Archief
- De topics van lang geleden
Awareness
Hoi,
Momenteel ben ik bezig met mijn afstudeerstage, hiervoor
dien ik een handboek informatiebeveiliging op te leveren,
gebaseerd op de ISO norm.
Ik spook al een tijdje rond op deze site maar nu toch maar
even geregistreerd. Ik merk da het belang en bewustzijn voor
informatiebeveliging hier nogal ontbreekt, dus dat is stap 1
waar iets aan gedaan moet worden, anders hebben richtlijnen
en regels vrij weinig nut.
Iemand hier nog goede tips voor hoe dit op een effectieve
wijze te bereiken is? Ik zelf was er al aan het denken om
wat bedrijfsgevoelige informatie weg te snaaien op
afdelingen "waar alles toch direct uit de printer gepakt
wordt" en waar "de kasten niet op slot hoeven" etc.
Met vriendelijke groet,
Stagiaire
Momenteel ben ik bezig met mijn afstudeerstage, hiervoor
dien ik een handboek informatiebeveiliging op te leveren,
gebaseerd op de ISO norm.
Ik spook al een tijdje rond op deze site maar nu toch maar
even geregistreerd. Ik merk da het belang en bewustzijn voor
informatiebeveliging hier nogal ontbreekt, dus dat is stap 1
waar iets aan gedaan moet worden, anders hebben richtlijnen
en regels vrij weinig nut.
Iemand hier nog goede tips voor hoe dit op een effectieve
wijze te bereiken is? Ik zelf was er al aan het denken om
wat bedrijfsgevoelige informatie weg te snaaien op
afdelingen "waar alles toch direct uit de printer gepakt
wordt" en waar "de kasten niet op slot hoeven" etc.
Met vriendelijke groet,
Stagiaire
Reacties (19)
13-06-2007, 10:32 door
SirDice
Ik zelf was er al aan het denken om wat bedrijfsgevoelige informatie weg te snaaien op afdelingen "waar alles toch direct uit de printer gepakt wordt" en waar "de kasten niet op slot hoeven" etc.
Zorg dat je hiervoor, van te voren, (schriftelijk) toestemming hebt. Anderszou jouw "bewust maak" actie wel eens heel erg verkeerd uit kunnen pakken voor je.
13-06-2007, 10:34 door
Stagiaire
Ja, dit is inderdaad al besproken, zonder toestemming ga ik hier zeker niet
aan beginnen want dan ben ik het zakje :)
Vooral omdat hier niet eens zozeer veel bedrijfsgevoelige informatie
rondspookt, maar voornamelijk erg gevoelige personele gegevens. Niet
iedereen is een "standaard" medewerker hier zullen we maar zeggen.
aan beginnen want dan ben ik het zakje :)
Vooral omdat hier niet eens zozeer veel bedrijfsgevoelige informatie
rondspookt, maar voornamelijk erg gevoelige personele gegevens. Niet
iedereen is een "standaard" medewerker hier zullen we maar zeggen.
Waarom ben je met de ISO norm bezig als de basis van
Security awareness ontbreekt? Focus op de stageopdracht, en
ga niet proberen de wereld te verbeteren!
Het is erg makkelijk om een stagiaire op te laten draaien
voor iets wat je als medewerker niet lukt! Wees kritisch
naar jezelf en jouw omgeving.
Helaas heb ik deze ervaring ook mee moeten maken met een
stagiaire.
Als je meer wilt weten, geef een seintje.
Security awareness ontbreekt? Focus op de stageopdracht, en
ga niet proberen de wereld te verbeteren!
Het is erg makkelijk om een stagiaire op te laten draaien
voor iets wat je als medewerker niet lukt! Wees kritisch
naar jezelf en jouw omgeving.
Helaas heb ik deze ervaring ook mee moeten maken met een
stagiaire.
Als je meer wilt weten, geef een seintje.
Weet niet of je er iets aan hebt. Maar persoonlijk denk ik dat het door twee
dingen komt. Gemakzucht en ontwetendheid. Wanneer data snel
toegankelijk en makkelijk toegangkelijk wordt wordt er ook onzorgvuldiger
mee omgegaan en is het dus makkelijker toegangkelijk voor derden.
Personeel van buiten af moeten zich via de bali bij de beveiliging/receptie
aanmelden voor een afspraak. Maar heeft deze werkzaamheden is er geen
toezicht op. Deze worden geregistreerd voor werkzaam heden. Maar
kunnen zo van de 5e verdieping tot in de data ruimte komen als deze niet goed is beveiligd.
Een ander voorbeeld waar je misschien wat aan kan hebben is de
communicatie met ict personeel en beveiliging. Zo hebben veel bedrijven
een keycard systeem waarmee je precies kan zien vanuit de logs waar
personneel zich bevindt. Voor personeel dat van buiten af komt en
werkzaamheden uitvoeren kunnen zo gevolgd worden.
Wanneer de beveiliging toegang heeft tot dit netwerk kan er indirect zonder
er fysiek contact is met de persoon gekeken worden wat het personeel
aan het doen is. En of die wel op die afdeling mag komen waar eventueel
vertrouwelijke informatie zou kunnen liggen. Een simpele preventie maatregel maar die gewoon niet toegepast wordt.
dingen komt. Gemakzucht en ontwetendheid. Wanneer data snel
toegankelijk en makkelijk toegangkelijk wordt wordt er ook onzorgvuldiger
mee omgegaan en is het dus makkelijker toegangkelijk voor derden.
Personeel van buiten af moeten zich via de bali bij de beveiliging/receptie
aanmelden voor een afspraak. Maar heeft deze werkzaamheden is er geen
toezicht op. Deze worden geregistreerd voor werkzaam heden. Maar
kunnen zo van de 5e verdieping tot in de data ruimte komen als deze niet goed is beveiligd.
Een ander voorbeeld waar je misschien wat aan kan hebben is de
communicatie met ict personeel en beveiliging. Zo hebben veel bedrijven
een keycard systeem waarmee je precies kan zien vanuit de logs waar
personneel zich bevindt. Voor personeel dat van buiten af komt en
werkzaamheden uitvoeren kunnen zo gevolgd worden.
Wanneer de beveiliging toegang heeft tot dit netwerk kan er indirect zonder
er fysiek contact is met de persoon gekeken worden wat het personeel
aan het doen is. En of die wel op die afdeling mag komen waar eventueel
vertrouwelijke informatie zou kunnen liggen. Een simpele preventie maatregel maar die gewoon niet toegepast wordt.
13-06-2007, 12:18 door
Stagiaire
Nou dan heb je al meteen een probleem te pakken hier:
keycards wordt niet mee gewerkt, alles is voor iedereen vrij
toegankelijk en deuren worden niet afgesloten (op de ICT
afdeling en de serverruimte na).
De balie moet je echt al daadwerkelijk heen lopen,
registratie kennen ze niet. Mensen zijn inderdaad zeer
onzorgvuldig er mee. Vorige week heeft meer dan 24 uur een
uitdraai naast een printer gelegen van een verslag van de
vertrouwenspersoon of iets in die richting (!!!) waarin met
naam en toenaam werd vermeld waarom een bepaald iemand boos
was etc. etc.
Uiteindelijk heb ik het weggepakt en doorgegeven aan mijn
afdelingsleider. Ik heb nog genoeg te doen hier.
Bedankt voor de informatie alvast!
keycards wordt niet mee gewerkt, alles is voor iedereen vrij
toegankelijk en deuren worden niet afgesloten (op de ICT
afdeling en de serverruimte na).
De balie moet je echt al daadwerkelijk heen lopen,
registratie kennen ze niet. Mensen zijn inderdaad zeer
onzorgvuldig er mee. Vorige week heeft meer dan 24 uur een
uitdraai naast een printer gelegen van een verslag van de
vertrouwenspersoon of iets in die richting (!!!) waarin met
naam en toenaam werd vermeld waarom een bepaald iemand boos
was etc. etc.
Uiteindelijk heb ik het weggepakt en doorgegeven aan mijn
afdelingsleider. Ik heb nog genoeg te doen hier.
Bedankt voor de informatie alvast!
Beste Stagiaire,
Denk eerst na voordat je iets doet. Pas op tegen wie je
"beveiligingsproblemen" meldt en wie je precies in
vertrouwen neemt, want je weet helemaal niet of dit in gang
gezet is om bewust chaos te veroorzaken (zoals bij de
overheid). Meld alles gewoon bij je chef, maar meer ook
niet.. Ga er van uit dat je geen vrienden of Geallieerden in
je omgeving hebt. Wees in Godsnaam voorzichtig wat je doet!
Er zijn mensen weggepest uit hun werkkring doordat zij
dezelfde methode gebruikten om misstanden aan te kaarten!
Ik spreek uit ervaring!
Denk eerst na voordat je iets doet. Pas op tegen wie je
"beveiligingsproblemen" meldt en wie je precies in
vertrouwen neemt, want je weet helemaal niet of dit in gang
gezet is om bewust chaos te veroorzaken (zoals bij de
overheid). Meld alles gewoon bij je chef, maar meer ook
niet.. Ga er van uit dat je geen vrienden of Geallieerden in
je omgeving hebt. Wees in Godsnaam voorzichtig wat je doet!
Er zijn mensen weggepest uit hun werkkring doordat zij
dezelfde methode gebruikten om misstanden aan te kaarten!
Ik spreek uit ervaring!
14-06-2007, 08:06 door
Stagiaire
Bedankt voor je tip vredesduif, maar ik denk niet dat ik
hier zo veel last van zal hebben wegens een paar redenen.
1. Ik zelf zit op de ict afdeling dit een prachtig idee vinden.
2. steun van de directie
3. ik zelf ben toch binnenkort weg
Maar ik snap wat je bedoeld.
hier zo veel last van zal hebben wegens een paar redenen.
1. Ik zelf zit op de ict afdeling dit een prachtig idee vinden.
2. steun van de directie
3. ik zelf ben toch binnenkort weg
Maar ik snap wat je bedoeld.
Door Stagiaire
Nou dan heb je al meteen een probleem te pakken hier:
keycards wordt niet mee gewerkt, alles is voor iedereen vrij
toegankelijk en deuren worden niet afgesloten (op de ICT
afdeling en de serverruimte na).
De balie moet je echt al daadwerkelijk heen lopen,
registratie kennen ze niet. Mensen zijn inderdaad zeer
onzorgvuldig er mee. Vorige week heeft meer dan 24 uur een
uitdraai naast een printer gelegen van een verslag van de
vertrouwenspersoon of iets in die richting (!!!) waarin met
naam en toenaam werd vermeld waarom een bepaald iemand boos
was etc. etc.
Uiteindelijk heb ik het weggepakt en doorgegeven aan mijn
afdelingsleider. Ik heb nog genoeg te doen hier.
Bedankt voor de informatie alvast!
Je gaat zelf al erg ver met informatie op een openbare site. Nog even en Nou dan heb je al meteen een probleem te pakken hier:
keycards wordt niet mee gewerkt, alles is voor iedereen vrij
toegankelijk en deuren worden niet afgesloten (op de ICT
afdeling en de serverruimte na).
De balie moet je echt al daadwerkelijk heen lopen,
registratie kennen ze niet. Mensen zijn inderdaad zeer
onzorgvuldig er mee. Vorige week heeft meer dan 24 uur een
uitdraai naast een printer gelegen van een verslag van de
vertrouwenspersoon of iets in die richting (!!!) waarin met
naam en toenaam werd vermeld waarom een bepaald iemand boos
was etc. etc.
Uiteindelijk heb ik het weggepakt en doorgegeven aan mijn
afdelingsleider. Ik heb nog genoeg te doen hier.
Bedankt voor de informatie alvast!
we weten waar je je stage loopt.
Hoe veilig ben je zelf?
Door Stagiaire
Bedankt voor je tip vredesduif, maar ik denk niet dat ik
hier zo veel last van zal hebben wegens een paar redenen.
1. Ik zelf zit op de ict afdeling dit een prachtig idee vinden.
2. steun van de directie
3. ik zelf ben toch binnenkort weg
Maar ik snap wat je bedoeld.
Bedankt voor je tip vredesduif, maar ik denk niet dat ik
hier zo veel last van zal hebben wegens een paar redenen.
1. Ik zelf zit op de ict afdeling dit een prachtig idee vinden.
2. steun van de directie
3. ik zelf ben toch binnenkort weg
Maar ik snap wat je bedoeld.
Belangrijk bij het verbeteren van de beveiliging in een bedrijf is, dat je
adviezen begrepen worden door degenen die uiteindelijk de
werkzaamheden zullen moeten uitvoeren. ACCEPTATIE is het toverwoord.
Als de externe adviseur als een spion wordt ervaren, dan is hij zijn doel
voorbij geschoten, ook als goede bedoelingen aan het advies ten
grondslag liggen. Datzelfde geldt ook voor een ict afdeling .
Zorgvuldigheid blijft nodig, ook al ben je toch binnenkoort weg.
15-06-2007, 13:38 door
Stagiaire
Door Anoniem
Nog even en
we weten waar je je stage loopt.
Hoe veilig ben je zelf?
Door Stagiaire
Nou dan heb je al meteen een probleem te pakken hier:
keycards wordt niet mee gewerkt, alles is voor iedereen vrij
toegankelijk en deuren worden niet afgesloten (op de ICT
afdeling en de serverruimte na).
De balie moet je echt al daadwerkelijk heen lopen,
registratie kennen ze niet. Mensen zijn inderdaad zeer
onzorgvuldig er mee. Vorige week heeft meer dan 24 uur een
uitdraai naast een printer gelegen van een verslag van de
vertrouwenspersoon of iets in die richting (!!!) waarin met
naam en toenaam werd vermeld waarom een bepaald iemand boos
was etc. etc.
Uiteindelijk heb ik het weggepakt en doorgegeven aan mijn
afdelingsleider. Ik heb nog genoeg te doen hier.
Bedankt voor de informatie alvast!
Je gaat zelf al erg ver met informatie op een openbare site.Nou dan heb je al meteen een probleem te pakken hier:
keycards wordt niet mee gewerkt, alles is voor iedereen vrij
toegankelijk en deuren worden niet afgesloten (op de ICT
afdeling en de serverruimte na).
De balie moet je echt al daadwerkelijk heen lopen,
registratie kennen ze niet. Mensen zijn inderdaad zeer
onzorgvuldig er mee. Vorige week heeft meer dan 24 uur een
uitdraai naast een printer gelegen van een verslag van de
vertrouwenspersoon of iets in die richting (!!!) waarin met
naam en toenaam werd vermeld waarom een bepaald iemand boos
was etc. etc.
Uiteindelijk heb ik het weggepakt en doorgegeven aan mijn
afdelingsleider. Ik heb nog genoeg te doen hier.
Bedankt voor de informatie alvast!
Nog even en
we weten waar je je stage loopt.
Hoe veilig ben je zelf?
Klopt, heel goed punt, maar welk bedrijf heeft nu geen ICT
afdeling? ;)
15-06-2007, 14:02 door
SirDice
Door Stagiaire
Klopt, heel goed punt, maar welk bedrijf heeft nu geen ICT
afdeling? ;)
Bijna alle MKB'sKlopt, heel goed punt, maar welk bedrijf heeft nu geen ICT
afdeling? ;)
15-06-2007, 15:09 door
Stagiaire
Ok ok welke grote bedrijven hebben nu geen ICT afdeling? ;)
Als je iets met informatiebeveliging wil gaan zou ik eens gaan zoeken op
de term "Code voor informatie beveiliging" veel gebruikt bij IT/EDP auditing.
De Code voor Informatiebeveiliging beschrijft in 11 hoofdstukken normen
en maatregelen, die van belang zijn voor het realiseren van een afdoende
niveau van informatiebeveiliging. De Code wordt uitgebracht door het
Nederlands Normalisatie-instituut (NEN).
de term "Code voor informatie beveiliging" veel gebruikt bij IT/EDP auditing.
De Code voor Informatiebeveiliging beschrijft in 11 hoofdstukken normen
en maatregelen, die van belang zijn voor het realiseren van een afdoende
niveau van informatiebeveiliging. De Code wordt uitgebracht door het
Nederlands Normalisatie-instituut (NEN).
18-06-2007, 08:18 door
Stagiaire
Bedankt, maar ISO 17799 heb ik hier al liggen.
18-06-2007, 14:30 door
pikah
Door Stagiaire
Ok ok welke grote bedrijven hebben nu geen ICT afdeling?
;)
Nog meer info :DOk ok welke grote bedrijven hebben nu geen ICT afdeling?
;)
18-06-2007, 14:40 door
Stagiaire
Hehe ok je weet nu dat ik stage loop bij een bedrijf dat
groter is dan een MKB bedrijf op de ict-afdeling. Dan
blijven er nog maar een paar 100-1000 bedrijven over gok ik? ;)
groter is dan een MKB bedrijf op de ict-afdeling. Dan
blijven er nog maar een paar 100-1000 bedrijven over gok ik? ;)
18-06-2007, 16:04 door
root
Door Stagiaire
handboek informatiebeveiliging op te leveren, gebaseerd op
de ISO norm.
handboek informatiebeveiliging op te leveren, gebaseerd op
de ISO norm.
Dus je moet een informatiebeveiligingsbeleid schrijven.
Door Stagiaire
Ik merk da het belang en bewustzijn voor
informatiebeveliging hier nogal ontbreekt
Ik merk da het belang en bewustzijn voor
informatiebeveliging hier nogal ontbreekt
Staat er in, zie richtlijn 8.2.2. Schrijf gewoon een
maatwerk beleid met die ISO norm als basis en je bent klaar.
En lees de ISO 27001 ook effe door. En nou doorwerken, hup!
Met een beetje ouwehoeren in forums kom je ook niet verder.
18-06-2007, 16:12 door
Stagiaire
Dit valt onder mijn taak van Desk-Research ;) Ik heb geen
toegang tot die andere ISO.
Iedereen bedankt voor de reacties!
toegang tot die andere ISO.
Iedereen bedankt voor de reacties!
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
