Wk13A - Security & Privacy

Security en Privacy
SEP-II Security Ethiek en Privacy
Les 2.1 / Week 13
1 / 34
volgende
Slide 1: Tekstslide
Applicatie- en mediaontwikkelaarMBOStudiejaar 2

In deze les zitten 34 slides, met interactieve quizzen en tekstslides.

Onderdelen in deze les

Security en Privacy
SEP-II Security Ethiek en Privacy
Les 2.1 / Week 13

Slide 1 - Tekstslide

Deze slide heeft geen instructies

De vorige les
AVG en Privacy
Sinds 25 mei 2018
Privacy wet

Regels over persoonsgegevens
Dezelfde regels voor heel de Europese Unie 

Slide 2 - Tekstslide

Even terugkijken op de les van week 10.
Niet benoemen waar AVG voor staat, dit is een vraag in de volgende slide ;)
AVG
Waar stond dat ook alweer voor?
A
Algemene Veiligheidsregels Gegevens
B
Algemene Verordening Gegevensbescherming
C
Afspraken Verwerking Gegevens
D
Aangenomen Verordening Gegevensbescherming

Slide 3 - Quizvraag

Deze slide heeft geen instructies

Welke organisatie checkt of de
AVG-regels ook daadwerkelijk
worden nageleefd?
A
WTP - Waakhond & Toezicht Persoonsgegevens
B
NOP - Nationale Organisatie Privacy
C
AP - Autoriteit Persoonsgegevens
D
Dit moeten bedrijven zelf doen

Slide 4 - Quizvraag

de Autoriteit Persoonsgevens is de toezichthouder. Maar het klopt dat bedrijven zelf er ook mee bezig moeten zijn
Deze les
Security
Informatiebeveiling

Slide 5 - Tekstslide

Deze slide heeft geen instructies

Privacy & Security
Wat is het verschil tussen privacy en security?

Privacy en Security gaan hand in hand en worden vaak 
door elkaar gehaald in gesprekken. Maar er is wel een
essentieel verschil en het is belangrijk om dat te begrijpen.
 

Slide 6 - Tekstslide

Deze slide heeft geen instructies

Privacy
Privacy verwijst naar het juiste gebruik van gegevens die worden verzameld, opgeslagen en verzonden. In deze zin is “juist” het belangrijkste woord.

 Wanneer een arts of organisatie onze gevoelige gegevens verzamelt, is het hun taak om ervoor te zorgen dat de gegevens alleen voor de beoogde doeleinden worden gebruikt. Ze zullen het bijvoorbeeld niet naar een ongeoorloofde partij sturen of op Facebook plaatsen.

Slide 7 - Tekstslide

Deze slide heeft geen instructies

Security
Security verwijst naar onze inspanningen om ervoor te zorgen dat gegevens niet worden gebruikt door onbevoegde partijen zoals cybercriminelen.

Bijvoorbeeld:
• niet klikken op willekeurige koppelingen en bijlagen 
• ervoor zorgen dat de software op computers up-to-date is
• dat computers beveiligd zijn met een wachtwoord 
• controleren of de juiste personen toegang hebben tot de juiste gegevens.

Slide 8 - Tekstslide

Deze slide heeft geen instructies

Privacy & Security
Zie het zo: privacy wordt vaak opgelegd door compliance regels 
en organisatiebeleid, terwijl security gaat over de oplossingen, zowel de menselijke als technische oplossingen. En hoewel de twee totaal verschillend zijn, werken ze samen om één gemeenschappelijk doel te bereiken: 

Ten allen tijde zorgen voor de beschikbaarheid, integriteit en vertrouwelijkheid van gevoelige informatie, 
op elk niveau, ongeacht wat.

Compliance is het begrip waarmee wordt aangeduid dat een organisatie werkt in overeenstemming met de geldende wet- en regelgeving. Het gaat over het nakomen van normen of het zich er naar schikken. Het Engelse werkwoord 'to comply' betekent 'voldoen' of 'naleven'.

Slide 9 - Tekstslide

Deze slide heeft geen instructies

Informatiebeveiliging
“Informatiebeveiliging is het geheel van preventieve, detectieve, repressieve en correctieve maatregelen alsmede procedures en processen die de beschikbaarheid, exclusiviteit en integriteit van alle vormen van informatie binnen een organisatie of een maatschappij garanderen, met als doel de continuïteit van de informatie en de informatievoorziening te waarborgen en de eventuele gevolgen van beveiligingsincidenten tot een acceptabel, vooraf bepaald niveau te beperken.”

Slide 10 - Tekstslide

De definitie zoals informatiebeveiliging bekend staat. Bewust een lastige zin.
Informatiebeveiliging
De uitleg die je net zag is misschien wel compleet, maar niet heel duidelijk. 
Het begrip ‘informatiebeveiliging’ wordt duidelijker wanneer je het opsplitst.

1. Onder ‘informatie’ verstaan we (onder andere) persoonsgegevens, intellectueel eigendom (wat jij maakt is ook van jou), bedrijfsgevoelige informatie, of informatie van klanten en relaties.

Slide 11 - Tekstslide

Deze en slide 11, 12 en 13, splitsen de 'lastige' definitie van slide 9 op.
Informatiebeveiliging
2. Met informatiebeveiliging wil een organisatie ongewenste toegang tót en daarnaast de verwerking en vernietiging ván informatie voorkomen.

Slide 12 - Tekstslide

Deze slide heeft geen instructies

Informatiebeveiliging
3. Daarnaast willen organisaties ook de gevolgen van een mogelijk datalek minimaliseren. 

Slide 13 - Tekstslide

Deze slide heeft geen instructies

Informatiebeveiliging
4. Dit is een combinatie van beleid, procedures en maatregelen.


De beveiliging van informatie bereik je doordat je op een bepaalde manier met de informatie omgaat. Dat doe je bijvoorbeeld, doordat je hierover afspraken maakt en de processen borgt, waarbij software je kan ondersteunen. Op die manier beperk je de risico’s tot een acceptabel niveau.

Slide 14 - Tekstslide

Deze slide heeft geen instructies

Informatiebeveiliging
Met informatiebeveiliging wil je dus voorkomen dat er ongewenste dingen gebeuren met je bedrijfsinformatie en daarnaast de mogelijke gevolgen beperken, voor het geval er toch iets misgaat.

Slide 15 - Tekstslide

Simpele definitie van informatiebeveiliging
Wat is géén goed idee wat betreft Security/Informatiebeveiliging?
A
een wachtwoord instellen
B
de laatste updates installeren voor de computer
C
een bijlage openen van een onbekende afzender
D
controleren of de juiste personen toegang hebben

Slide 16 - Quizvraag

Deze slide heeft geen instructies

Wat kun je als incident beschouwen wat betreft informatiebeveiliging?
A
een Post-It geplakt op je laptop met daarop je wachtwoord van je schoolaccount
B
een verloren medewerkerssleutel waarmee de lokalen opengemaakt kunnen worden
C
de toegangscode van de sleutelkast is '1234'
D
Alle opties zijn voorbeelden van incidenten

Slide 17 - Quizvraag

Deze slide heeft geen instructies

Iemand waarmee je werkt stelt dat fysieke beveiliging, zoals een hek buiten het pand
niet van belang is voor informatiebeveiliging
A
Juist, informatie is niet fysiek dus dit is meer iets voor facilitaire zaken
B
Onjuist, bedrijfsinformatie moet ook fysiek worden beschermd

Slide 18 - Quizvraag

Deze slide heeft geen instructies

Schoolvoetbaltoernooi
Deze week (week 13) wordt Sprint 2 afgesloten.

In Sprint 3 gaan jullie de Privacy en Security stof ook toepassen binnen jullie eigen applicatie . 

Dit betekent de juiste keuzes maken en
veiligheid en privacy voorop stellen
 

Slide 19 - Tekstslide

Deze slide heeft geen instructies

Schoolvoetbaltoernooi
Denk hierbij aan:

•  wachtwoorden veilig opslaan
•  geen onnodige persoonsgegevens opslaan 
• gegevens niet onnodig zichtbaar maken voor gebruikers of medewerkers 

Slide 20 - Tekstslide

Deze slide heeft geen instructies

Als gebruiker, is het dan nodig om de e-mailadressen van anderen te kunnen zien in de applicatie?
A
Ja
B
Nee

Slide 21 - Quizvraag

E-mailadressen zien van andere gebruikers is onnodig voor de werking van de applicatie
Als beheerder, is het dan nodig om de e-mailadressen van alle gebruikers te kunnen inzien in de applicatie?
A
Ja
B
Nee

Slide 22 - Quizvraag

E-mailadressen zien van de gebruikers is ook voor de beheerder niet nodig. E-mailadressen zijn persoonlijk en dus alleen voor die ene specifieke gebruiker 'nodig' om in te kunnen loggen/wachtwoord vergeten
Schoolvoetbaltoernooi
De AVG stelt dat je “passende maatregelen” moet nemen op technisch vlak om de veiligheid van persoonsgegevens te waarborgen.

In ieder geval; HTTPS, alles met veilige wachtwoorden beveiligd, en gehashd wachtwoorden van gebruikers opslaan.

Als er data op straat komt te liggen door onvoldoende beveiliging is dat de schuld van het bedrijf wat de data heeft beheerd! 

Slide 23 - Tekstslide

Deze slide heeft geen instructies

HTTPS
Een HTTPS verbinding is tegenwoordig niet meer weg te denken van het internet. Zonder HTTPS is het mogelijk voor iedereen op de lijn om alles af te luisteren. Bijvoorbeeld via openbare WIFI.

Zorg ervoor dat je een webhost gebruikt die via HTTPS werkt!
HTTPS
HyperText Transfer Protocol Secure

Slide 24 - Tekstslide

Deze slide heeft geen instructies

Wachtwoorden opslaan
Wachtwoorden zijn extreem gevoelige gegevens. We willen eigenlijk onder geen enkele omstandigheid dat het wachtwoord van een gebruiker beschikbaar is; zowel voor de beheerders van het systeem, als voor hackers.

Het probleem is dan: hoe zorgen we er voor dat we niet het wachtwoord opslaan, maar toch weten dat een gebruiker het juiste wachtwoord invult?

Slide 25 - Tekstslide

Deze slide heeft geen instructies

Hashing functies
Specifiek kunnen we er met een hash-functie voor zorgen dat we van het wachtwoord een waarde kunnen maken die we niet terug kunnen herleiden tot een wachtwoord. Het is dus een functie die maar één kant op werkt.

Slide 26 - Tekstslide

Deze slide heeft geen instructies

Hashing functies
Gelukkig hoeven we zelf geen hashing functies te schrijven, want die zijn al netjes bedacht en beschikbaar.
Om wachtwoorden op te slaan gebruiken we typisch het SHA-512 algoritme, maar er zijn meerdere beschikbaar.


Secure Hash Algorithm

Slide 27 - Tekstslide

Deze slide heeft geen instructies

Je ziet dit in adresbalk van je browser

Wat is er aan de hand?
A
De server is gehackt, snel wegklikken
B
Er is geen HTTPS-verbinding
C
Je hebt het verkeerde wachtwoord ingevoerd
D
Niets, deze melding kun je negeren

Slide 28 - Quizvraag

Deze slide heeft geen instructies

Wachtwoorden
Alleen een wachtwoord is tegenwoordig bij veel applicaties niet meer voldoende. Je ziet steeds vaker een tweede laag van authenticatie. Meerdere 'factoren' die de toegangscontrole regelen. Oftewel MFA.

Multi Factor Authentication

Slide 29 - Tekstslide

Deze slide heeft geen instructies

MFA - Multi Factor Authentication
Door meerdere factoren te combineren kan de beveiliging 
bij toegangscontrole worden aangescherpt. 
De factoren bestaan doorgaans uit:



•  iets dat de gebruiker weet, 
zoals een wachtwoord bij een gebruikersnaam of pincode
•  iets dat de gebruiker heeft, 
zoals een pasje, een individueel e-mailadres, een geregistreerde smartphone
•  iets dat de gebruiker is (een eigenschap van de gebruiker), 
zoals een vingerafdruk

Slide 30 - Tekstslide

Deze slide heeft geen instructies

Wat is geen vorm van MFA?
A
Een inlogcode via sms/e-mail
B
Inloggen via een Authenticator app met je vingerafdruk
C
Het 'ik ben geen robot'-schermpje dat je krijgt bij het inloggen
D
Je wordt opgebeld en krijgt een code te horen

Slide 31 - Quizvraag

Ik-ben-geen-robot is om Spam te voorkomen
Is je bankpas in combinatie met de pincode die alleen jij weet ook een vorm van MFA?
A
Ja
B
Nee

Slide 32 - Quizvraag

Ja, je bankpas+pincode is 1 van de bekendste en meest voorkomende vormen van MFA. 
MFA - Multi Factor Authentication
Ook je locatie kan gebruikt worden als vorm van beveiliging.



Wanneer je steeds inlogt vanuit Breda is er nog weinig aan de hand. 
Maar zodra je nog geen uur later ineens vanuit het midden van China probeert in te loggen zullen er al snel alarmbellen gaan rinkelen wanneer je MFA hebt ingesteld.

Slide 33 - Tekstslide

Deze slide heeft geen instructies

De volgende les

Waarom doen we zoveel moeite om onze gegevens en informatie te beschermen?

Slide 34 - Tekstslide

Even terugkijken op de les van week 10.
Niet benoemen waar AVG voor staat, dit is een vraag in de volgende slide ;)