Ernst & Young verliest weer laptops
De werknemers van Ernst & Young nemen het niet zo nauw met de veiligheid van hun laptops. Nadat eerder in februari een laptop met vertrouwelijke gegevens van klanten uit de auto van een werknemer was gestolen, zijn er nu vier laptops kwijtgeraakt.
Vier auditors van het bedrijf hadden hun laptops in een conferentiezaal achtergelaten. De deur naar de ruimte was wel beveiligd met een tijdslot, maar toch wisten de twee dieven op tijd binnen te komen en de vier laptops ter waarde van 8000 dollar mee te nemen.
De laptop die uit de auto van de werknemer was gestolen bevatte onder andere de persoonlijke gegevens van Sun Microsystems CEO Scott McNealy, die werd ingelicht dat zijn SoFi-nummer en persoonlijke informatie waren gecompromitteerd. De laptop was wel met een wachtwoord beveiligd en het ging de dief volgens een woordvoerder waarschijnlijk alleen om de laptop. Toch haalde McNealy flink uit naar Ernst & Young: "Dit is een organisatie waar aan we een gigantische hoeveelheid geld besteden om te bepalen of we aan de Sarbanes-Oxley wetgeving voldoen"
nemen. Die zijn echter voornamelijk bij de kleinere kantoren
te vinden.
Leuke reclame-slogan...
Dus ook Ernst & Young is te bedonderd om de data op z'n laptops te
encrypten? Wat is dat toch voor een onvoorstelbare lamlendigheid?
een laptop. Daar maakt niemand zich zorgen over.
Gelukkig zijn er nog wel accountants die hun werk serieus
nemen. Die zijn echter voornamelijk bij de kleinere kantoren
te vinden.
De meeste accountants zijn echt niet anders dan die van Ernst & Young.
Als er daadwerkelijk een markt zou zijn voor disk encryptie, dan was die tak
van sport duizenden keren groter geweest dan dat die nu is. De producten
die nu op de markt zijn doen het nog niet echt goed qua kwaliteit en
gebruiksgemak.
krijgt er gebakkenlucht voor terug... Ooit is bij mijn werkgever door hun een
website laten testen op veiligheid.. We kregen een prachtig en
verschrikkelijk duur rapport.. Jammer voor hun hadden we alles gesniffed
en de hele test bestond een een simpele nmap scan...
Maarja.. het is verplichte kost en managers zijn er geil op...
Het zijn en blijven accountants in plaats van
informatiebeveiligers.:))
nee, jij bent lekker bezig met je nietszeggende sluikreclame
reactie. Commentaar leveren is makkelijk maar wil je echt
een lans voor je eigen bedrijfje breken dan zul je dat toch
echt op een andere manier moeten doen.
Een grote berg lucht die organisaties... Ze kosten bakken
met geld en je
krijgt er gebakkenlucht voor terug... Ooit is bij mijn
werkgever door hun een
website laten testen op veiligheid.. We kregen een prachtig en
verschrikkelijk duur rapport.. Jammer voor hun hadden we
alles gesniffed
en de hele test bestond een een simpele nmap scan...
Maarja.. het is verplichte kost en managers zijn er geil
op...
Sniffen van een netwerk zonder medeweten van management
wordt beschouwd als zeer onesthetisch.
Je kunt het niet eens zijn met de manier waarop de
vulnerability scan wordt uitgevoerd maar dat wil niet zeggen
dat je zelf eigenhandig te werk mag gaan. In dit geval ben
jet het zelf niet waard om uberhaupt met security te maken
te hebben.
Gek trouwens dat je zelf niet in staat was om een 'prachtig'
rapport te maken, want daar was je blijkbaar wel van
overtuigd. Of ontbreekt het je aan de kennis en ervaring om
een soortgelijke opdracht te vervullen ?
Daarnaast is de generaliserende opmerking te kinderachtig
voor woorden, dat 'alle ogranisaties' uit lucht bestaan.
En nee, ik werk niet bij een dergelijke organisatie.
Vertrouwelijke stukken verliezen is zo stupide.
Van een dure scan mag je toch meer verwachten dan alleen NMAP. Een
NMAP scan analyseren is niet veel werk, dus dat mag niet teveel kosten.
Geeft ook te weinig info om de beveiliging volledig te beoordelen. Ik zou
verwachten dat men ook met ISS of Nessus had gescand om het een
penetratietest te durven noemen. Plus een echte analyse, want ik ken ook
een praktijk geval waar alle false positives van een ISS scan als bevinding
werden gepresenteerd. Dit zijn Iets te luie en ondeskundige auditors
geweest, bijv vergeten de ISS rapportage te bespreken en verifieren met
de IT beheerders..
Beide verhalen zijn waar, er zitten m.i. zowel echte penetratie testers als
hobbyisten bij de grote accountantskantoren. Je kan dus zowel waar voor
je geld krijgen als een kat in de zak (gebakken lucht) krijgen.
@Protectioncompany: ken je concurrenten en minder hakken, dan kom je
ook professioneler over. Eigen kracht zegt toch meer.
Sniffen van een netwerk zonder medeweten van management
wordt beschouwd als zeer onesthetisch.
Waarschijnlijk bedoel je te zeggen "onethisch"? Als je nou toch anderen
gaat corrigeren... ;-)
Bovendien heeft A gelijk als hij zegt dat er wel iets minder warme lucht op
het menu zou mogen staan bij de 'grote jongens' als E&Y. En hij geeft ook
terecht aan dat vele managers zich met een ongezonde gretigheid in die
glossy valkuil laten slepen.
Een no-nonsense mentaliteit, gezond verstand en een zekere mate van
wantrouwen kan nooit kwaad in het bedrijfsleven. Dus zie ik weinig
bezwaren om ook de contoleurs eens te controleren, in tegendeel, dat
zouden meer bedrijven (mensen) eens moeten doen.
Tenslotte, als mijn werknemers aan de lopende band peperdure laptops
zouden 'kwijtraken' zou ik hen ook maar eens nader onder de loep nemen.
Het zou bepaald niet de eerste keer zijn dat company notebooks door
personeel worden versjacherd en als gestolen worden opgegeven. Niet zo
lang geleden gebeurde dit nog - op redelijk grote schaal - bij een
Nedelands bedrijf... een bekend (groot) accountantskantoor te Amsterdam.
Daar heeft men er voor gekozen het niet aan de grote klok te hangen,
maar je kunt op je vingers natellen dat dit vaker gebeurt. Misschien is het
aardig om eens een onderzoekje te houden naar het percentage bedrijfs-
vs privé laptops dat gestolen wordt....?
Sniffen van een netwerk zonder medeweten van management
wordt beschouwd als zeer onesthetisch.
Waarschijnlijk bedoel je te zeggen "onethisch"? Als je nou
toch anderen
gaat corrigeren... ;-)
Het woordje 'geacht' ontbrak, sorry hoor. Feit blijft dat
het niet kan. Gezond verstand kun je op een andere manier
gebruiken. Veelal de reacties die je hier leest komen voort
uit persoonlijke frustratie en geven met regelmaat een
verkeerd beeld van de werkelijkheid weer.
Gelukkig zijn er nog wel accountants die hun werk serieus
nemen. Die zijn echter voornamelijk bij de kleinere kantoren
te vinden.
De meeste accountants zijn echt niet anders dan die van Ernst & Young.
Als er daadwerkelijk een markt zou zijn voor disk encryptie, dan was die tak
van sport duizenden keren groter geweest dan dat die nu is. De producten
die nu op de markt zijn doen het nog niet echt goed qua kwaliteit en
gebruiksgemak.
Het gaat om gedrag!
Van dergelijke profesionals (tenminste daar ga ik maar ven van uit) mag je
verwachten dat zij vanwege het besef van het belang van de
vertrouwelijkheid enig gebruikersongemak accepteren.
Dat de techniek niet voldoet is een smoes, een vlucht naar gemak en
luiheid.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.