De gewone gebruiker erkent een securityrisico te zijn, maar schuift verantwoordelijkheid af. Dit is de discussie-stelling die Computable-lezers vandaag krijgen voorgelegd.
Werknemers erkennen dat zij een grote rol spelen in security, maar handelen niet naar die eigen erkenning. Uit het onderzoek ‘Internet Eigenwijs’ van BIT blijkt dat meer dan de helft (52 procent) van de gewone gebruikers zichzelf ziet als de zwakste schakel in de beveiliging van werkcomputers en bedrijfsgevoelige data. Goed nieuws dus?
Nou, diezelfde werknemer voelt geen verantwoordelijkheid voor de beveiliging van zakelijke data: de meerderheid (70 procent) van de gebruikers verwacht dat de it-afdeling alles goed regelt. Nagenoeg alle werknemers (92 procent) hebben het volste vertrouwen in de beveiliging die de werkgever heeft geïnstalleerd op de werkcomputers. Zij gaan ervan uit dat ze zelf niets hoeven te doen als het gaat om security op de werkvloer. Samengevat is het dus nog altijd PEBKAC. Wat vind jij?
Een goed rapport. Ik mis eigenlijk wel een paar vragen omtrent het gebruik van wachtwoormanagers. Zowel de vraag of er gebruik gemaakt woord van een wachtwoordmanager en welke zou ook een goed inzicht kunnen geven in veiliger wachtwoordgebruik.
Bedrijven kunnen hun autorisatie en authenticatiebeleid aanzienlijk verbeteren door het aanbieden van trainingen en wachtwoordmanagers. Ook een beleid voor Single Sign On is gewenst, dat scheelt enorm in het aantal wachtwoorden die een gebruiker moet beheren.
Is dit zo vreemd?
Vanuit mijn werk krijg ik een laptop en een omgeving om mijn werk in te doen. Virusscanners, update-frequentie, hosting van sharepoint en onedrive … alles wordt voor mij geregeld en is voor mij gekozen.
De afdelingen die dit alles beheren krijgen per gebruiker een bepaald bedrag om te zorgen dat de zaakjes op orde zijn.
Mag ik dan als gebruiker (of ik nu it’er ben of niet) verwachten dat zij zorg dragen voor een degelijk beveiligde omgeving? Er is gekozen voor een stukje uitbesteding hier, waardoor ik als werknemer op dit gebied ontzorgd wordt, zodat ik me kan bezighouden met datgene waarvoor ik aangenomen ben.
(even daargelaten dat gebruikers wel een stukje verantwoordelijkheid hebben zoals geen briefjes met wachtwoorden onder het toetsenbord, geen gegevens mee naar huis nemen op onbeveiligde usb-sticks enz)
@PaVaKe
Ik ben ook it’er, en mijn werklaptop wordt ook beheerd door een beheerafdeling. Ik hou me dus niet bezig met antivirus en OneDrive, dat wordt voor mij gedaan.
Maar de meeste bedreigingen zijn niet meer technisch van aard. PEBCAK, jij, de gebruiker, jij bent het grootste probleem als het om beveiliging gaat. De stelling klopt dus.
Gewoon na blijven denken, aanbiedingen die te mooi lijken om waar te zijn, die zijn ook gewoon niet waar! Je supermarkt geeft je geen 250 euro shoptegoed, je bankpas is niet geblokkeerd, je hebt geen erfenis van 5 miljoen dollar van een volslagen onbekende (waarvoor je alleen even 1000 dollar moet investeren om het geld bij jou te krijgen), …
En ja, deze mails komen soms ook door op mijn werkaccount, en op professionele sites heb je ook veel van dit soort links. Tip: installeer Adblock Plus, dat doet je IT afdeling vaak niet, dat voorkomt veel problemen.
@Frank
Waar de schoen ‘m volgens mij vaak wringt (ik zeg niet dat jij dat doet) is dat mensen privé en zakelijk door elkaar halen.
Ik werk al ruim 12 jaar bij dezelfde werkgever, en krijg nooit spam op mijn zakelijk e-mail adres.
Ik ken echter ook mensen die hun werk-laptop gebuiken voor privédingen, of zelfs hun zakelijk e-mailadres gebruiken voor bijvoorbeeld de nieuwsbrief van de sportclub. Dito voor het lezen van privé mail op het werk, en dan zoals je aangeeft, die erfenis van € 5 miljoen mail gaat bekijken en doorklikken.
Tegen menselijke stommiteit is geen één it-beheerder opgewassen, vrees ik.
@PaVaKe
Met een laptop voor mijn werk en de mogelijkheid om overal te werken, dus ook thuis, schuilt het gevaar dat je je werklaptop ook privé inzet. Echter, ik heb thuis betere computers, dus dat doe ik niet.
Heel af en toe krijg ik spam in mijn werkmail. Meestal komt dat via iemand die me via LinkedIn probeert te bereiken om me iets te verkopen, of omdat ik me (op een professionele site) heb geregistreerd met mijn werk mailadres. Wel lees ik mijn privé mail op mijn werk, vooral omtrent zaken die ik in m’n agenda moet verwerken.
Op domme links klikken doe ik niet. En jij doet dat ook niet. De reden daarvoor? De phishing mails bevatten opzettelijk kleine foutjes of onvolkomenheden. Jij en ik en alle andere mensen die hun hersenen aan hebben staan zien dat meteen, en trappen er niet in. Alleen de domste en meest goedgelovige mensen trappen erin. Zo neemt de kans dat een klik op zo’n phishing link leidt tot een (voor de crimineel) succesvolle diefstal enorm toe, en hoeven ze geen tijd te besteden aan mensen die er in tweede instantie toch niet intrappen.
Met twee benen in beide werelden staand, is een oplossing vrij eenvoudig…. maar dan moet deze wel eenduideig worden geimplementeerd.
Security een zaak van iedereen
Zo eenvoudig is het. Het is een gezamenlijke verantwoordelijkheid, dus ook een samenspel.
De materie onder IT, lees, wetmatigheden waar IT aan onderworpen is, zijn bij maar bar weinig IT professionals bekend, blijkt, laat staan dat deze haar klanten hierover eenduidig weet te informeren.
IT ICT is namelijk een materie die voor 100% voorspelbaar is. En je zou denken dat de IT professional dit dan ook aan haar gebruik(st)ers goed weet te duiden en uit te leggen.
Een logisch gevolg zal dan namelijk enkele spelregels zijn waarbij iedereen weet wat er van haar/hem wordt verwacht, wie waar verantwoordelijk voor is en hoe je met IT als leverancier en als gebruik(st)er om gaat.
Vergeet Blame/Shame
U moet zich in ieder geval verre houden van het wijzen met het vingertje. Dat dient uiteindelijk geen enkel doel maar juist komen tot dat eenduidige protocol zodat u gezamenlijk de hackers minder kanzen geeft. Verdeel en heers tenslotte is in het belang en voordeel van een hacker, niet van u, uw processen en uw systemen.
Kijk eens naar de Civile Matrix en hoe u dit volkomen commercie vrije instrument in kunt zetten voor de wereld van IT en Non IT. Het gaat tenslotte om belang van beide werelden.