Experts maken geen deel uit van de redactie. Zij vertegenwoordigen dus niet het redactionele gedachtegoed van Computable.

Ongestructureerde data eist ook beveiliging

SOx, Cobit, PCI-DSS... welke access control standard volgt uit WikiLeaks?

15-12-2010 12:00 | Door Maarten Stultjens | Lees meer artikelen over: Cobit | Er zijn nog geen reacties op dit artikel | Dit artikel heeft nog geen cijfer (te weinig beoordelingen) | Permalink
Computable Expert
Maarten Stultjens
Maarten Stultjens

Business Development

Expert van Computable voor het topic Security

Meer

In gesprekken met security managers van grote organisaties over toegangsrechten wordt steeds de nadruk gelegd op de bedrijfssystemen als SAP en Oracle. WikiLeaks laat haarfijn zien dat ongestructureerde informatie heel kritisch kan zijn voor een organisatie. In Windows omgevingen staan verslagen van management meetings, investeringsvoorstellen, beoordelingen van medewerkers enzovoorts. De eerste singalen voor nieuwe security richtlijnen zien we al.

Tijdens een recente presentatie voor ISACA - het wereldwijde IT-Audit plaform - vergeleek ik de bekende informatiebeveiligingsstandaarden CobIT (voor IT), HIPAA (voor de zorg), PCI-DSS (voor Credit card gegevens), SOx (for disclosure van financiele informatie) op het gebied van access control. Het was natuurlijk geen verassing dat die min of meer dezelfde eisen stellen. Sommige zijn gedetailleerd (PCI-DSS schrijft Role Based Access Control voor in article 7.1.2), andere zijn high level (SOx geeft aan dat management verantwoordelijk is voor een effectief intern controle systeem in artikel 302 and 404).

De meeste standaarden hebben hun roots in incidenten met een dusdanige imact dat die het wereldnieuws hebben gehaald. Denk eens aan Enron en Societe Generale. De huidige standaarden zijn hieruit voorgekomen, en hebben dus een nadruk op transactie georienteerde en gestructureerde systemen. WikiLeaks is anders. Deze informatie is ongestructureerd. Het is niet eens een lek, het is een vloedstroom van rapporten, informele - gevoelige - documenten, video’s…. Een SP-raadslid uit Breda vond al dat iedere organisatie recht heeft op zijn eigen WikiLeaks!

In de vele gesprekken die ik heb met security managers, zijn er slechts een paar die het belang inzien van ongestructureerde informatie. Steeds weer hoor ik dat de belangrijke informatie vastligt in SAP en Oracle en dat deze systemen prima onder controle zijn. WikiLeaks zal echter de aandacht nadrukkelijk vestigen op ongestructureerde informatie: bedrijfsplannen, management verslagen, investeringsplannen, personeelsfiles en aanbiedingen van levernaciers. Een sterkte roep om betere controle over het filesysteem is voorspelbaar.

Een onderzoek van Merill Lynch toont aan dat managers het overgrote deel van hun tijd bezig zijn met ongestructureerde documenten en dat 85 procent van alle kritische bedrijfsinformatie ongestructureerd is. Verder wordt in dit onderzoek vastgesteld dat deze ongestructureerde informatie ieder 12-18 maanden verdubbeld!

Wat betekent dit voor de rapportage en controle over toegang tot ongestructureerde informatie? De traditionele methode richt zich op de analyse van gebruikers en hun groeplidmaatschapen in Active Directory (AD). Dit is in het algemeen voldoende om aan te tonen dat organisaties niet ‘in-control’ zijn. Auditors vinden eenvoudig voldoende issues om een opmerking in de management letter te rechtvaardigen: ghost-accounts, te veel privileged users, groepslidmaatschaen van medewerkers die lang geleden vertrokken zijn naar andere afdelingen, externen die nog aktief zijn, et cetera.

De daadwerkelijke toegangsrechten staan echter niet in AD. Die zijn te vinden op de Access-Control-Lists van het filesysteem. We kunnen dus al mijlenver aanzien komen dat er nieuwe richtlijnen zullen volgen voor het rapporteren en controleren van toegang tot filesystemen. Deze zal bestaan uit twee aspecten: gebruikers en hun groepslidmaatschappen aan de ene kant en access-control-lists van het filesysteem aan de keerzijde.

Welke ‘nieuwe’ standaard voor access control zal er ontstaan uit WikiLeaks?... De President van Amerika neemt vast een voorschot!
Deel dit artikel via LinkedIn
Deel dit artikel via Facebook
Deel dit artikel via Twitter

2 vacatures
Senior Securityspecialist

Ministerie van Veiligheid en Justitie, Nationaal Cyber Security Centrum (NCSC) , 's-Gravenhage

Senior Manager Informatiebeveiliging

BDO IT Consultancy , Utrecht

Top 10 reagerende bezoekers
      Aantal
reacties
Gemiddelde
waardering
Klik voor meer info 1 1993 6.86
Klik voor meer info 2 1502 6.67
Klik voor meer info 3 1142 6.67
Klik voor meer info 4 1219 6.63
Klik voor meer info 5 880 6.58
Klik voor meer info 6 586 6.30
Klik voor meer info 7 418 6.29
Klik voor meer info 8 1083 6.07
Klik voor meer info 9 701 6.05
Klik voor meer info 10 461 6.04