Gemeente.nu

Nieuws voor gemeenten

10 Mythes rond IT-beveiliging

door

Misvattingen en overdrijvingen tieren welig als het om beveiliging van informatie gaat.

Dat beweert Jay Heiser, vooraanstaand analist bij Gartner. Heiser destilleerde uit alle misvattingen en halve waarheden tien mythes die een belangrijke rol spelen in de discussie rond security van IT. Dagdromen en verantwoordelijkheden doorspelen is wat er vooral gebeurd.

1. Het gebeurt mij niet


Oorzaak: de hype over de risico’s zorgt voor gewenning, mensen geloven het wel. Daarnaast laten organisatie de werknemers te vrij in hun doen en laten onder het mom van kostenbesparingen.
Oplossing: Pak de verantwoordelijkheid rond security thema’s stevig beet. Een duidelijk (geclassificeerd) raamwerk kan daarbij helpen.

2. 10% van het IT-budget gaat op aan security


Oorzaak:
 de wens is de vader van de gedachte. Uit onderzoek blijkt dat het percentage eerder rond de 5% ligt.
Oplossing: het bewijs ligt in de cijfers. Uit de boekhouding zal blijken dat ook het percentage bij jouw gemeente ver onder de 10% ligt.

3. Security-risico’s kunnen worden gekwantificeerd


Oorzaak:
 Government by Excel. De illusie dat het hebben van veel data er voor zorgt dat je de problemen kan beheersen
Oplossing: IT-ers moeten duidelijker voor ogen hebben wat wel en wat niet kan worden gekwantificeerd. Omschrijf de risico’s op een niet cijfermatige wijze en zorg ervoor dat binnen alle geledingen van de organisatie eigenaarschap ontstaat over relevante IT-risico’s.

4. Wij hebben fysieke beveiliging, dus onze gegevens zijn veilig


Oorzaak:
 Weer een geval van dat de wens de vader van de gedachte is. Risico’s worden nauwelijks begrepen.
Oplossing: Verschillende data vereisen een verschillend niveau van beveiliging. Houdt dat in de gaten bij de aanschaf van beveiliging.

5. Tijdelijke en complexe wachtwoorden verlagen het risico


Oorzaak:
 Laksheid veroorzaakt een vals gevoel voor veiligheid. Heiser: “Passwords are not cracked, they’re sniffed”
Oplossing: die is voor wachtwoorden niet. Wel kan je medewerkers opvoeden, zodat zij ‘meer intelligente’ wachtwoorden gebruiken.

6. Goede beveiliging is verzekerd als de verantwoordelijkheid buiten IT ligt


Oorzaak:
 Een oud adagium dat problemen bijna vanzelf oplossen door ze herschikken of reorganisaties. Problemen worden doorgeschoven.
Oplossing: Benoem en analyseer de kern van de zwakheden in het systeem van beveiliging.

7. Het beleid rond security is het probleem van de CIO


Oorzaak: Doorgeven van hete aardappels. Alle druk ligt op de schouders van de CIO, maar ondertussen wil niemand dat hij verteld hoe anderen hun werk moeten doen.
Oplossing: Maak security onderdeel van de bedrijfscultuur.

8. Koop je uit de problemen met de aanschaf een bepaalde tool


Oorzaak:
 De externe zoektocht naar toveroplossingen voor complexe problemen. Wishful thinking
Oplossing: Grondige risico-analyse en stel heldere prioriteiten. Stel een meer jaren beveiligingsplan op.

9. Implementeer beleid, en klaar


Oorzaak:
 dagdromerij
Oplossing: Maak het management verantwoordelijk en ‘pick your battles’

10. Encryptie is de beste beveiliging voor gevoelige data


Oorzaak:
 de zoektocht naar de Heilige graal. Encryptie kan heel goed werken maar richt meestal meer schade aan. De verwachtingen zijn naïef hoog van deze complexe technologie. Wordt te vaak ook toegepast voor eenvoudig te beheersen problemen.
Oplossing: Expertise. Voordat je grote beslissingen neemt, wees er zeker van dat je ruime ervaring en kennis met cryptografie in huis hebt.

Tagged With: Filed Under: Cybersecurity

Reader Interactions

GERELATEERD

Hacker komt moeiteloos in systemen Arnhem

De beveiliging van computersystemen die de gemeente Arnhem gebruikt is zo lek als een mandje. Een ingehuurde hacker verkreeg heel gemakkelijk de rechten van een systeembeheerder en kon zo alle privacygevoelige informatie van burgers, ambtenaren en zelfs burgemeester en wethouders bewerken. Volgens de gemeentelijke rekenkamer zijn ‘feitelijk alle kernprocessen in Arnhem toegankelijk en manipuleerbaar’, staat... lees verder

‘Security awareness kan altijd nog een stapje beter’

Binnen overheidsorganisaties is een bewuste omgang met de persoonsgegevens van burgers een vanzelfsprekendheid. “Richtlijnen vanuit de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) en de Algemene Verordening Gegevensbescherming (AVG) leggen daar nog eens extra de nadruk op”, stelt Kaj Siekman, Chief Information Security Officer bij de gemeente Utrecht. Hoe zet deze gemeente met circa 4000 medewerkers ‘security... lees verder

Rotterdam zet steviger in op ict-beveiliging

De gemeente Rotterdam gaat structureel het ict-budget verhogen voor een verbetering van de security van het eigen ict-netwerk. Vorig jaar werd duidelijk uit een rapport van de Rekenkamer dat de digitale beveiliging van de Rotterdamse gemeente gemakkelijk te hacken was, meldt Computable. Momenteel heeft Rotterdam jaarlijks een budget van 118 miljoen euro voor ict, waarvan... lees verder

Comments (2)

  1. robkoch says

    Bij Security spelen 3 belangrijke ‘pijlers’ in een organisatie een rol: de mens, de processen en de techniek. Mensen dienen bewust gemaakt te worden van de risico’s en gevaren bij het werken met informatie systemen. Dit kan bijvoorbeeld gebeuren door Security Awareness Training, het toepassen van goede communicatie op het gebied van Security. De techniek omhelst de meer technische zaken, zoals Firewalls, Intrusion detection systemen, Authentication, Access Management. Maar ook de inrichting en configuratie van de netwerken en systemen, etc. Het laten controleren van de security van applicaties en websites hoort ook in dit rijtje. Als laatste de processen. Hierbij gaat het om het juist inrichten van beleid en organisatie (Voldoen aan wet- en regelgeving), inrichting helpdesk, Patch management (ervoor zorgen dat iedereen op de laatste versies werkt van de gebruikte software), etc. Als laatste wil ik graag nog vermelden dat websites tegenwoordig een zeer groot isico vormen voor bedrijven. 75% van de hacks worden tegenwoordig uitgevoerd via de websites van organisaties. Onderzoek wijst uit dat 80% van de websites minimaal 1 kwetsbaarheid bevat die door hackers misbruikt kan worden om in te breken. Het laten controleren van de security van websites is dus KEY tegenwoordig. Met vragen over Security en in het bijzonder de security van applicaties en websites zijn wij voor u altijd bereikbaar. Met vriendelijke groet, Rob Koch (Sebyde BV) http://www.sebyde.nl

    Beantwoorden

  2. corne says

    beste redactie,

    Gebruik altijd even de spellingscontrole voor publicatie. Helaas is de inhoud van het artikel niet veel beter.

    Beantwoorden

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.