Archief - De topics van lang geleden

Zonder getraind personeel geen security mogelijk

22-08-2005, 14:31 door Redactie, 26 reacties

Veel bedrijven en organisaties investeren in firewalls, dure intrusion prevention systemen en andere technische oplossingen die het bedrijfsnetwerk tegen indringers moeten beschermen. Vaak wordt hierbij de eindgebruiker vergeten, en het zijn juist de gebruikers die de meeste schade kunnen veroorzaken. Naast social engineering aanvallen, waarbij de gebruiker verleid wordt tot het verstrekken van vertrouwelijke gegevens, kan de gebruiker ook bijlages openen, verkeerde websites bezoeken, informatie uitlekken en allerlei apparaten op het netwerk aansluiten. Helaas heeft het onderwijzen en trainen van personeel, ondanks het belang, bij veel bedrijven nauwelijks prioriteit. Onze stelling luidt derhalve: Zonder getraind personeel geen security mogelijk

Reacties (26)
22-08-2005, 15:34 door Anoniem
Ha ha ha ha ha, zo'n goede grap had ik vandaag nog niet gelezen.
Werken in de praktijk is een mengeling van theorie en
praktijk kennis en vermogen om aan te passen. Grootste
redenen om gebruikers niet op training te zetten is het
gebrek aan vermogen om aan te passen en doeltreffendheid van
de trainingen.
Security is een kwestie van aanpassen. Dat kan je bij
eindgebruikers maar in beperkte maten doen. Grootste winst
valt te behalen in het duidelijk verdelen en limiteren van
mogelijkheden. Zolang dat niet op orde is heeft een training
weinig zin, behalve voor de bedrijven die er flink aan
verdienen.
22-08-2005, 15:47 door Anoniem
Ik woon in Arnhem. Waar kan ik een goede cursus vinden die aansluit
op "Zonder getraind personeel geen security mogelijk".
Marius
22-08-2005, 16:14 door egeltje
@bovenste anoniem:
Tja, zolang je de eindgebruiker niet bewust maakt van de reden van
getroffen maatregelen, gaan ze omwegen zoeken om die maatregelen te
omzeilen. Als je ze daar dan op aanspreekt kunnen ze vaak terecht
zeggen "Dat wist ik niet".

Met een training krijg je awareness (nog even op zoek naar een goed
Nederlands woord). Dat is je winst. Het trainen in een tool is altijd beperkt,
ook voor super geavanceerde gebruikers. Met een training wil je een
bepaalde gedachtengang/mentaliteit krijgen, niet dat gebruikers jouw
security tool kunnen bedienen.
22-08-2005, 16:33 door Anoniem
je kan misschien dit document eens lezen.
Daar staan duidelijke richtlijnen in over hoe je training
zou moeten bouwen als zijnde verantwoordelijke voor security.
http://www.cccure.org/Documents/Awareness/The%20Human%20Factor.pdf
22-08-2005, 17:49 door jagro
awareness = bewustzijn
22-08-2005, 22:06 door Anoniem
Maken wij het voor het personeel niet te moeilijk? Vergelijk IT security met
de fysieke security wereld.

Zijn trainingen hoe ik een deur op slot moet doen of hoe ik mijn fiets op
slot moet zetten?
Nee toch!!! Wat een onzin.

Waarom zijn er dan wel trainingen nodig voor IT security? Omdat wij IT
security te moeilijk maken. Het moet eenvoudiger en logischer, net als het
op slot doen van een deur of van je fiets.
23-08-2005, 08:44 door Anonl3m
Ook zonder getraind personeel is security mogelijk - er
vanuit gegaan dat "personeel" hier de gebruikersgemeenschap
betreft. Door de beheerders worden goede en aan de
gebruikers verklaarbare technische maatregelen genomen, die
de mogelijkheden van de gebruikers beperken. Aanvullend
stelt de organisatie nog wat eisen aan de uitvoering van
taken, zoals functiescheiding. Wat technisch of
organisatorisch niet valt te regelen dicht je af met
procedures en wat aanvullende (al of niet steekproefgewijze)
controles.

Het helpt natuurlijk wel als er een beveiligingsbewustzijn
programma is voor de gebruikersgemeenschap. Waarin lezingen
worden gehouden, live "hack"sessies kunnen worden
bijgewoond, flyers worden verspreid en informatie wordt
gegeven over het hoe en waarom van veilig werken en de
gevaren en risico's die Internet (tegenwoordig) met zich
meebrengt.
23-08-2005, 09:32 door [Account Verwijderd]
[Verwijderd]
23-08-2005, 10:37 door Anoniem
Door Anoniem
Maken wij het voor het personeel niet te moeilijk? Vergelijk IT security met
de fysieke security wereld.

Zijn trainingen hoe ik een deur op slot moet doen of hoe ik mijn fiets op
slot moet zetten?
Nee toch!!! Wat een onzin.

Waarom zijn er dan wel trainingen nodig voor IT security? Omdat wij IT
security te moeilijk maken. Het moet eenvoudiger en logischer, net als het
op slot doen van een deur of van je fiets.
Ook bij niet IT zaken houdt men zich bezig met bewustwording. Denk aan
instructies om niet zomaar iemand binnen te laten, niet zomaar bedrijfsinfo
over de telefoon te geven. Je kunt IT security wel proberen simpeler te
maken maar je moet ook aan onderwijs doen, al was het maar om
duidelijk te maken waarom al dat gedoe met wachtwoorden en rechten nu
eigenlijk voor nodig is. Want laten we wel wezen, wachtwoorden zijn
gewoon irritant ik wil gewoon werken zonder door allerlei gedoe
opgehouden te worden. Als ik begrijp waarom dat is heb ik er mischien
ook wel begrip voor.
23-08-2005, 11:45 door Anoniem
Training van IT eindklanten (door sommigen hier met de naam
gebruikers aangeduidt) is een goede zaak, en moet niet
worden verward met IT security.

De meeste reacties dan ook ontbreekt het aan kennis om te
begrijpen wat hier met het artikel wordt bedoeld, wat
enerzijds ook de schuld van security.nl is, omdat het
bericht niet in de juiste context wordt weergegeven.

Security training voor eindklanten hoeft nauwelijks
technisch onderlegd te zijn en is gefocused op de
organisatie, haar assets ('eigendommen') en het belang ervan
deze te beschermen.

Misschien doen hier een aantal mensen er verstandig aan te
realiseren dat IT niet enkel een technisch verhaal is.
Verdiep je eens in methodes die hier op ingaan voordat je
ongenucanceerd commentaar geeft zonder elk raakvlak met het
onderwerp.
23-08-2005, 16:35 door Anoniem
Een duidelijke, op de organisatie toegesneden training helpt in de praktijk
prima. In ieder geval is het erg belangrijk om eerst de dames en heren
leidinggevenden "mee" te hebben. Die zien wat er dagelijks op de afdeling
gebeurt.

Verder:
- voorlichting geven over security, niet zozeer het "hoe" maar vooral wel
het "waarom".
-afspraken maken met het facilitaire bedrijf dat de toegang tot het pand
beheert, onder andere de portier.
- af en toe 's avonds een rondje door het gebouw maken en aan de
afdelingsleiding melden wat je zoal aan informatie bent tegengekomen.
Dus niet alleen onbeheerde laptops en briefjes met wachtwoorden, maar
denk ook aan bijv. dossiers met gegevens van klanten. Probeer je hierbij
voor te stellen wat je zou kunnen doen met die informatie als je het
bedrijf schade zou willen toebrengen.

En echt, als je bovenstaande zaken regelmatig doet helpt het !
24-08-2005, 09:30 door Anoniem
outsourcing?
24-08-2005, 10:03 door Anoniem
Door Anoniem
outsourcing?

Bij outsourcen in de contracten met die bedrijven bedingen dat je recht
hebt op audit. Vooral ook hun security policy opvragen en beoordelen.
24-08-2005, 15:15 door Anoniem
Security awareness is niet de grootste uitdaging, maar
verantwoordelijkheidsgevoel. De maatschappij zit nu éénmaal zo in elkaar
dat alleen wanneer we ons ergens verantwoordelijk voor voelen we ook
daadwerkelijk iets willen doen. Pas wanneer het onze eigen fiets is, willen
we deze op slot zetten. Voor bedrijfsgegevens wordt het pas interessant
als het de persoon zelf treft, bijvoorbeeld de target van de account
manager.
25-08-2005, 17:02 door Anoniem
Goede security awareness bij personeel is een vorm van verantwoordelijk-
heidsgevoel. En er zijn nog heel wat mogelijkheden om dat aktief aan te
moedigen. Eén ervan is het opnemen van aantoonbare security-awareness
in beoordelingen en functie-omschrijvingen.
26-08-2005, 13:59 door Anoniem
Over de noodzaak van beveiliging in het algemeen en informatie in het
bijzonder kan ik jullie dagenlang entertainen (én overtuigen). Het zelfde
geldt voor training. Maar ... daar hangt inderdaad wel een (redelijk)
prijskaartje aan.
26-08-2005, 15:03 door Anoniem
Door jagro
awareness = bewustzijn

ik hou het op: bewustwording
27-08-2005, 09:35 door Anoniem
Onzin,

Vertel je personeel wat wel en niet mag. Bedrijven kunnen
investeren in beveiligings maatrelegen dat het een ons
weegt. Het probleem ligt vaak/meestal bij het personeel dat
dom, ondoordacht, verwijtbaar gedrag vertoond mbt computers
en het gebruik daaromtrend.

Vertel ze wat over nettiquette, ik mag aannemen dat ze
begrippen als ethiek & recht begrijpen. Ook dat er sancties
aan verbonden zijn.

Bijvoorbeeldjes:

Wanneer een personeels lid stelsel matig een mickey mouse
wachtwoord gebruikt, geef deze geen toegang tot
bedrijfssytemen van buitenaf.

Je weet dat microsoft producten een geliefd doel is van
allerlij raar spul. Kleed deze top op het bot toe uit.

Wachtwoorden niet op post-its schrijven en op monitor plakken.

Niets zomaar iets downloaden, bij hehaaldelijk betrappen (en
dus waarschuwen en kosten maken) hierop, personeels lid uit
tent trappen.

Ik kan zo wel doorgaan, ik vind dat de eindgebruiker ook
verantwoordelijk kan/moet worden gehouden wanneer deze iets
verwijtbaars en nalatigs doet.

Groet

M
28-08-2005, 12:16 door Anoniem
IT security is belangrijk voor iedereen binnen een bedrijf.
Training geven hoort daar bij. Maak de mensen bewust van de
gevaren en hoe ze die zelf kunnen beperken. Ik vind dat
security begint bij de hoogste persoon van het bedrijf. Als
hij zegt dat het belangrijk is, dan zal de rest van het
bedrijf het belangrijk gaan vinden...zo niet, einde verhaal
voor de medewerker.
Maak ook duidelijk wat wel en niet is toegestaan op je
netwerk. Evt waarom niet. Veel mensen zien niet in waarom
Kazaa ed niet kan/mag op een bedrijfsnetwerk.
Iedereen weet inmiddels wel dat het belangrijk is om je auto
op slot te zetten, maar niet iedereen weet nog dat het
belangrijk is om je pc goed 'op slot' te zetten.
//
28-08-2005, 12:28 door Anoniem
Ik verkies eerder: "Zonder getraind personeel geen effectieve security
mogelijk".

Uit de praktijk is bewezen dat de meerderheid van
beveiligingsincidenten zijn veroorzaakt door menselijke falen. Een
training die het gehalte van risico bewustwording verhoogt zal
automatisch, met onmiddellijke ingang, de menselijke controles
versterken; in security kringen wordt zelfs gezegd dat een effectieve
training de gerelateerde risico's met 80% zou verminderen!

Vergelijk het met een nieuwe complexe snijmachine die in productie
wordt genomen. Spreekt het niet voor zich dat de gebruikers ervan
eerst een adequate training moeten krijgen? Volstaan de ingebouwde
controles? Of is wachten beter tot er er iets fout loopt om dan te
corrigeren (als dat nog kan uiteraard) - verkiezen we trial and error
approach? Oordeel zelf.

Wel opgemerkt dat training alleen onvoldoende is om security te
handhaven; vertrouwen in mensen niet niet voldoende.

Groeten,

Thomas
30-08-2005, 17:15 door Anoniem
Gelul die training..tis de boel omdraaien.

De oorzaak moet eens aangepakt worden waardoor het niet meer
mogelijk is. Nee wat doen we beeldspraak.gebeurt nog echt ook..bij een
gat in de weg plompen we een bord max 50 en een bord slecht wegdek..

Wel goed voor de werkgelegenheid natuurlijk..

Maak ik me eigenlijk druk...
30-08-2005, 21:56 door [Account Verwijderd]
[Verwijderd]
30-08-2005, 22:09 door [Account Verwijderd]
[Verwijderd]
11-04-2006, 13:16 door tina
erst maar hallo ,moed er nog erst veel kijken en lezen
maar dan komt het wel dus tag tina
16-10-2006, 22:10 door Anoniem
Er wordt gereageerd met TRAINING. Hoe kan je Security
Awareness trainen? Er is een wezenlijk verschil tussen
training en educatie. Hoe kan ik dat het beste uitleggen?
Als ik vraag aan iemand die een dochter heeft om z'n dochter
educatie te geven over seks, dan is dat wat anders als ik
vraag of ik haar zal trainen in seks.

Security Awareness = Bewust omgaan met beveiliging. Dat is
een gedrag. Dan is niet makkelijk om te leren, maar met moet
dat zich zelf aanleren.
07-02-2007, 12:38 door Anoniem
Door Anoniem
Ik woon in Arnhem. Waar kan ik een goede cursus vinden die aansluit
op "Zonder getraind personeel geen security mogelijk".
Marius
http://www.internetawareness.nl
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.