Kerckhoffs Institute : Available projects at Deloitte

<< Home / Curriculum / Available projects

Available Projects at Deloitte

The following internships are available at Deloitte, Amstelveen. For further information, contact

Marko van Zwam
Deloitte Risk Services
Partner Security & Privacy
+31 6 21 27 29 04
MvanZwam@deloitte.nl

Mobile Device Security

Smartphones and tablets are now selling faster than PC's and are being used for business, financial transactions, entertainment, and more. The consumerisation of mobile devices means that more employees are seeking to connect their personal devices to the corporate network, which introduce new vulnerabilities and risks. Possible projects include security analysis of smartphones/tablets; analysis of vendor solutions; development of baselines and governance models; and development of strategies to address device/app security, privacy, data protection, and specific Bring Your Own Device (BYOD) risks.

In hoeverre heeft de Nederlandse industrie controle over de security risico's met betrekking SCADA en PCD?

SCADA en PCD zijn belangrijke elementen in verscheidende organisaties. De STUXnet worm heeft aangetoond dat er wel degelijk belangrijke security risico's bestaan voor SCADA/PCD. Rapporten en standaarden vanuit de USA zijn veelal niet toepasbaar op de Nederlandse markt. In dit stage onderzoek willen we onderzocht hebben in hoeverre de Nederlandse branche op de hoogte is van SCADA/PCD risico's en of er een standaard is gezet die wordt gevolgd om de risico's af te dekken.

Welke security standaard kan het best worden gebruikt om SCADA/PCD te beschermen tegen grote dreigingen?

Veel organisaties in Nederland weten dat er problemen zijn op het gebied van SCADA/PCD. Naast dat ze erkennen dat er een probleem is, weten ze ook vaak de oorzaak van de problemen. Echter weten ze niet direct hoe ze het probleem moeten oplossen. In dit onderzoek zal de focus liggen op hoe organisaties SCADA/PCD security moeten aanpakken. Hierbij moet bijvoorbeeld worden gekeken of SCADA/PCD hetzelfde kan worden beheerst als de rest van de IT infrastructuur. Dit onderzoek zal resulteren in een transitie pad, best practices om de security van SCADA/PCD te verbeteren.

Mobiele web applicaties - security in mobiele applicaties

Mobiele web applicaties worden meer en meer gebruikt in het dagelijks leven. Online internet bankieren, hotels boeken en aankopen verrichten via de mobiele telefoon zijn inmiddels gewoon geworden. Hoe zit het eigenlijk met de beveiliging van de gegevens, verbinding of opslag van gegevens bij deze applicaties? Bij het gebruik van een browser wordt de gebruiker gewezen op de mogelijke beveiligingsproblemen (bv 3 keer kloppen actie), maar bij een iPhone applicatie is de beveiliging minder transparant. Dit onderzoek zal focussen op de IT security en privacy risico's van verschillende typen applicaties en de maatregelen die getroffen zijn om deze risico's af te dekken.

Mobiele web applicaties - third party security

Mobiele web applicaties worden meer en meer gebruikt in het dagelijks leven. Online internet bankieren, hotels boeken en aankopen verrichten via de mobiele telefoon zijn inmiddels gewoon geworden. Hoe zit het eigenlijk met de beveiliging van de gegevens, verbinding of opslag van gegevens bij deze applicaties? Applicaties worden gemaakt door derde partijen, hoe kunnen we deze derde partijen vertrouwen?. Inmiddels zijn ook gevallen bekend van valse applicaties op de Apple App Store die keurig door de review van Apple zijn gekomen. Dit onderzoek zal moeten vaststellen of er een behoefte is aan kwaliteitsstandaarden voor mobiele applicaties en ontwikkelaars van mobiele applicaties.

IT consumerisation en BYOD

In het kader van IT consumerisation (het "bring your own device" concept) wordt momenteel veel aandacht besteed aan smartphones en tablets. Het is echter ook mogelijk dat mensen een eigen laptop meenemen om werk gerelateerde activiteiten op uit te voeren. De beveiligingsconcepten die worden geïmplementeerd via Mobile Device Management (MDM) zijn voornamelijk gericht op smartphones en tablets en mogelijk minder relevant voor laptops. We willen graag dat er onderzoek wordt verricht om te identificeren welke MDM oplossingen aanwezig zijn, wat de verschillen zijn qua functionaliteit, welke devices ondersteund worden (laptops, tablets, smartphones) en waar de gaps liggen voor laptop beveiliging. Het resultaat van het onderzoek zal een benchmark (op basis van functiepunten) zijn voor Mobile Device Management en een gap analyse voor het gebruik van privé laptops.

Public Key Infrastructure - Een nieuwe opzet

Een Public Key Infrastructure (PKI) is een systeem waarmee uitgiften en beheer van digitale certificaten kan worden gerealiseerd. Recentelijk is, door de gebeurtenissen rondom DigiNotar, dit een onderwerp geworden dat vaak de aandacht trekt. Hierbij is duidelijk geworden dat het huidige systeem met 1 certificaatautoriteit (CA) misschien niet meer voldoende is. Vanuit een onderzoeksperspectief zijn wij benieuwd of het mogelijk is om een p2p trust model op te bouwen en hoe daar vorm aan gegeven kan worden.

Passende bescherming van persoonsgegevens?

Persoonsgegevens moeten beschermd worden tegen misbruik, diefstal en verlies. Hoe je dat moet doen, is niet helemaal duidelijk - het enige wat de wet voorschrijft is "De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen." De laatste keer dat hier uitgebreid over gepubliceerd is, was in 2001. Sindsdien is de stand der techniek wezenlijk veranderd. Internet heeft een ongekende vlucht genomen. We zien de opkomst van Cloud Computing. Administratie pakketten zoals SAP en Oracle zijn uitgebreid met allerlei functionaliteit. We willen medische gegevens massaal elektronisch op gaan slaan en beschikbaar gaan maken. Enzovoort. Kortom, datgene wat in 2001 de best mogelijke optie leek voor de beveiliging, zou wel eens door de tijd ingehaald kunnen zijn. De afstudeerstage heeft als onderwerp na te gaan wat op dit moment "een passend beveiligingsniveau [is] gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen." Deelvragen hierbij zijn hoe dit opgedeeld moet worden naar verschillende typen technieken (internetapplicaties, ERP systemen, etc.); hoe dit in andere landen geregeld is; hoe dit zich verhoudt tot algemeen aanvaarde standaarden als bijvoorbeeld ISO27001. Van de stagiair wordt verwacht dat hij of zij kennis heeft op het gebied van informatiebeveiliging, gecombineerd met technisch inzicht en een basaal begrip van relevante privacy wet- en regelgeving.