Computable.nl
  • Thema’s
    • Carrière
    • Innovatie & Transformatie
    • Cloud & Infrastructuur
    • Data & AI
    • Governance & Privacy
    • Security & Awareness
    • Software & Development
    • Werkplek & Beheer
  • Sectoren
    • Channel
    • Financiële dienstverlening
    • Logistiek
    • Onderwijs
    • Overheid
    • Zorg
  • Computable Awards
    • Overzicht
    • Nieuws
    • Winnaars
    • Partner worden
  • Vacatures
    • Vacatures bekijken
    • Vacatures plaatsen
  • Bedrijven
    • Profielen
    • Producten & Diensten
  • Kennisbank
  • Nieuwsbrief

Ongestructureerde data vereisen ook beveiliging

10 december 2010 - 21:013 minuten leestijdOpinieSecurity & Awareness

In gesprekken met security managers van grote organisaties over toegangsrechten wordt steeds de nadruk gelegd op de bedrijfssystemen als SAP en Oracle. WikiLeaks laat haarfijn zien dat ongestructureerde informatie heel kritisch kan zijn voor een organisatie. In Windows omgevingen staan verslagen van management meetings, investeringsvoorstellen, beoordelingen van medewerkers enzovoorts. De eerste singalen voor nieuwe security richtlijnen zien we al.

Tijdens een recente presentatie voor ISACA – het wereldwijde IT-Audit plaform – vergeleek ik de bekende informatiebeveiligingsstandaarden CobIT (voor IT), HIPAA (voor de zorg), PCI-DSS (voor Credit card gegevens), SOx (for disclosure van financiele informatie) op het gebied van access control. Het was natuurlijk geen verassing dat die min of meer dezelfde eisen stellen. Sommige zijn gedetailleerd (PCI-DSS schrijft Role Based Access Control voor in article 7.1.2), andere zijn high level (SOx geeft aan dat management verantwoordelijk is voor een effectief intern controle systeem in artikel 302 and 404).

De meeste standaarden hebben hun roots in incidenten met een dusdanige imact dat die het wereldnieuws hebben gehaald. Denk eens aan Enron en Societe Generale. De huidige standaarden zijn hieruit voorgekomen, en hebben dus een nadruk op transactie georienteerde en gestructureerde systemen. WikiLeaks is anders. Deze informatie is ongestructureerd. Het is niet eens een lek, het is een vloedstroom van rapporten, informele – gevoelige – documenten, video’s…. Een SP-raadslid uit Breda vond al dat iedere organisatie recht heeft op zijn eigen WikiLeaks!

In de vele gesprekken die ik heb met security managers, zijn er slechts een paar die het belang inzien van ongestructureerde informatie. Steeds weer hoor ik dat de belangrijke informatie vastligt in SAP en Oracle en dat deze systemen prima onder controle zijn. WikiLeaks zal echter de aandacht nadrukkelijk vestigen op ongestructureerde informatie: bedrijfsplannen, management verslagen, investeringsplannen, personeelsfiles en aanbiedingen van levernaciers. Een sterkte roep om betere controle over het filesysteem is voorspelbaar.

Een onderzoek van Merill Lynch toont aan dat managers het overgrote deel van hun tijd bezig zijn met ongestructureerde documenten en dat 85 procent van alle kritische bedrijfsinformatie ongestructureerd is. Verder wordt in dit onderzoek vastgesteld dat deze ongestructureerde informatie ieder 12-18 maanden verdubbeld!

Wat betekent dit voor de rapportage en controle over toegang tot ongestructureerde informatie? De traditionele methode richt zich op de analyse van gebruikers en hun groeplidmaatschapen in Active Directory (AD). Dit is in het algemeen voldoende om aan te tonen dat organisaties niet ‘in-control’ zijn. Auditors vinden eenvoudig voldoende issues om een opmerking in de management letter te rechtvaardigen: ghost-accounts, te veel privileged users, groepslidmaatschaen van medewerkers die lang geleden vertrokken zijn naar andere afdelingen, externen die nog aktief zijn, et cetera.

De daadwerkelijke toegangsrechten staan echter niet in AD. Die zijn te vinden op de Access-Control-Lists van het filesysteem. We kunnen dus al mijlenver aanzien komen dat er nieuwe richtlijnen zullen volgen voor het rapporteren en controleren van toegang tot filesystemen. Deze zal bestaan uit twee aspecten: gebruikers en hun groepslidmaatschappen aan de ene kant en access-control-lists van het filesysteem aan de keerzijde.

Welke ‘nieuwe’ standaard voor access control zal er ontstaan uit WikiLeaks?… De President van Amerika neemt vast een voorschot!

Meer over

Cobit

Deel

    Inschrijven nieuwsbrief Computable

    Door te klikken op inschrijven geef je toestemming aan Jaarbeurs B.V. om je naam en e-mailadres te verwerken voor het verzenden van een of meer mailings namens Computable. Je kunt je toestemming te allen tijde intrekken via de af­meld­func­tie in de nieuwsbrief.
    Wil je weten hoe Jaarbeurs B.V. omgaat met jouw per­soons­ge­ge­vens? Klik dan hier voor ons privacy statement.

    Whitepapers

    Computable.nl

    Beveiliging begint bij de Server

    Waarom lifecycle-denken cruciaal is voor IT-security

    Computable.nl

    Staat van Digitale Connectiviteit binnen de Bouw- en Installatiebranche 2025

    Digitale connectiviteit is de kern van veel processen in de bouw en volgens insiders van strategisch belang voor de toekomst van de sector. Waar sta jij?

    Computable.nl

    GenAI: Veiligheidsrisico of wapen tegen dreiging?

    Wat AI betekent voor jouw securityaanpak? Alles over de risico’s en strategieën om GenAI verantwoord in te zetten.

    Meer lezen

    Filter
    OpinieCloud & Infrastructuur

    Ddos-aanvallen (en waarom L3-filtering niet optioneel is)

    ActueelInnovatie & Transformatie

    Kort: Innovatiezone in Almere, grote Defensiedeal Pro Warehouse (en meer)

    AchtergrondSecurity & Awareness

    Dit gaat NIS2 jouw bedrijf aan tijd en geld kosten

    compliance
    OpinieGovernance & Privacy

    Waarom Dora- en NIS2-compliance beginnen met assetmanagement

    OpinieSecurity & Awareness

    5 stappen ter voorbereiding op de verkorte levensduur van TLS-certificaten

    ActueelCarrière

    Kort: Brunel viert 50ste verjaardag, Wortell wint gunning veiligheidsregio (en meer)

    Geef een reactie Reactie annuleren

    Je moet ingelogd zijn op om een reactie te plaatsen.

    Populaire berichten

    Meer artikelen

    Uitgelicht

    Partnerartikel
    AdvertorialInnovatie & Transformatie

    Ontdek de toekomst van IT-support en m...

    Op 16 september 2025 vindt in de Jaarbeurs in Utrecht een gloednieuw event plaats dat volledig is gericht op IT-professionals:...

    Meer persberichten

    Footer

    Direct naar

    • Carrièretests
    • Kennisbank
    • Planning
    • Computable Awards
    • Magazine
    • Abonneren Magazine
    • Cybersec e-Magazine
    • Topics

    Producten

    • Adverteren en meer…
    • Jouw Producten en Bedrijfsprofiel
    • Whitepapers & Leads
    • Vacatures & Employer Branding
    • Persberichten

    Contact

    • Colofon
    • Computable en de AVG
    • Service & contact
    • Inschrijven nieuwsbrief
    • Inlog

    Social

    • Facebook
    • X
    • LinkedIn
    • YouTube
    • Instagram
    © 2025 Jaarbeurs
    • Disclaimer
    • Gebruikersvoorwaarden
    • Privacy statement
    Computable.nl is een product van Jaarbeurs