Opensource antecedentenonderzoeken

oktober 5, 2011 at 1:39 pm (Achtergrond, Oplossingen)

What has been seen cannot be unseen
http://knowyourmeme.com/memes/what-has-been-seen-cannot-be-unseen
Een antecedentenonderzoek is een onderzoek naar incidenten uit het verleden.
(bron: wikipedia: http://nl.wikipedia.org/wiki/Antecedentenonderzoek )

Inleiding

Voor een achtergrondonderzoek kun je kostbare recherchebureaus inhuren en ik raad je aan dat te doen als je dat nodig acht. Voor onderzoeken naar de betrouwbaarheid van de kandidaten in een sollicitatieprocedure kun je (als je geen ruim budget hebt) heel veel informatie zelf verzamelen of toetsen.

Voorwaarden

Voordat je een antecedentenonderzoek begint heb je de kandidaat expliciet toestemming gevraagd om dit onderzoek te mogen uitvoeren, of je hebt aan het begin van de procedure bekend gemaakt dat dit onderzoek deel uitmaakt van de sollicitatieprocedure. Dit maakt deel uit van de NVP sollicitatiecode.[1]

Een achtergrondonderzoek is een ander onderzoek dan een assessment waarbij wordt bekeken of iemand in een team past of voldoende (kennis)niveau heeft om een functie te kunnen vervullen. Bij een antecedentenonderzoek probeer je een beeld te vormen van de integriteit van de kandidaat om problemen in de toekomst te voorkomen. Uiteraard zul je zo’n onderzoek met de nodige zorgvuldigheid moeten uitvoeren, omdat er anders claims over discriminatie op je af kunnen komen.

Antecedentenonderzoeken voer je uit om te weten wat voor mensen je in huis haalt. Een achtergrondonderzoek hoef je niet voor alle sollicitanten uit te voeren. Je kunt je waarschijnlijk wel beperken tot de vertrouwensfuncties (systeem- en netwerkbeheer, medewerkers veiligheid en medewerkers HR), voorbeeldfuncties (management) en financiële functies (inkopers, controllers, medewerkers financiële administratie). Uitzonderingen op en toevoegingen aan dit rijtje zijn natuurlijk altijd mogelijk, maar geef jezelf er goed rekenschap van op welke gronden je besluit iemand uit dit rijtje niet aan een antecedentenonderzoek te onderwerpen.

Uitvoering

Deze onderzoeken kun je beginnen met het gebruik van zoekmachines en open bronnen (google, facebook, twitter, hyves, linkedin, e.d.). De kandidaat zal je eveneens aanknopingspunten geven voor een onderzoek, bijvoorbeeld zijn cv en andere door hemzelf aangeleverde informatie. Tot slot kun je gebruik maken van besloten bronnen, bijvoorbeeld door een recherchebureau in te huren.

Het doel van het onderzoek zou het valideren moeten zijn van de door de kandidaat aangeleverde informatie. Dat kun je doen door in het algemeen netjes en correct te handelen en bijvoorbeeld hoor en wederhoor toe te passen. In de praktijk is dat niet altijd even eenvoudig.

Een nadeel van het gebruik van social media als bron voor een antecedentenonderzoek is dat je veel meer informatie vindt dan wenselijk is in een sollicitatieprocedure. Omdat je toegang hebt tot de privésfeer van een persoon kun je kennis opdoen over de gezondheid, het seksuele leven en de geloofsovertuiging van een persoon. In relatie tot de functie waarop de kandidaat solliciteert kan het hebben van deze kennis ongewenst zijn. Een manier om dit dilemma te omzeilen is de volgende.

Laat de sollicitant een vragenformulier zo volledig mogelijk invullen (benadruk het belang van de volledigheid) en toets deze informatie. Gegevens die kunnen worden gevraagd zijn:

  • Ex-werkgevers de afgelopen 7 tot 10 jaar
  • Alle woonadressen de afgelopen 10 jaar
  • Eventuele veroordelingen en andere relevante informatie
  • Geboortedatum
  • Scholen en gevolgde opleidingen
  • Behaalde diploma’s
  • Laat de sollicitant het ingevulde formulier “naar waarheid en volledigheid” ondertekenen en expliciet akkoord gaan met een nader onderzoek

Stel een onderzoeker aan met de opdracht de geleverde informatie te valideren. Geef deze onderzoeker de opdracht mee om expliciet te kijken naar een aantal punten die negatief zouden zijn als zij worden aangetroffen (overmatig drankgebruik voor een voorbeeld functie, blijk geven van gokschulden of (online) pokerspeler op toernooien bij een financiële functie, en dergelijke) en geef eveneens een aantal pluspunten op waarnaar gezocht moet worden. Geef daarnaast aan welke informatie niet in het rapport mag worden opgenomen als deze wordt aangetroffen tijdens het onderzoek (eventuele ziektegeschiedenis, afkomst  en dergelijke, informatie die niet relevant is voor het goed vervullen van de functie). Laat de onderzoeker de informatie van het formulier controleren bij de opgegeven referenties (zelf de contactgegevens opzoeken) en zeker stellen dat er geen sprake is van een persoonsverwisseling.

Conclusie

Het doel van het onderzoek is zekerheid te verkrijgen over de waarachtigheid van het cv van de kandidaat, niet om te roeren in het privé leven van iemand anders. Uiteindelijk zal het rapport van de onderzoeker een bevestiging van aangetroffen positieve en/of negatieve punten bevatten, samen met een conclusie over de juistheid en volledigheid van de in het cv aangeleverde informatie. Laat de kandidaat de resultaten van het onderzoek zien en vraag eventueel om opheldering van onbegrepen zaken.

Tot slot

Blijf altijd correct en ga er vanuit dat de sollicitant te goeder trouw is. Het zou jammer zijn als een geschikte kandidaat zicht terugtrekt door een negatief gevoel als gevolg van een onhandig uitgevoerd achtergrondonderzoek.


[1] Paragraaf 5.1. www.nvp-plaza.nl/documents/doc/sollicitatiecode/sollicitatiecode-oktober-2009.pdf

Permalink 1 reactie

Data Loss Prevention, praktische maatregelen

januari 17, 2011 at 11:30 am (Achtergrond, Cloud computing, Oplossingen, Problemen) (, , , , , )

Waarom zou je aan Data Loss Prevention (DLP) doen, hoe kun je gegevens nu verliezen, hoe voorkom je dat en waar zitten de knelpunten.

Een doorsnede van de verhalen van leveranciers afgezet tegen de praktijk van een informatiebeveiliger.

Redenen om aan DLP te doen.

Er zijn verschillende redenen om maatregelen met betrekking tot DLP te treffen, maar die hangen af  van een aantal factoren. Als je organisatie aan de beurs genoteerd is heb je te maken met specifieke regelgeving. Afhankelijk van de aard van je bedrijf heb je mogelijk bedrijfsgeheimen die je liever voor jezelf houdt. Daarnaast heb je als organisatie een bepaalde verantwoordelijkheid tegenover je klanten, je aandeelhouders en je personeel. Een mooi woord daarvoor is ‘due diligence’, goed ondernemerschap.

Dataverlies

Een organisatie kan gegevens op veel verschillende manieren verliezen. Bij de meeste daarvan merk je het op zijn best als het al te laat is. Gegevens lekken op allerlei manieren uit je bedrijfsomgeving, door pc’s, laptops en werkstations uit het bedrijfsnetwerk die zijn besmet met kwaadaardige software.

Datadragers, zoals USB apparaten, mobiele apparaten (pda’s, telefoons, tablet pc’s, etc.), CD/DVD roms, backuptapes, oude en af te voeren hardware of papier kunnen allen vertrouwelijke informatie bevatten die niet buiten de organisatie bekend mag worden.

Je business partners (software ontwikkelaars, ondersteuners, onderaannemers) kunnen je gegevens kwijtraken, bijvoorbeeld door ontevreden werknemers in hun organisatie.

Je eigen medewerkers kunnen bedrijfsgeheimen op straat leggen door (te) veel informatie te delen via social media (Facebook, Hyves, LinkedIn, Twitter, Yammer, BrightIdea, etc.). Data die onbeschermd verstuurd wordt via Internet of traditionele post kan worden onderschept en in verkeerde handen komen.

Cloud computing providers (ASP en SAAS providers) kunnen configuratie fouten maken in hun software, te laat zijn met het doorvoeren van security updates, backup en restore procedures slecht uitvoeren waardoor je gegevens verloren kunnen gaan, zelf onvoldoende uitwijkmogelijkheden hebben waardoor bij een brand jouw gegevens verloren gaan, gegevens niet goed verwijderen van defecte hardware of failliet gaan waardoor je niet meer bij je gegevens kunt.

Tot slot loop je het risico dat informatie bij onbekende derden terecht komt als je werken op afstand (telewerken, het nieuwe werken) toestaat. Al met al genoeg mogelijkheden om als organisatie dataverlies te lijden. Gelukkig is voor een groot deel van deze bedreigingen tegenmaatregelen bedenken.

Tegenmaatregelen

De meeste maatregelen kun je eenvoudig zelf bedenken. Over het algemeen komt het er op neer dat je wat sterker gaat controleren op de naleving van de maatregelen die je al hebt. Een mooi woord hiervoor is governance. Denk daarbij aan het gecontroleerd uitvoeren van changes op de firewall, alle laptops voorzien van een volledig versleutelde harde schijf , beperking van de rechten tot het versturen van gegevens, (betere) afspraken met leveranciers, et cetera.

Om een echte stap voorwaarts te maken en de kans aanzienlijk te verkleinen dat geclassificeerde gegevens de bedrijfsomgeving verlaten, zul je je aandacht moeten richten op de gebruikers. Maak duidelijk welke belangen zij en de organisatie hebben om voorzichtig met vertrouwelijke informatie om te gaan. Geef aan wat de mogelijkheden zijn, welke gereedschappen hiervoor gebruikt kunnen worden en welke consequenties er zijn verbonden aan het niet nakomen van de afspraken. Train je personeel regelmatig in het gebruik van de middelen. Een voorbeeld hiervan is het opstellen van een bedrijfspolicy hoe om te gaan met social media (Facebook, LinkedIn, Hyves, Twitter en dergelijke).  Maak duidelijk dat de organisatie achter het gebruik op de juiste wijze staat.  Bied informatie en advies hoe om te gaan met social media in relatie met het werk.

Zorg voor tools waarmee data kan worden versleuteld voordat deze wordt verzonden. Regel in de ICT infrastructuur het logmanagement grondig in. Log niet alleen de noodzakelijke handelingen, maar controleer de logging op ongewenste activiteiten en neem zonodig gepaste maatregelen. Filter email- en internetverkeer (geautomatiseerd) op inhoud, bijvoorbeeld het gebruik van tevoren vastgestelde termen of zinsneden.

Maatregelen in de praktijk

Ga na of de tegenmaatregelen in verhouding zijn met de (bedrijfs)risico’s. Schaf eventueel een integrale DLP oplossing aan. Een dergelijk pakket software is aan te sluiten op de ICT infrastructuur en dekt de technische maatregelen af. Houd in het achterhoofd dat de menselijke factor met deze oplossing niet wordt meegenomen.

Maatregelen ter verhoging van het gebruikersbewustzijn bestaan uit trainingen en voorlichting over de genomen (zichtbare) maatregelen. Bied de gebruikers gereedschappen zoals winzip of winrar om beveiligde bestanden te kunnen maken.

Pas de contracten aan voor de afvoer van hardware en archiefvernietiging. Stel eisen inzake DLP aan cloud service providers en application service providers (SAAS / ASP).

Aandachtspunten

Als organisatie moet je niet de illusie hebben dat je hiermee verlies van gegevens totaal kunt voorkomen. Het achterlaten van een tas of koffer met dossiers in de trein sluit je niet uit.

Je kunt wel je gebruikers trainen en zorgen dat zij op een bewuste wijze met de bescherming van bedrijfsgegevens omgaan. Mocht zich een incident voordoen dan kan niemand zich beroepen op zijn onwetendheid.

Permalink Geef een reactie

Cloud Computing Risico’s en risicoreductie

november 24, 2010 at 11:11 am (Achtergrond, Beleid, Cloud computing, Oplossingen, Privacy, Problemen) (, , , , , , , , , , )

Inleiding

In dit overzicht staan de verschillende aandachtspunten rond Cloud Computing gegroepeerd rond het thema risico’s en risicoreductie. Doel van het overzicht is helderheid te verschaffen over de punten waar een organisatie aan moet denken als die structureel gebruik gaat maken van Cloud Computing.

Bronnen

Bronnen voor dit overzicht zijn onder meer informatie uit documentatie van ENISA, Berkely University en de Cloud Security Alliance.

Cloud Computing

In dit overzicht gebruik ik de volgende definitie van Cloud Computing.

De Cloud scheidt applicatie en informatiebronnen van de onderliggende structuur en de mechanismen om ze te leveren. Deze definitie beperkt zich hier tot Software as a Service (SaaS). Andere XaaS Cloud Computing vormen zijn hiermee uitgesloten van de beschouwingen in dit overzicht.

De overgang naar Cloud Computing gaat gepaard met emotie. Een organisatie geeft zijn data ‘weg’ aan een externe partij en wat overblijft is een gevoel van verlies van controle. Control wil zeggen dat er deugdelijke controles aanwezig zijn en dat hun effectiviteit bewezen is. De rationele component bij een overgang naar Cloud Computing regelt dat er contracten zijn met mantelovereenkomsten en SLA’s, dat de beveiliging ingebouwd is en dat verantwoordelijkheden worden overgedragen.

Business belangen

Cloud Computing komt niet uit de lucht vallen en het is geen IT speeltje maar de business belangen spelen een grote rol. Toch moet goed worden beoordeeld in hoeverre de business belangen niet worden belemmerd door de overgang naar de Cloud. Dat kan door de verschillende bedrijfsprocessen en de daarmee gepaard gaande informatie te beoordelen op geschiktheid voor Cloud Computing. Ruwweg zijn er drie vormen mogelijk: geschikt, na aanpassing geschikt en ongeschikt. Verder zijn er verschillende vormen van Cloud Computing mogelijk tussen de beide uitersten Private Cloud en Public Cloud, denk hierbij aan Private Cloud (intern of on site), Private Cloud (extern, inclusief dedicated of gedeelde infrastructuur), Hybride omgevingen, Community en Public Cloud. De organisatie moet eerst per bedrijfsproces of -applicatie bepalen of dit geschikt is voor de Cloud. Daarna volgt de vaststelling welk type Cloud het meest geschikt is.

Voor het bepalen in hoeverre een bedrijfsproces of –applicatie geschikt is voor de Cloud, is de beantwoording van de volgende vragen essentieel.

Lees de rest van dit artikel »

Permalink Geef een reactie

Opbouw van een autorisatiematrix

juli 30, 2010 at 3:48 pm (Achtergrond, Beleid, Oplossingen) (, , , , , )

Een bedrijf dat groot genoeg is om controle van de boeken te krijgen, met meerdere werknemers in dienst, heeft een autorisatiematrix nodig. Dit kan al een heel eenvoudig lijstje zijn:

Inboeken Uitboeken Factureren Accorderen Betalen
Jan V X X X V
Piet X V X X X
Kees X X V X X
Clara X X X V X

Het doel van een autorisatiematrix moet zijn inzicht te krijgen (en te houden) in de rollen die een medewerker heeft. Dit doe je bijvoorbeeld om mogelijke frauduleuze handelingen te voorkomen. Iemand zowel de rechten geven op het accorderen als het betalen van facturen vertoont grote gelijkenis met het verhaal van de vastgebonden kat op het spek.

In grotere organisaties geldt dat het moeilijk is om overzicht te houden over het aantal en de soort uitgegeven rechten. Door rechten aan rollen te koppelen knip je het probleem al in kleine stukken. Medewerkers kunnen een of meer rollen vervullen en hebben daardoor automatisch rechten. In de autorisatiematrix zorg je ervoor dat rollen geen conflicterende rechten hebben en dat rollen zelf niet met elkaar in conflict mogen zijn. Je houdt de autorisatiematrix alleen in stand als je er een goed beheerproces omheen bouwt.

Medewerkers veranderen van functie binnen een bedrijf, maar het komt zelden voor dat de rechten (autorisaties) van deze medewerkers worden aangepast. Een andere veel voorkomende bron van vervuiling is dat een nieuwe medewerker een kopie van het profiel van zijn voorganger krijgt. Zeker als deze voorganger een rijke historie binnen het bedrijf heeft, zal de nieuwe medewerker veel extra rechten krijgen die hij niet nodig heeft voor het uitvoeren van zijn functie.

De meest zekere methode om te voorkomen dat een medewerker teveel rechten heeft is om zijn rechten af te nemen als hij een nieuwe functie gaat vervullen. Daarna kunnen hem de rechten worden toegekend die bij zijn nieuwe functie horen.

Als je dit verder uitwerkt ben je al aardig op weg in de richting van een RBAC (Role Based Access Control) traject.

Permalink 1 reactie

CBP-SIOD: 1-0

juni 25, 2010 at 10:12 am (Achtergrond, Columns, Privacy) (, , , )

In 2009 heeft het College Bescherming Persoonsgegevens (CBP) een onderzoek verricht bij de Sociale Inlichtingen en Opsporings Dienst (SIOD), onderdeel van het ministerie van SZW. De SIOD doet onderzoek naar fraude onder uitkeringsgerechtigden en maakt hierbij gebruik van gekoppelde bestanden met persoonsgegevens. Bij het onderzoek van het CBP werd de nadruk gelegd op een aantal aspecten uit de Wet bescherming persoonsgegevens (Wbp). Het rapport is leesbaar en bevat relevante informatie over de wijze waarop het CBP het onderzoek heeft uitgevoerd. Datzelfde rapport laat enkele vragen onbeantwoord. Vandaar dat ik wat dieper inga op de onderzoekswijze en op zoek ga naar onbeantwoorde vragen.

Toen de SIOD begon met het inrichten van een organisatie en het opstellen van een onderzoeksmethode om uitkeringsfraude te herkennen hebben zij het CBP hierbij betrokken. Dit wekt de indruk dat de onderzoeksmethode de initiële goedkeuring heeft van het CBP.

Het CBP heeft de uitgangpunten in de documenten van de SIOD getoetst. Daarnaast heeft het CBP een of meer huisbezoeken afgelegd en medewerkers op verschillende locaties geïnterviewd. Het conceptrapport met de bevindingen is gedeeld met het ministerie van SZW en op basis van (toelichtende) antwoorden is de definitieve versie vastgesteld. Dit lijkt mij een correcte wijze van onderzoeken, waarbij ik er gemakshalve van uit ga dat het CBP zich netjes heeft gemeld bij de SIOD met een verzoek om interviews af te mogen nemen en niet in het geniep heeft gehandeld.

Bij het lezen van het rapport vroeg ik mij meteen af wat de aanleiding is geweest voor het onderzoek. Zelfs als dit is afgesproken in het voorgaande traject, dan zou je hier nog steeds een verwijzing naar deze afspraak verwachten.

De onderzoekers zijn diep in de door de SIOD toegepaste werkwijze gedoken. Wat ik niet aantrof is een beoordeling van de mate waarin het geoorloofd is dat bestanden (van uitkeringsgerechtigden, waterverbruik en kadastergegevens) worden gekoppeld. Tevens blijkt nergens dat er toestemming is van de in deze registraties opgenomen personen, of dat zij over de koppeling geïnformeerd zijn. In het rapport staat wel een bevinding dat men over de koppeling voor het SIOD onderzoek geïnformeerd had moeten worden. Mijn punt gaat echter over de bronbestanden, vóór de koppeling. Daar heeft het CBP een kans laten liggen.

Een andere vraag waar het CBP niet over schrijft heeft betrekking op de doelbinding, proportionaliteit en subsidiariteit. Is de schending van de privacy wel voldoende beperkt en waren er geen lichtere middelen mogelijk om kennelijke frauduleuze praktijken in beeld te brengen? Zelfs als dit in orde is dan nog was het een goed punt geweest van de onderzoekers van het CBP om dit mee te nemen in de rapportage.

Ik zie nieuwe mogelijkheden (en risico’s, afhankelijk van je standpunt) voor de “slimme” elektriciteitsmeters die op afstand kunnen worden uitgelezen. Wie zegt dat big brother SIOD niet meeleest?

Permalink Geef een reactie

Onzinnige IB maatregelen – akkoord voor inloggen

juni 22, 2010 at 10:51 am (Achtergrond, Beleid, Oplossingen) (, , , , , , )

In de serie onzinnige informatiebeveiligingsmaatregelen, vandaag het akkoord voor inloggen.

Enkele bedrijven hebben deze maatregel ingevoerd, waarbij je als gebruiker voor of na het inloggen akkoord moet gaan met de gedragscode op het netwerk. Dit is de digitale variant van het bordje “Verboden toegang, art. 461 W.v.Sr.”. Dat is tevens de zwakte van het systeem. Als je als organisatie hieraan begint, dan dien je er wel voor te zorgen dat je op alle digitale toegangen een dergelijk bordje zet. Anders kan iemand die zich toegang heeft verschaft via een onbekend kanaal stellen dat hij niet wist dat het niet mocht, er hing immers geen bordje.

Door aan gebruikerszijde deze melding te plaatsen laat je de gebruikers een of twee extra handelingen verrichten voordat zij op het netwerk zijn. Dit wordt al snel een routine, zonder dat de tekst wordt gelezen of begrepen. Dat komt het beveiligingsbewustzijn niet ten goede en is een verkeerde manier van toepassen van het informatiebeveiligingsbeleid.

Verder kun je je afvragen wanneer je de melding moet tonen, voor of na het inloggen. Voor het inloggen zou betekenen dat een gebruiker nog kan weigeren. Maar hij heeft een overeenkomst of opdracht, waarin al de zaken met betrekking tot beveiliging zijn geregeld. Niet accorderen is geen optie en de maatregel voegt niets toe. Na het inloggen tonen heeft evenmin een toegevoegde waarde, men is immers – logisch gezien – al binnen. Dat is het hetzelfde als een portier binnenzetten om ongewenste gasten buiten te houden.

Organisaties die iets met een akkoord verklaring willen doen kunnen dat beter regelen met algemene voorwaarden voor het gebruik van IT middelen. Door die jaarlijks te ondertekenen, bijvoorbeeld tijdens integriteitssessies of door het bij de beoordelingsgesprekken op de agenda te zetten, wordt eveneens voldaan aan het kenbaarheidsprincipe. “Ik wist het niet” is daarmee geneutraliseerd.

Gebruikers die zich regelmatig actief akkoord verklaren zijn zich daar veel meer van bewust dan degenen die dagelijks een vakje aanvinken en op OK klikken.

Permalink Geef een reactie

Draagplicht van toegangspassen

april 7, 2010 at 9:14 am (Achtergrond, Oplossingen, Problemen, Techniek) (, , , )

Regelmatig duikt de discussie op over de draagplicht van toegangspassen in een bedrijf of organisatie. Uitgangspunt hierbij is wel dat een organisatie deze passen al heeft en dat ze zijn voorzien van een pasfoto. Het voordeel van dergelijke passen is dat ze – mits regelmatig onderhouden – een goed intern identificatiemiddel vormen en vaak van meerdere functies zijn voorzien. De betaalfunctie (chipknip) is daar een voorbeeld van. Nadelen zijn er ook. Deze passen zijn verhoudingsgewijs duur en hebben een infrastructuur nodig om goed te kunnen werken. Daarbij moet er eveneens beheer worden uitgevoerd wat het nodige kost.

Een bedrijf dat besluit de draagplicht in te voeren voor toegangspassen wordt direct geconfronteerd met allerlei weerstanden. Veel mensen vinden of voelen dat zij in hun persoonlijke levenssfeer worden geraakt. Dat is een verzwarende factor bij de controle op naleving van het beleid.

De kans dat een dergelijke maatregel gaat werken is nog het grootst in een strak geleide hiërarchische organisatie waar men overwegend in bedrijfskleding loopt en werkt. Zelfs dan is zichtbaar commitment van het management nodig om van deze maatregel een succes te maken. De herkenbaarheid van bezoekers zal alleen goed werken als de draagplicht strikt gehandhaafd wordt. Natuurlijk moet bij het invoeren van deze maatregel nadrukkelijk gekeken worden naar de beoogde veiligheidsopbrengst. Het management en de afdeling informatiebeveiliging dienen goed in beeld te hebben wat er met deze zware maatregel beschermd moet worden.

Mocht een volledige draagplicht niet haalbaar zijn, dan zijn er enkele compenserende maatregelen mogelijk waardoor het vereiste beveiligingsniveau alsnog benaderd kan worden. Hierbij kun je denken aan het steeds begeleiden van bezoekers en het afschermen van ruimtes met (bijvoorbeeld) vertrouwelijke informatie. Deze ruimtes zijn dan niet te betreden met een bezoekerspas. Verder moet in alle ruimtes met vertrouwelijke informatie een cleandesk policy van kracht zijn, waardoor informatielekkage wordt bemoeilijkt. Om meelifters (piggy-backing) bij het betreden van een vertrouwelijke zone tegen te gaan kun je denken aan de invoering van mantraps of eenpersoons sluizen.

Voorkomen van misbruik van passen die toegang geven tot de vertrouwelijke zones is een ander fenomeen. Je kunt dit beheersen door aanvullende eisen te stellen aan de bezoeker. Bijvoorbeeld het vragen van een pincode of gebruikmaken van biometrische identificatie. Alweer, de kosten van de beveiliging moeten in balans zijn met de waarde van hetgeen beschermd wordt.

De sterkste maatregel die een organisatie in kan zetten wordt gevormd door het eigen personeel. Als iedereen het belang begrijpt van cleandesk, het begeleiden van bezoekers en onbekenden durft aan te spreken, dan is de kans op ongewenst bezoek het kleinst.

Daar kan geen draagplicht tegenop.

Permalink Geef een reactie

Need to know – nice to know

april 4, 2010 at 9:45 pm (Achtergrond, Oplossingen) (, , , )

Lang niet alle informatie binnen een bedrijf of organisatie is voor iedereen bestemd. Denk aan de personeelsdossiers, R&D afdeling of de financiële gegevens. Binnen applicaties, zoals een management informatiesysteem, geldt hetzelfde. Lang niet alle gegevens mogen of hoeven voor iedereen beschikbaar te zijn. Meestal is daar wel iets voor geregeld en hebben gebruikers een account met daaraan gekoppeld de rollen die bepalen waar iemand inzage heeft. In een iets betere situatie is aan die account een wachtwoord gekoppeld, zodat een aanvaller net wat meer informatie nodig heeft voordat hij bij de vertrouwelijke gegevens van de organisatie kan komen.

Bedrijven en organisaties die wat langer hebben nagedacht over gegevens en toegang beschikken over een autorisatiematrix. Hierin staan rollen, rechten en functies aangegeven. Uit dit schema moet blijken dat een gebruiker geen conflicterende rechten heeft, zoals zowel goedkeuringsrechten als betaalrechten voor facturen.

Het komt veel voor dat de autorisatiematrix bestaat en van origine goed is ingeregeld. Dat er later bij een audit negatieve bevindingen worden afgegeven heeft alles te maken met onvoldoende of geen beheer van de autorisatiematrix. Vaak gaat dit al fout doordat de accounts van vertrokken of overgeplaatste medewerkers niet worden verwijderd. Mensen die hun carrière binnen het bedrijf hebben gemaakt verzamelen in de loop van de tijd veel aanvullende rechten. Regelmatig komt het voor dat een nieuwe medewerker een kopie van de rechtenverzameling van zijn voorganger krijgt, zodat hij in ieder geval genoeg rechten heeft om zijn werk te kunnen doen. Nadeel van deze werkwijze is dat er binnen de kortste keren geen overzicht meer is van de rechtenstructuur. De autorisatiematrix is nutteloos geworden en de organisatie loopt risico’s bij zijn informatiebeheer.

Om de zaak weer in de hand te krijgen moet een onevenredig grote inspanning worden verricht. Eerst moet worden bepaald aan welke functies welke rollen moeten zijn gekoppeld, daarna moeten de rechten per rol worden vastgesteld en tot slot moeten de rechten en rollen door de beheerders worden toegekend. Als klap op de vuurpijl moet het beheer worden ingeregeld.

Deze werkzaamheden kan een organisatie voorkomen door een goed beheer van de autorisatiematrix, het tijdig verwijderen van overbodige accounts en het intrekken van rechten bij functiewijzigingen.

Zo gaat een organisatie met zijn informatiebeheer van nice to know naar need to know.

Permalink 1 reactie

Wordle – braindump van Informatiesec

maart 9, 2010 at 10:39 pm (Achtergrond, Techniek) ()

Wordle: Informatiesec.wordpress.com

Permalink Geef een reactie

Het waarom van wachtwoorden

maart 4, 2010 at 11:51 am (Achtergrond, Columns, Oplossingen) (, , , , )

Mensen zijn lui en houden niet van hindernissen. Wachtwoorden worden vaak beschouwd als een noodzakelijk kwaad. Je moet ze onthouden en als je ze vergeten bent moet je een procedure door om een nieuw wachtwoord te krijgen. Dat neemt niet weg dat wachtwoorden en gebruikersnamen (meestal komen ze samen voor) nuttig zijn bij het opwerpen van beveiligingsdrempels. Met een goed wachtwoordbeleid en voldoende begrip voor beveiliging bij de gebruikers is het mogelijk een serie drempels op te werken die onbekenden van buiten tegen kan houden.

Wachtwoorden dienen meerdere doelen. Samen met de gebruikersnaam geven ze een gebruiker van netwerkdiensten toegang tot diensten, zoals email, internet en (zakelijke) toepassingen. Wachtwoorden beschermen de waardevolle gegevens van een organisatie tegen pottenkijkers, of voorkomen dat iemand belangrijke gegevens aanpast.

Gebruikersnamen en wachtwoorden worden toegepast om medewerkers hun persoonlijke verantwoordelijkheid te laten nemen. Elke handeling in de ICT infrastructuur moet te koppelen zijn aan een account. Controle daarop maakt deel uit van het normale proces van in control zijn over de ICT omgeving en de daaraan verbonden informatiebeveiliging. Als het delen van accounts of wachtwoorden is toegestaan kunnen de medewerkers niet meer aansprakelijk worden gesteld. Het is immers niet meer helder wie verantwoordelijk is voor welke handelingen. Dat dit tot ongewenste situaties kan leiden mag duidelijk zijn.

Natuurlijk zijn er meer maatregelen te bedenken die vreemden de toegang tot het netwerk moeten ontzeggen. Deze vullen voornamelijk de hiaten, maar zijn geen vervanger voor het wachtwoord.

Permalink Geef een reactie

Next page »