Beveiligingnieuws Logo

Onze partners

Regio Control Veldt

CardAccess

Alphatronics

Kiwa

Seagate

SmartCell

DZ Technologies

BHVcertificaat.online

Alarm Meldnet

VideoGuard

VBN

Bydemes

ARAS

Akuvox

Lobeco

ADI

Gold-IP

SOBA

Multiwacht

Seris

Unii

Brivo

EAL

Aritech

Centurion

NIBHV

Bosch Security Systems

Sequrix

CSL

Crown Security Services

Network Optix

CDVI

HID

Service Centrale Nederland

OSEC

Trigion

Avigilon Alta

Optex

Genetec

IDIS

SMC Alarmcentrale

Traka ASSA ABLOY

VEB

20face

Securitas

HD Security

Advancis

Milestone

G4S

VVNL

Oribi ID Solutions

Top Security

Eizo

Connect Security

2N

Uniview

i-Pro

Paraat

Secusoft

PG Security Systems

Eagle Eye Networks

Explicate

ASSA ABLOY

NetworxConnect

SmartSD

ASIS

Hanwha Vision Europe

Paxton

Nenova

Add Secure

Ajax Systems

Masset Solutions

VAIBS

Dero Security Products

Hikvision

Kennisgebrek maakt organisaties kwetsbaar

22 juli 2008
Redactie
01:57

Het belang van informatiebeveiliging is bij de meeste organisaties wel bekend. Toch blijken zij in praktijk nog veel moeite te hebben met het treffen van de juiste maatregelen. Peter Westerveld van Sincerus Consultancy benoemt de 10 meest voorkomende fouten die organisaties maken op het gebied van beveiliging.

1. Onvoldoende kennis
Veel organisaties denken dat hun informatiebeveiliging op orde is, terwijl zij dit eigenlijk niet goed kunnen beoordelen. Informatiebeveiliging is een specialistisch vakgebied en daarom is het voor de meeste bedrijven ondoenlijk om deze kennis zelf diepgaand in huis te hebben. In het kader van kostenbesparing schakelen zij vaak niet de hulp in van externe deskundigen. De beveiliging blijft hierdoor gebrekkig, waardoor de kans op incidenten groter wordt.

2. Geen overkoepelend beleid
Samenhang tussen de verschillende beveiligingsmaatregelen, richtlijnen en toezicht op het naleven van de afspraken zijn voorwaarden voor effectieve bescherming van informatie. Wanneer er geen duidelijk beleid is, blijft de beveiliging volledig afhankelijk van het eigen inzicht van beheerders. De beveiliging is hierdoor minder effectief.

3. Risico’s onduidelijk
Om de juiste beslissingen te kunnen nemen, moet eerst bekend zijn wat de risico’s zijn. Beveiliging is maatwerk en hiervoor is een grondige analyse van de risico’s voor de primaire en secundaire bedrijfsprocessen cruciaal. Zonder deze kennis kan geen gedegen security architectuur worden uitgewerkt.

4. Infrastructuur wordt onvoldoende getoetst op technische kwetsbaarheden
Veel organisaties zijn van mening dat het voldoende is om eenmalig de IT-infrastructuur te testen op technische kwetsbaarheden. Doordat er steeds weer nieuwe bedreigingen zijn, blijft het belangrijk dat er regelmatig getoetst wordt.

5. Wel back-up, maar geen restore-test
Het maken van back-up’s is bij de meeste organisaties goed geregeld, maar er wordt doorgaans geen restore-test uitgevoerd. Bedrijven komen er hierdoor vaak pas achter dat een back-up corrupt is, als ze hem ook daadwerkelijk nodig hebben.

6. Geen encryptie bij laptops en PDA’s
Laptops en PDA’s zijn diefstalgevoelige apparaten die vaak ook vertrouwelijke bedrijfsgegevens bevatten. Het is daarom belangrijk dat er volledige disc-encryptie wordt toegepast. Alleen encryptie van een partitie biedt onvoldoende bescherming.

7. Autorisatieprocedure onduidelijk
Uitgifte van autorisatie is bij de meeste organisaties een goedlopend proces. Een nog belangrijker proces is het intrekken van autorisatie als medewerkers veranderen van functie of het bedrijf verlaten. Dit laatste is bij de meeste bedrijven niet goed ingericht.

8. Onvoldoende aandacht voor de medewerkers
De mens blijft de zwakste schakel in de informatieketen. De medewerkers moeten dus bewust worden gemaakt van hun rol in informatiebeveiliging.

9. Informatiebeveiliging ontbreekt op de agenda bij veranderprocessen
In het veranderproces zijn vaak geen criteria opgenomen om informatiebeveiliging te borgen. De security manager of een gedelegeerde zou eigenlijk permanent deel uit moeten maken van het Change Advisory Board (CAB).

10. Open ontwikkelomgeving
Ontwikkel-, test- en productieomgevingen moeten fysiek gescheiden worden. Het komt vaak voor dat er een verbinding tussen de omgevingen aanwezig is of erger nog, dat ontwikkeling en testen in de productieomgeving wordt uitgevoerd. Informatie die niet voor iedereen bestemd is, moet goed worden afgeschermd.

Beveiliging Gids: Sincerus Consultancy

Deel dit artikel via:

Schijn-zzp'ers

Premium partners

Aritech

Suricat

Seagate

Videoguard

SequriX

Wordt een partner