085-833 2040

Heibel achteraf en het menselijk gedrag

Heibel Achteraf

Ik las afgelopen week een interessant artikel:  Former ITAdmin Accused of Leaving Backdoor Account, AccessingIt 700+ Times.

Is het jou wel eens overkomen? Je doet alles wat je kan, om je systemen en netwerken te beschermen tegen ongewenste bezoekers. Ik heb lang geleden al geleerd dat je er beter vanuit kunt gaan, dat ongewenste bezoekers al in je netwerk zitten, de vraag moet ook eigenlijk zijn: ”Hoe kan ik er voor zorgen dat deze zo min mogelijk schade veroorzaken of (privacy gevoelige) informatie kunnen stelen”.

Maar goed, even terug naar het begin. Je doet alles en toch… men komt binnen. Los van de hacks die je netwerk kan ondervinden, moet je het ze niet te gemakkelijk maken. Het is in ieder geval wel erg dom om geen check te doen op je usernames en passwords, als de beheerder daarvan de organisatie (soms tegen zijn zin) verlaat.

Dit gebeurt veel vaker dan je denkt. Helaas. Veiligheid van systemen is een continu proces en waakzaamheid is zeker geboden als een van je beheerders of beveiligers de organisatie gedag zegt. Deze heeft vaak cruciale informatie. Hier gaat het dus weer om bewustwording.

Human Behavior

De sleutel tot digitale veiligheid is bewustwording van menselijk gedrag. Niet voor niets zie je steeds vaker dat psychologen betrokken worden bij het verbeteren van de organisatie veiligheid. Het menselijk gedrag draagt in overheersende mate bij aan digitale onveiligheid en in zijn algemeenheid: informatiebeveiliging. De les voor ons allemaal: als je de sloten verandert als nieuwe eigenaar van een huis, omdat je niet wil dat de vorige bewoner onverwacht binnenkomt, waarom sluiten we dan bij een ex-werknemer niet per direct zijn digitale toegang?

Informatiebeveiliging en toegangsbeleid

De afgelopen maanden valt mij persoonlijk steeds vaker op, hoe slecht organisaties met beveiliging van informatie omgaan. En in het bijzonder: specifieke toegang.

Wat is het geval?

De toegangsbadge. Hoe veilig is dit? Ik wil het niet hebben over de NFC techniek die er vaak in zit, maar over human behavior. Dus: hoe gebruiken we die?

Ik krijg bij mijn bezoeken aan klanten dagelijks een digitale badge in handen. Daarmee krijg ik toegang tot…. Ja, tot wat? Ik ben maar eens op onderzoek uitgegaan. Bij A kan ik met een badge niet alleen door het tourniquet, ik kan ook diverse etages betreden. Bij B kan ik de koffie automaat gebruiken met behulp van de badge. Bij C, D en E wordt niet gevraagd de badge in te leveren en kan ik dus, wanneer het mij schikt, naar binnen (inclusief de diverse etages). Ik heb er  nu vier verzameld, ik lever ze natuurlijk bij mijn volgende bezoek in. Bij F krijg ik mijn badge via mijn gastheer en deze levert de badge weer in als ik weg ga. Op zich een goed plan, want totdat ik opgehaald kan ik nergens bij. Jammer dat ik op de afdeling vele schermen met informatie zie zonder een medewerker achter het scherm.

Jammer ook dat ik de gelegenheid krijg een usb stick in de computer te stoppen (het kost 9 seconden om hi-jack software op de pc te zetten).

Human behavior dus! Er komt een moment dat de mensheid zich inderdaad meer bewust gaat worden van informatiebeveiliging en de invloed van ons gedrag daar op. Zover is het nog lang niet, ik hoop dan ook dat deze posting bijdraagt aan die bewustwording.

 

Ik wens je goede zaken, in veiligheid!