Column: "Zijn werknemers uw zwakste schakel?"
Zojuist verscheen in het Verenigd Koninkrijk een rapport over IT
beveiliging, in opdracht van het Information Assurance Advisory Council
(IAAC). Dit is een belangrijk adviserend orgaan waarin zowel het
bedrijfsleven als de regering participeert. In het 'Information Security
Breaches 2002' rapport staat, naast enkele belangrijke aanbevelingen, een
aantal verontrustende constateringen. Zo laat 37% van alle grote bedrijven
weten zeer bezorgd te zijn over de eventuele bedreiging die hun eigen staf
vormt. Een grote bank liet zelfs weten zich zorgen te maken over het feit
dat talloze IT medewerkers, zowel intern als extern, toegang hadden tot
zeer gevoelige informatie.
Men zou dus kunnen verwachten dat het vastleggen van 'spelregels' op IT-
gebied tot een van de hoogste prioriteiten zou behoren in de Britse
zakenwereld. Maar uit het onderzoek blijkt, vreemd genoeg, dat slechts zo'n
27% van alle Britse bedrijven een bedrijfsbeveiligingsbeleid heeft
geïmplementeerd. Hiervan heeft 7% dit beleid ontwikkeld om werknemers de
voorschriften en hun verantwoordelijkheden bij te brengen. Op deze manier
hoopt men bijvoorbeeld fraude te voorkomen. Controle op de naleving en het
effect van het beleid lijkt echter te ontbreken.
We kunnen uit het rapport zonder omhaal concluderen dat er nog te weinig
aandacht wordt besteed aan het vaststellen van een goed beveiligingsbeleid.
Gelukkig is dit niet altijd het geval. Een groeiend aantal bedrijven is
zich geukkig wel bewust van het belang van zo'n beleid en heeft dit dan ook
geïmplementeerd. Echter, controle lijkt in de meeste gevallen volledig te
ontbreken. Een van de meest belangrijke aanbevelingen in het rapport luidt
dan ook: "Verzeker uzelf ervan dat uw onderneming (doorlopend) tests
uitvoert (bijvoorbeeld Audits) om te weten of het beveiligingsbeleid wordt
nageleefd". Het belang van goede regelgeving zal niemand betwisten, maar
dan moeten ze ook functioneren.
Ben G.Laarhoven
Zie http://www.security-survey.gov.uk/ voor de algemene site.
Het "detailed technical report" is te vinden onder https://www.security-survey.gov.uk/isbs2002_detailedreport.pdf
mvg,
Niels van Hese
Men kan altijd iets concluderen uit een rapport.
Het is grappig te zien dat commercieële aanbieders van diensten andere -voor hun gunstigere- conclusies trekken dan Business Risk Managers.
Zolang men een oordeel velt naar aanleiding van de zoveelste rapport die niet onderbouwt is met FEITEN zal het er altijd ernstiger uit zien dan het wellicht in werkelijkheid is.
User management wordt in de regel decentraal uitgevoerd, ad-hoc, niet geleid door een beleid en zonder een relatie met de brongegevens in het personeelssysteem.
Hierdoor hebben gebruikers niet de bevoegdheden die ze nodig hebben. Soms te veel, soms te weinig, meestal beide. Dit leidt tot het 'lenen' van bevoegdheden en wachtwoorden. Gebruikers zijn daarmee niet meer aanspreekbaar op hun handelen in het systeem.
Een goede organisatie van user management begint met het bepalen wie wat mag: Identity Management. Dit is een samenspel tussen IT(-security) en business managers.
Na de definitie moet dit model worden geimplementeerd met een software tool, tenslotte moet gecontroleerd/ge-audit worden of het model inderdaad werkt en of er geen mazen in zitten.
Maarten Stultjens
Een goede organisatie van user management begint met het bepalen wie wat mag: Identity Management. Dit is een samenspel tussen IT(-security) en business managers.
Na de definitie moet dit model worden geimplementeerd met een software tool, tenslotte moet gecontroleerd/ge-audit worden of het model inderdaad werkt en of er geen mazen in zitten.
Een goed beleid begint met het uit 'de organisatie' schrappen van alle onzinnige opgeblazen holle marketing-prietpraat en de droids die met nieuwe prietpraat proberen hun eigen leegte te verhullen.
Ik begrijp geen ene flikker van wat je probeert te zeggen. Als ik, met een IQ van 144 en 25 jaar ervaring met computers en dus met informatiebeveiliging je al niet begrijp, hoe zit het dan met het knechtje van de gebouwbeheerder?
Denk je dat het niet handig is je verhaaltje zo in te pakken dat ook hij actief meewerkt met jouw doelstellingen? Je kunt misschien wel een manager inpakken met een rondje buzzword-bingo, maar een beveiligingbeleid moet actief nagestreefd worden door het *hele* bedrijf om enig effect te hebben.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.