image

"Geen excuus voor onversleutelde laptops"

donderdag 31 maart 2011, 14:03 door Redactie, 12 reacties

Bedrijven hebben geen excuus meer om gevoelige gegevens op laptops en mobiele apparaten niet te versleutelen, aldus verschillende analisten. Die reageerden op het verlies van een BP-laptop met de gegevens van 13.000 slachtoffers van de olieramp die de oliemaatschappij veroorzaakte. Ondanks de gevoeligheid van de gegevens, waren die niet versleuteld. Bij veel data-incidenten zijn laptops betrokken, toch passen maar weinig ondernemingen encryptie toe.

"Er is geen enkel excuus voor het niet versleutelen van laptops", zegt Gartner-analist Avivah Litan. De kosten voor encryptiesoftware zijn laag en de systeembelasting in verhouding tot de veiligheid zijn het meer dan waard. "Bedrijven die laptops niet versleutelen zijn gewoon lui."

"Ik denk dat laptop-encryptie voor elk redelijk groot bedrijf één van de slam-dunks in computerbeveiliging is, omdat de risico's bekend zijn en de oplossingen volwassen", voegt analist Pete Lindstrom toe. Toch is hij geen voorstander van een situatie waarbij de overheid het gebruik van encryptie gaat verplichten. "Een soort boete voor het verliezen van gegevens zou mogelijk wel van toepassing zijn."

Reacties (12)
31-03-2011, 14:07 door Commentator
"Bedrijven hebben geen excuus meer om gevoelige gegevens op laptops en mobiele apparaten niet te versleutelen" -- da's een leuke stelling, maar hoe ga je je mobiele apparaten versleutelen? Stel dat je nou geen heel duur Blackberry Enterprise overeenkomst hebt, maar andere hardware/software?
Voor laptops kan het inderdaad makkelijk, maar voor handhelds is volgens mij nog niet veel beschikbaar...
31-03-2011, 14:14 door Anoniem
Ik ben toch wel erg benieuwd of bij Gartner alle laptops van encryptie zijn voorzien. Practice what you preach ?
31-03-2011, 14:15 door Anoniem
"da's een leuke stelling, maar hoe ga je je mobiele apparaten versleutelen? Stel dat je nou geen heel duur Blackberry Enterprise overeenkomst hebt, maar andere hardware/software?"

De vraag welke hardware/software je hebt is afhankelijk van keuzes. Indien een criteria voor die keuze de beschikbaarheid van encryptie is, dan is jouw probleem verholpen.

"Toch is hij geen voorstander van een situatie waarbij de overheid het gebruik van encryptie gaat verplichten."

Wat is het voordeel van een boete boven het verplicht stellen van encryptie ?
31-03-2011, 14:24 door Skizmo
aldus verschillende analisten.
Wat weet een analist nou van de realiteit ? Heeft een analist door hoe waardeloos de gemiddelde IT afdeling is ? NEE !
31-03-2011, 14:30 door Walter
Door Skizmo:
Wat weet een analist nou van de realiteit ? Heeft een analist door hoe waardeloos de gemiddelde IT afdeling is ? NEE!
Om nog maar even niet te spreken van de interesse van de eindgebruikers voor security en encryptie. Wat geeft de gemiddelde manager nou om encryptie? Hoe krijg je een organisatie overtuigd van het feit dat encryptie nodig is?

Zelfs na datalekken wordt er nog erg luchtig over gedaan en 'is het maar een incident'. Encryptie is een investering waarvan managers niet begrijpen waarom zij die moeten doen. Ze snappen niet waar het voor nodig is, wat het voor voordelen heeft en hoe de investering teruggewonnen kan worden.
31-03-2011, 15:05 door Anonl3m
Door Walter:

Zelfs na datalekken wordt er nog erg luchtig over gedaan en 'is het maar een incident'. Encryptie is een investering waarvan managers niet begrijpen waarom zij die moeten doen. Ze snappen niet waar het voor nodig is, wat het voor voordelen heeft en hoe de investering teruggewonnen kan worden.

Walter, leg jij het hier eens uit? Ik ben wel benieuwd naar het terugwinnen van deze investering. Incidenten die zich niet hebben voorgedaan kun je slecht meten. Hoe toen jij de ROSI (return on security investment) aan van laptopencryptie?
31-03-2011, 15:25 door Mysterio
Wat dit betreft vind ik dat er best wat wetgeving mag komen. Ik weet niet hoe bijvoorbeeld de wet ter bescherming van persoonsgegevens inhaakt op de eis dat een bedrijf zich aan bepaalde regels heeft te houden met betrekking tot jouw gegevens, maar ik denk dat hier gaan wetgeving voor bestaat.

Banken en verzekeraars hebben zich te houden aan strenge regels als het om gegevens gaat. Hou je je daar niet aan, dan wordt de Nederlandse Bank boos. Dat wil je niet. Het lijkt mij nodig dat normale bedrijven blijkbaar met wetgeving om de oren geslagen moeten worden omdat het blijkbaar niet echt doordringt.
31-03-2011, 16:47 door sjonniev
De kosten van versleutelen moet je zien als verzekering tegen het ontvreemden van je laptops, opslagmedia en bestanden.

Wanneer diefstal van data van een organisatie geen (financiële) consequenties heeft hoeven ze zich ook niet te verzekeren.
In Nederland kan een bedrijf diefstal van data lekker onder de pet houden, tot het op sensatiemedia terechtkomt, of op Wikileaks, natuurlijk... En iedereen denkt dat het hèm (of haar) niet zal overkomen. Net Mac users zonder AV...

In het buitenland kunnen de bijkomende kosten, naast die van vervanging van de gestolen laptop, aardig oplopen... Boetes, postzegels op excuus/informatiebrieven, reputatie...
31-03-2011, 18:41 door Syzygy
Door Anonl3m:
Door Walter:

Zelfs na datalekken wordt er nog erg luchtig over gedaan en 'is het maar een incident'. Encryptie is een investering waarvan managers niet begrijpen waarom zij die moeten doen. Ze snappen niet waar het voor nodig is, wat het voor voordelen heeft en hoe de investering teruggewonnen kan worden.

Walter, leg jij het hier eens uit? Ik ben wel benieuwd naar het terugwinnen van deze investering. Incidenten die zich niet hebben voorgedaan kun je slecht meten. Hoe toen jij de ROSI (return on security investment) aan van laptopencryptie?

Dat is niet zo moeilijk maar vergt wel wat denk en rekenwerk.
We noemen het een Risicoanalyse: http://nl.wikipedia.org/wiki/Risicoanalyse
Je kunt dan berekenen wat het ongeveer gaat kosten als bepaalde data in verkeerde handen komt ( verlies in business, anti reclame als gevolg van een slechte naam, prijs laptop, verloren tijd om alles weer op orde te krijgen etc.) dat zet je af tegen de aanschaf van een encryptie pakket en de installatie en configuratie en het onderhoud.
Aan de hand van de uitkomst bepaal je of je wel of niet gaat encrypten.
01-04-2011, 08:55 door Anoniem
En dan natuurlijk het password met een post-it naast het keyboard plakken.

Security is a state of mind. Dat ga je met encryptie software niet forceren,.
01-04-2011, 09:45 door Sith Warrior
Hmm, nou de hele grote bedrijven (zowel IT als non IT) in NL waar ik kom hebben vaak al versleutelde laptops of zijn druk bezig dit uit te rollen.
01-04-2011, 11:15 door cryptomannetje
Door Anoniem: En dan natuurlijk het password met een post-it naast het keyboard plakken.

Security is a state of mind. Dat ga je met encryptie software niet forceren,.

Wat dacht je van two-factor authenticatie d.m.v. een smart card of token? Kan je ook wel een geeltje blijven plakken, maar dan moet de steler wel nog over de smart card of token beschikken! Uiteraard niet laptop, token en geeltje bij elkaar bewaren zodat de steler alles in 1 heeft.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.