Informatiebeveiliging Managementsamenvatting

Informatiebeveiliging en risicomanagementInformatiebeveiliging - een management samenvatting

Een goede Informatiebeveiliging begint bij de beveiliging van uw basis ICT infrastructuur met een juiste afstemming en acceptatie op gebruikersniveau. Informatiebeveiliging omvat een groot aantal andere aspecten: technisch, organisatorisch, fysiek en procedureel.

TIP: De informatiebeveiliging (als KPI in een security dashboard) is eenvoudig te vergroten  en structureel te verbeteren door hier heel pragmatisch hiermee om te gaan.

Bij informatiebeveiliging wordt vaak direct gedacht aan firewalls, virusscanners e.d. Dit zijn echter de basis maatregelen die een organisatie heeft ingevoerd bij het beschermen van zijn eigendommen. Informatiebeveiliging is direct gekoppeld aan een set van risicoanalyses. Voor elke dienst of service dient een risicoanalyse te worden uitgevoerd om een overzicht te verkrijgen van de risico's, de (mogelijke) maatregelen en de geaccepteerde risico's.

Uit verschillende onderzoeken (o.a. Gartner) blijkt dat ruim 70% van de security incidenten wordt veroorzaakt door de interne organisatie. Technische voorzieningen zijn geen vrijbrief om gebruikers te laten denken dat alles wel goed zit. We kennen allemaal de gevolgen van een aangenomen gevoel van veiligheid. De kracht van een goede informatiebeveiliging zit in een goede afstemming van de technische en organisatorische maatregelen.

Controle toegang tot informatie is key

Naast alle mogelijke bedreigingen die men kan bedenken is er één aspect dat "KEY" is tot informatiebeveiliging. Dit is Network Access Control of NAC. Dit vormt de beste eerste lijns verdediging bij informatiebeveiliging.

Aandachtspunten Informatiebeveiliging

Een aantal toppers die de beveiliging van uw informatievoorziening ernstig kunnen aantasten:

  1. Management van gebruikers passwords (een balans tussen noodzaak, kostenpost en gebruikersonvriendelijkheid: een doorbraak met vingerafdruk beveiliging)
  2. Secure File Transfer ( SFTP )
  3. Internet
  4. Virussen in al hun varianten
  5. Draadloze netwerken <zie artikel WLAN security Audit>
  6. Kwaadwillende die geavanceerde technieken toepassen bij het ontsleutelen van uw beveiliging
  7. Remote control applicaties (bedoeld of onbedoeld)
  8. Het ontbreken van een werkend beveiligingsbeleid
  9. Medewerkers met een bijzondere interesse in de zwakke plekken van uw netwerk
  10. Vermeende veiligheid op basis van (goed) vertrouwen (intern en extern personeel)
  11. Programmafouten
  12. Een aantal feiten omtrent informatiebeveiliging
  13. Data back-up (niets is zo onderschat als een "eenvoudige" back-up)
  14. Ontbrekend en werkend disaster recovery plan
  15. Koppeling van uw publieke webservers met de achterliggende infrastructuur
  16. Gebruik van Windows (en we gebruiken het bijna allemaal) vereist serieuze aandacht voor Windows Patch Management
  17. Vergeten user accounts en verscholen user accounts (zie het artikel over Account Management en Identity Management)

Gerelateerde onderwerpen Informatiebeveiliging

U kunt zich gratis aanmelden voor de ICT nieuwsbrief. In deze nieuwsbrief komen o.a. de volgende onderwerpen aan de orde:

  1. De top 20 van beveiligingslekken in Windows en Unix omgevingen
  2. Stappenplan voor een kostenefficiënt beveiligingsbeleid
  3. Onderhoud en kosten van beveiliging
  4. Management overview Hacking tools
  5. Security audit
  6. Ethical hacking versus criminal hacking
  7. ITIL Security Management
  8. Overzicht van raamwerken informatiebeveiliging (Eng: information security frameworks)
  9. Risico analyse met pakket van maatregelen zoals preventie, detectie, repressie (beperking van schade) en correctie
  10. Security certificeringen
  11. Netwerk monitoring
  12. Netwerkverkeersmanagement en Netflow
  13. Systeemmonitoring
  14. Web en Internet contentfiltering
  15. Toegangsbeveiliging met vingerafdruk
  16. Diefstal van laptops
  17. Sarbanes-Oxley compliance

Valkuilen informatiebeveiliging

IT dienstverleners bieden vaak een eenzijdige kijk op dit onderwerp: voornamelijk technisch. Als u gaat zoeken op het sleutelwoord informatiebeveiliging, dan zult u veel boekwerken en documenten tegenkomen die als een soort recept kunnen worden toegepast. Ook heeft een beveiligingsplan vaak de neiging om te resulteren in een papieren tijger. Een kostbaar document met slechts een aantal fans. Informatiebeveiliging wordt vaak gezien als hinderlijk, vertragend en de uitspraak: "het zal bij ons niet een dergelijke vaart lopen". Abraxax doorbreekt deze tegenwerpingen met een pragmatische aanpak die wij in een persoonlijk gesprek toelichten.

Aanvullende informatie over Informatiebeveiliging

Aanvullende informatie over informatiebeveiliging vindt u via onderstaande links:

  1. ECP Informatiebeveiliging
  2. Platvorm Informatiebeveiliging
  3. Code voor Informatiebeveiliging (BS7799, ISO 17799)
  4. Alles voor de Chief Information Officer (CIO)
  5. Information Systems Audit and Control Association (ISACA)
  6. COBIT - een IT control raamwerk
  7. Een firewall voor het MKB

Diensten Abraxax

Abraxax helpt u bij (de opzet van) informatiebeveiliging alsmede beveiliging van uw computer- en netwerkinfrastructuur. Actuele onderwerpen zijn o.a. thuiswerken, virussen, spyware, firewalls, hacking, informatiediefstal en spam. Om al deze aanvallen goed te kunnen bestrijden is een integrale aanpak van informatiebeveiliging noodzakelijk. De kosten kunnen hierbij behoorlijk oplopen. Wij hanteren hierbij een integrale en pragmatische aanpak met behulp van TCO modelering.

Vaak is het mogelijk om processen anders in te richten met behulp van tools waardoor strategische kostenreductie kan worden verkregen. Als bonus krijgt u ook nog een betere beveiliging. Hiermee zijn dus diverse aspecten van informatiebeveiliging te financieren / justificeren.

Wij laten u zien hoe u uw informatiebeveiliging pragmatisch kunt meten en dit vervolgens met eenvoudige middelen op een hoger plan kunt tillen.

Wij helpen u tegen beperkte kosten op weg naar een goede beveiliging van uw informatie. Informatiebeveiliging is een compromis tussen privacy, gebruikersgemak, arbeidsproductiviteit en kosten. Wilt u geheel vrijblijvend een afspraak, neem dan contact met ons op.

De QuickScan Risicoanalyse / Informatiebeveiliging is één van onze producten waarbij u in 3 dagen een inzage krijgt omtrent uw situatie en een plan van aanpak om dit te verbeteren. Bij de QuickScan maken we gebruik van verschillende Audit Tools.

Vraag de Quick Scan nu aan. Neem hiervoor contact met ons op.