image

Top 19 gemaakte fouten bij een beveiligingsstrategie

dinsdag 22 november 2005, 10:11 door Redactie, 5 reacties

Volgens onderzoek van Dimension Data vertrouwen CxO's nog te veel op traditionele beveiligingstechnologieën voor het netwerk. Veel bedrijven gaan ervan uit dat VPN's en firewalls voldoende zijn om bedreigingen het hoofd te bieden. Ze onderschatten echter de gevaren van bedreigingen van binnenuit. Deze onderschatting is er slechts één in een reeks van fundamentele fouten die ondernemingen maken op het gebied van informatiebeveiliging.

Uit het onderzoek blijkt dat CxO's vaak een combinatie van 'softe' en 'harde' fouten maken in de beveiligingsstrategie.

Top 10 'softe' fouten

  1. Ontbreken van een informatiebeveiligingsstrategie.
  2. Ontbreken van steun binnen de directie voor het beveiligingsprogramma.
  3. Niet bijhouden van belangrijke beveiligingsgegevens.
  4. Denken dat informatiebeveiliging alleen een technologieprobleem of probleem van de IT-afdeling is.
  5. Onderschatten van de kosten voor het inlopen van een achterstand in beveiliging.
  6. Denken dat je als onderneming niet aansprakelijk bent voor ondermaatse beveiliging.
  7. Compliance gelijkstellen aan beveiliging.
  8. Waarde van de informatie en de organisatorische reputatie niet zien.
  9. Relatie tussen IT en het bedrijfsproces niet zien.
  10. Niet meenemen van security als onderwerp binnen outsourcing- en samenwerkingsovereenkomsten.
Veelgemaakte 'harde' fouten
  1. Toestaan van kortetermijnoplossingen in reactie op problemen.
  2. Niet-getrainde mensen op een ongeorganiseerde manier de beveiliging laten regelen.
  3. Belang van bewustwordingsprogramma's op het vlak van informatiebeveiliging niet inzien.
  4. Niet inzien dat traditionele perimeterbeveiliging achterhaald is.
  5. Niet beveiligen van laptops, PDA's en thuiscomputers 'van de zaak'.
  6. Niet instellen van effectief change management.
  7. Niet implementeren van diepgaande beveiligingsstrategie.
  8. Niet implementeren van een kwetsbaarheidsmanagementstrategie.
  9. Niet willen inzien dat virusses, wormen, spyware en spam een business continuity issue zijn, en dus niet alleen maar 'vervelend'.
Volgens security-specialist Dwaine van Vuuren staat bij veel bedrijven technologie nog voorop als het gaat om beveiliging van netwerken en systemen. Hij pleit voor een geïntegreerde aanpak van technologie, risicobeheer, processen en het betrekken van de complete organisatie bij het beveiligingsbeleid.

Uit de voorlopige resultaten blijkt dat nutsbedrijven met een geïntegreerde aanpak het verst zijn. Daarna volgt het onderwijs. Opvallend is dat serviceproviders tot nu toe laag scoren. Ook de overheid en de bouwsector blijken laag te scoren op een overall aanpak van databeveiliging. Wat verder opvalt, is dat maar weinig organisaties hun medewerkers bewust maken van het belang van beveiliging. Minder dan de helft van de bedrijven heeft hiervoor een programma.

Naar aanleiding van de voorlopige resultaten zijn enkele aanbevelingen opgesteld. De belangrijkste zijn dat beveiliging op de agenda moet staan van het senior management. Verder moeten bedrijven een zogenaamde Security Road-map ontwikkelen, een bewustwordingsprogramma opzetten en een breed samengesteld beveiligingsteam in het leven roepen. Organisaties moeten vervolgens de resultaten en de voortgang van de programma's en acties op dit gebied constant meten op basis van concrete cijfers.

Reacties (5)
22-11-2005, 10:39 door Anoniem
Wow... een onderzoek die niet meteen ruikt naar 'wij van wc-eend...."... En
het komt nog overeen met mijn ervaringen ook.
22-11-2005, 11:27 door pipo
''Ook de bouwsector blijken laag te scoren op een overall
aanpak van databeveiliging.''

Goh, waarom verbaasd me dat niet ? Bij de meeste bedrijven
moet je al 15 ronden in de ring staan voor een fatsoenlijk
budget voor resources, laat staan dat er geld voor security
is. En inderdaad, een klassieke fout in deze branch is dat
men denkt het vanuit de techniek te kunnen regelen.

De bouw branche maakt daarnaast veelal gebruik van de
bottom-up methode, waardoor dit soort zaken nauwelijks
aanslaan en geen draagvlak vinden bij het hoger management.
(min of meer punt 2 / softe fouten)

Dat bedrijven (punt 6 / softe fouten) denken dat ze niet
aansprakelijk zijn is een lachtertje. Wat hebben die
zogenaam 'afgestudeerden' dan wel geleerd ? Due care is een
wettelijke verplichting !
22-11-2005, 13:28 door Sjakie
if you can't afford the security, you can't afford the project.
22-11-2005, 17:03 door pipo
Door Sjakie
if you can't afford the security, you can't afford the
project.

bedankt voor deze zinloze bijdrage die niets toevoegt aan
het artikel, noch de gegeven reacties.
23-11-2005, 10:07 door Anonl3m
Graag nog ff de bron van dat onderzoek. Uit de tweede hand
lezen is leuk, maar ik lees liever het originele stuk - dan
kan ik mijn eigen interpretaties maken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.