Usb alleen onder controle voor een selecte groep met reden zou al lang de norm moeten zijn. Ben al weinig anders gewend.

gebruiksgemak of veiligheid..... wie wint er hier?

Hebben we hier al lang, niets in de usb poort proppen.

Hm.... beter laat dan nooit.

Wij hebben jarenlang een dergelijk beleid gehad (ook voor floppies en CD's) maar het is een jaar of drie geleden opgeheven
onder het "de IT afdeling moet niet zo zeiken, we moeten wel kunnen werken!" adagium.
(net voor dat moment kwam het steeds vaker voor dat managers collectief dit soort faciliteiten voor alle ondergeschikten
aanvroegen nadat er 2 of 3 om gevraagd hadden)
Maar nu met die AVG lijkt het besef "onder de normale mens" wel te komen dat dit wel een goed idee was om die
beveiliging te hebben. Dus het komt wellicht wel weer terug...

Met schijnveiligheid creëer je juist ontevredenheid en bewerkstellig je het tegenovergestelde.

Mag je een usbmuis met ingebouwd gbyte flash wel gebruiken?

Misschien self-encrypting SSD's in USB enclosures gebruiken en een tooltje op de PC's om de drivers te unlocken met het harddisk password.

Als het gebruik van USB ingegeven wordt om de strakke onvriendelijke geleverde systemen heen te werken dan is dat inderdaad het echte probleem.

Waarom zou je informatie die je officieel met collega's een paar kamers verderop moet zien te delen via een usb oplossing moeten lopen. Alleen omdat zoiets voor beiden te regelen valt als desktop optie. Dan komt de voor de wereld open gezette plek als andere ongewenst iets. Wat is er op tegen een plek te hebben waar een ander wel data kan achter laten voor jou maar dat het onleesbaar voor de rest blijft, zoiets als een postbus.

Volgens mij zit je nu weer zelf een situatie te fantaseren die niet overeenkomt met de realiteit.

In dit geval is karma4's voorbeeld helaas op veel plekken wel realiteit .

Wanneer je informatie die een beetje te groot is om te mailen moet uitwisselen met een andere afdeling heb je in vrij veel bedrijven een lastig probleem, en is even met een USB stick naar de andere verdieping lopen handiger en sneller.
Zeker voor een incidenteel dingetje.

De IT (fileshare/sharepoint/etc etc) omgeving en rechten/groepen structuur heeft wel opties om te delen met je team maar naar andere afdelingen wordt het een echte support vraag.

Ik heb meerdere keren de voorbeelden in de praktijd meegemaakt.
Juist bij de grotere organisaties waar de mismatch tussen gebruikers en ICT-ers met dogma-s en grote ego's waar de raarste dingen gebeuren..
- Publiek dropbox gebruik en andere cloud-opslag diensten voor zowel interne uitwisseling als externe outsourcings traject
- een gedeelde omgeving open voor iedereen waar je echt de meest gevoelige gegevens geacht werd neer te zetten in het kader van de afgescheiden test-omgeving
- Door uitstel-gedrag bij het buiten de deur zetten van ICT zwaar verouderde software blijven gebruiken.
.... vele voorbeelden.
Dat krijg je als je jaren in ICT meeloopt met de grotere systemen, een rol als analisten ondersteuning.

Ik hoef je dat niet eens face/face uit te leggen als dat al zou lukken. Bij het AP:
https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/beveiliging/meldplicht-datalekken/cijfers-meldplicht-datalekken-vierde-kwartaal-2017
Net als de rest van 2017 was in dit kwartaal het meest voorkomende type datalek het versturen of afgeven van persoonsgegevens aan een verkeerde ontvanger (50% van de meldingen). Dit kan bijvoorbeeld een brief met gevoelige gegevens zijn die bij de verkeerde persoon terecht is gekomen en is geopend. Het kwijtraken of de diefstal van een gegevensdrager zoals een laptop of usb-stick (14%) is daarna het meest voorkomende type datalek.

Dit lijkt me een goed een werkbaar beleid. De rest is onwerkbaar ofwel voor USB-gebruikers ofwel voor ICT-beheer (want er lopen teveel gekken rond in het bedrijf met nul verstand van ICT laat staan USB).

Je hebt een usb stick of pendrive verbod, maar waarom lopen alle admins dan wel met een slick android rond?
Lijkt me ook niet echt zo'n veilige policy, al zijn ze verschaft door het bedrijfshoofd.
Android is nu niet zo direct per default security vriendelijk.

'Bring your own device' moet natuurlijk een absoluut "no no" zijn, ook al is het er weer een van de zaak.
Ook alle smartwatches af en thuislaten a.u.b. en uw bluetooth apparaatjes en stappentellertjes,
schoon arriveren op kantoor en via een scanner naar binnen a.u.b.

IoT-stoelbezettingscontrole te regelen vanaf het plafond, of is dat in strijd met de AVG?

Maar met serverless AWS (locked-in misschien als het ze uitkomt) is het al de deur uit, toch?
Is dat dan volledig te vertrouwen,net als alle "cloud"?
Hoe ga je het weer elders onderbrengen, bij Azure bij voorbeeld? 70% is belong to us verhaal.

karma4, kom er maar in....

luntrus

Daarom zouden meer bedrijven ook moeten werken met de GSuite applicaties.

Het kan niet eenvoudiger om grote bestanden of zelfs hele mappen te delen binnen hetzelfde domein en is er geen enkele reden te verzinnen om nog data te delen middels USB devices.

En in geval van een USB stick kun je het delen van data nooit meer terugdraaien, in geval van delen middels Google Drive, kun het delen eenvoudig ongedaan maken.


Hier moeten we toch echt vanaf. Effe een bestand of map willen delen met een andere afdeling en dan een support vraag voor je eigen IT afdeling moeten aanmaken. Bezopen, frustrerend en een bron van weer een schaduw IT oplossing die voor veel meer risico's zorgt.

Nu nog die transitie zien te bewerkstelligen. Benieuwd hoe dat moet gaan als er andere naar moeten kijken (tijd) en kosten/tijd/geld een hoofdfactor is met alle administratieve verantwoording (jira scrum sprits).

luntrus
Het kunnen alleen apparaten van de zaak zijn en beheerd door de zaak. Alleen dan kun je alles dichtzetten en monitoren.
BYOD Bring Your Own Device heb ik ik geopperd zien worden als besparingsmaatregel, ging niet door gezien de impact risico met andere acties (alle verschillen) wat al snel als kostenverhogend uitgewerkt was.

Nu zit men vaak met lastige applicaties (middleware) op een desktop met alle onderlinge afhankelijkheden. Het zijn vaak de plugins een tootlje voor adhoc werk en analyses waar dan uiteindelijk via de shadow-it het echte werk op gedaan wordt.
Een zorgenkindje vind ik de "portable applicaties" wat geen bedrijfs-applicaties zijn maar de extra tooltjes om data te verkrijgen dan wel voor te bewerken in het kader van de shadow-it.

Op flexplekken waar je niet weet wie er zit en enkel vrije plekken voor nieuwe binnenkomers getoond wordt .
Dan zou het goed kunnen, zolang er maar geen persoonskoppeling te make is heb je niets met de AVG van doen.
Nog wel iets raars met smartphones. Ze kunnen ingezet worden voor 2fa met sterkere beveiliging maar hebben ook een camera (kopietje scherm) er op.


Je vergeet de datacenter strategie nog te noemen, Co-locatie , private. Dan heb je de apparatuur officieel nog wel in eigen beheer (of niet) maar niet de ruimte waarin ze staan.Equinix https://www.ibm.com/cloud Het gaat dan door naar IAAS PAAS SAAS. http://www.bmc.com/blogs/saas-vs-paas-vs-iaas-whats-the-difference-and-how-to-choose/
Ik kan me niet voorstellen dat je makkelijk naar een andere leverancier overstapt met jouw data. Alles is afgestemd op zijn hardware/softwarecombinatie en de uitwisseling naar iets anders is door gebrek aan standaardisatie lastig.
Het is standaardisatie op IBM SAP(de) Oracle Epic(vs) chipsoft(nl) en wat meer. Zelfs SQL code is niet echt volledig uitwisselbaar net zo min als de vele versies of onderhoudsreleases met hun overgangen.

Als ik zulke uitwassen zie, dan maak ik daar een opmerking/aanbeveling over. Is er een jaar later nog niks aan gedaan, dan ga ik een andere baan zoeken. Want als het ooit mis gaat, drie keer raden wie dan plots de schuld krijgt...

Wel weer jammer dat je een ander beroep zal moeten zoeken. Dat omdat de genoemde verfoeide aanpak de norm is en niet de uitzondering. Je moet dan wel verder kunnen en willen kijken dan het vaak oppervlakkige audit gebeuren.

@karma4,

Daarom moet je je al lang eer zo'n situatie zich ooit voordoet, volledig hebben ingedekt tegen incompetentie, onkunde en lamlendigheid. Tegenwoordig is het vaak, "out of sight, out of mind", tot men het zelf weer tegenkomt en de cirkel zich sluit en jij er net buiten valt of dreigt te vallen. Even wat "daydreamen" dus, wat zou er...als wat....

Men zal daarom wel regelmatig een IT "rollcall" moeten houden, net zoals bij de BHV oefening, waarbij men dat ook doet (iemand heeft brand veroorzaakt in de lift en we moeten nu allemaal naar buiten, sirene betekent pand ontruimen, ja ook de directie) en dan in ons geval met "live cyberscenario's" werken.

Bij voorbeeld wat er mis kan zijn gegaan met het een verkeerde back-up, of iemand heeft de password strategie overtreden. Er is binnen een week nog geen bestaand data-lek gemeld en allerlei "live voorbeelden hoe het niet moet", die je wilt voorkomen. Iemand is aan het paspoort scannen geweest, terwijl dat niet mocht. Iemand heeft geen donker afgeschermd scherm op zijn werkstation staan! En ga zo maar door en ga zo maar verder.

En af en toe eens een kleine technische doordenkertjes - bijvoorbeeld waar name errors opduiken bij PTR DNS requests, waarom iemand met een gratis certificaat verkregen op een sub domein een bedreiging vormt voor de organisatie en elders hiermee malware kan gaan zitten verspreiden. Maak de boel maar eens echt wakker en alert.

Komen ze later bij je, zeg je: "Ik heb er alles aan gedaan om jullie alert en getraind te krijgen, maar hebben jullie er wat mee gedaan?". Een gewaarschuwd mens telt immers voor twee. Alleen de pro-actief ingestelde mens is goed in staat veilig(e)r te werken of hij wordt op de duur overgenomen door AI, de razendsnelle robot-werknemer, die hem in drie zetten verslaat net als bij een partijtje computer-schaak in het verre verleden al.

luntrus