Tag: risico’s

Massale mobiele spionage in 2012

  door

Laten we nog even doorgaan met de cyberspionage, die we gisteren aan ons lijstje hebben toegevoegd en waarvoor we al kort hebben nagedacht wat we daar tegen moeten en kunnen doen. Om je nog wat verder op weg te helpen gaan we nog wat dieper in op de mobiele spionage, die als onderdeel van de cyberspionage, aan ons lijstje wordt toegevoegd.

In 2012 zullen cybercriminelen op grote schaal Android-gebruikers aanvallen, waarbij de eerste mobiele Android-worm en Android-botnet een feit zullen worden, daarnaast worden mobieltjes massaal bespioneerd. Dat voorspelt het Russische anti-virusbedrijf Kaspersky Lab (bron).

Natuurlijk moeten we altijd in ons achterhoofd houden wie het onderzoek heeft uitgevoerd en wat de belangen voor dat bedrijf zijn. Niet dat het slecht is dat een bedrijf die zijn geld verdient met tegenmaatregelen een dergelijke statement naar buiten brengt, maar we moeten niet domweg de spullen kopen die zij aan ons willen slijten. Nee, we moeten in alle realiteit kijken wat de kans en de impact is voor ons. Daarna kunnen we pas bepalen welke tegenmaatregelen we willen nemen, is dat een maatregel die door het bedrijf (in dit geval Kaspersky) geleverd wordt, dan vind ik dat prima.

Lezen we het bericht nog verder dan gaat het met name om aanvallen op niet gepatchte machines en zogenaamde worms gericht op Android-machines. Zorgen we voor regelmatige updates dan verlagen we de kans al dat wij slachtoffer worden. Kijken we goed naar de apps die we installeren en slaan we bij twijfel nog even over, dan wordt de kans nog een stukje lager.

Kunnen we de kans dan niet helemaal uitsluiten? Nee, waarschijnlijk niet. De aanvallers zullen inspelen op de emotie van de gebruikers. We moeten dus niet alleen voor technische maatregelen zorgen maar we moeten de medewerkers ook bewust maken van de risico’s. Niet door simpelweg een poster op te hangen of een nieuwe e-learning omgeving in het leven te roepen, maar door echt te kijken naar: kennis, houding en gedrag. Een hele uitdaging, maar wel de moeite waard. Hiermee voorkomen we namelijk niet alleen aanvullen op Android-machines, maar verbeteren we de gehele beveiliging van ons bedrijf.

Cyberspionage en mobiele spionage zijn aan ons lijstje toegevoegd. We schatten de kans en de impact en kunnen vervolgens op zoek gaan naar de juiste set aan maatregelen voor ons bedrijf.

Informatiebeveiligingsplannen

  door

We hebben nu een basis beveiligingsniveau en voeren afzonderlijke risico analyses uit voor de verschillende systemen, de verschillende gebouwen, de processen, de projecten en alles waarbij we beveiliging in moeten bouwen. We willen deze informatie en onze keuzes niet verloren laten gaan en het mag ook niet bij een beperkt aantal mensen in het hoofd zitten. Nee, we moeten een aantal zaken vast gaan leggen.

De vraag die hierbij hoort is:
Zijn de beveiligingsmaatregelen per informatiesysteem vastgelegd in beveiligingsplannen?

Hoe een beveiligingsplan er exact uit komt te zien kan per organisatie verschillen. Wel kunnen we op centraal niveau onze eisen stellen aan dergelijke plannen. Wat willen we er minimaal in hebben, wie is er verantwoordelijk voor en welk format hanteren we. De basis voor het beveiligingsplan is het basis beveiligingsniveau aangevuld met de resultaten van onze risico analyse. We weten welke risico’s we lopen en hebben keuzes gemaakt voor de beheersingsmaatregelen die we willen treffen. Dergelijke zaken leggen we vast.

We leggen ze daarbij niet vast omdat we kasten vol met papier willen, maar omdat we in een later stadium na willen gaan waarom we sommige keuzes gemaakt hebben. Het kan immers best zo zijn dat we nu een keuze maken die logisch is, maar die over een poosje meer vragen dan antwoorden oproept.

Ook willen we voorkomen dat de aanpak die we hanteren en de maatregelen die we treffen alleen in het hoofd van een beperkt aantal functionarissen zit. Het risico is immers dat deze mensen ooit de organisatie verlaten en we blind worden voor de risico’s en de maatregelen.

Daarnaast kan het beveiligingsplan goed dienen als normenkader voor de auditors die komen controleren of onze aanpak echt zo goed is. Natuurlijk kunnen ze keuzes ter discussie stellen, maar dat is niet erg. Hebben we geen beveiligingsplan dan is het risico groot dat ze met een eigen normenkader aan de slag gaan en zelf keuzes maken. Het gevolg is dat wij de auditfindings aan de broek krijgen, terwijl we juist bewuste keuzes hadden gemaakt om risico’s te accepteren.

Het voordeel van beveiligingsplannen is dat we aantoonbaar kunnen maken dat we serieus met beveiliging (en risicomanagement) bezig zijn en dat onze keuzes ook in de toekomst nog terug te halen zijn. Gebruiken we de formats die op centraal niveau zijn vastgesteld dan ontstaat er herkenning van deze plannen en dat draagt weer bij aan het bewustzijn binnen de organisatie.

Natuurlijk heeft het ook een keerzijde. We kunnen gewezen worden op onze keuzes, doen we het niet conform onze plannen dan kunnen we daarop worden aangesproken. Maar draagt dit nu juist niet bij aan het volwassen worden van beveiliging binnen onze organisatie?

Risicoanalyse en risicomanagement

  door

Inmiddels beginnen we al aardig draagvlak te krijgen voor onze activiteiten, zowel het management begrijpt dat het niet gaat om al die vervelende maatregelen maar om het afdekken van risico’s. De auditafdeling is op onze hand en de banden met de concurrent hebben we ook aangehaald. Misschien gek dat we de vijfde vraag nu pas gaan beantwoorden…maar ja het zou veel gekker zijn als we de vijfde vraag als tweede vraag zouden hanteren, toch?

De vijfde vraag die we moeten stellen is:
Maakt risicoanalyse en risicomanagement standaard deel uit van de integrale beveiliging?

En het antwoord? Ja, nee of weten we het eigenlijk niet?

Het is deze week al eerder aan bod gekomen, maar het draait dus eigenlijk helemaal niet om al die afzonderlijke, dure, ingewikkelde, lastige beveiligingsmaatregelen? Nee, juist, het draait om het afdekken van de risico’s die we als organisatie lopen. Over risicomanagement kun je hele boeken vol schrijven, maar de discussie over wat het nu exact is gaan we hier voor het gemak even uit de weg. We willen immers door de bomen ook nog gewoon het bos blijven zien. Om het eenvoudig te houden onderscheiden we hier “operational risks” en “enterprise risks”.

De operationel risks zijn die risico’s waar de Security Manager zich druk over mag maken. Denk bijvoorbeeld aan risico’s als: brand, hacking, cracking, virusuitbraak, inbraak en ga zo nog maar even door. Allemaal heel spannend natuurlijk, maar dat is vaak niet wat het senior management wil horen of waar zij wakker van liggen.

Nee de directie ligt juist wakker van de enterprise risks. Die kunnen we verdelen in: omzet, kosten en imago die uiteindelijk leiden tot de winstgevendheid van de organisatie (ja, non-profit ligt iets anders, maar goed, je begrijpt de strekking). De kunst is dus om met onze operationele hoofdpijn…eh, sorry risico’s aansluiting te zoeken bij de enterprise risks. Lukt dat, dan is de kans groot dat de directie ons nog serieus gaat nemen ook…of met andere woorden: onze echte meerwaarde gaat inzien.

Omdat we de blogs kort willen houden gaat het hier echt te ver om de hele risicomanagementmethodieken te beschrijven. Maar een belangrijk punt wil ik jullie toch niet onthouden. Naast operational en enterprise risk moeten we ook nog een keuze maken in een kwantitatieve of kwalitatieve aanpak…waarbij de laatste mijn voorkeur heeft omdat statistieken op informatiebeveiligingsgebied nog vaak ontbreken.

In een kort stuk tekst zijn we met een sneltreinvaart over risicoanalyse en risicomanagement heen gevlogen. Eigenlijk is dat onmogelijk en doen we het gebied te kort, maar goed we kunnen voor nu even niet anders.. Wel zijn we daarmee weer een stap verder en gaan we op weg naar vraag 6. Maar uiteraard niet voordat we, puur vanuit vaderlands liefde, Koninginnedag hebben gevierd.

Nogmaals, voor diegene onder jullie die echt niet 10 dagen willen wachten, je kunt de quickscan zelf ook al doorlopen door hier te klikken of door me snel uit te nodigen voor die bak koffie.

Aandacht voor risico´s internet blijft nodig

  door

Na al die mails van gisteren van al die managers die kans willen maken op die promotie vandaag een bericht waarbij ik niet oproep om mij te mailen…honderden mails te gaan om al die managers te antwoorden en dus ook honderden bakken koffie te drinken de komende weken.

Nee, vandaag gaan we in op het gevaar van internet voor de kinderen.
Ruim 30 procent van de Europese jongeren tussen de 11 en de 16 jaar bespreekt op internet privézaken waarover ze in een persoonlijk gesprek zouden zwijgen. Aandacht voor de risico’s van internet voor kinderen blijft nodig (bron).

Een reëel risico voor de kinderen die tegenwoordig bijna allemaal, high speed, online zijn. Je leert je kinderen fietsen met zijwieltjes, daarna ga je langzaamaan proberen of ze het ook zonder kunnen. Zodra dat zo is, laat je ze ook niet alleen over de grote weg naar school fietsen. Nee, je zorgt ervoor dat ze veilig aan komen door met ze mee te fietsen. Het liefst fiets je met ze mee tot ze 18 zijn en hun rijbewijs hebben (om vervolgens naast ze in de auto te gaan zitten om te zien of ze wel veilig rijden). Maar…uiteindelijk, als je het echt vertrouwt, laat je ze los (en hoopt er het beste van).

Waarom worden kinderen op internet dan al zo snel los gelaten? we leren ze best nog even met zijwieltjes te internetten, we leren ze de basis. Maar voor je het weet surfen ze makkelijker over het internet dan jij ooit zult doen. De kinderen leren ons straks het nieuwste van het nieuwste.

Je kunt er natuurlijk allerlei pedagogische discussies op los laten, maar dat was ik niet van plan. Nee, feit is dat het internet risico’s met zich mee draagt. Net zoals je je kinderen leert fietsen moeten we ze ook leren wat het internet is. We leren ze bij het oversteken links en rechts kijken, net zoals we ze op internet zouden moeten leren om even beter te kijken voor ze oversteken.

We moeten ze niet weghouden van het internet, maar misschien moeten we ze net iets minder snel loslaten.

Smartphone goudmijn voor datadieven

  door

Het gebruik van smartphones neemt allerlei risico’s met zich mee…De voornaamste risico’s die ENISA noemt zijn het per ongeluk lekken van gevoelige gegevens, bijvoorbeeld via GPS-gegevens die aan afbeeldingen zijn gekoppeld. Een ander risico is datadiefstal door kwaadaardige applicaties en het verlies van het toestel. Verder moeten smartphone-gebruikers ook oppassen voor “Dialerware”, kwaadaardige software die ongeautoriseerde telefoongesprekken maakt. De laatste dreiging is een overbelasting van de netwerkinfrastructuur door smartphone-applicaties (bron)

Hoewel we nog druk bezig zijn met het bewust maken van organisaties over informatiebeveiliging op hun netwerken lijken ze nog niet erg doordrongen te zijn van de risico’s van smartphones. Iedereen een Blackberry of Iphone zodat we het nieuwe werken in kunnen voeren.

Erg leuk natuurlijk maar zoals ENISA aangeeft kleven daar toch een groot aantal risico’s aan. Wil ik dan zeggen dat we vooral niet met smartphones moeten werken? Nee, natuurlijk niet, we moeten ons alleen bewustzijn van de risico’s

Ik weet het nog goed, een jaar of 10 geleden zal het geweest zijn. De eerste telefoons met een camera kwamen op de markt en al snel was er geen telefoon meer te vinden zonder zo’n camera. Destijds werkte ik voor Defensie. Daar zaten we dan met ons beveiligingsbeleid, één van de regels was dat de organisatie geen telefoons met camera zou uitdelen en dat telefoons met camera’s in onze gebouwen verboden waren. Die regel was maar kort houdbaar, zullen we maar zeggen.

Maar met de smartphones kunnen we ook duidelijk maken dat de informatiebeveiliging is veranderd de afgelopen jaren (ja, ja wakker worden organisaties, die firewall is niet goed genoeg meer). Te vaak zien we nog dat een organisatie angstvallig kijkt naar de risico’s die van buiten komen. Zet een dikke firewall neer en de boefjes blijven wel buiten. Ook deze beleidsregel kan de koelkast in (hoewel nog weinig organisaties dit echt zien).

Waarom? Nou, oké, een korte toelichting: vroeger (wat klinkt dat goed) richtte je het netwerk in met één single point of entrance/connection of hoe we het ook willen noemen. Alles wat aan de boze buitenwereld gekoppeld was liep via onze firewall. Met smartphones, VPN-verbindingen, het nieuwe werken, Cloud computing en noem het maar op creëren we allerlei verbindingen met ons netwerk. Die ene firewall is niet genoeg meer omdat iedereen op ieder moment bij de data moet kunnen om zijn werk te doen. De smartphone op zich is dus een risico omdat die steeds meer gegevens bevat, maar juist ook de connectie met het netwerk draagt grote risico’s met zich mee.

Het is helemaal niet erg, als we ons er maar van bewust zijn. De komende jaren zullen we dan ook verschillende ontwikkelingen zien in de informatiebeveiliging. Enerzijds zullen we meer gaan denken in operational en enterprise risks (versus de huidig nog veel gehanteerde rule based benadering) maar anderzijds zullen we ook meer en meer de daadwerkelijke data moeten gaan beveiligen. Daarbij kunnen we best ons netwerk blijven beschermen, maar dat is niet genoeg meer, nee juist ook de content, de inhoud van de documenten en databases zullen we moeten gaan beschermen.

Ach, er is nog zoveel over te schrijven en nog zoveel te doen…dat ga ik vandaag in mijn blog ook niet allemaal oplossen. Ik kan alleen maar aanraden om verder te kijken dan je neus lang is (en oh ja, voor al die bedrijven die juist nu bezuinigen op beveiliging: pas op…je bent gewaarschuwd.)