Embed Size (px)
Citation preview
Sebyde Overzicht diensten
2
Sebyde Sebyde is gespecialiseerd in het verlagen van het aantal IT-security incidenten. Bij het verlagen van de cyber-risico’s kijken we niet alleen naar de technische security-oplossin-gen, maar met ook naar de security-organisatie en het gedrag van de medewerkers met ICT-middelen en bedrijfsinformatie. 70% van de security-incidenten wordt immers veroorzaakt door onbewust onveilig gedag door medewerkers. In dit document treft u een overzicht aan van de dienstverlening van Sebyde: Security-onderzoeken:
Security QuickScan
Penetratietesten
Webapplicatie Security Scan
Hulp bij het herstellen na een hackers-aanval Abonnementen
Security Expert on demand
Phishing-test platform Security- en privacy compliance:
RI&E-Security
RI&E-Privacy
Controleren en/of opstellen bewerkersovereenkomsten
3
Sebyde Security QuickScan: inzicht in uw kwetsbaarheid! Het probleem met cybercriminaliteit is dat je het (bij onvoldoende maatregelen) niet ziet. Bij een inbraak in je huis zie je de inbraaksporen, bij een digitale inbraak hebben be-drijven vaak niets in de gaten en hebben cybercriminelen al maandenlang toegang tot de computers, gegevens en het netwerk. Ze zoeken dan stilletjes naar vertrouwelijke informatie zoals inloggegevens, reke-ning/creditcard nummers, e-mail adressen, etc. Andere cybercriminelen zijn directer en zetten met “ransomware” al uw gegevensbestanden op slot en eisen een losgeld om die gegevensbestanden weer vrij te geven. Security QuickScan Je kunt echter veel doen om deze criminele activiteiten wél te ontdekken en te voorkomen. Er zijn heel veel technische- en organisatorische maatregelen te nemen die uw weerbaarheid tegen cybercriminaliteit sterk vergroten. Dit begint met een inventarisatie. Sebyde heeft hiervoor een “Security Quick Scan” beschikbaar. Hierbij maken we met u een afspraak en beoordelen we de si-tuatie bij uw bedrijf op het gebied van de security-organisatie, de awareness en de genomen maatregelen. Rapport Na de Sebyde Security QuickScan ontvangt u een praktische rapportage waarmee u inzicht heeft in de situatie met betrekking tot de security en de risico’s. U kunt dan de juiste maatregelen ne-men om die risico’s te verlagen.
Omschrijving Eindgebruikers-prijs (€)
Sebyde Security QuickScan
595
4
Penetratietesten Bij een penetratietest zal worden getest of het mogelijk is om van buitenaf toegang te krijgen tot de vitale onderdelen van uw netwerk en de systemen. De benodigde activiteiten ten behoeve van de penetratietesten (netwerk- en systeemtesten) bestaan uit de volgende onderdelen:
EVA: EXTERNAL VULNERABILITY ASSESSMENT
Hierbij worden door een consultant alle actieve externe netwerkcomponenten zoals publieke ser-vers, firewalls, routers en filtersystemen getest. Aan de hand van de resultaten van deze testen is het mogelijk de kwetsbaarheden en daarmee dus de risico's van externe penetratie in het be-drijfsnetwerk of database in kaart te brengen. De technieken die gebruikt worden bij een EVA-scan variëren van automatische portscans tot handmatige data-manipulatie. De automatische tes-ten worden verricht met een selectie van de beste en hoog aangeschreven tools.
IVA: INTERNAL VULNERABILITY MANAGEMENT
Bij een IVA wordt het eigen netwerk, het zogenaamde Local Area Network (LAN) en eventuele koppelingen naar sub locaties door middel van Virtual Private Networking (VPN), getoetst op be-veiligingslekken en vergeleken met het informatiebeveiligingsbeleid (indien aanwezig). De interne security audit geeft een goed beeld van de bedreigingen waar een bedrijf vanuit de eigen organi-satie mee te maken kan krijgen. De interne security audit is een adviesdienst waarbij een ervaren consultant alle actieve netwerkcomponenten zoals endpoints (werkstations, laptops, Smartpho-nes e.a.), servers, routers, switches en eventueel andere IP-gerelateerde toepassingen aan een test onderwerpt. Aan de hand van de resultaten van deze test is het mogelijk de kwetsbaarheden en daarmee dus de risico's in het bedrijfsnetwerk aan te geven. Binnen deze audit- en adviesdienst ondersteunen wij uw organisatie bij het maken van een complete netwerkbeveiligingsinfrastructuur en een in-formatiebeveiligingsbeleid. Dit omvat de organisatie, planning, risico-inventarisatie, ondersteu-ning bij productkeuze, implementatietoetsing en adviezen, evenals nazorg in de vorm van check-ups en beleid.
RAPPORTAGE: AANMAKEN VAN DE RAPPORTAGE
Er zal een uitgebreid en overzichtelijk rapport aangemaakt worden met alle onderzoekgegevens, inclusief uitleg over de gevonden resultaten en concrete oplossingen. U ontvangt een gedetail-leerd advies over de te nemen stappen om de risico’s te minimaliseren.
5
Webapplicatie Security Scan Tijdens een Sebyde webapplicatie security scan controleren we uw applicatie(s) met behulp van geavanceerde software op security kwetsbaarheden. Het is uiteraard belangrijk dat die scan uitge-voerd wordt met behulp van een kwalitatief goede scan-tool die geen kwetsbaarheden “over het hoofd” ziet. Het controleren van de security van een webapplicatie is specialistisch werk. De gebruikte scanning software moet zeer nauwkeurig worden geconfigureerd om de beste resultaten te bereiken en het aantal “False Positives” te reduceren. Sebyde BV heeft zich hierin gespecialiseerd. De gegevens van de scan worden geëvalueerd, geanalyseerd en met u besproken. U ontvangt een rapport met gedetailleerde gegevens over de kwetsbaarheden van uw webapplicatie, op welke ma-nieren die kwetsbaarheden misbruikt kunnen worden om in te breken en een advies over de te nemen maatregelen in de sourcecode om de gevonden kwetsbaarheden te repareren. Bij alle webapplicatie security scans doorlopen we met de klant eerst een intake-procedure. Het intake formulier wordt met de klant besproken en de webbouwer en hosting partij (indien van toe-passing) worden ingelicht. Deze procedure is nodig om zoveel mogelijk details te krijgen over de te scannen applicatie om de scanning tool zo optimaal mogelijk te kunnen configureren. Verschillende versies van de Webapplicatie Security Scan: Brons In een dag brengen wij de in kaart welke kwetsbaarheden te vinden zijn in uw webapplicaties. Deze scan wordt remote (op afstand) uitgevoerd. We richten ons dan slechts op de meest be-kende kwetsbaarheden, de “Vital Few”. Dit zijn de 45 meest gevaarlijke en gevreesde kwetsbaar-heden, incl. de OWASP top-10. Dit is een snelle manier om te weten hoe uw webapplicaties ervoor staan. Na de scan ontvangt u een management samenvatting over de gevonden kwets-baarheden. Zilver Er wordt een full scan uitgevoerd, naar alle bekende exploits. Dit is een zeer uitgebreide scan waarbij alle bekende kwetsbaarheden boven water zullen komen. De scan wordt indien gewenst op locatie van de klant uitgevoerd. Na het uitvoeren van de scan wordt de volgende dag de rap-portage en het bijbehorende advies aangemaakt U ontvangt een reparatie handleiding voor uw programmeurs (remediation tasks). Het uiteindelijke rapport en advies wordt de derde dag bij de klant aan huis gepresenteerd en doorgenomen.
6
Goud Er wordt een full scan uitgevoerd, naar alle bekende exploits. Dit is een zeer uitgebreide scan waarbij alle bekende kwetsbaarheden boven water zullen komen. De scan wordt op locatie van de klant uitgevoerd. Na het uitvoeren van de scan wordt de volgende dag de rapportage en het bijbehorende advies aangemaakt. U ontvangt een reparatie handleiding voor uw programmeurs (remediation tasks). Het uiteindelijke rapport en advies wordt de derde dag bij de klant aan huis gepresenteerd en doorgenomen. Nadat de webdevelopers de remediation tasks hebben uitgevoerd wordt de applicatie opnieuw gescand. (Controlescan) Indien na deze tweede scan blijkt dat er geen high- of medium kwetsbaarheden in de applicatie zitten zal er een certificaat en keurmerk worden aange-maakt. Dit certificaat is 1 jaar geldig.
7
Hulp bij het herstellen na een hackers-aanval U bent slachtoffer van cybercriminelen? Bel voor direct hulp: 085 273 33 76 Ransomware: Uw gegevens op slot en niet meer te benaderen. 91% van de cyber-aanvallen begint met het sturen van een phishing e-mail. Zo’n phishing e-mail verleidt de ontvanger om bepaalde vertrouwelijke (persoons)gegevens op te sturen of om op een link te klikken. Die link kan er dan voor zorgen dat er kwaadaardige virussen (malware) op uw computer of in uw netwerk terecht komen die hun vernietigende werk gaan uitvoeren. Een voorbeeld hiervan is Ransomware. Ransomware is bij cybercriminelen erg populair en dus is het een groot gevaar voor het bedrijfsleven. Als uw computer besmet raakt door ransomware gaat deze op uw computer of in uw netwerk zoeken naar gegevensbestanden (klantenbestand, productieplanning, projectadministratie, etc. etc. etc.) en zet die allemaal “op slot”. U kunt die ge-gevens dan niet meer gebruiken. U kunt zich voorstellen dat deze situatie een bedrijf direct ver-lamt en stil legt. De operationele én financiële schade is dan niet te overzien. En dan hebben we het maar niet over de reputatie. Zie bijvoorbeeld hieronder de gevolgen voor de BEL-gemeente (Blaricum, Eemnes en Laren) in Maart 2017:
8
Om uw gegevens weer te kunnen gebruiken wordt er door de cybercriminelen een losgeld (= “ransom”) gevraagd. Het losgeld kan oplopen tot vele duizenden Euro’s en moet via bitcoins betaald worden. De beslissing om dit losgeld wel of niet te betalen is een principebeslissing die ieder bedrijf voor zichzelf dient te nemen. Bedenk hierbij wel dat u te maken heeft met crimine-len. Betaling van het losgeld geeft geen enkele garantie dat je de gegevens daadwerkelijk weer terugkrijgt. In de praktijk is dit ongeveer 50%. Maatregelen Er zijn een aantal maatregelen te nemen om de kans op een dergelijke besmetting te verlagen. Hierbij moet gedacht worden aan organisatorische en technische maatregelen en het vergroten van het bewustzijn van de medewerkers. Sebyde biedt hulp: Als u bent getroffen door een cyber-aanval kunt u de hulp van Sebyde inroepen om de schade zo veel mogelijk te beperken en ondersteuning te krijgen bij het herstel. Tevens komen er juridische aspecten bij kijken. Een ransomware besmetting betekent in de meeste gevallen ook een datalek en dient binnen 72 uur gemeld te worden bij de Autoriteit Persoonsgegevens. Wij komen bij u langs en maken samen met u een plan:
Onmiddellijke maatregelen om verdere ransomware besmetting te stoppen.
Opnemen van de status; Wat is er gebeurd? Hoe is het ontstaan?
Herstel van de schade.
Is er onherstelbare schade?
Juridische acties; melden datalek, aangifte doen.
Hoe kunne we herhaling voorkomen?
9
Security Expert on demand Uw bedrijf groeit, u wil vernieuwen, u wil nieuwe diensten in de markt zetten. Grote kans dat ICT hierbij een belangrijke rol speelt. Uw ICT-beheerder groeit met u mee. Maar hoe zit het met het beleid en de organisatie van uw ICT-security, hoe is het gesteld met de veiligheid van uw netwerk en systemen, worden de securitysystemen goed ingezet en hoe controleert u dat? IT-security speelt tegenwoordig een belangrijke rol in de bedrijfsprocessen van ieder bedrijf. Cybercriminelen maken tegenwoordig gebruik van geavanceerde technieken (zowel technisch als niet-technisch) om informatie te vergaren van bedrijven die in een later stadium misbruikt kan worden. Bedrijven dienen (ook vanwege nieuwe wet- en regelgeving) voldoende technische en organisatorische maatregelen te nemen om hun bedrijfsinformatie te beschermen en de privacy van persoonsge-gevens te waarborgen. Security expert Eigenlijk bent u toe aan een eigen security expert die uw processen kent en, met kennis van uw bedrijf, u met raad en daad bijstaat. Echter uw bedrijf heeft nog niet de omvang om hiervoor ie-mand full-time aan te stellen. In de praktijk zult u tegen hoog tarief een specialist inroepen op het moment dat er zaken misgaan. Hier kan een security expert on demand een belangrijke rol spe-len. U roept zijn hulp in wanneer u dat nodig heeft zo vaak u maar wilt. Enkele taken van een security expert:
Brengt de huidige situatie met betrekking tot de ICT-security in kaart (nulmeting).
Maakt een risicoanalyse.
Komt met een onafhankelijk advies en verbetervoorstellen.
Stelt samen met u een actieplan op voor het verlagen van de risico’s.
Controleert de uitvoering van de organisatorische en technische maatregelen.
Meet het effect van deze maatregelen.
Rapporteert over uw security situatie.
Voordelen van een security expert on demand:
De security expert on demand kent uw bedrijf en processen.
De situatie met betrekking tot uw ICT-security wordt in de gaten gehouden.
U heeft specialistische kennis beschikbaar voor het inrichten en onderhoud van uw ICT-security.
U roept hulp in wanneer u dat nodig heeft!
Vaste maandelijkse kosten dus geen verassingen.
Omschrijving Eindgebruikers-prijs (€)
Abonnement Zilver 395 per maand Abonnement Goud 695 per maand
Abonnement Platinum 995 per maand
Voor meer informatie over de verschillende abonnementsvormen verwijzen we u naar onze web-site: https://www.sebyde.nl/security-expert-on-demand/
10
Phishing test platform Phishing en Spear-phishing zijn gevaarlijke vormen van Internet fraude. Vaak via e-mail, maar kan ook met een brief, telefoon of fax, probeert de crimineel uw medewerkers te verleiden om ver-trouwelijke informatie te geven of om bepaalde acties te laten uitvoeren. Cybercriminaliteit en Internetfraude beginnen in verreweg de meeste gevallen via e-mail. De ge-volgen van phishing kunnen groot en in sommige gevallen zelfs fataal zijn. Systemen kunnen be-smet raken met ransomware waardoor alle gegevens op slot worden gezet. U loopt dan grote fi-nanciële- en operationele schade op. Duurzaam Weerbaar: maak uw medewerkers bewust! Bewust personeel maakt een organisatie weerbaar. Om een bedrijf of organisatie duurzaam weer-baar te maken tegen de gevaren van cybercriminaliteit moeten management en medewerkers be-wust worden gemaakt van de gevaren waaraan ze (zowel op het werk als in de privé situatie) bloot staan. Door regelmatig een phishing-test uit te voeren en de resultaten op een positieve manier te bespreken en te combineren met de juiste voorlichting (presentaties of korte work-shops) kunt u het risico sterk beperken. Nulmeting Wilt u weten hoe u er nu voorstaat? Vraag dan onze gratis eenmalige phishing test aan voor maxi-maal 50 medewerkers. U kunt dit doen via: https://www.sebyde.nl/phishing-test/ Abonnement Bedrijven kunnen een abonnement nemen op het phishing-test platform waardoor het mogelijk wordt om gedurende een jaar onbeperkt phishing testen kunnen sturen naar hun eigen perso-neel. De kosten om gebruik te kunnen maken van het phishing-test platform hangt af van het aan-tal medewerkers van uw organisatie.
Omschrijving Eindgebruikersprijs (€) Eenmalige opstartkosten 195 25-50 medewerkers 8,00 per medewerker
51 – 100 medewerkers 7,00 per medewerker
101 – 500 medewerkers 5,50 per medewerker
501 – 1.000 medewerkers 5,00 per medewerker
Genoemde prijzen zijn per jaar. Voor hogere aantallen medewerkers maken we graag een offerte.
11
RI&E-Security en RI&E-Privacy Met de RI&E-programma’s van Sebyde helpen we bedrijven om inzicht en overzicht te krijgen in de situatie met betrekking tot de security en de privacy compliance. Het zijn effectieve pro-gramma’s met een aantal duidelijke stappen inclusief een basisbepaling (nulmeting) en een risico-analyse. RI&E-Security
Met de RI&E Security van Sebyde brengt u feilloos alle risico’s van uw digitale werkvloer in kaart en krijgt u een betrouwbaar beeld over de situatie met betrekking tot uw informatiebeveiliging. Hierbij worden de meest belangrijke aandachtsgebieden van uw informatiebeveiliging onder de loep genomen. Pas als u weet wat de risico’s zijn kunt u de juiste maatregelen nemen. Na de eva-luatie maken we een plan van aanpak met verbeterpunten om het risico op cybercriminaliteit te verlagen. Voor wie is de RI&E Security bedoeld? U bent een directielid, lid van de raad van bestuur, een HR manager, een ICT manager of een fi-nancial manager en u maakt zich zorgen over:
ICT gerelateerde bedrijfsrisico’s zoals het verlies van uw bedrijfsgegevens
Mogelijke uitval van uw productiesystemen
De continuïteit van uw bedrijfsprocessen
De reputatie van uw organisatie, u wilt het vertrouwen van uw klanten niet verliezen en in de media niet in verband gebracht worden met security incidenten of datalekken.
Wat levert de Sebyde RI&E Security op?
U krijgt inzicht in de kwetsbaarheden van de organisatie
Alle risico’s worden genadeloos blootgelegd
U kunt de juiste maatregelen nemen voor het verlagen van de risico’s
U bent in staat om een plan van aanpak te maken
Informatiebeveiliging blijft op de agenda van de gehele organisatie
12
RI&E-Privacy
De Nederlandse (WBP) en Europese privacy wetgeving (GDPR) stelt eisen aan organisaties als het gaat om verwerking van persoonsgegevens. Hierbij zal de autoriteit kijken naar de mogelijke ri-sico’s die er gelopen wordt en de genomen organisatorische en technische maatregelen. De RI&E-Privacy richt zich op de privacy-risico’s die binnen een organisatie aanwezig zijn. Het on-derzoek is een onmisbaar hulpmiddel voor organisaties om de privacy-impact van hun projecten en gebruikte systemen te evalueren. De RI&E-Privacy biedt u hulp en concrete oplossingen voor de wettelijk gestelde eisen:
Verschaft inzicht in de eisen die de wetgeving aan uw bedrijf stelt door onze FG (functio-naris gegevensbescherming / data protection officer).
Het opstellen van de verplichte privacy-administratie
Het controleren van bestaande of maken van nieuwe bewerkersovereenkomsten met uw ketenpartners
Opleiden van medewerkers op het gebied van privacy en security awareness
Concrete adviezen met betrekking tot het nemen van organisatorische en technische maatregelen
Het inrichten en bijhouden van een verplichte persoonsgegevens administratie, o.a. een toestemmingenregister.
Hoe en wanneer melden we een datalek.
… etc.
13
Security- of Privacy-checklist Een RI&E-Security of RI&E-Privacy begint met het invullen van een checklist. Deze checklist is vrij opvraagbaar via onze website en wordt door de klant zelf ingevuld. Aanvraag checklist voor de RI&E-Security: https://www.sebyde.nl/rie-security/ Aanvraag checklist voor de RI&E-Privacy: https://www.sebyde.nl/rie-privacy/ Als we de checklist ingevuld retour ontvangen laten we deze door een ICT-architect en FG (Functio-naris Gegevensbescherming) beoordelen. De klant ontvangt dan van ons een rapportage over de eerste indruk met in grote lijnen de aandachtspunten met betrekking tot de security of de privacy. Zie dit als een “Quick Scan”.
Omschrijving Eindgebruikers-prijs (€)
Beoordeling ingevulde checklist 495
Opstellen / Controleren bewerkersovereenkomsten Met de nieuwe wetgeving verandert er veel met betrekking tot de aansprakelijkheid in het geval er een security incident ontstaat waarbij persoonsgegevens toegankelijk worden voor onbevoegden. Organisaties die voor het verwerken van (persoons-)gegevens gebruik maken van externe (derde) partijen zijn wettelijk verplicht met deze partijen (bijv. clouddienst, salarisverwerker, serviceprovi-der) een bewerkersovereenkomst af te sluiten. In deze bewerkersovereenkomst leggen partijen vast voor welke doeleinden de gegevens worden verwerkt, welke beveiligingsmaatregelen zijn ge-nomen en welk toezicht de eigenaar van de gegevens mag uitoefenen. Tevens wil je de garantie hebben dat de gegevens binnen de Europese landsgrenzen worden opgeslagen en dat de derde partij jou onmiddellijk laat weten als er een security incident met een datalek ontstaat. Een goede bewerkersovereenkomst is maatwerk. Sebyde beschikt over de nodige juridische kennis om bewerkersovereenkomsten aan te passen aan uw specifieke situatie of een volledig nieuwe overeenkomst op te stellen. Na de controle van een bestaande overeenkomst krijgt de klant advies welke wijzigingen in de bewerkersovereenkomst aangebracht dienen te worden in verband met de nieuwe wetgeving.
Omschrijving Eindgebruikers-prijs (€)
Controleren van bestaande be-werkersovereenkomst op bruik-baarheid voor de Wbp/GDPR
345 per over-eenkomst
Opstellen van nieuwe bewerkers-overeenkomst
445 per over-eenkomst
14
Contact gegevens Sebyde BV en Sebyde Academy Sebyde BV Telefoon: 085-2733376 Email: [email protected] Website Sebyde BV: www.sebyde.nl Website Sebyde Academy: www.sebydeacademy.nl LinkedIn: www.linkedin.com/company/sebyde-bv Twitter: www.twitter.com/SebydeBV Facebook: www.facebook.com/sebydeBV
