IT-manager: laptop grootste dreiging voor bedrijfsnetwerk
Ondanks de opkomst en groeiende populariteit van persoonlijke opslagapparatuur zijn IT-managers nog steeds van mening dat de laptop de meeste risico's oplevert voor het bedrijfsnetwerk. Uit een onderzoek onder 300 IT-managers in het Verenigd Koninkrijk, Duitsland en Frankrijk blijkt dat 64% van de IT-managers denkt dat de laptop het lastigst te beheren en te beveiligen is. Ondanks het groeiende gebruik en de toenemende opslagcapaciteit van USB flash drives vindt slechts 37% van de respondenten dat deze apparatuur lastig te beveiligen is. Uit het onderzoek komt verder naar voren dat 27% van de respondenten opneembare CD's en DVD's ziet als een uitdaging op het gebied van beheer. 20% noemt in dit verband de mobiele telefoon en slechts 14% MP3-spelers zoals de iPod.
Het onderzoek wijst ook op het gevaar van malware en gegevensdiefstal via mobiele opslagapparatuur. Bijna een kwart (23%) van de IT-managers geeft toe dat zij geen manieren hebben om medewerkers te laten afzien van het gebruik van deze apparatuur in de bedrijfsomgeving. Hoewel deze apparatuur een duidelijk beveiligingsrisico oplevert voor bedrijfssystemen en data, meent slechts 19% dat de bedreiging dermate groot is, dat het verboden zou moeten worden om de apparatuur op het bedrijfsnetwerk aan te sluiten.
De uitdagingen op het gebied van beheer worden onderstreept door het feit dat 60% van de Europese IT-managers geen helder beeld heeft van de hoeveelheid mobiele apparatuur die met het netwerk wordt verbonden en hoe deze apparaten verder worden toegepast.
Als antwoord op deze uitkomsten heeft LANDesk Software een whitepaper gepubliceerd met als titel "Containing Portable Storage Device risk". Die gaat in op de omvang van de beveiligingsrisico's en bevat aanbevelingen over hoe deze risico's effectief beheerd kunnen worden.
"Bedrijven hebben duidelijk te weinig oog voor de bedreigingen van niet-geautoriseerde mobiele apparatuur die zonder dat de IT-manager het weet, verbonden en losgekoppeld wordt van het bedrijfsnetwerk. Deze apparatuur, zoals USB flash drives, is vaak erg klein, maar biedt een enorme storage-capaciteit. Het kost dan ook maar enkele seconden om een volledige klantendatabase te kopiëren", zegt Philippe Ortodoro van LANDesk.
"Ieder mobiel apparaat dat verbonden wordt met het bedrijfsnetwerk, moet meteen gecontroleerd en geautoriseerd worden, zodat IT-afdelingen het gebruik kunnen volgen en malware en datadiefstal kunnen voorkomen", aldus Ortodoro. "Bedrijven moeten ook een beleid opstellen voor het controleren van het gebruik van mobiele apparatuur en overwegen om beheertools in gebruik te nemen om deze regels af te dwingen. Dit is de enige manier om de risico's werkelijk terug te dringen."
In de whitepaper, die ergens op landesk.com te vinden zou moeten zijn, worden de volgende aanbevelingen gedaan.
!!) zijn de het meest risicovolle computers binnen het
netwerk. Daar buiten zijn flashdrives ook een zeer groot
risico. Een combinatie is meestal dodelijk.
Meestal hebben managers meer rechten op gegevens en zijn
managers eigenlijk ook meestal de mensen die de boel
verzieken....sommige managers zijn zich hier gelukkig van
bewust en hebben dit goed in de hand. Andere managers
reageren met hooghartigheid en denken kennelijk het recht te
hebben op het maken van dit soort problemen. De IT-afdeling
lost het toch wel op....daar zijn ze voor, natuurlijk voor
10.00 uur 's-ochtends anders kunnen we niet werken
(internetten dus..). Er is maar 1 manier en dat is het
management stevig in het gareel te houden, zelfs de
directeur zal er aan moeten geloven. Stel ze persoonlijk
verantwoordelijk voor de schade die ze berokkenen als het
fout gaat, sommige luisteren pas als ze worden behandeld als
kleine kinderen. Laat ze een verklaring ondertekenen waarbij
expliciet vermeld wordt dat IT het recht heeft de toegang
tot computers tijdelijk te ontzeggen. Het lijkt een een
zwaar middel maar is wel het enige dat werkt. De wenkbrauwen
worden gefronst bij het ondertekenen, maar later is dit bij
mij een aantal keren heel goed van pas gekomen.
Ja, Ja en Ja. Laptops (meestal in gebruik bij het management
!!) zijn de het meest risicovolle computers binnen het
netwerk. Daar buiten zijn flashdrives ook een zeer groot
risico. Een combinatie is meestal dodelijk.
Meestal hebben managers meer rechten op gegevens en zijn
managers eigenlijk ook meestal de mensen die de boel
verzieken....sommige managers zijn zich hier gelukkig van
bewust en hebben dit goed in de hand. Andere managers
reageren met hooghartigheid en denken kennelijk het recht te
hebben op het maken van dit soort problemen. De IT-afdeling
lost het toch wel op....daar zijn ze voor, natuurlijk voor
10.00 uur 's-ochtends anders kunnen we niet werken
(internetten dus..). Er is maar 1 manier en dat is het
management stevig in het gareel te houden, zelfs de
directeur zal er aan moeten geloven. Stel ze persoonlijk
verantwoordelijk voor de schade die ze berokkenen als het
fout gaat, sommige luisteren pas als ze worden behandeld als
kleine kinderen. Laat ze een verklaring ondertekenen waarbij
expliciet vermeld wordt dat IT het recht heeft de toegang
tot computers tijdelijk te ontzeggen. Het lijkt een een
zwaar middel maar is wel het enige dat werkt. De wenkbrauwen
worden gefronst bij het ondertekenen, maar later is dit bij
mij een aantal keren heel goed van pas gekomen.
... zei de gefrustreerde systeembeheerder, die moeite heeft
een goed
doordacht beleid op te zetten, waar iedereen in zijn bedrijf
zich aan kan en wil conformeren ....
realiteit. De verklaring is onderdeel van een goed
doordacht beleid. Veel managers willen namelijk zich nergens
aan confimeren
bij de gedachte om IT formeel zoveel machtsmiddelen in de
hand te geven, ze hebben er al teveel., en dat gecombineerd
met een houding van: "wij weten wel wat goed is voor onze
gebruikers", is zoals ie zelf zegt een dodelijke combinatie.
En.. Nee, ik ben geen manager, vroeger zelfs beheer gedaan.
verklaring niet nodig om boven water te halen. Zelfs al
volgt een lichte overtreding dan is er nog niets aan de
hand. Die verklaring is er alleen voor managers die zich
menen de regels aan de laars te kunnen lappen.
Dit is alleen een uiterste middel, maar geeft wel gelijk de
indruk dat het netwerk/internet een werk-middel is en geen
personal-toy. Gelukkig is 90% van de managers braaf en doet
geen al te gekke dingen.
Maar wat gebeurt als het netwerk even plat gaat doordat een
manager even iets (virus etc heeft) meegenomen. Oeps ja Oeps
en dan ??? Zwarte Pieten ???.
De achterliggende gedachte is simpel, regel de hele boel van
A tot Z. en niet tot de helft. Het gaat er niet om dat IT
zoveel macht heeft, zeker niet. Het gaat er om dat iedereen,
ook managers, bewust moeten zijn dat het netwerk er is om
efficient je werk te kunnen doen. En indien er vragen zijn
of bijzondere activiteiten er niet zelf even gehobbiet
wordt, maar even langs de IT-afdeling wipt.
De zogenoemde frustatie is geen frustatie maar gewoon een
noodzakelijk kwaad. IT mensen moeten zich kunnen bezighouden
met opbouwende IT-zaken.
Je kan toch grotendeels aan de wensen van je "klant"
tegemoet komen en toch de boel veilig houden. Dus "wij weten
wel wat goed is voor onze gebruikers" is ook zeker niet
goed, is zelfs compleet overbodig, maar de gebruikers moet
wel nadenken bij wat ze doen. Daar is deze verklaring voor,
niet om de feitelijke straf op te kunnen leggen.
Hoop dat het wat duidelijke is
MrWizard
opgezet met de business side en de ICT side. Vervolgens
hangt daar een policy aan waar eenieder zich aan dient te
conformeren, op straffe van maatregelen welke in de policy
zijn vermeld. Moeilijk hè, ICT.
ICT-ers voelen zich veelal ondergewaardeerd wat leidt tot
bovengenoemde frustratie. Dat laatste ligt toch voor een
groot deel aan de ICT-er zelf, die met een te beperkt
blikveld in zijn organisatie rondloopt.
En ja, ik ben ICT-er die beleid maakt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
