http://www.guardian.co.uk/technology/2009/aug/05/bruce-schneier-risk-security

"Fire someone who breaks security procedure, quickly and publicly. That'll increase security awareness faster than any of your posters or lectures or newsletters. If the risks are real, people will get it."

jos

Security awareness begint bij het management.

Als die liever snel en gemakkelijk geld verdienen (security en gebruikersgemak gaan niet vaak door een deur), dan wordt het nooit wat.

2 ton uitgeven aan een uber-firewall, maar wel overal USB-sticks in laten prikken en rond laten slingeren...
Een externe expert alle rechten en wachtwoorden geven, die dan voor je uitzoekt dat je je wachtwoorden aan teveel mensen meegeeft.

"het hek moet overal even hoog zijn."

en zolang admins nog alles onder het domain-admin account installeren, (dan werkt het tenminste)
en daarna het admin-password niet wijzigen "omdat alles dan plat gaat"... kun je alle firewalls en IDS'sen, poortjes, honden, virusscanners en Tamiflu van de wereld hebben.

Koop maar vast een emmer om te hozen als de boot zinkt.

"Aan hand van een vorige post die ik gedaan heb vroeg ik me af hoe jullie de ICT security awareness hebben geregeld (met name voor de gebruikers en de beheerders)."

Een web-based security awareness training, welke mensen verplicht om het jaar moeten volgen, en daarnaast maandelijks security awareness emailtjes met daarin informatie m.b.t. risico's, policies, en meer van dat soort zaken.

"Fire someone who breaks security procedure, quickly and publicly. That'll increase security awareness faster than any of your posters or lectures or newsletters. If the risks are real, people will get it."

Tja, de schandpaal. Dat zal erg effectief zijn. Overigens is bovenstaand voorstel juridisch niet eens mogelijk in Nederland, en je zal als bedrijf een flinke schadevergoeding mogen neerleggen wanneer je opzettelijk mensen gaat ontslaan voor de neus van hun collega's om een voorbeeld te stellen.

Als een user iets sloopt door ontwetenheid, laat 'm naast je zitten terwijl jij de boel oplapt, desnoods tot na werktijd. Moet je zien hoe snel ze 'aware' zijn. Ze moeten 'aware' worden van de hoeveelheid tijd die erin gaat zitten om de boel te repareren.

Mensen verplicht security.nl laten lezen kan ook helpen, daar wordt je vanzelf paranioa van.

yep, dat is de snelst en beste weg. En zorg ervoor dat het persoonlijk wordt zodat mensen zich aangesproken voelen .....

"Fire someone who breaks security procedure, quickly and publicly. That'll increase security awareness faster than any of your posters or lectures or newsletters. If the risks are real, people will get it."

Indien dit de enige wijze is waarop je als informatie beveiliger mensen iets bij kunt brengen, dan kan je beter ontslag nemen. Immers is het dan maar erg de vraag of je zelf geschikt bent voor je vak. Daarnaast is het maar erg de vraag of je de steun van het management team en personeelszaken binnen je bedrijf krijgt, want er spelen ook nog wel wat andere belangen dan security awareness bij het ontslaan van een medewerker.

Klopt, schei maar uit als je de baas niet mee hebt. Helaas moet er vaak eerst een schaap verdrinken...

Verder is het een management-taak om ervoor te zorgen dat medewerkers zich betrokken voelen bij het bedrijf, en zich verantwoordelijk voelen voor hun eigen handelen (d.w.z. de hoofdtaken waarvoor ze zijn aangenomen). Zonder dat eigen verantwoordelijkheidsgevoel van medewerkers zul je security-awareness er nooit inkrijgen. Dan zit er niks anders op dan de boel zover mogelijk dicht te timmeren (met nog slechtere arbeidsverhoudingen als gevolg) en maar op het beste te hopen.

@JKnol: Ik weet niet hoe groot het bedrijf is waar je voor werkt, maar mijn ervaring is dat bij veel MKB bedrijven alle (of de meeste) medewerkers als administrators inloggen op hun eigen PC, en ze er desondanks van uitgaan dat het met de beveiliging op hun PC wel goed geregeld zal zijn. Het uitsluitend hebben van User rechten en geen write access in de root van drives voorkomt in bijna alle gevallen (ik ken eigenlijk geen Windows malware die van privilege escalation gebruik probeert te maken als deze geen beheerdersrechten heeft) aantasting van je systemen en in veel gevallen dat gebruikersbestanden worden verwijderd of beschadigd. Dit geldt ook voor malware die (nog) niet door de geïnstalleerde beveiligingssoftware wordt herkend.

Zelf werk ik ook altijd onder een gewoon gebruikersaccount, alleen indien nodig log ik in onder een admin account. Zo lastig is dat nou ook weer niet.

In een eerdere baan waarbij ik ook een stuk beheer deed heb ik inderdaad wel eens mailtjes gestuurd waarin ik users vroeg via een URL of bijlage een applicatie te starten die vervolgens meldde dat ze dat dus juist niet moeten doen, of ze vroeg om allerlei gegevens op een geprepareerde website in te vullen. Daar liet ik de gebruikers ook een documentje met do's en don'ts ondertekenen. Maak duidelijk welke mails (en papieren post) ze wel en niet van ICT medewerkers kunnen ontvangen en vertel ze wat ze bij twijfel moeten doen. Stel duidelijke policies op voor het gebruik van creditcards van de zaak, en voor het invullen van werk-email adressen op allerlei websites. Het kan handig zijn om medewerkers die vanuit hun functie op internet info moeten opvragen een speciale alias te geven welke je kunt wijzigen zodra het aantal reclame-mails de pan uitrijst.

Verder natuurlijk afspraken maken over welke info men onder vermelding van het bedrijf, en zelfs op persoonlijke titel (waarbij de goede naam van het bedrijf in gevaar zou kunnen worden gebracht), men op internet mag plaatsen op "social" sites. Leer de medewerkers dat ook "afgeschermde" accounts in de praktijk vaak flink lek blijken te zijn. Vrienden blijken soms toch niet zo vriendelijk als gedacht, en copy-paste van jouw gegevens is zo gebeurd. Zie dat maar weer eens weg te krijgen...

Lees het artikel eerst eens voordat je onzin uitkraamt!
http://www.guardian.co.uk/technology/2009/aug/05/bruce-schneier-risk-security

IK ben het hier wel mee eens. Het mag dan niet erg professioneel overkomen (zie posting van Anoniem van 11/8), maar is wel heel effectief. Kijk maar naar de zaken die in de publiciteit zijn gekomen: Defensie, de AIVD, DECT- en USB tests door NOVA etc. Pas nadat er voor de managers een afbreukrisico is, hun carriere en reputatie zeg maar, zijn ze bereid om er iets aan te doen. De discussie wordt ook uit de schimmige sfeer van doomscenario's gehaald en verheven tot de keiharde realiteit (aantoonbaar).
Je kan dit doen door een gespecialiseerde fima in te huren (bijv. Madion Ghurka, Fox IT, CAP etc.) en hen vragen aan red/green teaming te doen en penetration tests uit te laten voeren.
Good luck.

Mee eens, ik maak altijd een speciaal Installatie account met meer rechten, daarmee installeer ik dingen op pc's,
en dat password wijzig ik na elke install sessie.
Maar de door jou geschetste manier van werken ben ik ook vaak tegen gekomen idd :)