Zwolle, 21 juli 2008
Het belang van informatiebeveiliging is bij de meeste organisaties wel bekend. Toch blijken zij in praktijk nog veel moeite te hebben met het treffen van de juiste maatregelen. Sincerus Consultancy benoemt de 10 meest voorkomende fouten die organisaties maken op het gebied van beveiliging.
1. Onvoldoende kennisVeel organisaties denken dat hun informatiebeveiliging op orde is, terwijl zij dit eigenlijk niet goed kunnen beoordelen. Informatiebeveiliging is een specialistisch vakgebied en daarom is het voor de meeste bedrijven ondoenlijk om deze kennis zelf diepgaand in huis te hebben. In het kader van kostenbesparing schakelen zij vaak niet de hulp in van externe deskundigen. De beveiliging blijft hierdoor gebrekkig, waardoor de kans op incidenten groter wordt.
2. Geen overkoepelend beleidSamenhang tussen de verschillende beveiligingsmaatregelen, richtlijnen en toezicht op het naleven van de afspraken zijn voorwaarden voor effectieve bescherming van informatie. Wanneer er geen duidelijk beleid is, blijft de beveiliging volledig afhankelijk van het eigen inzicht van beheerders. De beveiliging is hierdoor minder effectief.
3. Risico’s onduidelijkOm de juiste beslissingen te kunnen nemen, moet eerst bekend zijn wat de risico’s zijn. Beveiliging is maatwerk en hiervoor is een grondige analyse van de risico’s voor de primaire en secundaire bedrijfsprocessen cruciaal. Zonder deze kennis kan geen gedegen security architectuur worden uitgewerkt.
4. Infrastructuur wordt onvoldoende getoetst op technische kwetsbaarhedenVeel organisaties zijn van mening dat het voldoende is om eenmalig de IT-infrastructuur te testen op technische kwetsbaarheden. Doordat er steeds weer nieuwe bedreigingen zijn, blijft het belangrijk dat er regelmatig getoetst wordt.
5. Wel back-up, maar geen restore-testHet maken van back-up’s is bij de meeste organisaties goed geregeld, maar er wordt doorgaans geen restore-test uitgevoerd. Bedrijven komen er hierdoor vaak pas achter dat een back-up corrupt is, als ze hem ook daadwerkelijk nodig hebben.
6. Geen encryptie bij laptops en PDA’sLaptops en PDA’s zijn diefstalgevoelige apparaten die vaak ook vertrouwelijke bedrijfsgegevens bevatten. Het is daarom belangrijk dat er volledige disc-encryptie wordt toegepast. Alleen encryptie van een partitie biedt onvoldoende bescherming.
7. Autorisatieprocedure onduidelijkUitgifte van autorisatie is bij de meeste organisaties een goedlopend proces. Een nog belangrijker proces is het intrekken van autorisatie als medewerkers veranderen van functie of het bedrijf verlaten. Dit laatste is bij de meeste bedrijven niet goed ingericht.
8. Onvoldoende aandacht voor de medewerkersDe mens blijft de zwakste schakel in de informatieketen. De medewerkers moeten dus bewust worden gemaakt van hun rol in informatiebeveiliging.
9. Informatiebeveiliging ontbreekt op de agenda bij veranderprocessenIn het veranderproces zijn vaak geen criteria opgenomen om informatiebeveiliging te borgen. De security manager of een gedelegeerde zou eigenlijk permanent deel uit moeten maken van het Change Advisory Board (CAB).
10. Open ontwikkelomgevingOntwikkel-, test- en productieomgevingen moeten fysiek gescheiden worden. Het komt vaak voor dat er een verbinding tussen de omgevingen aanwezig is of erger nog, dat ontwikkeling en testen in de productieomgeving wordt uitgevoerd. Informatie die niet voor iedereen bestemd is, moet goed worden afgeschermd.
“Onze consultants zien veel verschillende organisaties, toch zijn er altijd een aantal problemen die zij steeds weer tegenkomen”, zegt Peter Westerveld van Sincerus Consultancy. “Bij informatiebeveiliging zijn halve maatregelen geen optie. Het is dus belangrijk om te weten hoe de organisatie er voor staat en welke maatregelen genomen moeten worden.”
BERICHT VOOR DE REDACTIE
Over Sincerus ConsultancySincerus Consultancy is een onafhankelijk consultancybedrijf op het gebied van informatiebeveiliging. De consultants van Sincerus helpen organisaties, ongeacht hun schaalgrootte of technische infrastructuur, bij het implementeren en borgen van het gewenste niveau van beveiliging door middel van analyses, advies, training en begeleiding. Daarbij gaat veel aandacht uit naar de menselijke factor, die vaak een cruciale rol speelt bij het ontstaan van beveiligingsincidenten. Sincerus Consultancy is volledig onafhankelijk en combineert diepgaande vakinhoudelijke expertise met een no-nonsense cultuur en korte organisatorische lijnen. Analyses en adviezen zijn daardoor altijd kort, krachtig, objectief en helder. Bezoek voor meer informatie:
www.sincerus.nl Voor verdere persinformatie, fotomateriaal of een interview kunt u contact opnemen met Rogier Heemskerk van LEWIS, Global Public Relations: Tel: +31 (0)40 235 46 00
E-mail:
rogierh@lewispr.com www.lewispr.com Voor verdere algemene informatie kunt u contact opnemen met Bert Heitink, algemeen directeur Sincerus Consultancy Tel: +31 (038) 452 98 29
E-mail:
bert.heitink@sincerus.nl