Enterprise Security Themaweek: Als de baas niet kijkt
Beveiliging op de werkvloer is vandaag de dag niet meer weg te denken. Spyware op kantoor PC's, spam, personeel dat informatie aan de concurrent doorspeelt en allerlei wet- en regelgeving waar managers en systeembeheerders rekening mee moeten houden. IT-security speelt hierdoor een steeds grotere rol in de bedrijfsvoering en continuiteit.
Toch blijkt uit onderzoek dat het nieuwe personeel amper iets over beveiliging wordt verteld. Wat waarschijnlijk ook verklaart waarom werknemers nog steeds massaal vertrouwelijke gegevens verliezen. Menselijk handelen is namelijk in 75% van dit soort incidenten verantwoordelijk. Bedrijven zien beveiliging echter als taak van de eindgebruiker, wat aangeeft dat er duidelijk een conflict is.
In de eerste themaweek van dit jaar kijkt Security.NL dan ook naar "Enterprise Security". Een breed onderwerp dat bijna alle werkgevers en werknemers raakt. Graag horen we van onze lezers hoe ze met dit onderwerp omgaan, hoe het bij hen geregeld is. Wat wordt er gedaan om vertrouwelijke gegevens te beveiligen, hoe gaat men om met het meenemen van laptops, worden er USB-sticks te pas en onpas uitgedeeld en hoe vaak in een maand moeten de wachtwoorden worden gewijzigd? Maar ook horen we graag verantwoordelijke IT-managers en systeembeheerders over hoe zij de beveiliging in goede banen leiden en wat absoluut niet kan.
Stuur dus een e-mail of laat een reactie achter!
baas behoort tot hetzelfde rijtje als de gebruikers in deze.
inprincipe alleen konden doen, wat er in de startbalk en op het bureaublad
staat. Maarja dit vind DE BAAS niet goed. Ik heb het terug weten te dringen
dat gebruikers niks zelf mogen installeren. Op de baas na, die is volledig
admin. Gebruiker hebben ook geen rechten om bij vertrouwlijke informatie
te komen.
Als de baas niet kijkt? Als de baas wel kijkt ziet ie nog
steeds niets! De
baas behoort tot hetzelfde rijtje als de gebruikers in
deze.
Sterker nog, omdat hij "de baas" is, wordt er vaak gevonden
dat de algemene (veiligheids) regels voor hem niet gelden..
en wie moet daar wat op zeggen? Wie controlleert "de baas"?
Ik heb het terug weten te dringen
dat gebruikers niks zelf mogen installeren. Op de baas na,
die is volledig
admin.
Blijkbaar heb je een arrogante werkgever.
Hij krijgt alleen wat hij nodigt heeft.
ik laat niet een persoon mijn netwerk riskeren.
hij kan dus mooi alles installeren hij komt op plekken dat
uit den boze is voor normale users met zijn admin account :-S.
dat is onacceptable.
maakt hij er een puinhoop van omdat hij niet zeker wist wat
hij deed.
krijg je ook geintjes dat hij data opslaat op stations waar
dat niet de bedoeling is.
gewoon een normale user/ group, tel. hij als hij iets niet
kan of nodig heeft.
dat is het beste wat ik er van kan maken voor hem.
als jij hem niet beschermt voor zich zelf wie dan wel.
bite me if you dont like it. :-)
vent gewoon buiten moeten kunnen trappen als hij de maatregelen aan
zijn laars lapt.
Het probleem is dat je van je baas je salaris ontvangt, eigenlijk zou je die
vent gewoon buiten moeten kunnen trappen als hij de maatregelen aan
zijn laars lapt.
Je schuift gewoon de verantwoordelijkheid van je af en legt deze in de
handen van je werkgever. Als hij of zij vind dat diegene meer moet kunnen
dan de rest dan is die hoofdelijk verantwoordelijk voor de veiligheid van het
eigen systeem en het netwerk. Soms moet je hard zijn, dat doen zij ook.
Een ontslagvergunning aanvragen omdat de systeembeheerder geen
onveilige laptop aan de baas wilt geven wordt uiteraard niet verleend en is
goed aanvechtbaar.
Het probleem is dat je van je baas je salaris ontvangt, eigenlijk zou je die
vent gewoon buiten moeten kunnen trappen als hij de maatregelen aan
zijn laars lapt.
Je schuift gewoon de verantwoordelijkheid van je af en legt deze in de
handen van je werkgever. Als hij of zij vind dat diegene meer moet kunnen
dan de rest dan is die hoofdelijk verantwoordelijk voor de veiligheid van het
eigen systeem en het netwerk. Soms moet je hard zijn, dat doen zij ook.
Een ontslagvergunning aanvragen omdat de systeembeheerder geen
onveilige laptop aan de baas wilt geven wordt uiteraard niet verleend en is
goed aanvechtbaar.
Dat is wel leuk en aardig dat je er niet verantwoordelijk voor bent.
Maar uiteindelijk ben jij die gene die weer damage control moet gaan
uitvoeren.
betekend onnodig werk voor jou.
Tenzij je je natuurlijk verveelt dan is het andere koek.
informatie waar hij mee omgaat. M.i. heeft dat geheel niets
met admin-rechten of USB-sticks of wat dan ook te maken.
Omdat lang niet alle werknemers in staat zijn om in te
schatten wat er voor hun bedrijf belangrijk is moeten ze
daarin opgeleid worden. Security = opleiding, kennis en
verantwoordelijkheid.
Daarnaast is de verantwoordelijkheid van de werkgever om
zijn werknemers hierin te faciliteren, te zorgen voor
opleiding en te zorgen voor tooling om de informatie op
netwerk te beschermen en de gebruiker te leren hiermee om te
gaan.
Omdat er verschillende soorten gebruikers zijn zul je hier
flexibel mee om moeten gaan, omdat anders de gebruikers met
know-how toch om de beveiligingsmaatregelen heen zullen
gaan, ondanks het paranoide gedrag van sommige net zo
arrogant als de baas zijnde systeembeheerders.
Gebruikers moet je ondersteunen om hun doelen te bereiken,
om ze dus effectief te laten werken. Gebruikers met veel
kennis van PC's, b.v. zij die op hetzelfde kennisniveau als
de system admin beschikken, zul je m.i. wat meer
faciliteiten moeten geven, enerzijds omdat ze daar heel goed
mee om kunnen gaan en het hun effectiviteit vergroot
anderzijds voorkom je bij dit soort figuren toch niet dat ze
door je beveiliging heen breken.
Dat vind ik ook een belangrijke taak voor Management en
Systeembeheer, het faciliteren van gebruikers om hun werk
goed en productief te kunnen doen. Niet om de gebruikers
zoveel mogelijk te begrenzen in hun mogelijkheden.
Overigens is het wijzigen van wachtwoorden iedere maand een klinkklare onzin maatregel. Iedere gebruiker en ook beheerder zal hier wat op vinden, wat varieert van het verwerken van de maand in een standaard wachtwoord tot het opschrijven van het wachtwoord.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.