image

Schneier: IT'er begrijpt personeel niet

donderdag 6 augustus 2009, 11:29 door Redactie, 20 reacties

Security professionals, IT-managers en systeembeheerders klagen vaak dat personeel zich niet aan het beveiligingsbeleid houdt, wachtwoorden deelt en USB-sticks niet versleutelt, maar werknemers weten wat de echte risico's zijn, zegt beveiligingsgoeroe Bruce Schneier. Hij reageert op een presentator die tijdens een conferentie liet weten dat "we het personeel de risico's moeten laten begrijpen." Volgens Schneier heeft het personeel de risico's beter door de dan de spreker in kwestie. "Ze weten wat de echte risico's op de werkvloer zijn, en die draaien allemaal om het niet afkrijgen van het werk. Dat zijn echte en tastbare risico's en werknemers voelen die continu."

De risico's van het niet volgen van het beveiligingsbeleid zijn veel minder echt. "Misschien wordt de werknemer gepakt, maar zeer waarschijnlijk niet. En ook al wordt hij gepakt, dan zijn de straffen niet ernstig." Elke weldenkende werknemer zal daarom regelmatig de beveiliging omzeilen om zijn werk af te krijgen. "Dat is wat het bedrijf beloont en wat het bedrijf eigenlijk wil." Schneier stelde de presentator dan ook voor om iemand die de procedures niet volgt snel en publiekelijk te ontslaan. "Dat verhoogt het security bewustzijn sneller dan je posters, lezingen of nieuwsbrieven voor elkaar krijgen. Als de risico's echt zijn, zullen mensen die begrijpen."

Reacties (20)
06-08-2009, 11:39 door Arnoud Engelfriet
Als op het niet volgen van securitybeleid ontslag moet komen te staan, dan ook op het formuleren van onwerkbaar securitybeleid.
06-08-2009, 11:44 door Anoniem
Schneier stelde de presentator dan ook voor om iemand die de procedures niet volgt snel en publiekelijk te ontslaan

Deerniswekkende opmerking. Het doel van he bedrijf is niet om zo goed mogelijk beveiligd te zijn, nee, het doel van het bedrijf is het halen van de bedrijfsdoelstellingen, waarvan winst een heel belangrijke is. Beveiliging is niet meer of minder dan een tamelijk onbelangrijk middel.
06-08-2009, 12:08 door Anoniem
Helaas hebben IT-ers de neiging (net als managers, conciërges etc) de zaken zo te regelen als het voor hen het gemakkelijkst is. Het zogeheten primaire proces is in de organisatie maar zelden echt primair.
06-08-2009, 12:26 door Anoniem
Door Arnoud Engelfriet: Als op het niet volgen van securitybeleid ontslag moet komen te staan, dan ook op het formuleren van onwerkbaar securitybeleid.

Schot voor de boeg om een ontslag 'juridisch houdbaar' te maken :-) Ik hou het erop dat er sprake moet zijn van voldoende communicatie tussen de top van een bedrijf en het bedrijfsonderdeel dat zich bezig houdt met security (beleid, vertaling naar uitvoering). Het draait om de vraag: wat is er nou eigenlijk nodig aan securitybeleid (wat is zinvol, wat is acceptabel, wat niet) . Dat kan net het verschil maken tussen security in een 'business context' en security in de zin van: dit mag wel/dit mag niet, omdat 'de security-afdeling het zo zegt'.
06-08-2009, 12:27 door Anoniem
IT 'ers hebben vaak managers die de ballen verstand niet hebben van IT en niet snappen wat er allemaal gedaan moet worden om zaken goed en snel voor elkaar te krijgen.
Verder is security een zo goed als niet bestaand iets voor IT bedrijven, want het kost geld en omdat er maar weinig echt mis gaat dekken de kosten de baten niet vinde ze.
06-08-2009, 13:04 door Anoniem
maar werknemers weten wat de echte risico's zijn

Daar merk ik anders zelf weining van helaas. Ik ben wel benieuwd naar de onderbouwing van deze loze kreet.
06-08-2009, 13:26 door Anoniem
Hij bedoelt de echte risico voor werknemers. Dat zijn risico's als hun werk niet afkrijgen / niet goed opleveren. Voor een werknemer is dit inderdaad een groter risico. Hun baas zal niet accepteren als het werk niet af is, maar een USB stick gebruiken raakt hun niet.

Door Anoniem: maar werknemers weten wat de echte risico's zijn

Daar merk ik anders zelf weining van helaas. Ik ben wel benieuwd naar de onderbouwing van deze loze kreet.
06-08-2009, 13:45 door WhizzMan
Door Arnoud Engelfriet: Als op het niet volgen van securitybeleid ontslag moet komen te staan, dan ook op het formuleren van onwerkbaar securitybeleid.

Leuk om de discussie even op scherp te zetten. Allebei de argumenten hebben duidelijk meer aandacht nodig om een goed en werkbaar securitybeleid te krijgen. Zolang het werkbaar is en er is bewustwording bij de werknemers, zal er over het algemeen goed gevolg gegeven worden aan de instructies.

Ik zit op dit moment bij een klant waar een clean desktop-policy en het locken van je buro verplicht is. Dat geldt *ook* als je eventjes opstaat om met een collega mee te kijken op zijn/haar scherm of als je even koffie gaat halen. Dit wordt strict nageleefd, zonder dat er gezeurd wordt. Waarom? Je mag bij een collega die z'n aandacht even laat verslappen onmiddelijk een "taartmailtje" versturen, danwel de spulletjes die er niet horen van z'n buro gappen. Spulletjes teruggeven hoeft pas nadat de collega zelf een "taartmailtje" heeft verstuurd. We eten elke maand wel een keertje taart, maar veel vaker dan dat is het niet en de werksfeer is prima. Zo kan het dus ook, zonder dat er ontslagen moet worden.
06-08-2009, 14:20 door Anoniem
Door Anoniem: Hij bedoelt de echte risico voor werknemers. Dat zijn risico's als hun werk niet afkrijgen / niet goed opleveren. Voor een werknemer is dit inderdaad een groter risico. Hun baas zal niet accepteren als het werk niet af is, maar een USB stick gebruiken raakt hun niet.

Door Anoniem: maar werknemers weten wat de echte risico's zijn

Daar merk ik anders zelf weining van helaas. Ik ben wel benieuwd naar de onderbouwing van deze loze kreet.

Dat zou betekenen dat ik het personeel niet snap..../
06-08-2009, 14:47 door [Account Verwijderd]
[Verwijderd]
06-08-2009, 16:45 door Anoniem
Door Peter V:
Schneier stelde de presentator dan ook voor om iemand die de procedures niet volgt snel en publiekelijk te ontslaan
Een volstrekt irrealistisch plan!

Volgens de Secunia Software Inspector behoor ik maar tot 14% van de EU-bevolking die zijn security op juist niveau heeft. Als we de lijn van Schneier zouden doortrekken, dan zou dus 86% van de beroepsbevolking ontslagen moeten worden, omdat zij de aanwijzingen van de IT-afdeling inzake de beveiliging van een bedrijf niet zou volgen.

Een totale ineenstorting van de economie zou het gevolg ervan zijn.

Deze reactie is natuurlijk net zo niet houdbaar als die van heer Schneier.
Er gaat wel degelijk een erg sterk waarschuwende werking uit van het snel ontslaan van personeel op security gronden. Ik denk dat de methode Schneier (hoewel bijzonder verachtelijk) wel erg effectief is.

Bij ieder bedrijf waar security-beleid is vliegen er een paar mensen uit...and that's it.
Het zou nog niet een rimpeling zijn op de grafiek met aanvragen voor werkloosheidsuitkering.
06-08-2009, 18:32 door [Account Verwijderd]
[Verwijderd]
06-08-2009, 21:17 door Atropos
Doe anders wat ik hier heb ingevoerd. (en werkt)

Iedereen, (van boekhouder tot directeur, van koffiejuffrouw tot postbezorger) krijgt de info over wat op een bedrijfspc wel en niet mag.
In folderformaat en als pdf bij hun thuis.

Bij overtreding van die regels is er maar 1 straf:
Iedereen op de afdeling krijgt van die persoon die dag 1 kop koffie.
Ze doen het allemaal, maar ook allemaal maar 1 keer.

Publiek afstraffen in deze vorm werkt naar mijn mening het beste.

Ik voer dit beleid nu 8 jaar en nog nooit geen last van virussen op het netwerk gehad.
Wel wat mensen die niet bekwam met een pc om gaan, maar verder niks.
06-08-2009, 23:08 door Bitwiper
Door Bruce Schneier (zie http://www.guardian.co.uk/technology/2009/aug/05/bruce-schneier-risk-security): Given this accurate risk analysis, any rational employee will regularly circumvent security to get his or her job done. That's what the company rewards, and that's what the company actually wants.
Vooral die laatste regel klopt m.i. in veel gevallen. Daarom slaat het nergens op om ineens personeel dat zich niet aan security regels houdt te ontslaan (behalve wellicht personeel behorende tot het management dat, vaak ongeschreven, laat merken dat security "even" geen prio heeft).

Verder is in mijn ervaring het meeste personeel helemaal niet security-aware; security vinden de meesten iets waar de baas (dus systeembeheer en, indien van toepassing, de beveiligingsmedewerkers) maar voor moeten zorgen.

Straffen werkt volgens mij net zo goed als bekeuren voor te hard rijden (nauwelijks dus).

In april is door het PvIB (Platform voor Informatie Beveiliging) een interactieve bijeenkomst over security awareness georganiseerd (zie https://www.pvib.nl/evenementen&localAction=details&id=8213286). Hoewel daar ook sprake was van het uitdelen van rode kaarten was er ook te horen dat professionals goede resultaten bereiken met belonen van met name afdelingen voor awareness (verminderen van het aantal incidenten, voorkomen van potentiële escalaties etc).
07-08-2009, 08:04 door [Account Verwijderd]
[Verwijderd]
07-08-2009, 08:23 door Anoniem
Kan wel zien dat Schneier bij BT werkt, daar volgen ze zijn advies strikt op en vliegen ze met bossen de straat op.
07-08-2009, 13:15 door Anoniem
Het is dankzij Bruce Schneier dat ik in de Security zit !!!
Hij is en blijft een leider imho.
07-08-2009, 13:28 door Anoniem
Beveiliging staat nooit op nummer 1, zeker bij het personeel niet, want dat is maar lastig om mee te werken.....

Totdat de concurrentie er met je miljarden-idee vandoor gaat omdat je documenten e.d. gewoon op het internet staan.....
07-08-2009, 23:22 door Anoniem
En zo gaan we maar weergewoon verder en 'klooien' aan zoals wij denken dat het moet. We weten alles beter met betrekking tot security dan de verantwoordelijken. Ook zijn wij geen doelgroep maar zitten die altijd ergens anders. We doen gewoon prive en zakelijk door elkaar. Wat hebben we te verbergen? Onze PC's zijn superveilig....totdat het noodlot toeslaat en dat gebeurt steeds vaker dankzij de goed georganiseerde cybercriminaliteit die zich wel aan regeltjes houdt, want anders kwamen ze nooit ergens binnen. Cybercriminaliteit loont zich steeds meer op die manier. Het is vechten tegen de bierkaai.

Het is dus gewoon een kwestie van tijd totdat eenieder gedupeerd is. Maar dan ligt de fout altijd ergens anders maar niet bij jezelf/ de eigen PC... wat is dat gemakkelijk.

De tijd moet er langzamerhand rijp voor worden. Zodra mensen geldbedragen missen en niet terugkrijgen, imagoschade oplopen of ID-codes worden misbruikt etc. dan moeten ze op de blaren zitten maar tot nu toe geburt dat nog niet zo vaak.

Het ligt dan altijd aan de provider, de PC software.... maar niet aan de gebruiker. Dus gewoon kwestie van tijd.

JH
08-08-2009, 13:06 door Anoniem
Ten eerste: de IT-er verleent een dienst aan anderen.
Ten tweede: een produktie bedrijf maakt produkten en geen veiligheid, veiliegheid is een ondersteunend iets, niet iets primairs.
ten derde: werknemers hebben maar 1 belang, het produkt op tijd af hebben, velen zien een computer als iets wat opgelegd is om mee te werken.

Dat zijn mijn praktijk ervaringen, wat mij betreft zien produktie medewerkers dit goed. Als it-er moet ik ze ondersteunen en niet van alles opleggen, dit vraagt om een ander benadering.
Het wordt gewoon tijd dat veel it-ers van hun eiland komen (daarmee bedoel ik ook it-managers) en naar de klant toe gaan en bekijken hoe deze het best kan werken en vooral hoe deze WIL werken. Daar moeten de it-systemen dan op aangepast worden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.