Auteur:

Periodieke en onafhankelijke toetsing

  door

Inmiddels hebben we de beveiligingsorganisatie beschreven en weet iedereen wat zijn taken, bevoegdheden en verantwoordelijkheden zijn, toch? Dat is allemaal leuk en aardig, maar hoe weten we nu of het ook echt werkt? Vandaag gaan we verder in op de toetsing van de beveiligingsmaatregelen. We zijn daarmee aangekomen bij vraag 3.

De derde vraag die we moeten stellen is:
Worden de genomen beveiligingsmaatregelen periodiek door een onafhankelijke organisatie doorgelicht?

En het antwoord? Ja, nee of weten we het eigenlijk niet?

Het lijkt hier misschien of het gaat om de toetsing van de beveiligingsmaatregelen die we genomen hebben. Kijk, de firewall doet het want het rode lampje knippert. Maar daar gaat het in eerste instantie helemaal niet om. Nee, in eerste instantie willen we weten of de risico’s voldoende zijn afgedekt. Of, anders gezegd: of we wel de juiste set aan beveiligingsmaatregelen hebben genomen waarbij de risico’s altijd leidend zijn (theorie) of zouden moeten zijn (praktijk).

Enerzijds gaat het er dus om of we de juiste set aan beveiligingsmaatregelen hebben genomen, maar anderzijds willen we er ook zeker van zijn dat deze maatregelen ook echt werken. Leuk hoor, die firewall en ik zie inderdaad dat hij 230volt krijgt want het lampje knippert inderdaad, maar wat doet hij nu echt? Welk verkeer houdt hij nu werkelijk tegen en is dat verkeer dat naar binnen of juist naar buiten wil?

Bij het toetsen van de maatregelen (of noemt het auditen, het maakt mij niet zoveel uit, ik begrijp je toch wel) moeten we niet alleen kijken naar de bekende termen als: opzet, bestaan en werking, maar moeten we juist ook nadenken of we de risico’s wel echt afdekken.

Te vaak zien we nog dat binnen organisaties het auditinstrument misbruikt wordt. Oh nee, we hebben een aanbeveling of rode kaart aan de broek. Snel oplossen die handel anders komt mijn bonus in gevaar. Daarbij vergeten we nog wel eens dat de auditor met zijn aanbeveling waarschijnlijk een doel voor ogen had (een bepaald risico afdekken). Een goede auditor gaat het er niet zozeer om dat je zijn aanbeveling exact implementeert, nee, het gaat hem er om dat het risico acceptabel wordt of op het juiste niveau geaccepteerd wordt.

Een klein praktisch tipje: zie de auditor niet als vijand met een rood potlood, nee, ga met hem of haar in overleg welk risico er afgedekt moet worden. Auditors zijn ook mensen, echt, geloof me (nou ja, de meeste dan). Wacht overigens niet tot de “expire date”, want dan ben je te laat en kun je waarschijnlijk op weinig bijstand rekenen.

Zo, vandaag een klein lichtje laten schijnen op de audits. Als we de samenwerking met de auditafdeling aan kunnen gaan dan is er een grotere kans dat we ook echt beter beveiligd zijn. We zijn dus weer een stap verder en kunnen met een gerust hart op weg naar vraag 4.

Nogmaals, voor diegene onder jullie die echt niet 10 dagen willen wachten, je kunt de quickscan zelf ook al doorlopen door hier te klikken of door me snel uit te nodigen voor die bak koffie.

Taken, bevoegdheden en verantwoordelijkheden

  door

Zoal, al een beetje bekomen van de schrik dat je straks als beleidsmedewerker wordt gezien? Vandaag gaan we verder in op de organisatie achter informatiebeveiliging. We zijn daarmee aangekomen bij vraag 2.

De tweede vraag die we moeten stellen is:
Zijn de taken en verantwoordelijkheden op het gebied van integrale beveiliging eenduidig vastgelegd?

En het antwoord? Ja, nee of weten we het eigenlijk niet?

Er is veel onduidelijkheid over wie er nu eigenlijk verantwoordelijk is voor de beveiliging en vaak is het niet eenduidig vastgelegd. Is dat een aangewezen Security Manager of leggen we het als deeltaak weg bij een IT- of Facility Manager? De keuze is helemaal afhankelijk van de soort en omvang van de organisatie.

Een kleine organisatie hoeft misschien helemaal geen dedicated Security Manager te hebben. Maar dan wordt het wel een stuk belangrijker om de taken en bevoegdheden duidelijk bij iemand neer te leggen. Het liefst bij iemand die ook weet dat hij die taken en bevoegdheden heeft. We kunnen er niet zomaar vanuit gaan dat de IT-manager (als voorbeeld) wel snapt dat het bij zijn takenpakket hoort.

De verantwoordelijkheid is alweer een heel ander verhaal. Lijnmanagers denken nog wel eens dat de Security Manager verantwoordelijk is voor de beveiliging. Ja, dat klinkt misschien logisch, maar is het niet. We kunnen er vrij kort over zijn en voor iedere organisatie geldt hetzelfde: beveiliging is een lijnverantwoordelijkheid, de Security Manager reikt je slechts de tools en ondersteuning om jouw processen te beveiligen.

Ja, zul je (als lijnmanager) zeggen, dat is lekker, maar daar ga ik me toch echt niet verantwoordelijk voor voelen. Maar denk ook nog even na over wie er nu eigenlijk verantwoordelijk is voor de kwaliteit van het proces waar jij verantwoordelijk voor bent. Ben jij dat of vind je dat de Kwaliteitsmanager dat maar moet zijn?

Nee, we zullen toch echt moeten constateren dat jij als lijnmanager het voor het zeggen hebt voor de onder jouw verantwoordelijkheid vallen de processen. Daar is beveiliging gewoon een aspect van. Nu maar hopen dat je op een prettige wijze kunt samenwerken met de Security Manager. Als dat lukt, zijn we alweer een stap verder en dus op weg naar vraag 3.

Nogmaals, voor diegene onder jullie die echt niet 10 dagen willen wachten, je kunt de quickscan zelf ook al doorlopen door hier te klikken of door me snel uit te nodigen voor die bak koffie.

Beveiligingsbeleid en doelstellingen

  door

De komende 10 (werk)dagen gaan we het anders doen, we gaan nu eens niet in op recent nieuws maar we doorlopen stapsgewijs de vragen uit de quickscan die ingaan op informatiebeveiliging met daarbij steeds een korte toelichting. Aan de hand van deze 10 vragen is eenvoudig te bepalen of we extra aandacht aan informatiebeveiliging moeten besteden.

En voor de oplettende lezer, ja ik weet dat het vandaag pasen is en dat dit geen officiële werkdag is, maar beschouw de komende 10 blogs dan maar als paaskado van mij aan jou, en wat is er dan mooier om op tweede paasdag te beginnen met het uitpakken van je kado?

De eerste vraag die we moeten stellen is:
Is er een actueel integraal beveiligingsbeleid en zijn de doelstellingen die de organisatie heeft met integrale beveiliging vastgelegd?

En het antwoord? Ja, nee of weten we het eigenlijk niet?

Geloof het of niet, maar beveiliging begint toch echt met het opstellen van een beveiligingsbeleid en het afleiden van de beveiligingsdoelstellingen van de algemene doelstellingen van de organisatie. Beleid klinkt natuurlijk al heel snel als een dik pak papier dat in de kast staat te verstoffen en waar niemand naar om kijkt. Ja, helaas is dat inderdaad vaak het geval, maar het kan ook anders, echt, geloof me. Het opstellen van een beveiligingsbeleid hoeft niet saai te zijn, is het dat wel dan doe je dat helaas toch echt helemaal zelf.

De kunst is om de inrichting van je beveiliging aan te laten sluiten bij de missie, strategie en doelstellingen van de organisatie. Dat vraagt denkwerk en is een hele uitdaging. Dus niet, ik herhaal: dus niet, het overschrijven van de Code voor Informatiebeveiliging, maar juist de vertaalslag maken naar de specifieke eigenschappen van de organisatie.

Het overschrijven van de Code voor Informatiebeveiliging is een gemakkelijke opgave, het schrijven van een goed en gedragen informatiebeveiligingsbeleid is al een stuk lastiger. Waarom? Nou simpelweg omdat we dus aansluiting moeten vinden bij de aard van de organisatie…en dat is makkelijker gezegd dan gedaan.

Zoals beloofd ga ik de blogs kort houden. Er is nog zoveel meer over te vertellen, maar dat doe ik graag onder het genot van een bak koffie. Wil je meer weten? Dan hoor ik dat wel. Hop, morgen op naar vraag 2.

Oh ja, voor diegene onder jullie die echt niet 10 dagen willen wachten voordat hun paaskado is uitgepakt, je kunt de quickscan zelf ook al doorlopen door hier te klikken of door me snel uit te nodigen voor die bak koffie.

Mijnenjager vindt zeldzaam explosief

  door

De Nederlandse mijnenjager Hr. Ms. Willemstad heeft tijdens een oefening voor de Schotse kust opnieuw een echt explosief gevonden en opgeblazen. Het was een ruim 3 meter lange Duitse zeemijn met een explosieve lading van omgerekend 1100 kilo, meldt Defensie (bron).

Om het direct maar even in het juiste daglicht te plaatsen: nee, de Duitsers zijn niet de derde wereldoorlog begonnen, het betrof hier nog een mijn uit de tweede wereldoorlog. Onvoorstelbaar dat dergelijke mijnen zoveel jaar na dato nog gewoon op zee ronddobberen en enorme schade aan kunnen richten. Sterker nog: verbazingwekkend dat er niet eerder ongelukken met deze mijn zijn gebeurd.

Het nu geruimde explosief was een van de achttien mijnen die een Duitse onderzeeboot in oktober 1939 daar neerlegde. Drie ervan ontploften en vernielden Britse schepen, waarvan er twee zonken. De andere mijnen werden nooit gevonden. (ANP)

Blijkbaar dobberen er dus nog zo’n 15 van dergelijke mijnen rond. Die kunnen inmiddels natuurlijk de hele wereld over zijn gegaan maar onze jongens moeten blijkbaar nog even doorzoeken…oh nee, de laatste mijnenjagers zijn net wegbezuinigd.

Stel je voor dat je voor de Schotse kust schipbreuk lijdt. Drijft er ineens een 3 meter lang object voorbij waar je je goed aan vast kunt klampen om maar niet te verdrinken. Binnen een paar seconden wordt je afgevuurd en beland je alsnog op de kust van Schotland.

Voor alle reders in de wereld, als je dat nog niet had gedaan moet je nu dus ook het risico van mijnen toevoegen aan je risicolijstje. Heel benieuwd welke tegenmaatregelen je daarvoor gaat nemen.

Goed voorbeeld doet goed volgen

  door

Bij de arrestatie van een man in Eindhoven werd zijn 9-jarige zoon zo kwaad dat hij de agenten bedreigde met een mes (bron).

Dat doet ie anders nooit hoor. Ik hoor het de vader zo zeggen. Vraag is natuurlijk waar al die agressie nu toch vandaan komt? Leren ze het op school, spelen ze teveel computerspelletjes of kijken ze teveel actiefilms? Ach, vader is vast ook niet zo’n lieverdje: waarom zou hij anders gearresteerd worden?

Als we tegenwoordig al bang moeten zijn voor jongetjes van 9 dan zie ik het somber in voor de mensheid. Vroeger speelden we nog gewoon oorlogje, met geweren gemaakt van proppenbuis. Ja, geef het maar toe, dat deed jij ook. Tenzij je misschien een jong meisje was, maar dan heb je die vervelende gastjes met proppenbuizen vast ook wel eens gezien, namens ons allemaal bied ik collectief excuses aan.

Oorlogje spelen is er niet meer bij tegenwoordig, tenminste, niet meer buiten op straat. Als we nu al oorlogje spelen dan doen we dat het liefst 3D met een internetverbinding zodat we interactief bezig zijn. Dat vinden wij nu misschien wat vreemd, maar hoe denk je dat de ouderen er over dachten dat wij oorlogje speelden? Die zullen daar ook aan hebben moeten wennen.

Maar goed, we dwalen wel heel erg af. Feit is dat er blijkbaar in de hoofden van kinderen andere dingen omgaan dan in onze hoofden (of in ieder geval in die van mij). Kijken we terug naar een bericht eerder deze week waarbij een jong meisje werd gefouilleerd dan moeten we misschien toegeven dat de risico’s toch aan het veranderen zijn. En helaas zijn de brave kindertjes daar het slachtoffer van.

Vliegen via Franfurt is nu een stuk veiliger

  door

Een werknemer van de luchthaven van Frankfurt is vorige week op staande voet ontslagen nadat was gebleken dat hij kleine camera’s in twee damestoiletten op de luchthaven had geïnstalleerd (bron).

Op zich natuurlijk niet eens zo’n opmerkelijk bericht, we hebben het al vaker voorbij zien komen en het zal alleen nog maar toenemen. Dergelijke gadgets worden steeds goedkoper en zijn steeds makkelijker te bestellen via internet. Binnen een paar dagen heb je de spullen in huis en kun je naar lieve lust verborgen opnames maken. Misschien nog wel het meest opmerkelijk is dat het bericht geplaatst werd in het gedeelte dat Reiskrant genoemd wordt. Natuurlijk gaat het hier om vliegen en een vliegveld, maar de relatie met lekker op vakantie gaan kan ik zo even niet vinden.

Op zich is er geen hoger recherche werk aan te pas gekomen om deze man te achterhalen trouwens. De camera’s werden per toeval ontdekt…ja, dat kan gebeuren. That’s all in the game, zullen we maar zeggen. Maar om nu jezelf op te nemen is toch wel een beetje erg dom.
De man liep tien dagen geleden tegen de lamp toen een vrouw bij toeval een camera ontdekte. Toen de politie beelden van beveilingscamera’s op de luchthaven nader bekeek, was daarop de dader te zien tijdens het verstoppen van de camera’s.

Je ziet het overigens wel vaker dat daders gepakt worden omdat ze na hun daad hun buit etaleren. Foto’s op Facebook of Hyves, Tweets waarin wordt aangegeven dat ze weer een paar nieuwe fietsen in de aanbieding hebben en ga zo maar door.

Voorlopig zullen we het er maar op houden dat verborgen camera’s een steeds groter risico gaan vormen. Niet alleen omdat je mogelijk in een toilet gefilmd wordt, maar juist ook voor bedrijven. Hoeveel informatie gaat er niet op deze wijze de deur uit? Hoeveel vergaderkamers worden niet afgeluisterd? Komt niet voor? Ehm, think again, misschien goed om er toch maar eens een onderzoekje naar te doen.

De Belastingdienst…boeven zijn het

  door

De politie heeft vorige week een medewerker van de Belastingdienst Zuidwest aangehouden op verdenking van corruptie en overtreding van de Opiumwet. Een tweede belastingambtenaar wordt verdacht van overtreding van de Opiumwet. Hij is dinsdag eveneens aangehouden, maar inmiddels weer vrijgelaten (bron).

Het lijkt er op dat de bezuinigingen bij de Belastingdienst nu toch echt hun tol beginnen te eisen waardoor de ambtenaren naarstig op zoek zijn naar bijverdiensten. Ben natuurlijk ook benieuwd of ze de bijverdiensten netjes op hun formulieren hebben ingevuld, anders kan er nog een aanklacht voor belastingontduiking bij komen.

De ambtenaren zijn tijdens het onderzoek geschorst. Als ze terecht verdacht zijn, worden ze ontslagen. Dat lijkt me niet meer dan logisch, toch? Verder neem ik aan dat ze vervolgd zullen worden als inderdaad blijkt dat hun bijverdiensten in het zwarte circuit plaats hadden.

De Belastingdienst: leuker kunnen ze het niet maken…makkelijker wel. In het licht van bovenstaand bericht geeft dat toch ineens een heel andere invulling aan zo’n slogan.

Zo ziet een terrorist er dus uit…

  door

…althans, volgens de Amerikanen dan.

Altijd al gedacht dat terroristen mannen met lange baarden waren? Het lijkt er nu toch op dat we dit stereotype echt los moeten laten. Natuurlijk kun je terroristen niet herkennen aan de lengte van hun baard, dat zou het allemaal wel erg gemakkelijk maken.

Hoe gek het onderstaande filmpje ook mag lijken (en ja, natuurlijk denk ik er ook het mijne van), maar toch is in het verleden gebleken dat kinderen als koerier gebruikt werden voor drugstransporten. Voor zover ik weet en me kan herinneren nog niet voor terroristische aanslagen overigens (mocht je het filmpje niet direct zien dan even op “vernieuwen” klikken).

Toch blijft het schokkend om te zien dat zelfs onschuldige kinderen al met dit soort maatregelen geconfronteerd moeten worden. Overigens ben ik ook benieuwd of ze huisdieren die met je meevliegen ook zo goed controleren. De hokken waarin ze meevliegen waarschijnlijk wel, maar wat als jouw hond een bolletjesslikker blijkt te zijn…ben jij daar dan verantwoordelijk voor?

Ik wil natuurlijk niemand op ideeën brengen dus ik ga er vanuit dat bij twijfel ook huisdieren even door een scanner gaan ofzo. Maar mochten we in de toekomst zo’n incident tegenkomen dan zie ik de kop in de krant van wakker Nederland al voor me: “Drugshond vindt drugstransporthond”.

Fraude loont…tenzij je gepakt wordt

  door

Gisteren hadden we het er nog over dat je als fraudeur bereid moet zijn om onder een andere naam in een vaag Zuid Amerikaans land te gaan wonen. Jij hebt die zin gelezen en dacht: als de buit maar groot genoeg is dan lukt me dat wel.

Maar weet je dat echt zeker?
De politie in Nieuwegein heeft deze week de voortvluchtige fraudeur Daan B. aangehouden. Hij werd vorig jaar tot vier jaar cel veroordeeld vanwege zijn rol bij de miljoenenfraude met Golden Sun en Royal Dubai, maar was sindsdien spoorloos.

Hoeveel zou jij nodig hebben om te vluchten en nooit meer terug te keren? 1 miljoen, 10 miljoen of nog een beetje meer? En naar welk land zou je vluchten dan?

Daan B. (37) meldde zich spontaan op het politiebureau. Hij stond al ruim een jaar wereldwijd gesignaleerd, sinds hij net als vrijwel alle medeverdachten naar Thailand vluchtte. B., die naast zijn gevangenisstraf werd veroordeeld tot het terugbetalen van 14 miljoen euro aan enkele honderden gedupeerde beleggers, is direct vastgezet.

14 miljoen en een leuk optrekje in Thailand is niet genoeg. Maar kennen we het verhaal van Bernard Madoff nog? Die had zelfs aan 65 miljard nog niet genoeg.

Wist je overigens dat Madoff slechts op de 10de plaats staat van meest beruchte fraudeurs? Laten we het lijstje in vogelvlucht verder even aflopen:
9. Sheridan Cox: De zoon van een Engelse legerofficier lichtte investeerders voor £520 miljoen op door leegstaande beursgenoteerde bv’s op te kopen en de aandelen te verkopen.

8. Graham Halksworth: Halksworth probeerde voor maar liefst $2,5 biljoen aan obligaties te verzilveren die, volgens de man zelf, waren afgegeven door de Amerikaanse overheid tijdens de communistische revolutie in China.

7. Ramón Báez Figueroa: Hij werd veroordeeld voor de grootste witwaspraktijk in de Dominicaanse Republiek ooit, goed voor $2,2 miljard.

6. Bernard Ebbers: Na onderzoek van de Amerikaanse beurswaakhond SEC bleek de fraude $11 miljard groot te zijn.

5. Jerôme Kerviel: Kerviel was werkzaam voor de Franse bank Société Générale en bouwde een positie op van bijna €50 miljard.

4. Alves dos Reis: Hij liet documenten vervalsen, waarop hij het recht kreeg om 100 miljoen Portugese escudobiljetten te drukken. Dos Reis werd in bewaring gebracht, waar hij een Londense drukkerij wist te overtuigen om 200.000 biljetten van 500 escudo te drukken. Maar bedenk: het was pas 1920.

3. Nick Leeson: De aardbeving van Kobe op 17 januari 1995 betekende het einde voor Leeson’s handelingen, de Aziatische aandelenmarkten kelderden en het verlies liep op tot £1,4 miljard

2. Kenneth Lay: Met zijn Enron schreef hij bij elk contract de afgesproken prijs meteen bij als winst. Hierdoor leek het energiebedrijf gigantische omzetten te draaien, en investeerders stapten maar wat graag in.

Tromgeroffel…

1. Charles Ponzi: Hij beloofde beleggers enorme rendementen, die werden betaald van de inleg van nieuwe beleggers. Op het hoogtepunt, zo rond 1920, draaide Charles Ponzi een voor die tijd gigantische omzet van $250.000 per dag.

Fraude loont, tenzij je gepakt wordt.

Drank maakt meer kapot dan je lief is

  door

Als je barman bent, kan ik me nog voorstellen dat je de verleiding niet kunt weerstaan om zelf je beste klant te worden. Maar het overvallen van je eigen bar…het moet toch niet gekker worden. Maakt drank dan echt meer kapot dan je lief is?

De 32-jarige barkeeper die met twee klanten een overval pleegde op zijn eigen café in Stadskanaal is daarvoor door de rechtbank in Groningen veroordeeld tot een werkstraf van 240 uur (bron).

Los van het feit dat het misschien niet heel verstandig is om je eigen kroeg te overvallen (een typisch gevalletje interne fraude) slaat het helemaal nergens op als je dat met 2 anderen doet. Zo moet je de buit nog door drieën delen ook waardoor je er niet rijk van zult worden.

Laten we eens wat meer kijken naar dit soort zaken met interne betrokkenheid en de redenen daarachter. Die reden is overigens niet zo ingewikkeld: geldelijk/persoonlijk gewin. Wat dan wel weer vreemd is, is dat iemand een dergelijk groot risico wil lopen voor een relatief klein bedrag (in dit geval € 2450,-).

Hoewel ik natuurlijk betaald wordt om dit soort incidenten te voorkomen, is mij altijd duidelijk gemaakt dat als je dan toch besluit om het te doen, je het ook goed moet doen. Wat dat betekent? Nou, simpel: je moet een buit weten te bemachtigen die zo groot is dat je nooit meer hoeft te werken en je moet bereid zijn om de rest van je leven in een vaag Zuid Amerikaans land te wonen onder een andere naam.

Het grote voordeel bij fraudebestrijding is dat mensen een te kleine buit kiezen, te lang doorgaan met hun acties en niet bereid zijn om te emigreren. Grote kans dus dat veel fraudeurs op deze wijze tegen de lamp lopen. Geld is leuk, maar je moet er ook wat mee kunnen doen, anders heb je er niets aan. Verdien jij het minimumloon en besluit je een briljante fraude op te zetten…koop daar dan geen nieuwe auto van die niet past bij je salaris.

Wat we daarnaast zien is dat vanwege de briljante wijze van die fraude de fraudeur daar graag erkenning voor wil hebben. Grote kans dat hij ooit zijn mond voorbij praat.

Afsluitend kunnen we stellen dat zowel voor de organisatie als voor de fraudeurs risico analyse een ideale tool is. Schat de kans in dat het gebeurd of lukt en bepaal de impact daarvan. Als het de potentiële fraudeur lukt om objectief naar zijn risico inschatting te kijken dan zou hij wel eens kunnen bepalen dat het misschien toch niet loont.

Oh je wilt het graag wat concreter? Nou dat kan, we hebben genoeg gegevens. Deel de buit door 3 (€ 2450,- : 3 = € 817,-), kijk vervolgens naar de straf (240 uur). Delen we nu de buit door het aantal uren werkstraf dan komen we uit op een uurloon van: € 3,40. In 2010 was het minimumloon voor iemand tussen de 23 en 65 € 65,35 per dag en dus € 8,17 per uur. Vraag je nu nog eens af of deze fraude heeft geloond.