Feiten informatiebeveiliging

Enkele feiten omtrent informatiebeveiliging

Informatiebeveiliging is een voordurend compromis en spanningsveld tussen kosten, gebruikersgemak en geaccepteerde risico's. Er worden continue nieuwe risico's ontdekt. Een aantal feiten omtrent informatiebeveiliging:

  1. Gebruikersgemak en beveiliging zijn twee kampen die elkaar bestrijden en mogelijk zelf tegenstrijdig zijn. In de praktijk volgt vaak een compromis
    Voorbeeld: Toegang wordt verkregen middels een userid en password. In de praktijk zijn passwords eenvoudig te raden, ze worden opgeschreven op stikkers en aan anderen gegeven. Het afdwingen van een sterker password maakt de toegang tot systemen minder eenvoudig. Het gevolg meer verzoeken bij de helpdesk voor het resetten van een password.
  2. Beveiliging vormt meestal het sluitstuk op de begroting. Bij projecten is het vaak geen integraal onderdeel. Beveiliging is veelal niet zichtbaar, complex en heeft een (moeilijk te beoordelen) prijskaartje. Een goede inschatting van de te nemen beveiligingsmaatregelen voorkomt een security surprise achteraf.
  3. De kracht van uw beveiliging zit in de kracht van de zwakste schakels. 
    Voorbeeld: De technische voorzieningen zijn goed beschermd. Een thuiswerker zet zijn PC buiten met alle vertrouwlijke informatie.
  4. Een technologische beveiliging zonder borging in de organisatie staat gelijk als een kostbaar slot kopen met de vermelding dat de sleutel onder de mat ligt.
    Voorbeeld: Vaak denkt men dat een firewall voldoende is. Indien deze firewall niet  professioneel wordt beheerd, dan kan deze firewall tegen u gaan werken. De firewall geeft toegang aan onbevoegden. Veel geldt wordt uitgegeven aan password beveiliging. Gebruikers schrijven de passwords op een 3M papiertje en plakken deze op de computer.
  5. De eenvoud waarmee tegenwoordig netwerkkoppelingen kunnen worden gemaakt ontsluit op eenvoudige wijze het meest beveiligde netwerk of computersysteem.
    Voorbeeld: Met slechts één koppeling naar uw netwerk zonder dat u dit weet, zet u de deur helemaal open. Denk hierbij aan een modem, eigen WIFI netwerkje of remote access applicatie.
  6. Informatiebeveiliging wordt gelaagd opgezet. Een van de belangrijkste lagen is de fysieke gebouwbeveiliging met een passende toegangscontrole. Tegenwoordig hoeft men het gebouw niet meer in om bij de informatiesystemen te komen.
  7. Vertrouwen is de slechtste basis voor beveiliging en veiligheid. Mensen zijn over het algemeen bijzonder goed van vertrouwen. De wolf in schaapskleren kan veel teweegbrengen. Aardig is het boek over social engineering van Kevin Mitnick: The Art of Deception, Controlling the Human Element of Security.
  8. Informatiebeveiliging heeft een sterke operationele component. Men dient continue alert te zijn. Internet is een groot informatiefestijn voor het verkrijgen van actuele hacker informatie en de opzet van georganiseerde aanvallen.
    Voorbeeld: Het aantal beveiligingslekken dat met grote regelmaat wordt gerapporteerd. Deze beveiligingslekken dienen tijdig gedicht te worden. Dit bezorgt de IT afdeling een flinke dosis extra werk. In de praktijk worden deze gaten niet of nauwelijks gedicht.
  9. Een aanval vanuit de organisatie heeft het meest succes en hier wordt in relatie tot externe aanvallen nog onvoldoende aandacht aan gegeven.
    Voorbeeld: Beheerders, contractors, externen, IT hobbyisten zijn in principe alle een beveiligingsrisico. Eenmaal binnen, dan is het eenvoudig om "nuttige" informatie te verzamelen en deze te gebruiken.
  10. De systeem- en netwerkbeheerders zijn de poortwachters van uw ICT infrastructuur. Toch is hier veelal onvoldoende kennis en "awareness" omtrent informatiebeveiliging aanwezig. Er zijn binnen deze groep poortwachters twee kampen te onderscheiden. Het ene kamp denkt dat het wel goed zit met hier en daar nog een een paar aanpassinkjes te doen. Het andere kamp is zich bewust van de problematiek en zou direct naar een training gaan als zij in de gelegenheid werden gesteld.