"Personeel schuldig aan meeste datalekken"
Bedrijven geven hun werknemers de schuld van de meeste datalekken die plaatsvinden. 78% stelt dat er gegevens zijn uitgelekt door nalatig gedrag of kwaadwillend personeel. De voornaamste oorzaak van datalekken zijn het verlies van laptops of andere mobiele apparaten (35%), blunders (32%) en systeemfouten (29%), aldus onderzoek van het Ponemon Institute.
In veel gevallen verzwijgen werknemers het lekken van vertrouwelijke gegevens. In slechts 19% van de gevallen rapporteert een werknemer een datalek. De meeste lekken worden dan ook per toeval ontdekt. Verder werden de bedrijven die aan het onderzoek deelnamen ook gevraagd om een lijst van meest voorkomende "misstappen" te maken die al waren voorgevallen of zeer waarschijnlijk zullen plaatsvinden. Hieronder de top 10.
- Het niet waarschuwen bij het verlies van een USB-stick (87%)
- Het niet regelmatig wijzigen van wachtwoorden (76%)
- Het hergebruiken van wachtwoorden en gebruikersnamen (74%)
- De computer in slaapstand zetten als die niet wordt gebruikt (72%)
- Het niet gebruiken van complexe wachtwoorden of smart keys (71%)
- Het op reis meenemen van gevoelige bedrijfsgegevens (70%)
- Het niet shredden van papieren documenten (68%)
- Het gebruik van persoonlijke apparaten op het bedrijfsnetwerk (66%)
- De computer onbeheerd achterlaten (65%)
- Het niet afschermen van het computerscherm in openbare locaties (64%)
Reacties (10)
"Bedrijven geven hun werknemers de schuld van de meeste datalekken die plaatsvinden. 78% stelt dat er gegevens zijn uitgelekt door nalatig gedrag of kwaadwillend personeel. "
De werkgever dient te zorgen voor zaken als harddisk encryptie waardoor bij verlies van hardware geen gegevens op straat komen te liggen, voor een policy m.b.t. strong passwords, password changes, instellingen van de screensaver, en meer van dat soort zaken.
Mijn stelling zou dus zijn dat vooral werkgevers schuld dragen door het niet goed afdwingen van een goede security policy, en vrijwel ieder punt in de lijst is dan ook door werkgever te regelen. Indien een werkgever de schuld afschuift op de werknemer wanneer bijvoorbeeld een laptop zonder harddisk encryptie wordt gestolen maakt erg weinig indruk op mij.
De werkgever dient te zorgen voor zaken als harddisk encryptie waardoor bij verlies van hardware geen gegevens op straat komen te liggen, voor een policy m.b.t. strong passwords, password changes, instellingen van de screensaver, en meer van dat soort zaken.
Mijn stelling zou dus zijn dat vooral werkgevers schuld dragen door het niet goed afdwingen van een goede security policy, en vrijwel ieder punt in de lijst is dan ook door werkgever te regelen. Indien een werkgever de schuld afschuift op de werknemer wanneer bijvoorbeeld een laptop zonder harddisk encryptie wordt gestolen maakt erg weinig indruk op mij.
06-03-2012, 10:52 door
Rasalom
Het personeel de schuld geven is eenvoudiger dan de hand in eigen boezem steken natuurlijk.
De voornaamste oorzaak van datalekken had voorkomen kunnen worden door gegevens op de mobiele apparaten te versleutelen.
Echter, bij geen van de klanten waar ik door de jaren heb gezeten wordt daar enige aandacht aan besteed. Nog geen Truecrypt om je USB stick te beveiligen is mogelijk.
En volgens mij is dat meer regel dan uitzondering.
Kortom, wat mij betreft een flut onderzoek.
De voornaamste oorzaak van datalekken had voorkomen kunnen worden door gegevens op de mobiele apparaten te versleutelen.
Echter, bij geen van de klanten waar ik door de jaren heb gezeten wordt daar enige aandacht aan besteed. Nog geen Truecrypt om je USB stick te beveiligen is mogelijk.
En volgens mij is dat meer regel dan uitzondering.
Kortom, wat mij betreft een flut onderzoek.
Gegevens op mobiele apparaten, Android en iPhone, zijn standaard versleuteld. Wat mankeert is goede afspraken met de medewerkers en ondersteuning van remote wipen bij verlies van een mobiel apparaat.
USB sticks? Wordend die nog gebruikt dan?
Inderdaad eens, er moet meer gefaciliteerd worden om encryptie toe te passen. De meeste policies bevatten regels over encryptie, maar die worden niet gefaciliteerd.
USB sticks? Wordend die nog gebruikt dan?
Inderdaad eens, er moet meer gefaciliteerd worden om encryptie toe te passen. De meeste policies bevatten regels over encryptie, maar die worden niet gefaciliteerd.
06-03-2012, 12:21 door
Wim ten Brink
Door Anoniem: USB sticks? Wordend die nog gebruikt dan?
Jazeker, meestal om data te kopieren van de ene computer naar de andere buiten het netwerk om. Bijvoorbeeld omdat een gebruiker bepaalde data nodig heeft maar geen toegang krijgt tot het netwerk. Je kunt dan de powerpoint presentatie van 100 megabytes wel toemailen maar daar wordt niemand blij van.Ook voor laptop-gebruikers die te weinig schijfruimte hebben is een USB stick uiternate handig. Een tweede harde schijf kan meestal niet ingebouwd worden en een externe (mobiele) harde schijf erbij vreet vaak meer stroom dan een USB stck, als die externe schijf al via USB zijn electriciteit verkrijgt. Vaak heb je ook maar 4 of 8 GB extra ruimte nodig en dan is een kleine USB stick ideaal.
En wie vertikt het om beleid niet correct op te stellen en op daadwerkelijk naleven te controleren omdat het teveel geld kost? Juist, de personen van de wijzende vingertjes.
Net als dat je een kind geen lucifers geeft, moet je ook voorzichtig zijn wie je met je bedrijfs/klant informatie laat werken.
Pas als iemand het gevaar van data verlies begrijpt moeten ze toegang mogen krijgen.
Je kan policies hebben van links naar rechts en van voor naar achter ... dan nog 1001 systemen om te proberen deze policies te controleren en te enforcen .... en dan nog zijn er mensen die je data verliezen.
Ik denk dat awareness de key is.
Pas als iemand het gevaar van data verlies begrijpt moeten ze toegang mogen krijgen.
Je kan policies hebben van links naar rechts en van voor naar achter ... dan nog 1001 systemen om te proberen deze policies te controleren en te enforcen .... en dan nog zijn er mensen die je data verliezen.
Ik denk dat awareness de key is.
De managers in de bedrijven zijn toch ook werknemers .... en deze (vaak duurbetaalde) managers zijn verantwoordelijk voor een goede inrichting van hun ICT-organisatie en beleid. Het moet dus ook van bovenaf gedragen worden en er moet beter contact met de mensen zijn, die het dagelijkse werk doen. Er dient beslist geen angstcultuur te zijn, maar bevorder een feedback-mentaliteit van de medewerkers.
Als die managers zijn zoals bij mijn bedrijf sturen ze een notitie met daarin de tekst: "U moet uw data versleutelen". Daarmee zijn zij van de verantwoordelijkheid af.
Het doorspelen van info door managers....
die horen ook bij de werknemers en dit is een van de schadelijkste posten!
Of het nalatig acteren van managers nadat ze door professionals zijn gewaarschuwd..
die horen ook bij de werknemers en dit is een van de schadelijkste posten!
Of het nalatig acteren van managers nadat ze door professionals zijn gewaarschuwd..
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
