Nieuws
image

IPod verboden binnen security bewuste bedrijven

maandag 17 juli 2006, 15:51 door Redactie, 11 reacties

Uit angst voor data diefstal en het lekken van vertrouwelijke informatie is het gebruik van een Mp3-speler binnen 30% van de Canadese bedrijven verboden. Het meenemen van een USB-stick of persoonlijke laptop is helemaal taboe, dat wordt bij de helft van de onderzochte ondernemingen niet toegestaan.

"Je kunt miljoenen gegevens op iets ter grootte van een mobiele telefoon of kleiner op slaan" zegt Andy Canham, president van Sun Microsystems Canada. Door recente incidenten met gestolen en verloren laptops zouden meer bedrijven zijn gaan nadenken over data buiten de werkvloer.

Remote access wordt steeds belangrijker voor de onderzochte bedrijven, waarbij 91% het personeel een mobiele telefoon van de zaak geeft, en bijna net zoveel werknemers krijgen een laptop om op externe locaties te werken. Inmiddels heeft 22% van de Canadezen via remote access toegang tot het bedrijfsnetwerk, maar dit zal het volgende jaar naar 30% stijgen. 72% van de bedrijven die geen remote access bieden doen dit vanwege mogelijke security problemen.

Reacties (11)
17-07-2006, 16:06 door SirDice
Men "vergeet" alleen dat diezelfde mobiele telefoons, die
wel toegestaan zijn, tegenwoordig ook gewoon een SD kaartje
in zich hebben en net zo makkelijk als opslagmedium gebruikt
kunnen worden.

Terwijl je meestal vrij eenvoudig de toegang tot dergelijke
opslagmedia kan afschermen..
17-07-2006, 16:15 door Anoniem
USB (en IEEE1394) zitten nou eenmaal standaard op pc's. Die
aansluitingen uitzetten of enkel driver ondersteuning voor printers en
andere apparatuur die echt nodig is. Dat plug-'n'-play moet toch uit te
schakelen zijn?

Ze zullen in Canada vast ook wel meldingsplicht hebben bij het verliezen
van klantgegevens, net als in Verenigde Staten.
17-07-2006, 16:56 door Anoniem
Bij de meeste securitybewuste omgevingen heb je zowiezo al
een verbod op ALLE informatiedragers. Of dat nu een MP3
speler of een GSM of PDA of USBstick of Laptop... Maar dan
ben je er nog niet... De boel wordt net zo makkelijk via
Email verstuurd of gedropt via http of ftp posting op
websites. En wanneer dat met bijv SSH of HTTPS/SSL gebeurt,
dan zie je het nooit meer, behalve dan bij de concurent of
op het Journaal.

Voor het 'gemak' wordt gewoon TEVEEL risico gelopen, maar
dat komt puur en alleen door gemakszucht medewerkers en het
argument "anders moet ik helemaal die ruimte binnenlopen of
medewerker X uit verweggistan moet dan op een vliegtuig hier
naartoe komen"... tja, dan wordt al snel gedacht "do maar".
17-07-2006, 17:26 door SirDice
Door Anoniem
USB (en IEEE1394) zitten nou eenmaal standaard op pc's. Die aansluitingen uitzetten of enkel driver ondersteuning voor printers en andere apparatuur die echt nodig is. Dat plug-'n'-play moet toch uit te schakelen zijn?
USB uitschakelen is tegenwoordig geen optie meer met USB keyboards/muizen en geen PS/2 aansluitingen. USB Mass Storage is wel apart uit te zetten en voorkomt dus dat er data op Ipods, telefoons, usb sticks etc. gezet kan worden.

Bij de meeste securitybewuste omgevingen heb je zowiezo al
een verbod op ALLE informatiedragers. Of dat nu een MP3
speler of een GSM of PDA of USBstick of Laptop... Maar dan
ben je er nog niet... De boel wordt net zo makkelijk via
Email verstuurd of gedropt via http of ftp posting op
websites.
SMTP, FTP en HTTP zijn eenvoudig te proxien en middels een content scanner te beschermen.
En wanneer dat met bijv SSH of HTTPS/SSL gebeurt, dan zie je het nooit meer, behalve dan bij de concurent of op het Journaal.
Als je dan toch al firewalls, proxies en content scanners hebt kun je net zo makkelijk voorkomen dat deze protocollen gebruikt kunnen worden.
17-07-2006, 17:27 door awesselius
Alvorens men helemaal naar een security bewuste status van
het bedrijf kan, moet je eerste je paranoide gevoel zien te
verklaren. Soms denkt men namelijk dat het 'te ver gezocht
is' om alles maar af te schermen. Maar dat is natuurlijk
obscurity denken.

Als men dan al toegeeft de noodzaak ervan in te zien, moet
men er budget voor vrij maken en policies accepteren. En dat
laatste is een hoge drempel voor sommige mensen. Terwijl
informatie goud waard kan zijn, is het niet precies uit te
drukken en is het niet zichtbaar te maken hoe belangrijk het
is policies op te volgen. Pas als het hek van de dam is of
het kalf het niet meer gered heeft in de put enz. dan durven
ze nog geen verantwoordelijkheid te nemen.

Alles op slot zetten voelt als een straf, immers je mag
bijna niks meer enz. net als in de gevangenis of bij je
strenge tante als je daar logeerde (vroeger). Dat gevoel wil
men niet en daarom accepteert men policies niet zomaar.

- Unomi -
18-07-2006, 00:02 door Anoniem
Zulke paranoia maatregelen gaan uit van de gedachte dat je
werknemers niet te vertrouwen zijn. Wil je ze dan uberhaupt
met gevoelige informatie in aanraking laten komen? Het is
wat tegenstrijdig op die manier
18-07-2006, 08:54 door Anoniem
Gewoon een lijstje maken met approved USB-devices. Er is
software voor dit soort toepassingen op de markt.
18-07-2006, 09:10 door carolined
Wat dachten jullie om eens te beginnen met een gedragcode, met het
begrip voor security te kweken bij medewerkers.
Lijkt me niet verkeerd en kost geen ingewikkelde technische trucs die de
slimmerik toch wel weet te omzeilen.
18-07-2006, 09:58 door Anoniem
USB uitschakelen is tegenwoordig geen optie meer met USB
keyboards/muizen en geen PS/2 aansluitingen. USB Mass Storage is wel
apart uit te zetten en voorkomt dus dat er data op Ipods, telefoons, usb
sticks etc. gezet kan worden.

@SirDice

Gaat makelijk. Kijk maar eens op http://www.devicelock.com/
18-07-2006, 10:27 door Anoniem
Het belangrijkste is denk ik om de werknemer er bewust van te maken wat
de gevaren zijn op securitygebied en nog veel belangrijker wat de impact
kan zijn voor het bedrijf als het fout gaat.

Als het in de bedrijfscultuur zit gebakken dat dit een belangrijke factor is
voor de winstgevendheid en de continuiteit van het bedrijf dan zijn
medewerkers er denk ik ook bewuster van dat dit ook hen aangaat.
Daarnaast zou je nog een security-index kunnen koppelen aan een
bonussysteem.

Neemt niet weg dat een zekere ingebouwde security in de infrastructuur
altijd van belang is. Zeker omdat veel mensen niet weten wat ze fout doen.
Maar ook daarvoor biedt training en bewustzijn een deel van de uitkomst.
19-07-2006, 12:00 door Luc Hullegie
Ik denk dat het redelijk kortzichtig is om deze devices te verbieden omdat
er zoals al meerdere hier aangeven er veel meer mogelijkheden zijn om
met removable media informatie mee te nemen. Ook het afsluiten van
poorten is in zo'n geval niet zinvol.
Er zijn ook hele goede security tools beschikbaar die voor de beheerder
een eenvoudige manier creeeren om de poorten van alle gebruikers
computers afdoende te beheersen, blokkeren of alle media die er wordt
aangesloten te encrypteren. Ik denk hierbij logischerwijs aan Disknet Pro
van Reflex.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search