Ongestructureerde data eist ook beveiliging

SOx, Cobit, PCI-DSS... welke access control standard volgt uit WikiLeaks?

15-12-2010 12:00 | Door Maarten Stultjens | Lees meer artikelen over: Cobit | Er zijn nog geen reacties op dit artikel | Permalink
Computable Expert
Maarten Stultjens
Maarten Stultjens

Business Development

Expert van Computable voor het topic Security

Meer

In gesprekken met security managers van grote organisaties over toegangsrechten wordt steeds de nadruk gelegd op de bedrijfssystemen als SAP en Oracle. WikiLeaks laat haarfijn zien dat ongestructureerde informatie heel kritisch kan zijn voor een organisatie. In Windows omgevingen staan verslagen van management meetings, investeringsvoorstellen, beoordelingen van medewerkers enzovoorts. De eerste singalen voor nieuwe security richtlijnen zien we al.

Tijdens een recente presentatie voor ISACA - het wereldwijde IT-Audit plaform - vergeleek ik de bekende informatiebeveiligingsstandaarden CobIT (voor IT), HIPAA (voor de zorg), PCI-DSS (voor Credit card gegevens), SOx (for disclosure van financiele informatie) op het gebied van access control. Het was natuurlijk geen verassing dat die min of meer dezelfde eisen stellen. Sommige zijn gedetailleerd (PCI-DSS schrijft Role Based Access Control voor in article 7.1.2), andere zijn high level (SOx geeft aan dat management verantwoordelijk is voor een effectief intern controle systeem in artikel 302 and 404).

De meeste standaarden hebben hun roots in incidenten met een dusdanige imact dat die het wereldnieuws hebben gehaald. Denk eens aan Enron en Societe Generale. De huidige standaarden zijn hieruit voorgekomen, en hebben dus een nadruk op transactie georienteerde en gestructureerde systemen. WikiLeaks is anders. Deze informatie is ongestructureerd. Het is niet eens een lek, het is een vloedstroom van rapporten, informele - gevoelige - documenten, video’s…. Een SP-raadslid uit Breda vond al dat iedere organisatie recht heeft op zijn eigen WikiLeaks!

In de vele gesprekken die ik heb met security managers, zijn er slechts een paar die het belang inzien van ongestructureerde informatie. Steeds weer hoor ik dat de belangrijke informatie vastligt in SAP en Oracle en dat deze systemen prima onder controle zijn. WikiLeaks zal echter de aandacht nadrukkelijk vestigen op ongestructureerde informatie: bedrijfsplannen, management verslagen, investeringsplannen, personeelsfiles en aanbiedingen van levernaciers. Een sterkte roep om betere controle over het filesysteem is voorspelbaar.

Een onderzoek van Merill Lynch toont aan dat managers het overgrote deel van hun tijd bezig zijn met ongestructureerde documenten en dat 85 procent van alle kritische bedrijfsinformatie ongestructureerd is. Verder wordt in dit onderzoek vastgesteld dat deze ongestructureerde informatie ieder 12-18 maanden verdubbeld!

Wat betekent dit voor de rapportage en controle over toegang tot ongestructureerde informatie? De traditionele methode richt zich op de analyse van gebruikers en hun groeplidmaatschapen in Active Directory (AD). Dit is in het algemeen voldoende om aan te tonen dat organisaties niet ‘in-control’ zijn. Auditors vinden eenvoudig voldoende issues om een opmerking in de management letter te rechtvaardigen: ghost-accounts, te veel privileged users, groepslidmaatschaen van medewerkers die lang geleden vertrokken zijn naar andere afdelingen, externen die nog aktief zijn, et cetera.

De daadwerkelijke toegangsrechten staan echter niet in AD. Die zijn te vinden op de Access-Control-Lists van het filesysteem. We kunnen dus al mijlenver aanzien komen dat er nieuwe richtlijnen zullen volgen voor het rapporteren en controleren van toegang tot filesystemen. Deze zal bestaan uit twee aspecten: gebruikers en hun groepslidmaatschappen aan de ene kant en access-control-lists van het filesysteem aan de keerzijde.

Welke ‘nieuwe’ standaard voor access control zal er ontstaan uit WikiLeaks?... De President van Amerika neemt vast een voorschot!
7 vacatures
Senior adviseur cybersecurity

Ministerie van Veiligheid en Justitie, Nationaal Co\u00f6rdinator Terrorismebestrijding en Veiligheid , 's-Gravenhage

Analist / Onderzoeker cybersecurity

Ministerie van Veiligheid en Justitie, Nationaal Co\u00f6rdinator Terrorismebestrijding en Veiligheid , 's-Gravenhage

Co\u00f6rdinator cybersecurity analysis

Ministerie van Veiligheid en Justitie, Nationaal Co\u00f6rdinator Terrorismebestrijding en Veiligheid , 's-Gravenhage

Senior Securityspecialist (met co\u00f6rdinerende taken)

Ministerie van Veiligheid en Justitie, Nationaal Co\u00f6rdinator Terrorismebestrijding en Veiligheid , 's-Gravenhage

Security officer

Ministerie van Veiligheid en Justitie, Immigratie- en Naturalisatiedienst , Rijswijk ZH

Top 10 Reagerende members
  Aantal reacties
met 3+ sterren
Gemiddelde
waardering
Klik voor meer info1 1575 6.2
Klik voor meer info2 1305 6.0
Klik voor meer info3 1272 6.2
Klik voor meer info4 1072 6.2
Klik voor meer info5 1000 6.1
Klik voor meer info6 901 6.1
Klik voor meer info7 755 6.2
Klik voor meer info8 528 6.1
Klik voor meer info9 405 6.2
Klik voor meer info10 399 6.0