Archief - De topics van lang geleden

Access control voorkomt misbruik kwaadwillend personeel

24-07-2006, 15:07 door Redactie, 14 reacties

Vergeet hackers en virussen, aanvallen door het eigen personeel zijn nog steeds de grootste bedreiging voor bedrijven. Nu kan het gaan om werknemers die per ongeluk bestanden verwijderen of mensen die bewust schade aanrichten. Omdat bedrijven zich in de afgelopen jaren voornamelijk op de externe dreigingen hebben gericht, is men de "insider" vergeten.

Door personeel "digitaal in te metselen" kan een hoop ellende voorkomen worden. Gelegenheid maakt tenslotte de dief. Veel ondernemingen hebben de rechten van het personeel echter niet (goed) gedefinieerd, waardoor werknemers vrij spel hebben.

100% beveiliging bestaat niet, maar door duidelijk af te spreken wie waar, en met welke rechten, ergens toegang toe heeft, wordt mogelijke schade wel beperkt. Onze stelling luidt derhalve: Access control voorkomt misbruik kwaadwillend personeel

Reacties (14)
24-07-2006, 15:16 door Anoniem
Het zal misbruik niet voorkomen, maar het kan, mits het
juist wordt toegepast, de kans op misbruik wel verkleinen.
24-07-2006, 15:22 door Anoniem
Ooit gehoord van social engineering?
24-07-2006, 15:34 door G-Force
Niet alleen Acces Control is belangrijk, maar ook Personele
Beveiliging. Met andere woorden, wie neem je aan in het
bedrijf? Heeft de persoon een strafblad? Is hij bij de
vorige werkgever ontslagen wegens diefstal of andere
criminaliteit? In de wereld van de Nederlandse
beveiligingsbedrijven en de detalihandel, is er sinds kort
een Black List opgericht: iedereen die met Justitie in
aanraking komt, omdat hij of zij tijdens zijn werk de boel
besteelt, kan niet alleen op ontslag rekenen, maar ook kan
hij of zij niet meer aangenomen worden in dezelfde branche.
Ook de Nederlandse beveiliginsbedrijven hebben sinds kort
een Black List systeem opgebouwd. Wordt een beveiliger
betrapt op criminaliteit, dan kan de persoon in kwestie
nergens meer in de branche in dienst treden.

Ook bij winkelpersoneel is een dergelijk systeem op handen
of wordt al hier en daar toegepast. Van de ruim 700 miljoen
euro dat jaarlijks wordt gestolen uit de winkels, daarvan
is de helft voor rekening van het personeel

Het zal duidelijk zijn dat ook deze branche paal en perk
gaat stellen aan de praktijken van de criminele
winkelbediende...
24-07-2006, 15:48 door carolined
Je zal maar "per ongeluk" op die black list terechtkomen zeg.
Dan ben je rijp voor de goot en slapen in kartonnen dozen....
Het is dan zorg om een goede relatie te hebben met de
beheerders van die database......
24-07-2006, 16:48 door meneer
Access control voorkomt misbruik kwaadwillend
personeel
Nauwelijks. Het grootste misbruik van de afgelopen jaren
(jawel, Enron en zo) ontstond doordat de eigenaren van de
systemen aan het knoeien waren. En de systeemeigenaren zijn
ook degenen die bepalen hoe de toegangsregels moeten werken.
Kwaadwillend personeel kan vooral in de marge knoeien.
Vanuit een kosten/baten afweging is het de vraag of dat door
een echte (RB)AC oplossing te verantwoorden is...

Goed ingericht access control levert vooral een bijdrage aan
bewustwording en hogere kwaliteit van verwerking op. Slecht
ingericht AC blokkeert de effeciviteit van de verwerking.

En nee, we zullen kwaadwillend personeel niet misbruiken.
24-07-2006, 20:00 door Anoniem
Access control is in het verleden vaak de omgekeerde wereld
geweest... Gebruikers mochten alles, tenzij het expliciet
geblokkeerd was. Niet op de laatste plaats vanwege de
omschakeling van Unix en Novell naar Windows in de jaren
1996-2000... Bij die systemen was access control
geimplementeerd in het OS op kernel niveau. Bij Windows was
en IS dat nog steeds niet zo. Die omschakeling naar "alles
mag tenzij ik aangeef dat het niet mag" heeft vele problemen
opgeleverd. Wanneer werd voorgeborduurt op "als je het niet
nodig had, krijg je het ook niet" zouden clients nu een
outgoing firewall hebben ipv een incoming... Immers, als
clients niets engs kunnen doen, en de buitenwereld niet op
het netwerk kan, wat is het dan nog het probleem? Dat in
combinatie met een sterk platform als POSIX is een goede
basis voor AC. Een Windows XP machine kan gewoon een
portscan draaien, sterker nog, de gebruiker kan een
programma installeren, waarmee die dat kan. Tja, wanneer DAT
mag, kan alles.. en malware en hackers en crackers en
scriptkiddies maken daar dankbaar misbruik van.
25-07-2006, 09:28 door [Account Verwijderd]
[Verwijderd]
25-07-2006, 16:11 door Anoniem
Door Jos Visser
Door Anoniem
Bij die systemen was access control
geimplementeerd in het OS op kernel niveau. Bij Windows was
en IS dat nog steeds niet zo.

Hoe kom je daarbij? De NT kernel heeft een zeer uitgebreid
model van object
security met access control lists...

Uhuh De originele NT kernel zoals die in Windows NT 3.51
geimplementeerd was ja. Voordat Microsoft Marketing er kost
wat het kost de Cairo interface in moest douwen.
25-07-2006, 16:31 door [Account Verwijderd]
[Verwijderd]
26-07-2006, 09:32 door Anoniem
access control is een goede vorm van beveiliging, ook omdat het ervoor
zorgt dat als er iets mis gaat, het aantal verdachten beperkt is. Natuurlijk is
het niet zaligmakend, en moet het gecombineerd worden met een logging
en controle systeem ( wie heeft wat wanneer gedaan) en gecombineerd
worden met een goede mentaliteit. Maar ik ben al heel wat keertjes blij
geweest met systemen waar ik echt niet in kon en die dus echt vernaggeld
moesten zijn door de eigenaar.. Het voorkomt conflicten, en die zijn weer
een bron van onveiligheid. Plus: je wordt gedwongen goed na te denken
over wie wat waar moet mogen.
26-07-2006, 12:12 door [Account Verwijderd]
[Verwijderd]
26-07-2006, 12:12 door Anoniem
Access Control indien goed geïmplementeerd en gecontroleerd/beheerd
voorkomt met name de gelegenheidsdief; de drempel wordt namelijk
verhoogd. De echt kwaadwilligen komen er toch wel in.
27-07-2006, 08:12 door Han van Schie
Theoretisch gezien is het beter voor de veiligheid van het
bedrijf en voor de veiligheid van de mensen die met de
applikaties moeten werken, dat er een goede access control
list is. Echter in de praktijk lukt dat nauwelijks. Veel
applikaties zijn slecht geschreven, van de paar honderd bij
ons in het ziekenhuis zijn er een groot aantal die vereisen
dat de gebruiker van een applikatie alle rechten heeft in
een directory waar het programma en bestanden staan. Je kunt
dan niet zeggen- niet goed geschreven applikatie, komt er
niet in- vaak zijn het applikaties waar geen alternatief
voorhanden is en die door alle maatregelen van de overheid
verplicht zijn om te gebruken en door alle haast door de
ontwikkelaars in elkaar zijn gezet. Vaak wordt er onder
tijdsdruk geen aandacht besteed aan dit probleem.
28-07-2006, 12:59 door Anoniem
In de wereld van de Nederlandse
beveiligingsbedrijven en de detalihandel, is er sinds kort
een Black List opgericht: iedereen die met Justitie in
aanraking komt, omdat hij of zij tijdens zijn werk de boel
besteelt, kan niet alleen op ontslag rekenen, maar ook kan
hij of zij niet meer aangenomen worden in dezelfde branche.
Nu zie ik u wel vaker dingen blaten maar deze kan ik toch niet zomaar
voorbij laten gaan. Waar is die blacklist, wie beheert dat? Waarom ruikt dit
naar privacy-schending?
Kunt u mij een link doen toekomen naar 1 artikel op het web wat dit
beschrijft?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.