Security Professionals - ipfw add deny all from eindgebruikers to any

Wat is beter, een shred-bin of een shredder?

10-11-2023, 10:35 door Anoniem, 7 reacties
Onlangs ben ik weer gevraagd om security reviews te checken op hun 'zijn ze nog recent'-heid..
Controle op de gebruikte software in de security vragen en absolute blunders eruit halen.

Bij 1 vroeg ik me ineens iets af, wat ik me ook niet kan herinneren uit andere security domeinen.

Wat is nu het juiste antwoord?

Vraag: Je hebt gevoelige informatie en wil deze vernietigen.

#1 je stopt het in de gesloten metalen container met brievenbus slot waarop staat 'gevoelige materialen, wordt geshred".
#2 je stop het zelf in de shredder met een papierbak eronder zonder slot

Wat is het juiste antwoord?

Ik kan me voorstellen dat een shredder zonder slot de papier shizzle gerecontrueerd kan worden, en bij de bin kan het slot geforceerd worden of de hele bin kan gestolen worden.
Wat is nu het juiste?
Reacties (7)
10-11-2023, 12:04 door Anoniem
2. Shredder als je formaat microsnippers hebt van het type C4 of hoger

Dat zijn geen snippers maar microdots met in de lengte iets van max 2.5 mm ofzo

Maar heb je een C1 of C2 snipperaar dan beter in de professionele ophaalservice bak
10-11-2023, 12:09 door MathFox - Bijgewerkt: 10-11-2023, 12:12
Stel je wel de goede vraag?

Zou je niet moeten vragen of de oplossing aan het vereiste beveiligingsniveau voldoet?

Mijn antwoord: beiden bieden een redelijk niveau en uit praktische overwegingen kan op bepaalde plekken voor #1 en op andere plekken voor #2 gekozen worden. (Bakken met slot werken beter bij grote volumes.)
10-11-2023, 12:18 door Anoniem
Het oorspronkelijke antwoord op de vraag was 'shredder', niet gesloten metalen container overigens...
Ik kan me alleen niet voorstellen dat een gevoelig iets niet kan verdwijnen uit een niet afgesloten papierbin van een shredder en wel bij een speciale container..

Een zin heb ik al wel gesaneerd.. in het artikel stond 'vroegah, kon je aan het HTTPS slotje zien dat je site veilig was'....
Dat is de grootste onzin die er is, de verbinding tussen de browser en de webserver is beveiligd, de server kan nog steeds hartstikke mallicious zijn.
10-11-2023, 12:36 door Anoniem
Ik heb een situatie meegemaakt met zo'n "brievenbuscontainer" met hangslot - bedoeld voor het afvoeren van vertrouwelijke documenten.

De sleutel zat altijd in dat hangslot zodat deze niet kwijtraakte.
10-11-2023, 12:43 door Anoniem
Door MathFox: Stel je wel de goede vraag?

Zou je niet moeten vragen of de oplossing aan het vereiste beveiligingsniveau voldoet?

Mijn antwoord: beiden bieden een redelijk niveau en uit praktische overwegingen kan op bepaalde plekken voor #1 en op andere plekken voor #2 gekozen worden. (Bakken met slot werken beter bij grote volumes.)

Inderdaad.

Er zal in de bijbehorende cursus beslist _iets_ gezegd over kwaliteiten en eisen aan shredders en documentvernietiging.

Ik _gok_ dat de afgesloten papierbak van een gecertificeerde vernietiger het gezochte antwoord is , met als reden dat

Gewone kantoorshredders wellicht geen 'cross cut' of micro-cut shredders zijn maar alleen maar lange repen maken, en dat dat niet altijd goed genoeg is.

Over het algemeen gaan dit soort antwoorden en het hele security beleid niet over mission-impossible fysieke inbraken met super lockpickers of geinfiltreerde archiefophalers die het papier re-routen langs de dichtbijzijnde KGB copy shop.

clean desk policies vinden 'afgesloten buro la' of 'afgesloten archiefkast' ook voldoende. De 'evil cleaner' cq langslopende bezoeker wordt niet geacht een CIA plant te zijn met alle tools en vaardigheden, maar slechts iemand die een 'opportunity' zou kunnen misbruiken als het te makkelijk voor de hand lag.
10-11-2023, 13:15 door Anoniem
Zonder nadere informatie over hoe de inhoud van de gesloten container verder verwerkt wordt zou ik ervoor kiezen om het zelf door de shredder te halen.
10-11-2023, 15:04 door Anoniem
Door Anoniem: Zonder nadere informatie over hoe de inhoud van de gesloten container verder verwerkt wordt zou ik ervoor kiezen om het zelf door de shredder te halen.

Zonder nadere informatie over de eisen aan de vernietiging en kwaliteit/specs van de 'shredder' die je van plan bent te gebruiken is dat waarschijnlijk de verkeerde keuze.

Als je 'gebruiker' bent van diensten is het antwoord eigenlijk altijd "hou je aan de aangegeven procedures van je werkgever/werkplek" .

En als je toevallig die procedures moet opstellen kun je dit soort vragen hebben - en dan stel je eisen aan de shredders of aan de container/archiefverwerker .
En geef je informatie aan gebruikers wanneer en hoe papier en andere datadragers vernietigd moeten worden.

Eigenlijk is er al iets verkeerd wanneer er twee opties zijn en blijkbaar ééntje niet altijd goed genoeg .
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.