of 59054 LinkedIn

Lessons learned van een falend securitybeleid

Reageer

Vrijwel iedere organisatie is zich ervan bewust dat cybersecurity serieus genomen moet worden. Ze willen immers de kansen op downtime, dataverlies of imagoschade minimaliseren.

De praktijk toont echter aan dat ondernemingen de nodige steken laten vallen. Wat kunnen we leren van de fouten die de Amerikaanse Transportation Security Administration (TSA) heeft gemaakt?

De in 2001 opgerichte TSA is verantwoordelijk voor de veiligheid van reizigers binnen de Verenigde Staten. Het vliegverkeer is het speerpunt: de bagage- en passagierscontroles op het vliegveld vallen onder hun verantwoordelijkheid en ook de vluchtbegeleiders aan boord van vliegtuigen dragen de TSA-badge. Hun zorgvuldige en intensieve controleprocedures moeten voorkomen dat een nieuwe '9/11' kan plaatsvinden.

 

In theorie, althans. De praktijk blijkt weerbarstig. Vijf jaar aan security-audits hebben zorgwekkende resultaten opgeleverd. De cybersecurity van de organisatie is allesbehalve op orde. 4 lessen voor organisaties om de security beter aan te pakken.

 

Les 1: Nooit meer gepatcht

Bij TSA bleken servers verouderde software te bevatten met talloze kwetsbaarheden. Een recente audit ontdekte een lek waarvoor in 1999 al een fix verschenen was. De IT-beheerders hebben het systeem mogelijk nooit van de juiste update voorzien. Een scan van het datacenter op Orlando Airport was evenmin geruststellend. Het auditteam rapporteerde maar liefst 12.281 lekken, op 71 van de 74 serversystemen.

Het bijwerken van software is een van de basisprincipes van een degelijk veiligheidsbeleid. Zelfs de duurste securitysystemen zijn na enige tijd waardeloos zonder regelmatig bijgewerkte software.

 

Les 2: disaster recovery

Het ontbreken van een fatsoenlijk plan voor disaster recovery baart de onderzoekers grote zorgen. Op het moment dat de STIP-servers platliggen vanwege een natuurramp of ander ernstig incident, is ook alle informatie over bagage- en passagierscontroles ontoegankelijk.

Het niet beschikbaar hebben van waardevolle data vanwege uitval, kost een organisatie veel geld. Het Ponemon Institute berekende dat het gaat om een kostenpost van gemiddeld 7.125 euro per minuut. Deze kosten worden onder andere veroorzaakt door productiviteitsverlies, en een verlies aan inkomsten doordat klanten een bestelling niet (kunnen) afronden of zelfs overstappen naar de concurrent.

 

Les 3: het overkomt u wel

Het onderzoeksteam kwam met 11 aanbevelingen, die allemaal zeer basale veiligheidsmaatregelen betroffen. De maatregelen zouden het gros van de securityproblemen van de recente audits en die daarvoor in één keer tackelen. De aanbevelingen varieerden van het vermijden van servers met bekende veiligheidslekken tot het verzorgen van beheermogelijkheden op afstand.


Organisaties kunnen enorme winst boeken met relatief eenvoudige securitymaatregelen. Niet alleen de TSA geeft het verkeerde voorbeeld. Onderschatting van de problematiek is een hardnekkig fenomeen. Onderzoek van TNS NIPO toont aan dat 71 procent van de Nederlandse ondernemers zich veilig waant. 'Dat overkomt mij toch niet', denkt klaarblijkelijk het overgrote deel.

 

Les 4: neem security onder de loep

Niet alleen de TSA, maar eigenlijk iedere organisatie moet zich continu afvragen hoe het met de IT-security is gesteld. Is er een gedegen updatebeleid? Hoe zit het met identity- en accesmanagement? Wie heeft toegang tot welke systemen en met welke rechten? Maar ook: is er een plan voor als het misgaat? Kan een uitwijklocatie voorkomen dat medewerkers lang niet productief zijn na een brand of inbraak?

Zeker met de aangescherpte meldplicht datalekken in het achterhoofd is het van groot belang dat dergelijke organisatorische kwesties goed ingedekt zijn. Want organisaties die aantoonbaar nalatig zijn geweest met hun datahuishouding, kunnen uiteindelijk forse boetes tegemoetzien.

Relatief eenvoudige basismaatregelen en een helder, gedocumenteerd beveiligingsbeleid voorkomen veel problemen. Uw organisatie, partners en klanten zullen u dankbaar zijn.

Auteur: Ewout Visser

 


 

Meer over Ewout Visser

Ewout is Director Security Services bij KPN en is verantwoordelijk voor het gehele commerciële security portfolio. Hij heeft een achtergrond in strategische consultancy en meer dan 10 jaar (marketing & sales) management ervaring. Zijn missie is: het toegankelijk maken van security voor iedereen.

Verstuur dit artikel naar Google+

Reageer op dit artikel
















Even geduld a.u.b.

 

Afbeelding 

KPN Lokale Overheid

Röntgenlaan 75 2719 DX Zoetermeer

Postbus 19535, 2500 CM Den Haag

070 – 343 69 00

kpnlokaleoverheid.nl

info.lokaleoverheid@kpn.com

 

Meer nieuws

Whitepapers

Afbeelding

 

‘Alleen door kennis uit te wisselen, komen we samen verder,’ stelt José Brenninkmeijer in deze eerste uitgave van Minds, het nieuwe magazine van KPN Consulting. ‘Met mooie voorbeelden brengen we de nieuwe wereld tot leven. Laat je verrassen door slimme tools en gadgets en inspireren door bijzondere samenwerkingen.’

 

Bekijk het online magazine hier 

Is de BIG al ingeburgerd in uw informatiebeveiliging?

Afbeelding

Afbeelding

Aansluiting op digikoppeling-Generieke Berichten Platform

Lokale overheden veranderen

Afbeelding

Bloggers