EN - An exercise, based only on publicly available information, of how to potentially put information security and data protection on the agenda with the staff of a business-to-business organisation. The "target company" is random, not (yet) a customer. - This presentation obviously is no (legal) advice.
NL - Een oefening, louter gebaseerd op publieke informatie, om te bekijken hoe informatiebeveiliging en gegevensbescherming bij de medewerkers van een B2B organisatie kan worden aangebracht. Het betrokken bedrijf is willekeurig, (nog) geen klant. - Deze presentatie is uiteraard geen (juridisch) advies.
3. B2B, dus… dat telt allemaal niet?!
Privacygevoelig
Binnen Televic
Personeelsevaluaties,
loongegevens,…
Klanten
Communicatie
Klanten van klanten
Patiëntendossiers
4. B2B, dus… dat telt allemaal niet?!
Persoonsgegevens
Binnen Televic
Personeelsevaluaties,
loongegevens,
klantencontacten,…
Klanten
Inlogggevens (cloud)users
Klanten van klanten
Patiëntendossiers, opleidings-
opvolging en -resultaten,…
5. B2B, dus… dat telt allemaal niet?!
Algemeen
Binnen Televic
Research & Development,
prijslijsten klanten, …
Klanten
Bedrijfsdocumenten gebruikt in
teleconferentie, besprekingen
over conferentiesystemen,…
7. Wat kan er gebeuren?
• Confidentiality
• Availability
• Privacy
• Integrity
C P
A I
8. Vertrouwelijkheid
• een patentaanvraag wordt ingediend net
voor Televic’s R&D afdeling dat kan doen
voor een technologie die wel bijzonder
sterk op die van Televic’s pipeline lijkt
Watals…
C P
A I
9. Vertrouwelijkheid
• de loongegevens van het Televic
personeel en management
– onder het personeel worden gecirculeerd
– op een website worden geplaatst
Watals… C P
A I
10. Vertrouwelijkheid
• de opleidingsopvolgingsgegevens – en
resultaten van een klant van Televic
Education voor alle medewerkers van die
klant beschikbaar zijn
– de relatiebeheerder wordt gecontacteerd door
de klant
– de juridische afdeling krijgt een ingebreke-
stelling (of zelfs dagvaarding) binnen van de
klant ter vergoeding van schade
Watals…
C P
A I
11. Vertrouwelijkheid
• een overname-deal van een klant
voortijdig op sociale media wordt
bekendgemaakt omdat journalisten /
hacktivisten toegang hadden tot de
gesprekken die via Televic tele-
conferencing gebeurden.
– kan dat echt?
– is er een communicatieplan klaar naar pers,
klant(en), beurswaakhond,…?
Watals…
C P
A I
12. Beschikbaarheid
• alle informatie van R&D geëncrypteerd
wordt door “ransomware”
– de hackers betalen? zullen ze dan wel de
decryptiesleutel geven?
– kunnen we backups gebruiken? hoeveel
dagen werk verliezen we dan?
– zijn we de besmetting dan kwijt of zit ze nog in
het systeem?
Watals…
C P
A I
13. Beschikbaarheid
• een relatie met een klant verzuurt, Televic
formele briefwisseling ontvangt die
refereert naar het contract dat 8 jaar
geleden is gesloten en we het contract
niet meer vinden?
– hoe professioneel is het om het contract bij de
klant op te vragen?
– moeten we antwoorden op zo’n brieven
zonder het contract onder ogen te hebben?
Watals…
C P
A I
14. Doelgebondenheid
• een medewerker die politiek actief is, een
selectie op de klantenlijst gebruikt om zijn
campagne op te baseren
– door flyers toe te sturen
– om financiering te vragen
• het om het gebruik van televic’s twitter
account ging om te verwijzen naar de
campagnepagina?
Watals…
C P
A I
15. Integriteit
• een klant denkt dat de opleidings-
resultaten gemanipuleerd zijn, omdat ze
heel onwaarschijnlijke statistische
analyses bekomen?
– kan dergelijke manipulatie als een
medewerker toegang heeft tot een ander rol?
– kunnen we de klant geruststellen dat het
product wel degelijk de resultaten correct
weergeeft?
Watals…
C P
A I
16. Integriteit
• een medewerker van het salesteam heeft
vragen bij de nieuwe prijzen; hij wist niet
dat ze recent gewijzigd waren. De sales
directeur weet ook van niets.
– zijn de prijslijsten aangepast zonder dat er
een formele beslissing is geweest van het
management?
Watals…
C P
A I
17. Hoe is dat mijn probleem?
Hoe kan ik daaraan bijdragen?
19. De zwakke schakel
• Mensen zijn de zwakke schakel in
informatieveiligheid.
• Jij bent de zwakke schakel in
informatieveiligheid.
20. Toch niet als het om klanten gaat?
• De klanten van Televic hebben zelf ook
belang bij informatieveiligheid.
• Voor sommige aspecten rekenen ze
daarbij op Televic. Soms wordt dat geëist:
in de tender, in het contract,…
• Als Televic die bekommernis kan
afdekken door informatieveiligheid in het
product-design op te nemen, …
21. Ik ben loyaal aan Televic
• Daaraan wordt niet getwijfeld.
• Niet alle incidenten doen zich
voor omdat een interne
medewerker in het complot zit.
22. • Als je een slechte dag
hebt, kan je al eens
incidentjes triggeren
door overdreven te
reageren.
“Vandaag is echt de dag niet”
23. “Bespeeld”
• Afpersing
– Met private foto’s,
emails,…
• “Social engineering”
– Gebruik maken van de
goed(gelovig)heid van
mensen.
24. Ladies first… of toch niet?
• Bezoekers moet langs
de receptie passeren,
zelfs personeel van
toeleveringsbedrijven
25. “Mijn” computer
• Als de computer (tablet,
…) de werkplek verlaat,
is de veiligheid ervan in
jouw handen.
– Achterlaten is een ding…
– maar soms is men uit op
de computer zelf en is de
data een toetje.
26. “Click click” – computer op slot
• Even weg van
je computer?
Sluit hem dan.
27. Wachtwoorden
• Je account is
persoonlijk. Wat
er op gebeurd
wordt jou
aangerekend.
• Er zijn do’s en
don’ts voor
wachtwoorden.
33. Reply all
• Moeten ze allemaal op de
hoogte zijn van mijn antwoord?
– “Mijn estimaties voor dit kwartaal
zijn…”
– “Klopt ik ben laat met mijn
expenses, maar dat komt omdat
ik niet weet hoe ik mijn bezoek
aan een Russische “tent” moet
verantwoorden.”
34. “Dikke vingers”
• Oei, email over het
gesprek dat niet zo goed
is verlopen, ook naar de
klant gestuurd.
• Oei, evaluatie (incl.
verbeterpunten) van
Jean naar het ganse
team gestuurd.