Column: "Zijn werknemers uw zwakste schakel?"
Zojuist verscheen in het Verenigd Koninkrijk een rapport over IT
beveiliging, in opdracht van het Information Assurance Advisory Council
(IAAC). Dit is een belangrijk adviserend orgaan waarin zowel het
bedrijfsleven als de regering participeert. In het 'Information Security
Breaches 2002' rapport staat, naast enkele belangrijke aanbevelingen, een
aantal verontrustende constateringen. Zo laat 37% van alle grote bedrijven
weten zeer bezorgd te zijn over de eventuele bedreiging die hun eigen staf
vormt. Een grote bank liet zelfs weten zich zorgen te maken over het feit
dat talloze IT medewerkers, zowel intern als extern, toegang hadden tot
zeer gevoelige informatie.
Men zou dus kunnen verwachten dat het vastleggen van 'spelregels' op IT-
gebied tot een van de hoogste prioriteiten zou behoren in de Britse
zakenwereld. Maar uit het onderzoek blijkt, vreemd genoeg, dat slechts zo'n
27% van alle Britse bedrijven een bedrijfsbeveiligingsbeleid heeft
geïmplementeerd. Hiervan heeft 7% dit beleid ontwikkeld om werknemers de
voorschriften en hun verantwoordelijkheden bij te brengen. Op deze manier
hoopt men bijvoorbeeld fraude te voorkomen. Controle op de naleving en het
effect van het beleid lijkt echter te ontbreken.
We kunnen uit het rapport zonder omhaal concluderen dat er nog te weinig
aandacht wordt besteed aan het vaststellen van een goed beveiligingsbeleid.
Gelukkig is dit niet altijd het geval. Een groeiend aantal bedrijven is
zich geukkig wel bewust van het belang van zo'n beleid en heeft dit dan ook
geïmplementeerd. Echter, controle lijkt in de meeste gevallen volledig te
ontbreken. Een van de meest belangrijke aanbevelingen in het rapport luidt
dan ook: "Verzeker uzelf ervan dat uw onderneming (doorlopend) tests
uitvoert (bijvoorbeeld Audits) om te weten of het beveiligingsbeleid wordt
nageleefd". Het belang van goede regelgeving zal niemand betwisten, maar
dan moeten ze ook functioneren.
Ben G.Laarhoven
Zie http://www.security-survey.gov.uk/ voor de algemene site.
Het "detailed technical report" is te vinden onder https://www.security-survey.gov.uk/isbs2002_detailedreport.pdf
mvg,
Niels van Hese
Men kan altijd iets concluderen uit een rapport.
Het is grappig te zien dat commercieële aanbieders van diensten andere -voor hun gunstigere- conclusies trekken dan Business Risk Managers.
Zolang men een oordeel velt naar aanleiding van de zoveelste rapport die niet onderbouwt is met FEITEN zal het er altijd ernstiger uit zien dan het wellicht in werkelijkheid is.
User management wordt in de regel decentraal uitgevoerd, ad-hoc, niet geleid door een beleid en zonder een relatie met de brongegevens in het personeelssysteem.
Hierdoor hebben gebruikers niet de bevoegdheden die ze nodig hebben. Soms te veel, soms te weinig, meestal beide. Dit leidt tot het 'lenen' van bevoegdheden en wachtwoorden. Gebruikers zijn daarmee niet meer aanspreekbaar op hun handelen in het systeem.
Een goede organisatie van user management begint met het bepalen wie wat mag: Identity Management. Dit is een samenspel tussen IT(-security) en business managers.
Na de definitie moet dit model worden geimplementeerd met een software tool, tenslotte moet gecontroleerd/ge-audit worden of het model inderdaad werkt en of er geen mazen in zitten.
Maarten Stultjens
Een goede organisatie van user management begint met het bepalen wie wat mag: Identity Management. Dit is een samenspel tussen IT(-security) en business managers.
Na de definitie moet dit model worden geimplementeerd met een software tool, tenslotte moet gecontroleerd/ge-audit worden of het model inderdaad werkt en of er geen mazen in zitten.
Een goed beleid begint met het uit 'de organisatie' schrappen van alle onzinnige opgeblazen holle marketing-prietpraat en de droids die met nieuwe prietpraat proberen hun eigen leegte te verhullen.
Ik begrijp geen ene flikker van wat je probeert te zeggen. Als ik, met een IQ van 144 en 25 jaar ervaring met computers en dus met informatiebeveiliging je al niet begrijp, hoe zit het dan met het knechtje van de gebouwbeheerder?
Denk je dat het niet handig is je verhaaltje zo in te pakken dat ook hij actief meewerkt met jouw doelstellingen? Je kunt misschien wel een manager inpakken met een rondje buzzword-bingo, maar een beveiligingbeleid moet actief nagestreefd worden door het *hele* bedrijf om enig effect te hebben.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
