Archief - De topics van lang geleden

Werknemers zijn de grootste security dreiging

24-02-2004, 14:44 door Redactie, 25 reacties

Bedrijven geven jaarlijks tienduizenden euro's aan security uit om hun bedrijfsnetwerken en vertrouwelijke gegevens te beschermen. Firewalls, IDS, scanners en andere tools moeten de boze buitenwereld buiten houden. Uit verschillende onderzoeken is echter gebleken dat het juist de werknemers zijn die de grootste schade veroorzaken. De "onschuldige" werknemer blijkt systemen te hacken, virussen te verspreiden en probeert vertrouwelijke gegevens te achterhalen. Onze stelling luidt dan ook: Werknemers zijn de grootste security dreiging

Reacties (25)
24-02-2004, 15:21 door Anoniem
Eens
24-02-2004, 16:15 door Anoniem
jep het kan best waar zijn. als je ziet wat ze op een bedrijfscomputer
installeren
24-02-2004, 16:29 door Anoniem
Zucht...
Dit is best wel heeeeeeeeeeeeeeeeeeeeeeel erg OUD nieuws.
24-02-2004, 16:49 door Anoniem
Zucht...
LEzen valt ook niet mee. Dit is een stelling dus geen nieuws.
http://www.pearl.nl of http://www.begrijpendlezen.nl
24-02-2004, 16:58 door Anoniem
Eens met de stelling, maar ook:

Werkgevers (IT-afdeling) zijn vaak niet capabel hier iets tegen te doen.
24-02-2004, 17:06 door Anoniem
Door Anoniem
Werkgevers (IT-afdeling) zijn vaak niet capabel hier iets tegen te doen.
Denk nou ook eens aan al die HR mensen die geen flauw benul hebben over
IT en derhalve geen enkele maatregelen (kunnen) treffen.
25-02-2004, 07:28 door Anoniem
Werknemers zijn niet de grootste security dreiging. Werknemers zijn
wel wel vaak de oorzaak van beveiligingsincidenten. Het niet hebben
ingericht van een effectief managementsysteem, dat ervoor zorgt dat
beveiligingsincidenten zich niet nogmaal voor kunnen doen is de grootste
dreiging.

Joep Smets
25-02-2004, 07:50 door Anoniem
Eens. Afgezien van IT medewerkers die te veel 'kunnen' ligt het grootste
probleem in het feit dat in veel organisaties de beveiliging intern niet tot een
fatsoenlijk niveau te tillen is omdat dit teveel inbreuk pleegt op de gebruik(er)
svriendelijkheid van het netwerk.

Mr.DizZz
25-02-2004, 09:12 door Anoniem
Aan de ene kant moet het netwerk zo goed mogelijk beveiligd worden tegen
zo laag mogelijke kosten. Aan de andere kant moeten gebruikers op het
netwerk alles kunnen wat ze thuis ook kunnen. Deze twee zaken gaan niet
samen.
25-02-2004, 15:52 door Anoniem
Bijna eens. Nog te vaak is de IT-man (of vrouw) binnen het bedrijf diegene
die het meeste verstand heeft van computers (lees, heeft een computer,
camera scanner en maakt leuke uitnodigingen voor de verjaardag).
Computer is niet gelijk aan een netwerk. Ondat niet de juiste kennis
aanwezig is wordt er niet slim gewerkt op een netwerk.

Tegenwoordig is het heel goed mogelijk om http, ftp en e-mail te scannen.
Luisteren naar wat de gebruiker nodig heeft en dat installeren zorgt ervoor
dat de gebruiker niet in staat hoeft te zijn om iets te installeren.

Virusscanners centraal udaten is ook geen rocketscience meer en zo kan ik
nog wel even doorgaan.

Niet altijd toegeven aan de wensen van de gebruiker omdat hij het nodig
vind terwijl het eigenlijk niet kan (Dat gebeurt dan weer net bij personen met
wat meer ervaring)

Ik denk dat het punt duidelijk is. Syteembeheerder is vaak gebruiker. IT is wel
een vak.
25-02-2004, 16:20 door Anoniem
whaha :D:D:D:D:D:D:D:D:D:DDD:D:D:D:D:D:D:D:D:D:D:D:D::DD::D:D:D:D:D
25-02-2004, 16:36 door Anoniem
JUIST, tenzij er een heel strak beleid wordt gevoerd, maar dat laatste wordt
niet door iedereen gewaardeerd. Uiteindelijk bepaald het beleid wat een
werknemer wel of niet mag. Je zou bv hashes van de executables kunnen
definieren in de Group Policy zodat een gebruiker uitsluitend die executables
mag opstarten waar hij/zij rechten voor heeft . Het activeren van een virus
wordt op die manier dus ook onmogelijk.
Er zijn echter mensen in de directie die graag .ppt files en van die .exe
grappen willen bekijken, hierdoor wordt het beleid afgezwakt en heeft de
gewone gebruiker te veel rechten op het netwerk/systeem. En dit leidt
vervolgens weer tot misbruik.
25-02-2004, 23:06 door Anoniem
True.

Gebruiker is een veel te ruim begrip.

De stelling moet worden: Directie en leidingevenden zijn de grootste
security dreiging .

Waar of niet waar.
26-02-2004, 04:58 door Anoniem
Stelling 1: De gebruiker is NOOIT onschuldig.
Stelling 2: Indien stelling 1 niet waar is is de DIRECTIE schuldig.
Stelling 3: indien stelling 2 onwaar is is stelling 1 waar.

De Ratio hierachter:
Als de Directie haar werk goed gedaan had, of laten doen door terzake kundige IT'ers, dan wist de gebruiker wat hij/zij in het gehele PROCES dat security heet al datgene wat nodig is om het veilig te houden en wat de sancties zijn bij overtredingen, ook door/namens de Directie.
Dus treedt automatisch punt 2 in werking.

Zo simpel is het eigenlijk, dat heet namelijk, continue leren, controleren evalueren en controleren en implementeren en controleren , en weer terug naar af...
ja ja, heel vervelend en lastig, en kan zelfs een hele berg eurooskes kosten , maar ook weer besparen omdat veel minder zaken mis gaan..
26-02-2004, 07:33 door Joep Smets

Zo simpel is het eigenlijk, dat heet namelijk, continue leren, controleren
evalueren en controleren en implementeren en controleren , en weer terug
naar af...

Precies!

De aloude Plan-Do-Check- Act cycle geldt ook voor informatiebeveiliging...
26-02-2004, 08:46 door Anoniem
eens: hoe meer ze denken er verstand van te hebben des te harder lopen ze
de boel te verneuken
26-02-2004, 10:03 door Anoniem
Stelling klopt. Zeker wat beterft ICT personeel. Het
management en de afdeling HR/PZ is daarvoor verantwoordelijk:
Ik heb een paar jaartjes gefreelanced en in de regel is het
zo dat als je kop hun aanstaat je morgen kunt beginnen, met
admin-rechten. Geen achtergrond-check, geen referenties
opvragen, geen bewijs van goed gedrag, helemaal NIETS.
26-02-2004, 16:06 door Anoniem
Stelling hoeft niet te kloppen wanneer goede en gedoseerde informatie de
gebruikers bewust maakt van de risico's; beperkingen worden aangebracht
zolang die het uitoefenen van een functie niet hinderen; beschikbare
updates direct worden geïnstalleerd en dagelijkse controles op logfiles e.d.
plaatsvinden met aansluitend eventuele corrigerende maatregelen.
De netwerkbeheerder dient voortdurend de afweging te maken tussen
enerzijds zijn verantwoordelijkheid voor ongestoord netwerkbeheer en
anderzijds vrijheid voor de gebruikers. Afhankelijk van de beschikbare
middelen zal het vroeg of laat noodzakelijk zijn de vrijheid van de gebruikers
te beperken.
28-02-2004, 11:25 door Anoniem
De stelling moet volgens mij worden: Ontevreden, slecht geïnfomeerde
werknemers zijn de grootste Security bedreiging. Als een werknemer
tevreden is over zijn baan en baas, en goed is geïnformeerd over wat wel en
niet kan en mag op de computer/het netwerk en vooral waarom dat zo is, is er
niets aan de hand.
28-02-2004, 23:00 door Anoniem
vooral de werknemers met de juiste wachtwoorden >;-)
28-02-2004, 23:02 door Anoniem
Door Anoniem
jep het kan best waar zijn. als je ziet wat ze op een
bedrijfscomputer
installeren
Ooit gehoord van het beperken van rechten ?
28-02-2004, 23:04 door Anoniem
Door Anoniem
Door Anoniem
Werkgevers (IT-afdeling) zijn vaak niet capabel hier iets
tegen te doen.
Denk nou ook eens aan al die HR mensen die geen flauw benul
hebben over
IT en derhalve geen enkele maatregelen (kunnen) treffen.

Elke huppelk*t denkt iets van IT te weten tegenwoordig ...
omdat ze toevallig weten hoe ze een muis weten te bedienen
... een stukje software kunnen installeren ... helaas is
het aantal experts schaars, laat staan op het gebied van
security ...
28-02-2004, 23:07 door Anoniem
Door Anoniem
Stelling 1: De gebruiker is NOOIT onschuldig.
De gebruiker is te dom om schuldig te zijn :-)

Door Anoniem
Stelling 2: Indien stelling 1 niet waar is is de DIRECTIE
schuldig.
De directie is te dom om de gebruiker op te leiden (of
althans geld in te steken)
of een dergelijke reden

Door Anoniem
Stelling 3: indien stelling 2 onwaar is is stelling 1 waar.

De Ratio hierachter:
Als de Directie haar werk goed gedaan had, of laten doen
door terzake kundige IT'ers, dan wist de gebruiker wat
hij/zij in het gehele PROCES dat security heet al datgene
wat nodig is om het veilig te houden en wat de sancties zijn
bij overtredingen, ook door/namens de Directie.
Dus treedt automatisch punt 2 in werking.

Zo simpel is het eigenlijk, dat heet namelijk, continue
leren, controleren evalueren en controleren en implementeren
en controleren , en weer terug naar af...
ja ja, heel vervelend en lastig, en kan zelfs een hele berg
eurooskes kosten , maar ook weer besparen omdat veel minder
zaken mis gaan..
There is no logial explination for stupidity ;-)
28-02-2004, 23:09 door Anoniem
Door Anoniem
eens: hoe meer ze denken er verstand van te hebben des te
harder lopen ze
de boel te verneuken

True, true ... vooral die huis-tuin-en-keuken experts ...
die alleen bekend zijn met het reilen en zeilen van 1 OS (no
flame maar je weet wel welke) ... enz. En daardoor het
verkeerde beeld hebben hoe een computer nu werkt.
28-02-2004, 23:10 door Anoniem
Door Anoniem
Stelling klopt. Zeker wat beterft ICT personeel. Het
management en de afdeling HR/PZ is daarvoor verantwoordelijk:
Ik heb een paar jaartjes gefreelanced en in de regel is het
zo dat als je kop hun aanstaat je morgen kunt beginnen, met
admin-rechten. Geen achtergrond-check, geen referenties
opvragen, geen bewijs van goed gedrag, helemaal NIETS.

Als je maar weet hoe je IT moet spellen ;-)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.