Één van de competenties binnen Risk Services is Security and Privacy. Binnen dit onderdeel houdt men zich bezig met complexe technische vraagstukken over informatiebeveiliging en risicomanagement: integriteit van ERP-pakketten, ethical hacking, identity management, business continuity management, infrastructuurbeveiliging, privacy en security management.

 Openstaande stageopdrachten binnen Security and Privacy:

In hoeverre heeft de Nederlandse industrie controle over de security risico’s met betrekking SCADA en PCD?

SCADA en PCD zijn belangrijke elementen in verscheidende organisaties. De STUXnet worm heeft aangetoond dat er wel degelijk belangrijke security risico’s bestaan voor SCADA/PCD. Rapporten en standaarden vanuit de USA zijn veelal niet toepasbaar op de Nederlandse markt. In dit stage onderzoek willen we onderzocht hebben in hoeverre de Nederlandse branche op de hoogte is van SCADA/PCD risico’s en of er een standaard is gezet die wordt gevolgd om de risico’s af te dekken.

 Welke security standaard kan het best worden gebruikt om SCADA/PCD te beschermen tegen grote dreigingen?
Veel organisaties in Nederland weten dat er problemen zijn op het gebied van SCADA/PCD. Naast dat ze erkennen dat er een probleem is, weten ze ook vaak de oorzaak van de problemen. Echter weten ze niet direct hoe ze het probleem moeten oplossen. In dit onderzoek zal de focus liggen op hoe organisaties SCADA/PCD security moeten aanpakken. Hierbij moet bijvoorbeeld worden gekeken of SCADA/PCD hetzelfde kan worden beheerst als de rest van de IT infrastructuur. Dit onderzoek zal resulteren in een transitie pad, best practices om de security van SCADA/PCD te verbeteren.

 Mobiele web applicaties – security in mobiele applicaties

Mobiele web applicaties worden meer en meer gebruikt in het dagelijks leven. Online internet bankieren, hotels boeken en aankopen verrichten via de mobiele telefoon zijn inmiddels gewoon geworden. Hoe zit het eigenlijk met de beveiliging van de gegevens, verbinding of opslag van gegevens bij deze applicaties? Bij het gebruik van een browser wordt de gebruiker gewezen op de mogelijke beveiligingsproblemen (bv 3 keer kloppen actie), maar bij een iPhone applicatie is de beveiliging minder transparant. Dit onderzoek zal focussen op de IT security en privacy risico’s van verschillende typen applicaties en de maatregelen die getroffen zijn om deze risico’s af te dekken.

 Mobiele web applicaties – third party security

Mobiele web applicaties worden meer en meer gebruikt in het dagelijks leven. Online internet bankieren, hotels boeken en aankopen verrichten via de mobiele telefoon zijn inmiddels gewoon geworden. Hoe zit het eigenlijk met de beveiliging van de gegevens, verbinding of opslag van gegevens bij deze applicaties?  Applicaties worden gemaakt door derde partijen, hoe kunnen we deze derde partijen vertrouwen?. Inmiddels zijn ook gevallen bekend van valse applicaties op de Apple App Store die keurig door de review van Apple zijn gekomen. Dit onderzoek zal moeten vaststellen of er een behoefte is aan kwaliteitsstandaarden voor mobiele applicaties en ontwikkelaars van mobiele applicaties.

 IT consumerisation en BYOD

In het kader van IT consumerisation (het “bring your own device” concept) wordt momenteel veel aandacht besteed aan smartphones en tablets. Het is echter ook mogelijk dat mensen een eigen laptop meenemen om werk gerelateerde activiteiten op uit te voeren. De beveiligingsconcepten die worden geïmplementeerd via Mobile Device Management (MDM) zijn voornamelijk gericht op smartphones en tablets en mogelijk minder relevant voor laptops. We willen graag dat er onderzoek wordt verricht om te identificeren welke MDM oplossingen aanwezig zijn, wat de verschillen zijn qua functionaliteit, welke devices ondersteund worden (laptops, tablets, smartphones) en waar de gaps liggen voor laptop beveiliging. Het resultaat van het onderzoek zal een benchmark (op basis van functiepunten) zijn voor Mobile Device Management en een gap analyse voor het gebruik van privé laptops.

 Public Key Infrastructure – Een nieuwe opzet

Een Public Key Infrastructure (PKI) is een systeem waarmee uitgiften en beheer van digitale certificaten kan worden gerealiseerd. Recentelijk is, door de gebeurtenissen rondom DigiNotar, dit een onderwerp geworden dat vaak de aandacht trekt. Hierbij is duidelijk geworden dat het huidige systeem met 1 certificaatautoriteit (CA) misschien niet meer voldoende is. Vanuit een onderzoeksperspectief zijn wij benieuwd of het mogelijk is om een p2p trust model op te bouwen en hoe daar vorm aan gegeven kan worden.

 Passende bescherming van persoonsgegevens?

Persoonsgegevens moeten beschermd worden tegen misbruik, diefstal en verlies. Hoe je dat moet doen, is niet helemaal duidelijk – het enige wat de wet voorschrijft is “De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.” De laatste keer dat hier uitgebreid over gepubliceerd is, was in 2001. Sindsdien is de stand der techniek wezenlijk veranderd. Internet heeft een ongekende vlucht genomen. We zien de opkomst van Cloud Computing. Administratie pakketten zoals SAP en Oracle zijn uitgebreid met allerlei functionaliteit. We willen medische gegevens massaal elektronisch op gaan slaan en beschikbaar gaan maken. Enzovoort. Kortom, datgene wat in 2001 de best mogelijke optie leek voor de beveiliging, zou wel eens door de tijd ingehaald kunnen zijn. De afstudeerstage heeft als onderwerp na te gaan wat op dit moment “een passend beveiligingsniveau [is] gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen.” Deelvragen hierbij zijn hoe dit opgedeeld moet worden naar verschillende typen technieken (internetapplicaties, ERP systemen, etc.); hoe dit in andere landen geregeld is; hoe dit zich verhoudt tot algemeen aanvaarde standaarden als bijvoorbeeld ISO27001. Van de stagiair wordt verwacht dat hij of zij kennis heeft op het gebied van informatiebeveiliging, gecombineerd met technisch inzicht en een basaal begrip van relevante privacy wet- en regelgeving.

 Mobile Device Security

Smartphones and tablets are now selling faster than PC’s and are being used for business, financial transactions, entertainment, and more. The consumerisation of mobile devices means that more employees are seeking to connect their personal devices to the corporate network, which introduce new vulnerabilities and risks. Possible projects include security analysis of smartphones/tablets; analysis of vendor solutions; development of baselines and governance models; and development of strategies to address device/app security, privacy, data protection, and specific Bring Your Own Device (BYOD) risks.

Security Audit Tool

IT Audits in het kader van de jaarrekening worden uitgevoerd om zekerheid te verkrijgen over de integriteit van de informatie die de financiële jaarrekening tot stand brengt. De informatie is toegankelijk vanuit de applicatie maar ook vanuit de database waar de informatie in opgeslagen kan zijn. Een audit focust op de verschillende delen van de infrastructuur om voldoende zekerheid te krijgen over de integriteit van de informatie. De verschillende delen van de infrastructuur zijn afhankelijk van elkaar en hierdoor is er ook correlatie tussen de verschillende lagen mogelijk. Dit afstudeeronderzoek focust op de correlatie tussen de verschillende lagen van de infrastructuur en het automatiseren van een IT audit. Door gebruik te maken van een reporting tool (bijvoorbeeld QlikView) willen we graag een Proof of Concept bouwen om te verifiëren of de audit aanpak verder te automatiseren is. 

SIEM solution voor MKB

Security Incident & Event Monitoring (SIEM) solutions worden gebruikt in organisaties om meer grip te krijgen op de grote hoeveelheden logging binnen een IT infrastructuur. Standaard oplossingen zoals ArcSight, Trustwave of QRADAR kunnen hiervoor worden gebruikt. Echter zijn deze oplossingen vaak te complex of te duur voor de MKB klanten. Dit afstudeeronderzoek focust op een haalbaarheidsonderzoek naar de opzet van een MKB SIEM solution. We willen graag een Proof of Concept bouwen dat kan aantonen dat een SIEM solution voor het MKB haalbaar zou zijn.

 Access Control Assessment

Organisaties hebben veel verschillende applicaties, databases en besturingssystemen. Vaak heeft  een applicatie, database en besturingssysteem heeft een eigen toegangscontrole systeem met eigen gebruikersnaam en wachtwoord. In organisaties met veel verloop van personeel kan dit problemen opleveren met het up-to-date houden van de gebruikers per applicatie, database en besturingssysteem. Dit kan leiden tot gebruikers met toegang tot applicaties na uitdiensttreding. Dit afstudeeronderzoek richt zich op het opzetten van een Access Control assessment, dat helder de problemen in kaart brengt met betrekking tot toegangscontrole. Door gebruik te maken van een reporting tool willen we graag een Proof of Concept laten bouwen van een Access Control assessment tool.

Jouw profiel

• Momenteel bezig met het laatste jaar van je WO studie Informatica, Informatiekunde, Computer Science, Business & ICT, Informatica & Economie of Technische Bedrijfskunde;
• Je hebt een passie voor risicomanagement en het verbeteren van de interne beheersing van bedrijfsprocessen;
• Je bent een echte teamplayer;
• Je hebt de ambitie om jezelf verder te ontwikkelen en om eventueel later aan de slag te gaan als consultant;
• Je barst van de ambitie om de top te bereiken!

Je werkveld

Je carrièrepad en arbeidsvoorwaarden

Solliciteer Nu