, data en gebruikers. Dit omvat:

  • Endpoint security en patchmanagement

  • Encryptie en PKI

  • Firewalls, VPN, IDS/IPS en Zero Trust architectuur

  • Identity & Access Management en gebruikersbeheer

  • Data-verwijdering en fysieke beveiliging

Deel VII behandelt incidentrespons en herstelmaatregelen, waaronder de inrichting van een CSIRT, herstelprocedures en communicatie tijdens incidenten.

Deel VIII onderstreept het belang van bewustwording bij medewerkers via training en simulaties.

Deel IX gaat in op audits, compliance en certificering (zoals ISO 27001, NEN 7510, SOC 2), en hoe organisaties aantoonbaar grip houden op hun beveiligingsmaatregelen.

Tot slot bieden Deel X en XI concrete checklists, sjablonen en tools die de uitvoering en controle van beveiligingsmaatregelen ondersteunen. Denk aan risicoanalysemodellen, open source scanners, SIEM-oplossingen en e-learningplatforms.

Conclusie

Beveiliging is geen eenmalige handeling, maar een continu proces. Dit handboek geeft organisaties de kennis, tools en structuur om informatiebeveiliging professioneel aan te pakken, incidenten te voorkomen en te voldoen aan de eisen van wetgeving en belanghebbenden.

Gebruik dit document als basis voor beleidsontwikkeling, training, implementatie en zelfevaluatie. Alleen met een integrale aanpak kunnen organisaties effectief weerbaar blijven in een steeds veranderend dreigingslandschap.