image

CISO: geen gevoelige data voor ambtenaar die phishingtest faalt

dinsdag 22 september 2015, 13:59 door Redactie, 3 reacties

Amerikaanse ambtenaren die toegang tot zeer gevoelige data hebben en verschillende phishingtests op rij falen zouden hun toegangsrechten moeten verliezen. Dat stelt Paul Beckman, Chief Information Security Officer (CISO) van het Amerikaanse ministerie van Binnenlandse Veiligheid.

Beckman verstuurt zelf phishingmails naar zijn medewerkers om te zien wie erin trapt. Het gaat dan om e-mails waar volgens de CISO duidelijk van is dat ze niet van het ministerie afkomstig zijn. Toch zouden mensen in het hoger management alsmede andere hooggeplaatste personen hier vaak in trappen. Werknemers die in de phishingmails trappen moeten verplicht een online securitytraining volgen.

Een klein aantal werknemers blijft echter in de phishingmails trappen. Op dit moment heeft dergelijk gedrag nog geen gevolgen. Volgens Beckman is er dan ook niets om deze mensen aan te moedigen om alert en voorzichtig te zijn. De CISO wil echter met de Chief Security Officer (CSO) van het ministerie overleggen om de resultaten van de phishingtests in de algehele beoordeling mee te nemen als er wordt bepaald of iemand met gevoelige informatie kan omgaan.

"Iemand die elke phishingtest in de wereld faalt zou geen Top Secret-bevoegdheden binnen de overheid moeten hebben. Je laat dan duidelijk zien dat je niet verantwoordelijk genoeg bent om met die informatie om te gaan", aldus Beckman. Gesprekken over de resultaten van phishingtests zijn nog pril en niet alle CISO's zijn voorstander van de hardhandige aanpak die Beckman voorstaat, zo meldt Defense One.

Reacties (3)
22-09-2015, 15:10 door SecOff
Hij (Paul Beckman) heeft wel een punt. Iemand die bijvoorbeeld zware schulden heeft of "verkeerde" vrienden heeft krijgt ook geen top secret clearance. Het gaat om de geschiktheid om goed met vertrouwelijke informatie om te kunnen gaan.
22-09-2015, 21:44 door Anoniem
Je zal er maar achter komen dat het hoger management geen hoge pet op heeft van het spul waar ze mee bezig zijn en er eigenlijk zitten om de positie hun carriere. Geschikt voor de positie is een zeer rekbaar begrip. Verantwoording afleggen eveneens. Zo bijvoorbeeld hoe ex CIA directeur Petraeus effectief geen straf krijgt voor het lekken van defensiegeheimen terwijl hij zich ondertussen chantabel maakte. Dat zijn situaties waarbij iemand bewust geen klap om security geeft. Wat voor straf verwacht je dan als men op die posities nog in de meest voor de hand liggende securityvallen trapt?
23-09-2015, 12:59 door Anoniem
De tegenstanders van dit idee vrezen sowieso voor hun eigen positie. Het gaat niet makkelijk zijn om dit erdoorheen te krijgen, misschien zelfs onmogelijk.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.