Met het digitale weerbaarheid programma bereik je duurzame weerbaarheid. Modules voor management, medewerkers en ICT. Bewust personeel maakt de organisatie weerbaar. Dit verlaagt het aantal security incidenten.
2. Sebyde Academy ─ info@sebyde.nl ─ www.sebyde.nl Tel: 085 - 273 33 76
2
Achtergrond
Het aantal berichten in de media over cybercriminaliteit blijft maar groeien.
Productielijnen worden ontregeld. Bedrijfsgegevens, personeelsbestanden, klantgege-
vens, etc. worden gestolen of verminkt, reputaties worden geschonden. De schade is
enorm. Zowel in geld als in reputatie.
Bedrijven doen hun uiterste best om weerbaar te zijn tegen deze vorm van criminaliteit.
Er worden veel maatregelen genomen om het bedrijfsnetwerk te beschermen tegen
aanvallen van buitenaf. Hiervoor worden op grote schaal technische security maatrege-
len ingezet, zoals firewalls, access management systemen, intrusion detection systemen,
etc. Deze technische maatregelen zijn noodzakelijk maar het is niet genoeg.
Om de risico’s op cybercriminaliteit te verlagen zijn er in elk bedrijf 3 belangrijke pijlers
waar aandacht aan besteed dient te worden:
De Mens: Zijn uw medewerkers zich bewust van hun verantwoordelijkheid met be-
trekking tot de veiligheid en de bescherming van informatie?
De Organisatie: Is security een integraal onderdeel van het bedrijf, de processen en
procedures?
De Techniek: Technische oplossingen ter bescherming van uw informatie.
3. Sebyde Academy ─ info@sebyde.nl ─ www.sebyde.nl Tel: 085 - 273 33 76
3
Digitale Weerbaarheid Driehoek
Een hacker richt zich op
drie zwakheden van
bedrijven als het gaat
om een om een succes-
volle aanval te kunnen
uitvoeren:
> Kennis: hoe meer
kennis de hacker
kan vergaren over
uw organisatie en
uw ICT-systemen
hoe beter hij/zij de
aanval kan plannen
en voorbereiden
> Tijd: als de hacker ruim te tijd krijgt om zijn of haar werk te doen zonder dat hij op-
gemerkt wordt, zal hij meer schade kunnen toebrengen aan uw gegevens en sys-
temen
> Gelegenheid: Als de hacker de gelegenheid krijgt zal hij hem pakken. Als bijvoorbeeld
de ICT-systemen en software niet worden bijgewerkt (updates) en oude en bekende
kwetsbaarheden niet worden opgelost zal de hacker des te simpeler kunnen inbre-
ken. Maar denk hierbij ook aan het achterlaten van een laptop in de auto of het ver-
liezen van USB-sticks.
Om u en uw organisatie weerbaar te maken tegen cybercriminaliteit heeft Sebyde Aca-
demy een programma ontwikkeld om uw medewerkers blijvend bewust te maken van
hun omgang met ICT-systemen en hun verantwoordelijkheid daarin. Wij noemen dit het
“Sebyde Digitale Weerbaarheid Programma”. Het bereikt duurzaam veilig gedrag van
management en medewerkers en zal leiden tot een verlaging van het aantal security
incidenten.
4. Sebyde Academy ─ info@sebyde.nl ─ www.sebyde.nl Tel: 085 - 273 33 76
4
Sebyde Digitale Weerbaarheid programma
Sebyde Academy heeft het Sebyde Digitale Weerbaarheid programma ontwikkeld om
mensen in een organisatie (management én medewerkers) te stimuleren en motiveren
naar veilig gedrag. Management en medewerkers leren wat hun verantwoordelijkheid
hierin is doordat ze bewust worden van de gevaren, de risico’s en de mogelijke conse-
quenties van onveilig gedrag.
Medewerkers
dienen bewust
en veilig omgaan
met alle ICT-
apparaten, soft-
ware en bedrijfs-
gegevens. Met
het Sebyde Digi-
tale Weerbaar-
heid programma
brengt u duur-
zaam veilig ge-
drag in uw orga-
nisatie zonder
dat u alle techni-
sche details hoeft te kennen. Dit zal resulteren in een verlaging van het aantal security
incidenten en een grotere cyber-weerbaarheid van de organisatie
Het Sebyde Digitale Weerbaarheid programma bevat speciaal ontwikkelde modules voor
het management, medewerkers en de ICT-professionals in uw organisatie.
Het programma is geschikt voor iedereen in de organisatie en bestaat uit 7 modules, elk
met een vast tijdskader en resultaat. Ondersteuning van het programma kan gegeven
worden door een eigen programmamanager of via de Sebyde Academy.
Training van de ICT-professionals is eenvoudig te integreren. Dit zijn specialistische secu-
ritytrainingen bedoeld voor IT-management, securityspecialisten of medewerkers van
een incident managementteam.
5. Sebyde Academy ─ info@sebyde.nl ─ www.sebyde.nl Tel: 085 - 273 33 76
5
Modulaire opbouw
Het Sebyde Digitale Weerbaarheid programma bestaat uit een aantal speciaal ontwikkel-
de modules voor zowel management en medewerkers. De nadruk ligt op het verhogen
van de kennis, training van de vaardigheden. Elke medewerker zal een persoonlijk actie-
plan krijgen waarmee veilig gedag in de organisatie gerealiseerd kan worden.
Het weerbaarheid programma omvat 6 modules. De situatie bij de klant bepaalt welke
modules er het beste gekozen kunnen worden.
Module 1 is bedoeld voor het management, de beleidsmakers op het gebied van infor-
matiebescherming en organisatie-development.
Modules 2 t/m 6 zijn bedoeld voor de medewerkers van de organisatie.
Module 7 is bedoeld voor de ICT-professional.
Kenmerken
Voor het hele programma geldt:
U verkrijgt inzicht in kritische factoren
De bijeenkomsten zijn klassikaal en interactief.
Er wordt rekening gehouden met de cognitieve instelling van de cursisten.
Krachtig leerproces door interactie met medecursisten
Coaching vindt plaats in meerdere les vormen.
Flexibel ten aanzien van uw trainingsbehoefte.
Uitstekende trainers/coaches met uitgebreide ervaring in security en opleiden.
6. Sebyde Academy ─ info@sebyde.nl ─ www.sebyde.nl Tel: 085 - 273 33 76
6
Management
De eerste module van het Sebyde weerbaarheid programma is ontwikkeld voor de be-
leidsmakers op het gebied van informatiebeveiliging en organisatieontwikkeling. De in-
formatie die uit deze module wordt verkregen dient als basis voor het verder implemen-
teren van een goed en effectief security awareness programma.
MODULE 1: “OPTIMAAL WEERBAAR”
Het succes van een security awareness programma in een organisatie wordt voor een
groot gedeelte bepaald door de ondersteuning van het management. Het creëren van de
juiste cultuur op het gebied van informatiebeveiliging kan alleen gebeuren als er geen
onduidelijkheden zijn over de verwachtingen en doelstellingen. De Sebyde Management
workshop brengt de aandachtspunten aan de oppervlakte die van belang zijn (missie &
visie, welke stappen te nemen, wie zijn betrokken, welke middelen zijn nodig, etc.) voor
het verhogen van de weerbaarheid van de organisatie.
Kenmerken
> On Site.
> Advies aantal deelnemers max 10
> Uw tijd is ½ dag, het totale project duurt 5 dagen
> Er zal een voorbereidend gesprek plaatshebben om de doelstelling te bepalen en
eventuele vragen te beantwoorden
> Bedoeld voor managers en leidinggevenden vanuit de business en de ICT
> Een workshop van ½ dag
> Interactief
> 4 dagen uitwerking van het programma, documenteren
> Nabespreking van de resultaten en de eventuele vervolgstappen
> We gebruiken de A3 methodiek van TNO voor het maken van een overzicht
Resultaat
> Een plan van aanpak voor een security awareness programma.
> Verbeterpunten in de organisatie.
> Een A3 met alle speerpunten, stappen, voor iedereen toegankelijk en begrijpelijk
7. Sebyde Academy ─ info@sebyde.nl ─ www.sebyde.nl Tel: 085 - 273 33 76
7
Medewerkers
Modules 2 t/m 6 zijn ontworpen voor de medewerkers van de organisatie. Afhankelijk
van de situatie kunnen een of meerdere modules worden doorlopen om veilig gedrag in
de organisatie te realiseren waardoor de weerbaarheid vergroot.
MODULE 2: “BEWUST WORDEN”
Module 2 is een eendaagse training die mensen bewust maakt en inzicht verschaft in de
dreigingen. Het bevat een aantal interactieve oefeningen waarbij nagedacht wordt over
de eigen persoonlijke situatie en de toepasbaarheid in uw organisatie. De deelnemers
worden constant gestimuleerd om de informatie te projecteren op hun eigen werkom-
geving. Aan het eind van de dag gaat men naar huis met een persoonlijk actieplan welke
aanzet tot nadenken en eventueel al verbeterpunten bevat.
Kenmerken
> Interactie met medecursisten
> Doelgroep: alle medewerkers
> Kennis vooraf niet nodig
> 1 dag
> Overzicht van de dreigingen, risico’s en maatregelen
Inhoud
> Overzicht van security incidenten vanuit de media.
> Risico’s die men loopt bij persoonlijk gebruik van IT.
> Richtlijnen of goed gebruik om risico’s te beperken.
> Security kwesties die spelen in de eigen organisatie of de industrie.
> De financiële, operationele en reputatie schade die men oploopt door security
incidenten.
> De persoonlijke consequenties van security incidenten.
Resultaat
> Deelnemers zijn bewust over security in de digitale wereld. Ze hebben een eerste
inzicht gekregen in de mogelijke maatregelen die genomen kunnen worden.
> De deelnemers zijn zich bewust van de verhouding tussen techniek, mens en or-
ganisatie en hoe de gevaren in te delen.
> Deelnemers zullen incidenten en dreigingen sneller herkennen en weten wat er
mee te doen.
> Deelnemers weten welke mogelijkheden er zijn om in te breken in netwerk, da-
tabase, etc. De deelnemers kennen het effect van de algemene gevaren en speci-
fiek voor hun organisatie.
> De deelnemers zijn zich bewust van gedrag t.a.v. security awareness en kunnen
dit vertalen naar hun eigen organisatie en zichzelf.
8. Sebyde Academy ─ info@sebyde.nl ─ www.sebyde.nl Tel: 085 - 273 33 76
8
MODULE 3: “BEWUST ZIJN”
Het is bewezen dat het effect van een training vergroot wordt als er na een tijdje een
herhaling van de belangrijke onderwerpen wordt gegeven. Module 3 van het Sebyde
weerbaarheid programma is een terugkom-sessie van een halve dag die 4-6 weken na
module 2 georganiseerd wordt. Men heeft de informatie van module 2 dan gedurende
een aantal weken kunnen toepassen in de praktijk en ook kunnen testen wat wel/niet
werkt in de eigen organisatie. Op deze dag bespreken we gericht over de mogelijke secu-
rity-maatregelen en welke verbeterpunten er zijn. We behandelen het persoonlijk actie-
plan, wat wel en wat niet werkte en wat de deelnemer/ster er eventueel van weerhield
om bepaalde verbeteringen aan te brengen.
Kenmerken
> Interactie met medecursisten.
> Doelgroep: medewerkers.
> Kennis vooraf: module “Bewust Worden”.
> ½ dag.
> Inclusief 1 uur gesprek met de opdrachtgever.
> PAP, het persoonlijk actieplan zet u aan tot het verbeteren of aanleren van risi-
comijdend gedrag.
Resultaat
> Herijken en beoordelen van het Persoonlijk Actie Plan. (PAP). PAP is toe te pas-
sen in de praktijk.
> Praktische kennis en inzicht hoe te handelen. De gevolgen & verantwoordelijk-
heden van het eigen handelen voor het bedrijf zijn bekend.
> Verbeterpunten.
MODULE 4: “BEWUST HANDELEN”
Module 4 van het Sebyde weerbaarheid programma is een praktische workshop (Mas-
terclass) over een specifiek onderwerp. Deelnemers verbeteren hun vaardigheden en
bouwen hiermee ervaring op. De onderwerpen waarover we momenteel masterclasses
aanbieden:
> Phishing: Inzage in de verschillende vormen van phishing en hoe je dat kunt her-
kennen.
> Passwords: Veilig gebruik van passwords in de organisatie.
Het is mogelijk om ook over andere specifieke onderwerpen masterclasses te maken.
Kenmerken
> Interactie met medecursisten.
> Duur 2-3 uur.
> Klassikaal.
> Oefening en coaching.
9. Sebyde Academy ─ info@sebyde.nl ─ www.sebyde.nl Tel: 085 - 273 33 76
9
Resultaat
> Kennis over het behandelde onderwerp.
> Verbetering van het gedrag.
> Bewust over de noodzaak.
MODULE 5: “AMBASSADEUR”
In deze module leren we één of meerdere personen in uw organisatie in methodes om
een security awareness programma te organiseren in hun bedrijf. Awareness is ten slotte
een doorlopend proces en dient onderhouden te worden.
Kenmerken
> Doelgroep: aangewezen trainer(s)
> ½ dag
> Interactief
> Coach
> Kennis vooraf: “Bewust worden, zijn en handelen”
Resultaat
> Leert het onderwerp security awareness bespreekbaar te maken.
> Beheerst technieken om het onderwerp “security awareness” te bespreken.
> Tips hoe je een security awareness campagne opstart.
MODULE 6: “UPDATE”
Ook mensen hebben security-updates nodig. Uw organisatie verandert, de buitenwereld
verandert, al met al genoeg redenen om u op de hoogte te stellen van de laatste stand
van zaken met betrekking tot security en de risico’s. Deze sessies zij om twee redenen
erg belangrijk. Ten eerste hou je door middel van deze sessies het onderwerp security op
de agenda van de medewerkers en geef je aan dat security belangrijk wordt gevonden in.
Ten tweede blijven de medewerkers up-to-date over de nieuwe ontwikkelingen. Op het-
zelfde moment ook een goede gelegenheid om vragen te stellen en mogelijke problemen
nog eens onder de loupe te nemen.
Kenmerken
> Doelgroep: Medewerkers & Trainers
> ½ dag
> Er wordt een update gegeven met de laatste informatie of gebeurtenissen.
> Een vragen uurtje met de opdrachtgever, bijpraten, nieuwe behoeftes.
Resultaat
> Securitylevel blijft op gewenst niveau
> De weerbaarheid van uw medewerkers is weer op niveau.
> Kennis blijft in organisatie.
10. Sebyde Academy ─ info@sebyde.nl ─ www.sebyde.nl Tel: 085 - 273 33 76
10
ICT
De laatste module van het Sebyde weerbaarheid programma (module 7) is ontwikkeld
voor de ICT-medewerkers die betrokken zijn bij het programmeren en onderhouden van
software. Cybercriminelen zijn op de hoogte van het feit dat secure coding technieken
niet zo vaak worden gebruikt en dat daardoor veel applicaties die via het internet toe-
gankelijk zijn security kwetsbaarheden bevatten. Aanvallen worden daarom ook steeds
vaker uitgevoerd via de software laag van de informatiesystemen.
MODULE 7: “SECURE CODING”
Het beveiligen van software door gebruik te maken van secure coding technieken is te-
genwoordig van groot belang. Veel securitymaatregelen kunnen vanuit de broncode van
een applicatie geregeld worden. Security dient al bij het ontwerp van een applicatie
meegenomen te worden. Organisaties moeten preventieve maatregelen nemen door
systemen en software van binnenuit veilig te maken
Deze workshop is speciaal gemaakt voor ontwikkelaars en programmeurs die coderen in
PHP. Tevens is deze workshop bedoeld voor code testers en code reviewers.
Enige maanden ervaring met PHP strekt tot aanbeveling
De deelnemers worden eerst meegenomen naar de wereld van cybercriminaliteit. Wat
heb je te beschermen, waar liggen de gevaren en dreigingen. Op welke manier gaan hac-
kers te werk? Hoe kan een organisatie zich beschermen? Wat is de rol van een program-
meur / ontwikkelaar daarin? Wat is OWASP en de OWASP top tien?
Tenslotte zullen de deelnemers aan de slag gaan met praktische oefeningen.
Kenmerken
> Injection (SQL, CSS, Command & Cookie)
> Cross-Site Scripting (XSS)
> Insecure Session handling
> Direct object reference
> Cross Site Request Forgery (CSRF)
> Unrestricted URL access
> Remote PHP code execution
> MySQL validation errors
> Variable pollution
> Spammers abuse of File uploads
> Environment manipulation
> Using a (OWASP) security library/framework
> Applying OO - design patterns
> Input validation with regular expressions
Resultaat
> Minder incidenten door kwetsbare code
11. Sebyde Academy ─ info@sebyde.nl ─ www.sebyde.nl Tel: 085 - 273 33 76
11
Weerbaarheid
Het niveau van de weerbaarheid blijft niet constant nadat u een training heeft gevolgd.
Dit wordt veroorzaakt door het feit dat mensen bij gebrek aan herhaling de neiging heb-
ben om na verloop van tijd terug te vallen naar “oud gedrag”.
Daar zijn 2 redenen voor, de 1ste
reden is dat de opgedane kennis na verloop van tijd
wegzakt. Dit is zeker het geval als een bepaalde dreiging niet vaak voorkomt.
De 2de
reden is dat de cybercriminelen niet stilzitten maar nieuwe dreigingen en metho-
dieken ontwikkelen om geld te verdienen.
Daarom is het van belang uw mensen weer alert te maken door middel van een perio-
dieke refresh/opfris sessie. Hierdoor blijft het onderwerp security actueel.
In het Sebyde Digitale weerbaarheid programma is daarom ook een mogelijkheid inge-
bouwd om refresh (opfris) sessies te organiseren. Hierdoor blijft het onderwerp security
op de agenda van uw organisatie staan en blijven de medewerkers up-to-date.
Wij raden aan deze opfris sessies 1 keer per kwartaal te houden zodat het weerbaar-
heidsniveau van uw organisatie op pijl blijft.