17 september 2006 -
Onwetende of kwaadwillende werknemers vormen een enorm veiligheidsrisico's voor ondernemingen. Veel groter dan het gevaar van de hackende tiener waar ze wél goed op voorbereid zijn. Meer dan driekwart van de bedrijven heeft eens of vaker te maken gehad met ernstige veiligheidsproblemen van binnenuit. Meestal worden die problemen niet openbaar gemaakt.
Dit blijkt weer eens uit onderzoek van softwarespecialist ArcSight onder 461 IT- en securityspecialisten. Negen van de tien respondenten zet bedreigingen van binnenuit in de top drie van veiligheidsrisico's.
De helft van deze IT-medewerkers gelooft echter niet dat hun baas erg veel belang hecht aan deze dreiging. En omdat veel directeuren geen benul hebben van het gevaar van binnenuit, is het voor IT-managers moeilijk de benodigde middelen los te krijgen om dit effectief te bestrijden. Een van de redenen waarom managers hun kop in het zand steken is omdat ze niet graag onder ogen zien dat hun eigen personeel de onderneming schade wil berokkenen. IT-managers daarentegen hebben maar al te goed in de gaten dat gevoelige informatie voor steeds meer mensen toegankelijk is en steeds makkelijker te stelen is.
Verdacht gedrag De onderzoekers stellen voor dat IT-managers het risico in kaart brengen en detectiesystemen aanleggen, naast het nemen van traditionele maatregelen zoals het natrekken van nieuw personeel en het controleren van het e-mailgebruik. Dat laatste kan het IT-gebruik van medewerkers in de gaten houden, soms zelfs fysieke verplaatsingen vaststellen en verdacht gedrag aan het licht brengen. Weerstand Advocaten waarschuwen echter dat er rekening dient te worden gehouden met de privacy en dat personeel in ieder geval op de hoogte gebracht moet worden van de controles en dat die redelijk en noodzakelijk zijn. Ondernemingen moeten er bovendien rekening mee houden dat dergelijke maatregelen weerstand onder hun medewerkers op kunnen roepen.
Slordige reizigers Een ander gevaar, onlangs uitgelicht door IT-magazine IT Week, is de slordige zakenreiziger die zijn bedrijfslaptop en –mobiel laat slingeren op openbare plaatsen, zoals vliegvelden. Een kwart van de apparaten die ingeleverd werden bij de afdeling 'Gevonden voorwerpen' van Britse vliegvelden bleek niet beveiligd met encryptiesoftware of wachtwoorden.
Keer op keer blijkt uit onderzoek dat het eigen personeel een groot veiligheidsrisico vormt voor de onderneming. Het is dan ook vreemd dat er nog altijd veel ondernemingen zijn die onvoldoende maatregelen treffen om dit probleem aan te pakken.
Wat ik in dit bericht mis zijn de beveiligingsrisico’s die verbonden zijn aan het gebruik van draagbare opslagmedia op de werkvloer. Terwijl dit een cruciaal aspect is binnen de beveiliging van bedrijfsgegevens. Encryptie van vertrouwelijke gegevens op een laptop of USB-stick is één van de maatregelen die organisaties kunnen nemen om te voorkomen dat belangrijke bedrijfsinformatie in verkeerde handen terecht komt. Dit is echter niet voldoende. Ondernemingen moeten ook het gebruik van draagbare opslagmedia op de werkvloer beter beheren. Met behulp van een USB-stick kunnen bedrijfsgegevens eenvoudig worden meegenomen zonder dat iemand hier iets van merkt. Bovendien kunnen op deze manier virussen en malware op het bedrijfsnetwerk terecht komen.
Nu het gebruik van USB-sticks en iPods sterk toeneemt, moeten organisaties er alles aan doen om de gaten in de beveiliging te dichten. Centennial is van mening dat het zinloos is om draagbare opslagmedia op de werkvloer volledig te verbieden. Daarentegen kunnen organisaties wel software gebruiken om rechten toe te kennen op individueel niveau. Je bepaald dat wie er toegang heeft tot welke gegevens en of iemand zijn USB-stick kan aansluiten op het bedrijfsnetwerk. Dit in combinatie met een degelijk beveiligingsbeleid zorgt ervoor dat de risico’s tot een minimum beperkt worden.
