Lijst van afkortingen

Deel 1

• CSP: Corporate Security Policy
• UAT: User Acceptance Testing
• SLA: Service Level Agreement
• BCP: Business Continuity Plan
• DRP: Disaster Recovery Plan
• CITSP: Corporate Information Technology Security Policy
• GTI:
• CBA: Cost-Benefit Analysis
• ORM: Operational Risk Management
• SOX: Sarbanes-Oxley Act (VS)
• HIPAA: Health Insurance Portability and Accountability Act (VS)
• SSE-CMM: Systems Security Engineering - Common/Capability Maturity Model

Deel 2

• HSM: Hardware Security Module
• PKCS: Public-Key Cryptography Standards

2008-2009

19 juni 2009 VM

1. Belgische banken nog steeds kraakbaar Beveiliger signaleert malware gericht op financiële instellingen Beveiliger signaleert malware gericht op financiële instellingen. Webcriminelen hebben het nog steeds gemunt op Belgische banken. Volgens vaststellingen van beveiligingsbedrijf Panda Security is er malware in omloop die banken in ons land, maar ook in Nederland, heel gericht viseert. De ontdekking bevestigt de evolutie van de laatste maanden, waarin er meer schadelijke software opduikt die zich niet op de massa maar op specifieke groepen toelegt. Welke banken precies onder vuur liggen, wil Panda liever niet kwijt. Het probleem ligt in ons land immers gevoelig sinds een half jaar geleden bekend raakte dat in de systemen van KBC, Dexia en Argenta werd ingebroken. Net zoals toen gaat het niet om een geopend achterpoortje bij de banken, maar om een gebrekkige beveiliging bij de gebruiker. Concreet gaat het om schadelijke software die zich nestelt op de computer van de gebruiker. Het programma wordt vervolgens actief wanneer het slachtoffer gaat thuisbankieren. Om de problematiek tegen te gaan, vragen banken de laatste maanden steeds meer om een actuele beveiliging door de klant. Maar zelfs daarmee glippen sommigen hackers door de mazen van het net.
   1. Welke elementen van industriëel en operationeel risico vind je hier terug?
   2. Stel een oplossing voor.
2. 1. Waarom is het CMM een effectievere methode dan procedurele methode zoals ISO 17999?
   2. Hoe kan een persistentie sessie gemaakt worden die de anonimitiet van de user garandeert in een shiboleth omgeving ?
3. KBC verandert zijn identity management van een situatie die de focus legt op de perimeter naar een airportmodel. Bespreek. Waar komt de focus te liggen.
4. Je logt in bij de bank via telenet. Beschrijf de oplossing, schets de infrastructuur (hosts, routers, netwerken,...), de protocolstapels en PDUs op kritische plaatsen, de adreselementen van de PDUs op elke laag van de stapel.

2007-2008

25/06/08 VM

1. (wikipedia) Het valutarisico is onder te verdelen in drie soorten: (pre-)transactie, operationeel en translatierisico:
   • Het translatierisico ontstaat als het gevolg van transacties in buitenlandse valuta's. Daarnaast onderkent men ook een pre-transactie exposure (blootstelling aan risico), dit is het risico op potentiële transacties zoals uitstaande offertes. Het risico heeft zijn effect op resultatenrekening van de korte termijn doordat de onderneming meer of minder opbrengsten c.q. kosten heeft door een verandering in de valuta.
   • Het structureel risico is het risico dat ontstaat als gevolg van de structuur en omzet van de bedrijfsactiviteiten van een onderneming. Een goed voorbeeld van een structureel risico was het bedrijf Fokker. Deze produceerde vliegtuigen in Nederland en verkocht deze in dollars. Het resultaat bleef op lange termijn gevoelig voor een verandering van de waarde van de dollar door de opzet van de activiteiten.
   • Het translatierisico is de verandering van de intrinsieke waarde van de onderneming als gevolg van een verandering in de koers doordat bijvoorbeeld deelnemingen in vreemde valuta worden geherwaardeerd. Dit betreft bijvoorbeeld een lange termijn investering in een andere valuta dan de rapportagevaluta. Bijvoorbeeld, een Nederlandse multinational die een investering doet in een Russische onderneming kan de waardering van deze deelneming zien dalen door een devaluatie van de roebel. De oorzaak van een translatierisico ligt vaak in een ver verleden en de in te dekken cashflows in de verre toekomst. Een translatierisico heeft alleen een effect op de balans.
   • Welke elementen van industriëel en operationeel risico vind je hier terug?
2. Geef een aantal voorbeelden van beveiligingsmetrieken
   • voor programmatuur
   • voor infrastructuur
3. Waarom werkt de basel II richtlijn zo motiverend voor banken
4. Een bedrijf heeft 1 hoofdsite en 4 kleinere site met een dynamisch adres: ontwerp een perimeter voor alle sites. Hoe gebeurt de authenticatie voor de kleine sites? Kan dit met certificaten?

Bij infrastructuurtekeningen steeds PDUs en stapel aangeven.

2006-2007

22:06/07

1. Heeft een makelaar die in effecten handelt langs het internet vooral te maken met operationeel of industrieel risico?
2. Hoe voorkomt Shibboleth dat je voor iedere sessie jezelf moet authenticeren, en hoe zorgt het ervoor dat permanente gegevens niet verloren gaan?
3. Bespreek de verschillende onderdelen van een CSP.
4. Iemand wil telebankieren. Ontwerp een veilige opstelling aan de client-zijde.

2005-2006

22/08/06 VM

1. Culturele verschillen in beveiligingsbeleid en -aanpak.
2. 1. Geef mogelijke problemen bij GMail (of andere serverside mail)
   2. Overheid internet afluisteren: hoe?
3. Industrieel risico in financiele wereld. Geef voorbeelden.
4. Infrastructuur: e-banking

30/06/06 VM

1. Een metriek die het operationeel risico voorspelt noemt men een risico-indicator of KRI. Illustreer elk deeldomein van OR met een voorbeeld-KRI. (Nadat de eerste persoon het grandioos verkeerd het begrepen zei prof: personnel, processes, systems, external)
2. Bespreek ISO17799 - als je voldoet aan ISO17799 ben je dan ook "veilig"?
3. Twee drugkartels wensen Email uit te wisselen, ontwerp de beveiligingsinfrastructuur. (beschrijf de oplossing, schets de infrastructuur (hosts, routers, netwerken,...), de protocolstapels en PDUs op kritische plaatsen, de adreselementen van de PDUs op elke laag van de stapel)
4. Wat is Tacacs? Geef een korte schets van een toepassingsscenario.

29/06/06 VM

1. Eenmaal je een operationeel risico hebt geidentificeerd, hoe kan je er dan mee omgaan?
2. Wat is er zo belangrijk aan een maturity model?
3. Geef een infrastructuur voor e-banking. Geef op elk van de belangrijke punten de protocol stack en de PDUs
4. Wat is radius? Schets een scenario van waar het gebruikt kan worden.

26/06/06 VM

1. Is een beveiligingsrisico altijd een operationeel risico?
2. Geef van elk van de 7 deeldomeinen van de beveiligingscontext een voorbeeld.
3. Mijn bedrijf heeft 2 filialen die met huurlijnen met het internet zijn verbonden, ontwerp de beveiligingsinfrastructuur. Werkt eenzelfde oplossing ook voor thuisgebruikers die via Telenet zijn verbonden? (beschrijf de oplossing, schets de infrastructuur (hosts, routers, netwerken,...), de protocolstapels en PDUs op kritische plaatsen, de adreselementen van de PDUs op elke laag van de stapel)
4. Waarom is inbraakdetectie slecht geconditioneerd als probleem?

Antwoorden

1. Ja, beveiligingsrisico's zouden deel uitmaken van de operationele risico's, dus niets te maken met Industrie Risico (IR)
2. (1.)IT - firewall (2.) Physical - overstromingen, dieven,... (3.) Environment - milieubelastend, rotsooi niet verdoezelen (4.) Human - kinderarbeid (5.) Organizational - universiteit vs. leger (6.) Administrative - hoe lang gegevens bijhouden van verhuur porno-video's ofzo (7.) Legal - business doen volgens regels van het land (SOX wet)
3. infra..fra..structuur
4. Beetje zeveren uit hoofdstuk 9 van handboek, zeker figuur 9.1 p.298 vermelden en uitleggen.

--Vincent

2004-2005

27/06/05 VM

1) geef voorbeeld van elk van de 7 domeinen die CSP kan omvatten

2) op welke plaats in de infrastructuur zou je antivirus componenten zetten

3) bank wil website, email en e-banking aanbieden aan klanten, ontwerp infrastructuur

27/06/05 NM

1) CSP culturele verschillen van Lemoigne Triangle uitleggen tussen Amerika en Europa

2) IDS: waar in de internetperimeter?

3) bedrijf met mail/file/webserver en enkel werknemers mogen aan fileserver: ontwerp een securitydesign

05/07/05 VM

1) ISO-17799/BS7799: bespreek

2) IDS bespreek problemen + oplossingen in de context van VPN.

3) Ik surf met een ADSL-aansluiting naar de Toledo-website. Geef de infrastructuur hiervan.