Zorg dat je hiervoor, van te voren, (schriftelijk) toestemming hebt. Anders
zou jouw "bewust maak" actie wel eens heel erg verkeerd uit kunnen pakken voor je.

Ja, dit is inderdaad al besproken, zonder toestemming ga ik hier zeker niet
aan beginnen want dan ben ik het zakje :)

Vooral omdat hier niet eens zozeer veel bedrijfsgevoelige informatie
rondspookt, maar voornamelijk erg gevoelige personele gegevens. Niet
iedereen is een "standaard" medewerker hier zullen we maar zeggen.

Waarom ben je met de ISO norm bezig als de basis van
Security awareness ontbreekt? Focus op de stageopdracht, en
ga niet proberen de wereld te verbeteren!

Het is erg makkelijk om een stagiaire op te laten draaien
voor iets wat je als medewerker niet lukt! Wees kritisch
naar jezelf en jouw omgeving.

Helaas heb ik deze ervaring ook mee moeten maken met een
stagiaire.

Als je meer wilt weten, geef een seintje.

Weet niet of je er iets aan hebt. Maar persoonlijk denk ik dat het door twee
dingen komt. Gemakzucht en ontwetendheid. Wanneer data snel
toegankelijk en makkelijk toegangkelijk wordt wordt er ook onzorgvuldiger
mee omgegaan en is het dus makkelijker toegangkelijk voor derden.

Personeel van buiten af moeten zich via de bali bij de beveiliging/receptie
aanmelden voor een afspraak. Maar heeft deze werkzaamheden is er geen
toezicht op. Deze worden geregistreerd voor werkzaam heden. Maar
kunnen zo van de 5e verdieping tot in de data ruimte komen als deze niet goed is beveiligd.

Een ander voorbeeld waar je misschien wat aan kan hebben is de
communicatie met ict personeel en beveiliging. Zo hebben veel bedrijven
een keycard systeem waarmee je precies kan zien vanuit de logs waar
personneel zich bevindt. Voor personeel dat van buiten af komt en
werkzaamheden uitvoeren kunnen zo gevolgd worden.

Wanneer de beveiliging toegang heeft tot dit netwerk kan er indirect zonder
er fysiek contact is met de persoon gekeken worden wat het personeel
aan het doen is. En of die wel op die afdeling mag komen waar eventueel
vertrouwelijke informatie zou kunnen liggen. Een simpele preventie maatregel maar die gewoon niet toegepast wordt.

Nou dan heb je al meteen een probleem te pakken hier:
keycards wordt niet mee gewerkt, alles is voor iedereen vrij
toegankelijk en deuren worden niet afgesloten (op de ICT
afdeling en de serverruimte na).

De balie moet je echt al daadwerkelijk heen lopen,
registratie kennen ze niet. Mensen zijn inderdaad zeer
onzorgvuldig er mee. Vorige week heeft meer dan 24 uur een
uitdraai naast een printer gelegen van een verslag van de
vertrouwenspersoon of iets in die richting (!!!) waarin met
naam en toenaam werd vermeld waarom een bepaald iemand boos
was etc. etc.

Uiteindelijk heb ik het weggepakt en doorgegeven aan mijn
afdelingsleider. Ik heb nog genoeg te doen hier.

Bedankt voor de informatie alvast!

Beste Stagiaire,

Denk eerst na voordat je iets doet. Pas op tegen wie je
"beveiligingsproblemen" meldt en wie je precies in
vertrouwen neemt, want je weet helemaal niet of dit in gang
gezet is om bewust chaos te veroorzaken (zoals bij de
overheid). Meld alles gewoon bij je chef, maar meer ook
niet.. Ga er van uit dat je geen vrienden of Geallieerden in
je omgeving hebt. Wees in Godsnaam voorzichtig wat je doet!
Er zijn mensen weggepest uit hun werkkring doordat zij
dezelfde methode gebruikten om misstanden aan te kaarten!
Ik spreek uit ervaring!

Bedankt voor je tip vredesduif, maar ik denk niet dat ik
hier zo veel last van zal hebben wegens een paar redenen.
1. Ik zelf zit op de ict afdeling dit een prachtig idee vinden.
2. steun van de directie
3. ik zelf ben toch binnenkort weg
Maar ik snap wat je bedoeld.

Je gaat zelf al erg ver met informatie op een openbare site. Nog even en
we weten waar je je stage loopt.
Hoe veilig ben je zelf?

Belangrijk bij het verbeteren van de beveiliging in een bedrijf is, dat je
adviezen begrepen worden door degenen die uiteindelijk de
werkzaamheden zullen moeten uitvoeren. ACCEPTATIE is het toverwoord.
Als de externe adviseur als een spion wordt ervaren, dan is hij zijn doel
voorbij geschoten, ook als goede bedoelingen aan het advies ten
grondslag liggen. Datzelfde geldt ook voor een ict afdeling .
Zorgvuldigheid blijft nodig, ook al ben je toch binnenkoort weg.

Klopt, heel goed punt, maar welk bedrijf heeft nu geen ICT
afdeling? ;)

Bijna alle MKB's

Ok ok welke grote bedrijven hebben nu geen ICT afdeling? ;)

Als je iets met informatiebeveliging wil gaan zou ik eens gaan zoeken op
de term "Code voor informatie beveiliging" veel gebruikt bij IT/EDP auditing.
De Code voor Informatiebeveiliging beschrijft in 11 hoofdstukken normen
en maatregelen, die van belang zijn voor het realiseren van een afdoende
niveau van informatiebeveiliging. De Code wordt uitgebracht door het
Nederlands Normalisatie-instituut (NEN).

Bedankt, maar ISO 17799 heb ik hier al liggen.

Nog meer info :D

Hehe ok je weet nu dat ik stage loop bij een bedrijf dat
groter is dan een MKB bedrijf op de ict-afdeling. Dan
blijven er nog maar een paar 100-1000 bedrijven over gok ik? ;)

Dus je moet een informatiebeveiligingsbeleid schrijven.


Staat er in, zie richtlijn 8.2.2. Schrijf gewoon een
maatwerk beleid met die ISO norm als basis en je bent klaar.
En lees de ISO 27001 ook effe door. En nou doorwerken, hup!
Met een beetje ouwehoeren in forums kom je ook niet verder.

Dit valt onder mijn taak van Desk-Research ;) Ik heb geen
toegang tot die andere ISO.

Iedereen bedankt voor de reacties!

security.nl werkt al jaren aan awareness door nieuws in het
nederlands vrij toegankelijk te publiceren