image

Ernst & Young verliest weer laptops

maandag 27 februari 2006, 11:56 door Redactie, 13 reacties

De werknemers van Ernst & Young nemen het niet zo nauw met de veiligheid van hun laptops. Nadat eerder in februari een laptop met vertrouwelijke gegevens van klanten uit de auto van een werknemer was gestolen, zijn er nu vier laptops kwijtgeraakt.

Vier auditors van het bedrijf hadden hun laptops in een conferentiezaal achtergelaten. De deur naar de ruimte was wel beveiligd met een tijdslot, maar toch wisten de twee dieven op tijd binnen te komen en de vier laptops ter waarde van 8000 dollar mee te nemen.

De laptop die uit de auto van de werknemer was gestolen bevatte onder andere de persoonlijke gegevens van Sun Microsystems CEO Scott McNealy, die werd ingelicht dat zijn SoFi-nummer en persoonlijke informatie waren gecompromitteerd. De laptop was wel met een wachtwoord beveiligd en het ging de dief volgens een woordvoerder waarschijnlijk alleen om de laptop. Toch haalde McNealy flink uit naar Ernst & Young: "Dit is een organisatie waar aan we een gigantische hoeveelheid geld besteden om te bepalen of we aan de Sarbanes-Oxley wetgeving voldoen"

Reacties (13)
27-02-2006, 13:25 door Anoniem
Gelukkig zijn er nog wel accountants die hun werk serieus
nemen. Die zijn echter voornamelijk bij de kleinere kantoren
te vinden.
27-02-2006, 16:56 door G-Force
Ernst & Young....my laptops are gone.

Leuke reclame-slogan...
27-02-2006, 20:04 door ProtectionCompany
Het zijn en blijven accountants in plaats van informatiebeveiligers.:))
28-02-2006, 11:15 door Anoniem
De laptops waren password-beveiligd, nou nou nou ...

Dus ook Ernst & Young is te bedonderd om de data op z'n laptops te
encrypten? Wat is dat toch voor een onvoorstelbare lamlendigheid?
28-02-2006, 15:16 door Anoniem
Toch ligt er doorgaans meer informatie op papier voor het oprapen dan op
een laptop. Daar maakt niemand zich zorgen over.
28-02-2006, 23:19 door Anoniem
Door Anoniem
Gelukkig zijn er nog wel accountants die hun werk serieus
nemen. Die zijn echter voornamelijk bij de kleinere kantoren
te vinden.

De meeste accountants zijn echt niet anders dan die van Ernst & Young.
Als er daadwerkelijk een markt zou zijn voor disk encryptie, dan was die tak
van sport duizenden keren groter geweest dan dat die nu is. De producten
die nu op de markt zijn doen het nog niet echt goed qua kwaliteit en
gebruiksgemak.
28-02-2006, 23:40 door Anoniem
Een grote berg lucht die organisaties... Ze kosten bakken met geld en je
krijgt er gebakkenlucht voor terug... Ooit is bij mijn werkgever door hun een
website laten testen op veiligheid.. We kregen een prachtig en
verschrikkelijk duur rapport.. Jammer voor hun hadden we alles gesniffed
en de hele test bestond een een simpele nmap scan...
Maarja.. het is verplichte kost en managers zijn er geil op...
01-03-2006, 09:01 door pipo
Door protectioncompany
Het zijn en blijven accountants in plaats van
informatiebeveiligers.:))

nee, jij bent lekker bezig met je nietszeggende sluikreclame
reactie. Commentaar leveren is makkelijk maar wil je echt
een lans voor je eigen bedrijfje breken dan zul je dat toch
echt op een andere manier moeten doen.
01-03-2006, 11:16 door pipo
Door Anoniem
Een grote berg lucht die organisaties... Ze kosten bakken
met geld en je
krijgt er gebakkenlucht voor terug... Ooit is bij mijn
werkgever door hun een
website laten testen op veiligheid.. We kregen een prachtig en
verschrikkelijk duur rapport.. Jammer voor hun hadden we
alles gesniffed
en de hele test bestond een een simpele nmap scan...
Maarja.. het is verplichte kost en managers zijn er geil
op...


Sniffen van een netwerk zonder medeweten van management
wordt beschouwd als zeer onesthetisch.

Je kunt het niet eens zijn met de manier waarop de
vulnerability scan wordt uitgevoerd maar dat wil niet zeggen
dat je zelf eigenhandig te werk mag gaan. In dit geval ben
jet het zelf niet waard om uberhaupt met security te maken
te hebben.

Gek trouwens dat je zelf niet in staat was om een 'prachtig'
rapport te maken, want daar was je blijkbaar wel van
overtuigd. Of ontbreekt het je aan de kennis en ervaring om
een soortgelijke opdracht te vervullen ?

Daarnaast is de generaliserende opmerking te kinderachtig
voor woorden, dat 'alle ogranisaties' uit lucht bestaan.

En nee, ik werk niet bij een dergelijke organisatie.
01-03-2006, 12:27 door Constant
Ik krijg ook kromme tenen van vakbroeders die lopen te klootviolen.
Vertrouwelijke stukken verliezen is zo stupide.

Van een dure scan mag je toch meer verwachten dan alleen NMAP. Een
NMAP scan analyseren is niet veel werk, dus dat mag niet teveel kosten.
Geeft ook te weinig info om de beveiliging volledig te beoordelen. Ik zou
verwachten dat men ook met ISS of Nessus had gescand om het een
penetratietest te durven noemen. Plus een echte analyse, want ik ken ook
een praktijk geval waar alle false positives van een ISS scan als bevinding
werden gepresenteerd. Dit zijn Iets te luie en ondeskundige auditors
geweest, bijv vergeten de ISS rapportage te bespreken en verifieren met
de IT beheerders..

Beide verhalen zijn waar, er zitten m.i. zowel echte penetratie testers als
hobbyisten bij de grote accountantskantoren. Je kan dus zowel waar voor
je geld krijgen als een kat in de zak (gebakken lucht) krijgen.

@Protectioncompany: ken je concurrenten en minder hakken, dan kom je
ook professioneler over. Eigen kracht zegt toch meer.
01-03-2006, 19:26 door Anoniem

Sniffen van een netwerk zonder medeweten van management
wordt beschouwd als zeer onesthetisch.

Waarschijnlijk bedoel je te zeggen "onethisch"? Als je nou toch anderen
gaat corrigeren... ;-)

Bovendien heeft A gelijk als hij zegt dat er wel iets minder warme lucht op
het menu zou mogen staan bij de 'grote jongens' als E&Y. En hij geeft ook
terecht aan dat vele managers zich met een ongezonde gretigheid in die
glossy valkuil laten slepen.

Een no-nonsense mentaliteit, gezond verstand en een zekere mate van
wantrouwen kan nooit kwaad in het bedrijfsleven. Dus zie ik weinig
bezwaren om ook de contoleurs eens te controleren, in tegendeel, dat
zouden meer bedrijven (mensen) eens moeten doen.

Tenslotte, als mijn werknemers aan de lopende band peperdure laptops
zouden 'kwijtraken' zou ik hen ook maar eens nader onder de loep nemen.
Het zou bepaald niet de eerste keer zijn dat company notebooks door
personeel worden versjacherd en als gestolen worden opgegeven. Niet zo
lang geleden gebeurde dit nog - op redelijk grote schaal - bij een
Nedelands bedrijf... een bekend (groot) accountantskantoor te Amsterdam.
Daar heeft men er voor gekozen het niet aan de grote klok te hangen,
maar je kunt op je vingers natellen dat dit vaker gebeurt. Misschien is het
aardig om eens een onderzoekje te houden naar het percentage bedrijfs-
vs privé laptops dat gestolen wordt....?
02-03-2006, 14:06 door pipo
Door Anoniem

Sniffen van een netwerk zonder medeweten van management
wordt beschouwd als zeer onesthetisch.

Waarschijnlijk bedoel je te zeggen "onethisch"? Als je nou
toch anderen
gaat corrigeren... ;-)



Het woordje 'geacht' ontbrak, sorry hoor. Feit blijft dat
het niet kan. Gezond verstand kun je op een andere manier
gebruiken. Veelal de reacties die je hier leest komen voort
uit persoonlijke frustratie en geven met regelmaat een
verkeerd beeld van de werkelijkheid weer.
04-03-2006, 11:11 door Anoniem
Door Anoniem
Door Anoniem
Gelukkig zijn er nog wel accountants die hun werk serieus
nemen. Die zijn echter voornamelijk bij de kleinere kantoren
te vinden.

De meeste accountants zijn echt niet anders dan die van Ernst & Young.
Als er daadwerkelijk een markt zou zijn voor disk encryptie, dan was die tak
van sport duizenden keren groter geweest dan dat die nu is. De producten
die nu op de markt zijn doen het nog niet echt goed qua kwaliteit en
gebruiksgemak.

Het gaat om gedrag!
Van dergelijke profesionals (tenminste daar ga ik maar ven van uit) mag je
verwachten dat zij vanwege het besef van het belang van de
vertrouwelijkheid enig gebruikersongemak accepteren.
Dat de techniek niet voldoet is een smoes, een vlucht naar gemak en
luiheid.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.