onbewust Archieven -

Organisaties zeer slecht voorbereid op cyberdiefstal

door Geen categorie

Organisaties zijn zeer slecht voorbereid als het gaat om een datalek of cyberdiefstal. Slechts 52% werkt met een gescheiden netwerk voor machines met gevoelige data, zo blijkt uit onderzoek van SpicyLemon, uitgevoerd door Webwereld.(bron)

Veelal kijken we met angst en beven naar de grote boze buitenwereld. Als de dood dat we getroffen worden door een aanval van de echte techneuten. Maar we vergeten nog vaak het “low hanging fruit”, zoals we dat zo mooi noemen.

Laten we er nu eerst eens voor zorgen dat we de normale zaakjes op orde hebben. Daarna kunnen we altijd nog focussen op een zware aanval (die we waarschijnlijk toch niet tegen kunnen houden). Daarbij moeten we niet alleen naar buiten kijken, maar juist ook naar binnen.

De grootste dreiging komt nog altijd van binnenuit. En dan niet eens altijd omdat het om moedwillige aanvallen gaat. Nee, we hebben te maken met gebruikers en dat zijn net mensen. En mensen maken fouten, zo simpel is het nu eenmaal.

Naast de onbewuste fouten komt het ook nog teveel voor dat de medewerker zich helemaal niet bewust is van zijn op handen zijnde fout. Hij heeft geen weet van de beveiligingsregels en als hij ze al kent dan weet hij niet hoe ze toegepast moeten worden terwijl hij gewoon zijn werk kan doen (daar wordt hij immers op afgerekend).

We hebben het natuurlijk al veel vaker aangehaald: het gaat om kennis, houding en gedrag. Dat is de ene kant, maar laten we vooral niet vergeten dat er ook nog een andere kant is: gewoon je werk doen. En ja, dan is beveiliging inderdaad vaak lastig.

Daarom moeten we vanuit beveiliging ook zo goed mogelijk kijken naar de “business”. Hoe kunnen we hen zo makkelijk mogelijk hun werk laten doen zonder dat we bijzondere risico’s lopen? Daar zouden we ons vanaf heden meer en meer op moeten richten. Beveiliging is ondersteunend aan de bedrijfsprocessen want zonder bedrijfsprocessen ook geen beveiliging.

Voordat we dus weer een nieuw stukje beleid schrijven, waarbij we mensen verbieden om zakelijke gegevens naar het privâˆšÂ© account te mailen of waarbij we het niet meer toestaan dat gegevens onversleuteld op een USB-stick worden opgeslagen, moeten we de wereld omdraaien. Vraag nu eens gewoon aan die gebruiker wat hij nodig heeft om het zo veilig mogelijk te doen.

Bij de vraag naar verbeterpunten op beveiligingsgebied, wordt door de verschillende deelnemers aangegeven dat met name de bewustwording bij eindgebruikers en bij de directie vergroot moeten worden. Ruim 37% wil regelmatig security audits door externe partijen gaan laten uitvoeren.

Het zijn net mensen…en daar kunnen wij best mee leren communiceren. Die beveiligingsaudits komen dan wel als we de basis geregeld hebben.

Functiescheiding in functiebeschrijvingen

door Geen categorie

Hadden we het eerder al kort over het belang van functiescheiding en het feit dat functiescheiding echt niet alleen belangrijk is voor het financiâˆšÂ´le domein. Hier gaan we kort in op het opnemen van de functiescheiding in de functiebeschrijvingen. Daarom de vraag:
Is de functiescheiding formeel in de functiebeschrijvingen vastgelegd?

Als we deze vraag willen beantwoorden moeten we dus eerst zicht krijgen op die functies en die activiteiten die we graag van elkaar willen scheiden om de risico’s beheersbaar te maken en te houden. We kijken daarbij ook naar de rechten die een medewerker heeft. Voor kleine organisaties allemaal nog wel inzichtelijk te maken omdat we man en paard bij naam kennen. Bij grotere organisaties wordt het al wat lastiger, we kennen niet iedereen bij naam en weten ook niet exact over welke rechten ze allemaal beschikken.

Natuurlijk kunnen we wel een uitdraai maken uit de systemen zodat we kunnen achterhalen welke rechten ze hebben. Maar welke algemene accounts zijn er allemaal en wie maakt daar gebruik van? Wellicht beschikken we maar over een algemeen admin-account waar alle beheerders gebruik van maken. Houden we dan nog zicht op de scheiding in verschillende taken en mogelijkheden?

Om dit te voorkomen moeten we de medewerker dus wijzen op de functiescheiding. We willen dat graag formaliseren en leggen dat vast in de functiebeschrijving. Hetgeen we beschrijven komt natuurlijk uit onze algemene analyse waarbij we duidelijk hebben welke functies we nooit willen of mogen combineren.

Daarnaast willen we de medewerker duidelijk maken dat als hij toch over rechten beschikt, die conform beleid niet gecombineerd mogen worden, hij vriendelijk doch dringend verzocht wordt hier melding van te maken (dit uiteraard bovenop de controles die we er zelf op uitvoeren). Ja zul je zeggen, dat is lekker, die medewerker gaat dat natuurlijk nooit melden, want daarmee beperkt hij zijn rechten. Klopt, helemaal waar. Maar er zijn ook medewerkers die wel van rechten af willen omdat ze niet per ongeluk het systeem op zijn kop willen gooien.

Eerder hebben we in de functieomschrijving of het beleid natuurlijk ook al opgenomen dat een ieder persoonlijk verantwoordelijk is voor wat er onder zijn of haar account gebeurt. Zou jij het risico willen lopen dat het netwerk plat gaat vanwege een virus op jouw werkplek omdat je toevallig over teveel rechten beschikt? Ik niet, hoe minder rechten ik heb, hoe beter dat voor de organisatie is…zeker om onbewuste fouten te voorkomen.

Dan hebben we natuurlijk nog de bewuste acties om het netwerk plat te leggen. Medewerkers die gefrustreerd raken, medewerkers die graag informatie willen lekken. Deze gaan inderdaad geen melding maken van het feit dat ze teveel rechten hebben, nee, sterker nog, ze zullen proberen steeds meer rechten te krijgen zodat ze “god worden op het netwerk”.

Het is onze taak om daarvoor periodieke controles in te richten. Wij moeten proberen te achterhalen welke rechten gecombineerd zijn om de risico’s te beperken. Geen makkelijke opgave en alleen maar moeilijker als de organisatie groter wordt. Maar niet iets dat we uit de weg moeten gaan. Begin eens klein (noem het steekproef), pak eens een afdeling en begin er mee. Lukt het? Kunnen we er een standaard proces van maken? Kunnen we de overzichten sowieso boven tafel krijgen? Daarna kunnen we altijd nog uitbreiden naar de hele organisatie, maar bedenk ook hierbij dat beveiliging een lijnverantwoordelijkheid is. Als het ons lukt om de lijnmanager de controles zelf uit te laten voeren dan zitten we dichter bij het vuur. Zij controleren en tekenen daarvoor, net als ze voor het contract van de medewerker hebben getekend.

Nalatigheid is belangrijkste oorzaak verlies persoonsgegevens

door Geen categorie

Nalatigheid en slordigheid bij medewerkers van bedrijven of partnerbedrijven zijn nog steeds de voornaamste oorzaken van het uitlekken van persoonsgegevens. In 41 procent van de onderzochte gevallen zou nalatigheid of slordigheid binnen een organisatie of bij een partnerbedrijf de oorzaak zijn geweest. Aanvallen van buitenaf door cybercriminelen zijn (met 31%) echter sterk in opkomst (bron).

Wederom een bevestiging van een feit dat binnen de beveiligingswereld al jaren bekend is. De grootste dreiging komt (nog) niet van buitenaf maar zit gewoon lekker achter zijn of haar buro en ontvangt er maandelijks nog een goed salaris voor ook. In dit geval wordt gesproken over nalatigheid en slordigheid, beide gevallen van onbewust handelen van de medewerker. Daarnaast moeten we ook zeker die medewerkers niet onderschatten die bewust informatie lekken, daar zit een veel grotere uitdaging.

Aangegeven wordt dat een van de oplossingen is om de medewerkers beter te trainen in de richtlijnen. Op zich natuurlijk een goed punt, daarmee kunnen we (als we het ook echt goed doen) nalatigheid en slordigheid deels voorkomen. Feit is wel dat we degene die het moedwillig en doelbewust doen hier niet mee tegen houden. Deze categorie is vele malen moeilijker in toom te houden. Hoe we dat dan wel kunnen doen? Ja, dat is een vraag die we zo 1, 2, 3 niet kunnen beantwoorden in concrete bewoording. We kunnen natuurlijk eens starten met een goed basis beveiligingsniveau. Veel organisaties besteden tonnen zo niet miljoenen aan beveiligingsmaatregelen zonder dat ze weten hoe goed ze nu eigenlijk beveiligd zijn. Is daar dan geen oplossing voor? Natuurlijk wel, sterker nog, ik heb hem in de vorm van een maturity scan gewoon voor je “op de plank” liggen. Een investering voor organisaties die snel is terug verdiend.

Gaan we even door op het terugverdienen van de investering dan komen de volgende onderzoeksgegevens goed van pas:
Volgens de onderzoekers kost een zaak waarbij persoonsgegevens worden buitgemaakt gemiddeld 7,2 miljoen dollar voor een Amerikaans bedrijf. Per gebruikersrecord zouden de kosten 214 dollar bedragen, tegenover 204 dollar een jaar daarvoor.

Uiteindelijk gaat het voor organisaties maar om drie hoofdpunten: omzet (verlies), kosten (verhoging) en imago (schade). Als we nu eens in die termen leren denken, dan wordt ineens duidelijk waarom we aan beveiliging zouden moeten doen en wat dat dan jaarlijks mag kosten. Ingewikkeld? Ehm, best wel, maar als we een aantal aannames doen dan kunnen we al een heel eind komen.

GeâˆšÃ˜nteresseerd? Mooi, dan hebben we er weer een volgeling bij. Laat het me weten en binnenkort leg ik het je uit tijdens een goede bak koffie.

Tag: onbewust

Organisaties zeer slecht voorbereid op cyberdiefstal

Functiescheiding in functiebeschrijvingen

Nalatigheid is belangrijkste oorzaak verlies persoonsgegevens

Contact gegevens

Zoeken