Schneider: Personeel niet schuldig aan security incidenten
Vorige week kwam een security bedrijf met de "onthulling" dat werknemers zich niet interesseren voor security. Forenzen in het financiele centrum van Londen kregen CD's uitgedeeld met een speciale Valentijnsdag aanbieding. De CD bevatte echter alleen maar code die doorgaf hoeveel mensen de CD hadden bekeken. Onder de slachtoffers bevonden zich een grote bank en twee verzekeraars.
De CD verpakking bevatte zelfs een waarschuwing waarin werd vermeld dat het installeren van third-party software in strijd met de gebruikersovereenkomst van het bedrijf kon zijn. Toch installeerde menig werknemer de CD via de kantoor PC.
Volgens Bruce Schneier is het naief om te concluderen dat het personeel niets om security geeft. Ze begrijpen het gewoon niet. Computer en netwerk security is gecompliceerd en verwarrend. Ben je geen "techie", dan voel je niet aan wat een security risico is. Erger nog, technologie verandert steeds sneller, waardoor het "security gevoel" van het personeel in korte tijd weer achter loopt.
Je kunt het personeel wel trainen, maar ook dit heeft z'n beperkingen. Natuurlijk kan een bank iedereen ontslaan die een ongeautoriseerde CD in z'n computer stopt, maar dat is niet goed voor het moraal, aldus Schneier.
In plaats van de schuld bij de gebruiker te leggen, kan men zich beter op de technologie richten. Waarom moet personeel bij een bank software kunnen installeren? Waarom blokkeert het systeem deze actie niet of informeert de IT-afdeling? Computers moeten veilig zijn, ongeacht wie er achter zit of wat er gedaan wordt.
zit of wat er gedaan wordt.
Daar ben ik het helemaal mee eens. Helaas zijn mijn
collega's dat niet, aangezien er nog steeds op Windows
gewerkt wordt...
zit of wat er gedaan wordt.
Daar ben ik het helemaal mee eens. Helaas zijn mijn
collega's dat niet, aangezien er nog steeds op Windows
gewerkt wordt...
Je moet niet besturingssysteem-gericht denken. Ook Linux systemen
worden kwetsbaar wanneer gebruikers zich niet bewust zijn van hun acties.
-R.
zit of wat er gedaan wordt.
Daar ben ik het helemaal mee eens. Helaas zijn mijn
collega's dat niet, aangezien er nog steeds op Windows
gewerkt wordt...
Meepraten klinkt altijd interessant. Ergens mee eens zijn
doet voorkomen of je weet waar het over gaat. Gelet op het
vervolg van je reactie haal je echter dat
verwachtingspatroon volledig onderuit.
Security is niet enkel gebaseerd op het gebruik van een
besturingssysteem, maar bestaat uit meedere lagen van
beveiliging die moeten voorkomen dat incidenten plaatsvinden.
Bedrijven die waarde hechten aan een hoog security niveau
gebruiken deze tactiek en geloof me, ze draaien ook Windows !
Kortom, wil je meepraten over security aspecten, verdiep je
dan eerst in de materie voordat je zondigt aan uitspraken
die kant noch wal raken.
Die bank waar medewerkers zonder IT inverventie kunnen
installeren mag mij trouwens bellen. Want ook daar kan men
wel wat security kennis en invulling gebruiken.
het hoeft niet per se een installeerbaar iets te zijn.
Alleen al iets op kunnen starten van USB of CD/DVD volstaat.
te slijten die zich slechts richten op technische beveiliging. Alsof de
meeste inbreuken op de beveiliging in de praktijk veel met techniek te
maken hebben ... NIET dus!
Een goede beveiliging bestaat voor 80 procent uit de juiste attitude van
personen. En dat geldt zeker voor bedrijven in de bank- en verzekerings-
sector. Dergelijke bedrijven moeten voortdurend het beveiligingsbewustzijn
bij hun medewerkers hoog houden.
heeft om te installeren en wat gebeurt er dan ......?
Ze installeren het niet want ze hebben het druk met andere zaken! Let wel
ik praat over bedrijfssoftware.
Menige medewerker moet dan wat leren over security maar laat dan de IT-
afdeling eens leren wat dienstverlening is..
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
