Categorie: Geen categorie

Betrokken directie is beste beveiliging

  door

De effectiefste en bovendien eenvoudigste manier om de informatiebeveiliging van organisaties te verhogen, is het verhogen van de betrokkenheid van de directie bij het informatiebeveiligingsbeleid. De directie of raad van bestuur bevindt zich als informatie-eigenaar namelijk in de beste positie om beveiligingsinvesteringen te kiezen die zijn afgestemd op het bedrijfsbeleid (bron).

Zo te lezen heb ik wederom een medestrijder gevonden om beveiliging beter op de kaart te zetten. Hij maakt een punt waar ik het volmondig mee eens ben. Ik predik dit zelf ook al jaren maar met hoe meer mensen we dit roepen hoe beter het is.

Vaak zien we onbegrip bij het management, er wordt niet de steun gegeven die we nodig hebben. Te vaak geven we het management hiervan de schuld, terwijl we ook eens in de spiegel moeten kijken. Beveiliging wordt vaak exotisch gehouden, we roepen allerlei technische risico’s en maatregelen en vinden het raar dat het management ons wat glazig aankijkt. Let op: zij spreken onze taal niet en dat moet ook niet van hen verwacht worden (ze hebben wel wat anders te doen). Nee wij moeten leren om hun taal te spreken. Wij moeten leren om te praten in business risks.

Een manager is niet geïnteresseerd in het nieuwste virus, hij is wel geïnteresseerd in de impact die het kan hebben op de bedrijfsprocessen of beter nog op de omzet.

Een manager is niet geïnteresseerd in de laatste algoritmes van de encryptie software, hij is wel geïnteresseerd in de impact die gestolen informatie kan hebben op het imago van de onderneming.

Een manager is niet geïnteresseerd in de sloten die we op de deur hebben gezet, hij is wel geïnteresseerd in de waarde van de goederen die gestolen kunnen worden bij een inbraak, en dan het liefst gewoon uitgedrukt in Euro’s.

Veel organisaties doen aan de verhoging van het beveiligingsbewustzijn van de medewerkers. Soms zie je goede programma’s, meestal zie je een postertje aan de wand die iedereen maar moet begrijpen. Niet alleen is er nog een wereld te winnen op het gebied van beveiligingsbewustzijn bij de medewerkers. Nee we moeten specifieke bewustzijnscampagnes richten op het management, in hun taal, kijkend naar hun scope waarbij we in gaan op de business risks.

Doen we dat op de juiste manier dan ontstaat er vanzelf een mate van bewustzijn bij dat topmanagement. We moeten stoppen met hen de schuld geven van het onbegrip en het ontbreken van steun. Het is onze taak om ze op de juiste wijze te bedienen, ze met de juiste woorden aan te spreken en het liefst de juiste management informatie systemen in te richten.

Het is niet makkelijk, dat heeft ook nooit iemand beweerd. Er is veel meer onder de zon dan de technische maatregelen op beveiligingsgebied. We hebben te maken met politiek en communicatie en dat zijn ingewikkelde aspecten.

Lullig: peepshow wordt man fataal

  door

Het is woensdag en om de week een beetje te breken vandaag maar eens een luchtig berichtje.

Een 35-jarige Amerikaan is dood aangetroffen in het hokje van een peepshow. De show is hem waarschijnlijk te veel geworden…Het hokje waarin het lichaam werd gevonden, was op slot en het levenloze lichaam vertoonde geen zichtbare tekenen van geweld…Op de bewakingsbeelden is te zien hoe de man om 20.30 uur de pornozaak betrad. Een paar uur later ontdekte de manager van de peepshow het lijk, waarna hij direct de politie alarmeerde. Er zal een autopsie worden uitgevoerd op het lichaam om de doodsoorzaak te achterhalen (bron).

Ja, wat moet je hier nu over schrijven? Laten we het er voor vandaag maar bij houden dat het knap lullig is.

Meldplicht voor datalekken in regeerakkoord

  door

Nederlandse bedrijven en overheden krijgen een meldplicht voor datalekken. Ook moeten zij het melden als zij misbruik van privégegevens hebben geconstateerd. Dat blijkt uit het donderdagmiddag gepresenteerde regeerakkoord. Als de meldplicht niet wordt nageleefd, mag de toezichthouder boetes uitdelen (bron).

Veel beveiligingsincidenten die we voorbij zien komen, komen uit Amerika of Engeland. Niet omdat daar zoveel meer gebeurt maar omdat dergelijke incidenten daar openbaar gemaakt moeten worden. Deze verplichting was er in Nederland nog niet, waardoor een berg incidenten in de afgelopen jaren onder de pet zijn gehouden. Met het nieuwe regeerakkoord lijkt zo’n verplichting er nu ook voor Nederland te komen.

Juich niet te vroeg want alles moet eerst nog uitgewerkt, goedgekeurd en ingeregeld worden. Maar we lijken een stap in de goede richting te zetten. Ja, klopt, ik ben er voorstander van. Ik hoef zeker niet alle details te weten maar hoor graag als mijn gegevens mogelijk zijn gecompromitteerd.

Hopelijk krijgt informatiebeveiliging hiermee ook meer de aandacht die het verdient. De Security Managers krijgen het een stuk drukker maar krijgen wellicht ook een luisterend oor bij het (top)management. Doen we het als organisatie niet goed dan komen we negatief in het nieuws, imagoschade is iets waar het management wel ontvankelijk voor is.

En voor dat we allerlei doemscenario’s gaan verkondigen. Dit legt ons als beveiligingsexperts ook een verplichting op, namelijk om professioneel advies te geven waarbij we reële risico’s en verwachtingen moeten toe passen.

Waarschijnlijk gaan we dezelfde weg in als met “compliance”. Eerst zorgen we dat we “security compliant” zijn (beter bekend als het afvinken van vinklijstjes) waarna we meer en meer zullen groeien naar “in control” zijn. Voor wat betreft compliance verlaten we nu zo’n beetje de eerste fase en gaan we toe naar beheersing, beveiliging zal daar achteraan lopen en het zal nog even duren voordat we de volgende fase bereiken. Maar ik ben positief gestemd, “in control” op het gebied van beveiliging, security management zoals het ooit bedoeld was, een professionalisering van het vakgebied.

De vlag hangt uit, een mijlpaal op beveiligingsgebied (voor de datalekken tenminste).

Regelmatig incidenten in ziekenhuizen

  door

Bijna de helft (46 procent) van de ziekenhuizen in Nederland heeft maandelijks of vaker te maken met een incident. Hierbij gaat het om incidenten als diefstal, verbale agressie en fysieke agressie…Dit blijkt uit onderzoek van Securitas onder ruim 350 werknemers uit verschillende ziekenhuizen. Bijna de helft van de ondervraagden geeft aan minimaal maandelijks te maken te hebben met een incident. Nog eens 42 procent zegt dat hun ziekenhuis meerdere keren per jaar te maken heeft met incidenten. De meeste incidenten vinden plaats op de spoedeisende hulp. De top vijf van meest voorkomende incidenten is:
1. diefstal
2. verbale agressie
3. fysieke agressie
4. inbraken op ongeoorloofde afdelingen
5. seksuele intimidatie
(bron)

Het is te hopen dat je binnenkort niet hoeft te worden opgenomen in een ziekenhuis want je bent je leven er niet zeker. Eerst wordt er ingebroken en worden jouw persoonlijke spullen uit je nachtkastje gestolen, vervolgens wordt je uitgescholden voor van alles en nog wat, waarna je klappen krijgt. Als laatste wordt je ook nog seksueel geïntimideerd waarna je met een nog half open wond naar huis wordt gestuurd om verder uit te zieken. We denken allemaal dat we naar huis worden gestuurd omdat het teveel geld kost om ons daar te houden, maar de echte reden is dat het thuis veel veiliger is dan in het ziekenhuis. Het is voor onze eigen bestwil.

Nou, een vooruitzicht waar je van opknapt, toch? En dan te bedenken dat er voor de ziekenhuizen de NEN7510 beveiligingsnorm is, kun je nagaan hoe het gesteld is met instellingen waar zo’n norm niet voor aanwezig is.

Er is blijkbaar nog genoeg te doen in de ziekenhuisbranche. Op zich een natuurlijk lastig te beveiligen sector want het zijn nu eenmaal open instellingen waar je snel naar binnen moet kunnen als je eerste hulp nodig hebt.

FBI wil backdoor in encryptie software

  door

Een leuke en interessante afsluiter voor deze week. De FBI wil een backdoor in encryptie software. Al jaren is bekend dat encryptie software die in Amerika (en/of wereldwijd) verkocht wordt een backdoor moet hebben, de gegevens moeten op de één of andere manier bekeken kunnen worden. Dat druist natuurlijk volledig in tegen het doel van encryptie: het versleutelen van gegevens zodat alleen de rechtmatige ontvanger de gegevens kan lezen.

Amerikaanse inlichtingendiensten willen het gehele internet kunnen afluisteren en pleiten daarom voor een backdoor in alle versleutelde communicatiediensten. Steeds meer communicatie vindt online plaats, bijvoorbeeld via diensten als Skype. De FBI beschikt echter niet over de mogelijkheden om deze gesprekken af te luisteren. Als het aan de inlichtingen- en opsporingsdiensten ligt, bouwen sociale netwerksites, Skype en andere online diensten een backdoor in die het mogelijk voor de Amerikaanse overheid maakt om al het verkeer te onderscheppen (bron).

Denken we dat de Nederlandse overheid meer en meer grip op de burgers wil krijgen dan moeten we de Amerikanen zeker niet uitvlakken. Eerlijk is eerlijk: ze komen er wel openlijk voor uit.

Barack Obama beschikt sinds kort over een knop waarmee hij het hele internet uit kan schakelen. Zal wel in de plaats gekomen zijn van de o zo bekende hotline. De FBI wil kunnen beschikken over alle gegevens die over het internet gaan zodat we weinig meer te verbergen hebben.

De charme van het internet gaat er zo wel een beetje af, vind je niet? Ach, we hebben geen keuze. Binnenkort kunnen de veiligheidsdiensten weer gewoon bij onze gegevens. Nu nog hopen dat de Amerikanen bereidt zijn om de backdoors met ons te delen, anders krijgen ze wel een erg grote voorsprong.

Ik denk dat het volgende verzoek van de FBI wordt om gaten te laten bestaan in de firewalls (voor zover die er nog niet inzitten) en de anti-virus pakketten (voor zover die er nog niet inzitten). Zo kunnen ze simpel onze harde schijf bekijken en ons met een virus infecteren als zij dat nodig vinden. De tijd van de stand-alone pc ligt alweer wat jaren achter ons en ook de meest geheime of kritische systemen zijn gewoon aangesloten op het internet, misschien is een stand-alone oplossing toch zo’n gek idee nog niet.

Dan had de Iraanse kernreactor gewoon lekker rustig door kunnen draaien (bron). Ga maar lekker slapen…

Wegwerkzaamheden leiden tot verlies detailhandel

  door

Wegwerkzaamheden leiden niet zelden tot omzetverlies in de detailhandel. Meer dan negentig procent van de winkeliers is ervan overtuigd dat opengebroken wegen, omleidingen en overlast door herrie en vuil ervoor zorgen dat klanten wegblijven…De belangrijkste klachten van winkeliers zijn omzetverlies, geïrriteerde bezoekers en het wegblijven van klanten. Belangrijkste oorzaken lijken de slechte toegankelijkheid, vuil, gevaarlijke situaties en geluidsoverlast te zijn (bron).

Vanuit risico management kijken we altijd naar de risico’s die een organisatie loopt. Daarbij moeten we de primaire processen in de gaten houden en als vertrekpunt nemen. Risico’s die zich richten op het primaire proces kunnen direct tot omzetverlies leiden. We moeten er rekening mee houden dat we alleen de risico’s kunnen beheersen waar we zelf invloed op uit kunnen oefenen. Voor die risico’s kunnen we maatregelen nemen om de kans op, de impact van of beide te beïnvloeden.

Als ondernemer kun je, ogenschijnlijk, weinig doen aan risico’s die door de omgeving gecreëerd worden en die impact hebben op jouw omzet. Aan wegwerkzaamheden bijvoorbeeld kun je als individu weinig doen, die worden je medegedeeld en je hebt er maar mee te leven (geloof me ik kan het weten, ik ervaar het iedere dag als ik in de file sta).

En ja ik schreef inderdaad ogenschijnlijk. Want je kunt aan een aantal risico’s in de omgeving best wat doen. Natuurlijk kun je die wegwerkzaamheden niet tegenhouden, maar dat is ook niet nodig. Het gaat er natuurlijk om dat de omzet gewaarborgd is. Je zou een 2de filiaal kunnen openen op een andere locatie, je kunt een internetwinkel beginnen, je kunt starten met een bezorgservice. Met een beetje creativiteit (en lef) kun je zo een risico in je voordeel ombuigen. Je waarborgt niet alleen je omzet maar maakt ook nog eens een groei door.

Risico management is een creatief proces met allerlei creatieve en innovatieve oplossingen, we moeten alleen leren om naar de echte oorzaken en gevolgen te kijken. De wegwerkzaamheden kunnen misschien als oorzaak gezien worden, maar de gevolgen in omzetverlies moeten we toch kunnen compenseren?

Dat is wat het vakgebied nu juist zo leuk maakt, je verlaat de gebaande paden en gaat op zoek naar nieuwe oplossingen om een risico te beperken.

Oh ja, om terug te komen op de file waar ik dagelijks in sta. Je zult denken dat ik daar dan ook zelf wat aan kan doen (ik kan bijvoorbeeld thuis werken of een andere opdracht dichterbij zoeken). Daar heb je helemaal gelijk in, daarom klaag ik ook niet (of bijna nooit) over die file want dat is mijn eigen keuze. De opdracht die ik doe, het resultaat dat ik hoop te bereiken is me meer waard dan de file. Ook dat is een risico-afweging. En als die wegwerkzaamheden ooit zijn afgerond, dan wordt het leven er alleen maar beter op.

Je bent gewaarschuwd: Cyberpiraten jagen via LinkedIn

  door

Mensen die op de sociale netwerksite LinkedIn ingeschreven staan, moeten op hun hoede zijn voor cybercriminelen die het op hun bankgegevens voorzien hebben…Volgens het Cisco worden leden van LinkedIn momenteel overstelpt met spammails…De e-mails bevatten een ‘boobytrap’. Als de ontvanger op de link in de mail klikt, wordt er automatisch kwaadaardige software gedownload, die bekend staat onder de naam ZeuS (bron).

Op zich niets nieuws natuurlijk. We ontvangen al jaren allerlei SPAM-mail waarin we op links kunnen klikken. Weten ze dan echt niet dat SPAM verboden is tegenwoordig, foei. Nee alle gekheid op een stokje, niks nieuws maar wel goed om continu onder de aandacht te brengen. Blijkbaar wordt er toch nog teveel op de links geklikt, anders stierf deze methode wel uit.

Het advies is gelukkig simpel: Het internetbedrijf adviseert gebruikers van LinkedIn om dergelijke e-mails te deleten.

Was het maar zo makkelijk. De kunst is natuurlijk om de SPAM te herkennen, mails van LinkedIn zien er allemaal hetzelfde uit en omdat je je hebt aangemeld voor allerlei groepen kan doorklikken toch weinig kwaad…ja dat zou je denken. De vertaalmachines op internet worden ook steeds beter, viste je vroeger SPAM er gemakkelijk uit omdat het vol spelfouten stond, ook daar kun je niet meer op vertrouwen.

Cybercrime wordt meer en meer gewoon goed waar we nog te weinig bij stil staan. Het is goed om daar continu bij stil te staan en onder de aandacht van de mensen te brengen.

Een ander bericht laat zien dat er kort geleden weer een groep criminelen is opgepakt die voor 7 miljoen van bankrekeningen heeft geplunderd. De Britse politie heeft in Londen negentien mensen aangehouden in verband met de diefstal van ruim zeven miljoen euro via ZeuS, kwaadaardige software die door cybercrimelen gebruikt is om in te breken op duizenden bankrekeningen (bron).

Geloof me, dit is het topje van de ijsberg. We weten niet hoeveel van dit soort groepen er zijn en hoeveel schade we lijden. De banken zullen hier meer zicht op hebben maar kunnen natuurlijk niet zoveel doen tegen de onwetendheid van de klanten. Wees dus huiverig bij het doorklikken en hou je rekening afschriften goed in de gaten, voor je het weet kun je opnieuw beginnen met sparen.

De politie moet een bekeuring krijgen…

  door

De controlerende macht (de politie) overtreedt de wet. Wie gaat de bekeuringen uitdelen?

Het College Bescherming Persoonsgegevens (CBP) concludeert na onderzoek dat de KLPD in strijd met de wet handelt bij het invoeren van politiegegevens van verdachten in het Europol Informatiesysteem (EIS)…Zo worden onvoldoende maatregelen getroffen om te waarborgen dat de politiegegevens juist en nauwkeurig zijn. Er is bijvoorbeeld geen controle of aan de opnamecriteria is voldaan..Daarnaast onderneemt het Korps landelijke politiediensten (KLPD) onvoldoende actie om ervoor te zorgen dat de gegevens worden verwijderd of vernietigd zodra zij niet langer noodzakelijk zijn of wanneer de wet eist dat de gegevens verwijderd worden (bron).

Je gaat er toch vanuit dat de overheid zorgvuldig met je gegevens omgaat. Ja ik weet het, daar zijn al vele discussies over gevoerd en al snel wordt gezegd dat wie niets te verbergen heeft ook niets te vrezen heeft. Ja ja, geloof me ik heb weinig te verbergen maar krijg steeds grotere rillingen als ik dit soort berichten lees. Meer en meer gegevens worden opgeslagen in systemen waar we geen zicht op hebben, we moeten er maar op vertrouwen dat de gegevens goed beveiligd zijn…niet dus. We krijgen een elektronisch patiëntendossier, de OV-chip wordt ons ook door de strot geduwd en de politie houdt ook nogal wat van ons bij. Combineer alle gegevens en je kunt een aardig profiel opmaken.

Juist bij een instantie als de politie ga je er toch vanuit dat het allemaal goed geregeld is. Dat ze de gegevens goed checken en dat ze verwijderd worden als ze niet meer nodig zijn. Het kan nogal een impact hebben als je onterecht in deze systemen voorkomt. Leg dat maar eens uit als je staande wordt gehouden. Een lastig verhaal en jij zit een nachtje op water en brood. Zeker als het een Europol systeem is, ik weet niet hoe goed bijvoorbeeld jouw Frans is, maar ik kan net een stokbrood bestellen en zeker niet uitleggen dat ik niet degene ben die in het systeem staat.

Was ik nog maar een keer 9

  door

Denken we niet allemaal wel eens met weemoed terug aan onze jonge jaren? Onbezonnen in het leven, geen zorgen en ach die basisschool was nou ook niet echt zwoegen. Maar zelfs de basisschool gaat met zijn tijd mee en wordt nog leuker voor de kids: was ik nog maar een keer 9, Andre Hazes had een vooruitziende blik.

Een game-ontwikkelaar heeft een programma gemaakt waarmee basisscholieren huiswerk via een soort Hyves kunnen doen…Via een website kunnen scholieren een profiel aanmaken en quizvragen beantwoorden over aardrijkskunde, taal, topografie, rekenen en geschiedenis…Met de antwoorden kunnen ze punten sparen voor bioscoopbonnen, beltegoed en proefabonnementen op tijdschriften. Ook is het mogelijk wedstrijdjes met andere leerlingen te doen (bron).

De volgende stap is natuurlijk een programma waarmee we ons werk kunnen doen in de vorm van een game. Dan is iedereen graag bereid tot overwerk. “Schat, kom je eten?”…”Nee ik moet nog even het volgende level halen, kom er zo aan”, mag jij nagaan wat er met de productiviteit gebeurd. We horen tegenwoordig meer en meer over het zogenaamde nieuwe werken of de 0.7-norm…wat daar nu in de praktijk zo nieuw aan is weet ik niet want we blijven op dezelfde manier werken alleen doen we dat nu van achter de eettafel. Veel managers rekenen nog steeds af op aanwezigheid en niet op resultaat (dat is inderdaad ingewikkelder want je moet dan de targets SMART maken).

Nee, het echte nieuwe werken zal meer en meer plaats moeten vinden in een virtuele wereld. Je maakt een avatar en kan aan de slag. Als we de voortgang van kinderen op de basisschool kunnen meten in de virtuele wereld dan moet dat in het bedrijfsleven ook kunnen. En de beloning? Die is niet in bioscoopbonnen of beltegoed maar in salaris. Zoveel rapporten opgeleverd is dus zoveel salaris verdient, besluit je een maandje minder hard te werken dan ontvang je ook minder salaris. Fair deal.

Een utopie? Ik denk het niet want het kan veel kosten besparen (en zijn we daar niet allemaal mee bezig, juist nu?), voorlopig zal er nog veel water door de Maas gaan maar echt innovatieve bedrijven kunnen er morgen mee beginnen. Een virtuele organisatie maken, combineren met opslag in de cloud en targets stellen voor je personeel.

Uiteraard brengt dit ook allerlei risico’s met zich mee en daar kom ik dan om de hoek kijken. Ik geloof er in en ben ervan overtuigd dat we ook van deze nieuwe werkwijze de risico’s kunnen beheersen. Welk bedrijf zet de eerste echte stap in de nieuwe richting?

Vertrouwelijke faxen justitie verkeerd terechtgekomen

  door

Een 75-jarige inwoner van Weert heeft naar eigen zeggen de afgelopen jaren bij herhaling faxen met vertrouwelijke informatie van justitie gekregen, die niet voor hem bestemd zijn. Daarin staan volgens de man privacygevoelige gegevens (bron).

We kunnen natuurlijk allerlei technische, ingewikkelde en dure beveiligingsoplossingen bedenken en implementeren, maar de mens is en blijft toch vaak de zwakste schakel. Even een nummertje verkeerd invoeren en de fax komt bij de verkeerde terecht.

Gelukkig een incident dat we niet vaak tegenkomen (denken we) en wat in de toekomst langzaam zal uitsterven. Wie stuurt er nog een fax (wees eerlijk, wanneer stuurde jij er voor het laatst één?) en wie heeft er nog een fax? Justitie heeft in dit geval natuurlijk pure pech, de kans dat je een fax verkeerd zendt, wordt steeds kleiner, er moet aan de andere kant maar net zo’n antiek apparaat hangen.

De vraag is natuurlijk met welke antieke instellingen Justitie nog zaken doet die niet over de email kunnen. Ben benieuwd, maar dat zal wel nooit duidelijk worden. Volgende keer toch maar gewoon email verzenden en dan wel eerst even checken of je de juiste adressen hebt ingevoerd.

Want als we terug gaan naar de basis dan is dit een risico dat steeds groter wordt. Meer en meer wordt er gecommuniceerd via de email, meer en meer berichten worden heen en weer gestuurd. De kans dat je een typefoutje maakt in een emailadres is groot en voor je het weet ligt heel je ziel en zaligheid op straat. Volgens mij mogen vertrouwelijke berichten binnen Justitie alleen gemaild worden als ze versleuteld zijn, dan wordt het risico al een stuk kleiner, maar blijkbaar geldt dit voor faxen (nog) niet.