Begrippenlijst

BIV: BIV staat voor Beschikbaarheid, Integriteit en Vertrouwelijkheid.

Beschikbaarheid betekent dat gewenste gegevens kunnen worden gebruikt wanneer deze nodig zijn.

Integriteit betekent dat de gegevens niet zijn gemanipuleerd of beschadigd. 

Vertrouwelijkheid betekent dat alleen geautoriseerde personen toegang hebben tot de gegevens.  

Botnets: zijn een verzameling van door malware besmette computers die hackersgroepen op afstand kunnen bedienen als robots en misbruiken voor hun kwalijke doeleinden.

Codebase: betreft alle programmeercode die bij een project hoort. Vaak is deze codebase te vinden in een zogeheten repository, zoals Github of Gitlab

Codereview: Bij een codereview wordt er naar de codebase gekeken en worden er bevindingen over opgesteld. Bij een codereview worden diverse onderdelen bekeken en worden er bevindingen met advies opgesteld. Hierbij kan ook gebruik gemaakt worden van een static-analysis tool 

Commit: is een aanpassing aan de codebase die geregistreerd wordt. Hierdoor kan iedereen in een oogopslag zien wat er veranderd is. Daarnaast wordt er ook een beschrijving geplaatst zodat door anderen eenvoudig begrepen kan worden wat het doel van de verandering is. Een commit wordt gecreëerd wanneer lokale aanpassingen naar de repository gestuurd worden.  

Compliance beheer: Compliance betekent vrij vertaald naleving, waarbij het naleven van wet- en regelgeving wordt bedoeld. Dit kunnen wettelijke vereisten, ethische principes of bedrijfsregels zijn. Nalevingsschending is een risico waar bedrijven rekening mee moeten houden bij het uitvoeren van het risicobeheer. 

Compliance Management System: voor een efficiënt compliance beheer is een Compliance Management Systems (CMS) aanbevolen. Een CMS definieert processen, maatregelen en structuren om naleving van de naleving van de naleving te garanderen. 

Cyber Security: is een overkoepelende term waarbij IT Security verbreed wordt naar de algehele cyberomgeving. Omdat de meeste systemen tegenwoordig verbonden zijn met het internet, worden IT Security en Cyber Security vaak door elkaar gebruikt.  

Zowel IT Security als Cyber Security omvatten alle technische en organisatorische maatregelen om systemen te verdedigen tegen cyberaanvallen en andere bedreigingen.  

Cyberweerbaarheid: ook wel cyberresilience genoemd, is het vermogen van een bedrijf of een organisatie om de bedrijfsprocessen te onderhouden ondanks ongunstige cyberomstandigheden.

Cyber Resilience is een uitgebreid concept dat IT-beveiliging overstijgt. Het combineert de gebieden Informatiebeveiliging, bedrijfscontinuïteit en organisatorische veerkracht. Om een staat van cyberweerbaarheid te bereiken, is het belangrijk om kwetsbaarheden in een vroeg stadium te identificeren, ze economisch te prioriteren en te verwijderen. 

DDoS-aanvallen: Distributed Denial of Service-aanvallen zijn bedoeld om een dienst of server te verlammen. Meestal gebeurt dit door hackers die enorme hoeveelheden verzoeken naar de server sturen via een botnet, waardoor de server overbelast raakt en deze niet meer werkt. 

Geavanceerde persistente bedreigingen (APT’s): zijn gerichte cyberaanvallen die zijn aangepast aan gekozen slachtoffers of slachtoffergroepen en werken met geavanceerde methoden. Aanvallers krijgen permanente toegang tot een netwerk en breiden deze toegang vervolgens uit naar andere systemen. Om dit te doen, implanteren cybercriminelen vaak malware.

Gegevensbeveiliging: heeft als doel de beschikbaarheid, integriteit en vertrouwelijkheid van gegevens te waarborgen. In tegenstelling tot gegevensbescherming is het niet beperkt tot persoonsgegevens, maar omvat het alle gegevens.  

IT Risicobeheer: De stappen die leiden tot Cyber Resilience beginnen met een risicomanagement. Bedrijven moeten IT-risico’s waartegen ze zich willen beschermen met alle middelen evalueren en prioriteren of ze kunnen accepteren. IT-risico’s kunnen nooit volledig worden geëlimineerd omdat beschermingsmaatregelen moeten worden overwogen tegen de achtergrond van economische efficiëntie en de bedrijfsvoering niet mogen verstoren. Het bouwen van een grote barrière rond IT zou niet nuttig zijn en de flexibiliteit beïnvloeden. In plaats daarvan moeten IT-risico’s worden beheerst. 

IT-Beveiliging: is de bescherming van IT-systemen tegen schade en risico’s. Dit geldt voor afzonderlijke bestanden, computers, netwerken en cloudservices of zelfs hele datacenters. 

Informatiebeveiliging: omvat het behoud van informatie in het algemeen. De beschermingsdoelen van informatiebeveiliging zijn het waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid van informatie.  

Informatiebeveiligingsbeheersysteem: een Information Security Management System (ISMS) is geen technisch systeem, maar definieert regels en methoden voor het waarborgen, controleren en continu verbeteren van informatiebeveiliging.

Dit omvat onder andere de bepaling en evaluatie van risico’s, de specificatie van beveiligingsdoelen en een duidelijke definitie en documentatie van verantwoordelijkheden, communicatiekanalen en processen. De eisen voor een ISMS zijn geregeld in de ISO27001 norm.  

Kritieke infrastructuren: zijn  organisaties en instellingen die van cruciaal belang zijn voor de staatsgemeenschap. Als systemen hier uitvallen, kunnen dramatische gevolgen volgen, bijvoorbeeld de aantasting van drinkwater en de stroomvoorziening of de bedreiging voor de openbare veiligheid.  

Kwetsbaarheden in software en hardware: Cybercriminelen maken vaak misbruik van kwetsbaarheden in software of hardware voor hun aanvallen. Het essentieel voor de IT Security van een bedrijf om dergelijke kwetsbaarheden te herkennen en op te lossen. Een belangrijke maatregel is bijvoorbeeld het installeren van up-to-date updates en patches om beveiligingsgaten te dichten. 

Kwetsbaarhedenscan: Automatische controle van zwakke plekken in systemen. Het doel is hetzelfde als bij een penetratietest, echter is een kwetsbaarhedenscan geautomatiseerd.

Malware: omvat alle soorten computerprogramma’s die ongewenste of schadelijke bewerkingen op een systeem uitvoeren. Enkele bekende voorbeelden zijn traditionele computervirussen, computerwormen of Trojaanse paarden. 

Penetratietest: Handmatige controle van zwakke plekken in systemen. Hierdoor wordt inzicht verkregen in de weerstand die een systeem biedt tegen pogingen om binnen te dringen of te misbruiken.

Phishing: Phishing e-mails zijn een speciaal type spam. Ze moeten een gebruiker overtuigen om een bepaalde actie uit te voeren – bijvoorbeeld het onthullen van inloggegevens of het installeren van malware. 

Ransomware: is een vorm van malware die een systeem versleutelt en alleen weer toegang tot de gegevens mogelijk maakt als het slachtoffer losgeld betaalt. Het systeem wordt letterlijk gegijzeld en ontoegankelijk gemaakt. 

Veel voorkomende distributiekanalen voor ransomware zijn spammails, phishing en drive-by exploits.

Voor Ransomware maakt men gebruik van kwetsbaarheden in browsers, browser plug-ins of besturingssystemen. 

Repository: Een centrale plek waar bijvoorbeeld de codebase opgeslagen kan worden. Hier kunnen werknemers programmeercode downloaden, waarna ze lokaal aanpassingen kunnen maken en de bijgewerkte versie kunnen synchroniseren met de repository.

Spam: zijn ongewenste e-mails en is een populaire methode om malware te verspreiden.  

Static-Analysis Tools: dit type tool heeft als doel om code te analyseren voor bepaalde eisen. Het is statisch in de zin dat de code een lap tekst is en er regels op toegepast worden. Static-analysis tools kunnen onder andere letten op hoeveelheid annotaties, kwetsbaarheden, bugs, structuur en taalgebruik.

Kunnen we je ergens bij helpen?