maart-mei 2009. ter herinnering: doel enquête: “inzicht krijgen op de objectieve en subjectieve...
TRANSCRIPT
Maart-mei 2009
Ter herinnering:Doel enquête:
“Inzicht krijgen op de objectieve en subjectieve aspecten van veiligheid in de CLB’s van het GO!, zodanig dat er prioriteiten kunnen gelegd worden”
Deel 1 Checklist:Ja/nee vragenInventariseren van bepaalde veiligheidsaspectenStartpunt bepalen
Deel 2 InschattingSubjectieve inschatting van veiligheidsaspecten door diverse personeelsleden in een bepaald centrum
Deelname: Deel 1Alle centra hebben deelgenomen24 hoofdzetels3 centra hebben per vestigingsplaats
geantwoordIn deze resultaten wordt alleen rekening
gehouden met de hoofdzetelDe resultaten per vestigingplaats zullen ter
plaatse besproken worden, indien gewenst
Deelname: Deel 223 Centra hebben deelgenomenTussen de 1 en 6 respondenten per centrum
Meeste centra 3 deelnemersSommige centra hebben in groep één enquête
ingevuldTotaal 80 enquêtes verwerkt
Bespreking resultaten:4 domeinen:
Personeel gerelateerde zakenFysieke beveiligingOperationele processenLogische toegang
Per onderwerp:Eerst een zicht op de subjectieve belevingVergelijken met de checklist
Per Domein:Voorstel prioriteitenlijst
Personeel: veiligheidsbeleidGeen weet van veiligheidsbeleid:
Tamelijk ernstige gevolgen, lage tot gemiddelde waarschijnlijkheid
Vooral impact op classificatie en menselijkInformeren en vormen personeel
Geen meldpunt voor veiligheidsincidenten:Geen zware gevolgen, lage waarschijnlijkheidLage impactLogging per centrum, eventueel centraal
Personeel: veiligheidsbeleidOntbreken van evaluatie- en sanctiebeleid:
Gemiddeld tot hoge bedreiging, waarschijnlijkheid gemiddeld
Lage impactOpnemen in de evalutie? Sanctiebeleid? (niet
duidelijk)
Niet melden van softwarebugsWeinig ernstig, weinig waarschijnlijkZeer lage impactHet melden wordt in vraag gesteld, zowel lokaal
als rechtstreeks naar de softwarebouwer
Veiligheidsbeleid:In 16 centra wordt aandacht besteed aan
veiligheidsbeleidGeheimhoudingsverklaring: 11 op 24Initiële vorming in 15 centraVerschil tussen personeel en stagiars
MeldpuntEr is een meldpunt in 22 centra, maar
Niet duidelijk wat veiligheidsincidenten zijn Geen logging
Personeel: veiligheidsbeleid checklist
Evaluatie en sanctiebeleidGeen toetsing van de veiligheidsvereisten (22)Geen evalutie van het personeel op dat vlak
(18)
Niet melden van softwarebugs:In 19 centra wordt dit gemeld aan de directie
Personeel: veiligheidsbeleid checklist
Bepaalde specialisaties gekend door één persoonTamelijke ernstige bedreiging en waarschijnlijkheidLage impactAnder personeelslid als backup opleiden heeft de
voorkeurGevaar voor schade door gebrek aan
opleiding/ervaring:Tamelijk ernstig, doch weinig waarschijnlijkLage impactVorming en procedures
Personeel: opleiding
Rechten van niet actief personeel laten staanLage ernst en waarschijnlijkheidLage impactOnmiddellijk toegang tot gebouwen en
systemen verhinderen is een goede methode.
Personeel: opleiding
In 14 centra wordt er aandacht besteed dat specialisaties doorgegeven worden
Weinig aandacht voor eventuele schade door verkeerd gebruik van systemen of gebrek aan ervaring
Bij vertrek of functiewijziging wordt aandacht besteed aan het verhinderen van de toegang tot gebouwen en systemen.
Personeel: opleiding - Checklist
Personeel: prioriteitenVeiligheidsbeleid ondersteunen via
concretiseren van “wat zijn veiligheidsincidenten”
Stimuleren van loggingsystemen Samenwerken met de
kwaliteitsverantwoordelijken ivm functieprofielen en backup van specialisaties (werkinstructies, procedures,…)
Ongewenste toegang tot de gebouwen:Gemiddeld tot lage gevolgen, lage
waarschijnlijkheidLage impact Voorkeur gaat naar het beveiligen van de
toegang, eerder dan het verplaatsen van onthaal…
Ongewenste toegang tot de kantorenGemiddeld tot lage gevolgen, lage
waarschijnlijkheidLage impact Deuren afsluiten.
Fysieke beveiliging: toegangscontrole
InbraakErnstige bedreiging, lage tot gemiddelde
waarschijnlijkheidFinancieel en menselijk hoge gevolgenAntidiefstalsysteem met beveiligingsfirma en
betere fysieke bescherming hebben de voorkeur
Verzekeringen zijn materie voor discussie
Fysieke beveiliging: toegangscontrole
Er is onderscheid tussen diverse zones in meer dan de helft van de centra
Beveiligde zones meestal niet afgeslotenPlaatsing van printers, kopieerapparaten is
soms een probleemBij uitdiensttreding:
wordt er wel gelet op het afgeven van sleutels.Veel minder op het wijzigen van toegangscodes
voor systemen
Fysieke beveiliging: toegangscontrole - checklist
In de helft van de centra kan men zomaar binnenlopen
Meestal worden de medewerkers aangemoedigd om bezoekers aan te spreken
Geen instructies rond bezoekers, geen registratie
Controle bij het verlaten van het gebouw..
Fysieke beveiliging: toegangscontrole - checklist
9 centra beschikken over inbraak dedectiesystemen
Geen afspraken over wat te doen in geval van inbraak (politie, sleutelhouders,…)
Geen enkel centrum beschikt over videobewaking
Slechts één centrum heeft een systeem van toegangscontrole met badges
Fysieke beveiliging: toegangscontrole - Checklist
Diefstal van laptops: (zie ook “processen”)
Ernstige bedreiging en gemiddelde waarschijnlijkheid
Gevolgen zijn ernstig op financieel en menselijk vlak, gemiddeld op de classificatie
Richtlijnen voor gebruik en vervoer zijn goede maatregelen
Fysieke beveiliging minderVerzekeringen zijn terug een punt van discussie
Fysieke beveiliging: andere incidenten
BrandErnstige bedreiging, lage waarschijnlijkheidZware gevolgen op financieel vlakBrandmelders en brandblussers hebben de
voorkeurVerzekering is zinvolOefeningen?
Storing in het elektriciteitsnetWeinig ernstig en weinig waarschijnlijkZeer lage gevolgenPlaatsen van UPS draagt hier de voorkeur
Fysieke beveiliging: andere incidenten
Meestal zijn de gevoelige toestellen opgesteld in niet publieksruimtes
Brandpreventie:Geen bliksemafleiders (4/24 waar is het nodig?)Brandwerende scheidingen ontbreken vaakGoede signalisatie (23/24)Brandblussers beschikbaar(22/24) Instructies en oefeningen (17/24)
LaptopsGeen voorschriften in 23 centra voor vervoer en gebruik
buitenshuisGeen beveiling via kabelsloten Inventarisatie is OKViruscontrole is optimaal in alle centra
Fysieke beveiliging: andere incidenten - checklist
StroomonderbrekingenApparatuur meestal niet beveiligd tegen
elektrische storingen (7/24)Geen analyse van eventuele gevolgenInstallatie voldoet aan de technische normen in
23 centra14 centra beschikken over een UPS
Afvoeren van materiaalGoed onderhoudPrivacy bij onderhoud door derden?Aandacht voor het vernietigen van gegevens is
een probleem
Fysieke beveiliging: andere incidenten - checklist
Via het beeldscherm: (zie ook processen en logische toegang)
Weinig ernstig en weinig waarschijnlijkLage gevolgenBeveiliging met wachtwoord (screensaver) en
incryptie scoren goedVia documenten:
Ernstig doch weinig waarschijnlijkMenselijk een gemiddelde impactDocumenten opbergen in afgesloten kasten
eerder dan bureau op slot doen
Fysieke beveiliging: raadplegen van documenten
Geen voorschriften voor het beschermen van informatie in het algemeen (in 22 centra)
Opbergen van dossiers - aandachtspuntGebruik van screensavers!Plaatsing van printers is soms een probleem
(laten liggen van documenten)Toezicht op gebruik van fax en
kopieertoestellen
Fysieke beveiliging: raadplegen van documenten - checklist
Fysieke beveiliging: prioriteiten
Richtlijnen rond bezoekers:Onthaal?Controle?Registratie?
Richtlijnen rond gebruik/vervoer van laptopsRichtlijnen rond het beschermen van
informatie
Verkeerde versies:Zeer lage bedreiging en zeer lage
waarschijnlijkheidZeer lage gevolgen
Bugs in software van derden:Bedreiging is discutabel, lage waarschijnlijkheidLage gevolgenHelpdesk(?); centrale registratie
Beschikbaarheid van applicatie:Gemiddelde bedreiging, waarschijnlijkheid
gemiddeldZeer lage gevolgenHelpdesk en registratie
Processen: software
Er wordt weinig gebruik gemaakt van procedures en registratie van incidenten inzake gebruik van IT
In 11 centra wordt gebruik gemaakt van eigen ontworpen applicaties(versiebeheer in 6 gevallen)
Geen “noodplannen” of registratie bij het niet beschikbaar zijn van applicaties beheerd door derden (bvb LARS).
Processen: software - Checklist
Virussen:Gemiddelde tot ernstige bedreiging, lage
waarschijnlijkheidGevolgen gemiddeldAntivirus programma’s en firewall
Spyware:Ernstige bedreiging, lage waarschijnlijkheidLage gevolgenAntivirus programma’s en firewall
Processen: virussen en spyware
Antivirus software is in alle gevallen up to date
Er is in de meeste gevallen een formeel beleid inzake illegale software
Men is zich bewust van de gevaren van virussen en spyware
Wat te doen in geval van problemen?
Processen: virussen en spyware - Checklist
Gebrek aan backups:Ernstige bedreiging, lage waarschijnlijkheidLage gevolgenMaken van backups, zowel lokaal en op server
Processen: Backups
Processen: Backups - ChecklistIn 19 centra worden backups gemaakt van de
dataAandacht nodig voor de bewaring van de backups
Onderbreking:Lage bedreiging, lage waarschijnlijkheidZeer lage gevolgenMaatregelen:??
Inbraak in het netwerk (bekabeld):Lage bedreiging, zeer lage waarschijnlijkheidLage gevolgenGeen vreemde PC’s toelaten, gebruik van
profielenInbraak in het netwerk (draadloos):
Lage bedreiging, zeer lage waarschijnlijkheidLage gevolgenEncryptie en beveiliging op MAC adres
Processen: Netwerk - lokaal
Netwerk is in de meeste gevallen beveiligd tegen hackers
Als men een draadloos netwerk gebruikt (17) is het meestal beveiligd via encryptie(14).
Weinig registratie van eventuele inbraakpogingen
Processen: Netwerk – lokaal - Checklist
Via laptops:Ernstige bedreiging, lage waarschijnlijkheidGevolgen vooral op menselijk vlakLaptop beveiligen (wachtwoord, encryptie) en
richtlijnenVia media (CD’s, memorysticks,…)
Ernstige bedreiging, lage waarschijnlijkheidGevolgen vooral op menselijk vlakBeveiligen via encryptie en wachtwoord
Processen: verlies of diefstal van gegevens
Geen richtlijnen over het gebruik van laptops en verwijderbare media
Geen classificatie van documentenVersiebeheer en volledigheid van
documenten
Processen: verlies of diefstal van gegevens - Checklist
Bewaring:Gemiddelde bedreiging, weinig waarschijnlijkGevolgen op menselijk vlakVeilige bewaring
Vernietiging:Lage bedreiging, zeer weinig waarschijnlijkLage gevolgenBeroep doen op gespecialiseerde firma voor
vernietiging
Processen: archivering
Bewaren en vernietigen van archieven is in de meeste gevallen goed geregeld
Registratie van te vernietigen gegevens, is dit noodzakelijk?
Processen: archivering - Checklist
Uitwisselen dossiers:Ernstige bedreiging, lage waarschijnlijkheidVooral gevolgen op menselijk vlakRegistratie van uitwisselenAangetekend versturen??
Processen: uitwisselen van dossiers
In de helft van de centra zijn er afspraken gemaakt voor de uitwisseling
In 19 centra is er registratie van de uitwisseling
Geen formele procedures voorzienDatatransport op elektronische manier
gebeurt onveiligGebruik van post/koerierdiensten
Processen: uitwisselen van dossiers - Checklist
Ongeoorloofd lezen van mails:Ernstige bedreiging, lage waarschijnlijkheidLage gevolgenRegels en encryptie
Processen: e-mail
Processen: e-mail - ChecklistGeen afspraken of procedures in verband met
het gebruik van e-mail in de meeste centraDe antiviruscontrole is in alle centra OK
Hacking van eigen website of intranet:Weinig ernstige bedreiging, zeer lage
waarschijnlijkheidZeer lage gevolgenFirewall
Ongecontroleerd internetgebruik:Weinig ernstige bedreiging, gemiddelde
waarschijnlijkheidZeer lage gevolgen??
Processen: Internet
20 centra beschikken over een eigen website14 centra gebruiken een intranet (voldoende
beveiligd in 10 gevallen)Geen onderrichtingen in verband met het
gebruik van internet.In 9 centra kunnen “vreemden” gebruik
maken van het internet.
Processen: Internet - Checklist
Telefonisch gegevens doorgeven:Ernstige bedreiging, weinig waarschijnlijkGevolgen op menselijk vlak???
Processen: social engineering
In 13 centra zijn er regels over het doorgeven van vertrouwelijke informatie via telefoon en andere openbare gesprekken
Opletten voor personen die zich voordoen als iemand anders.
Processen: social engineering - Checklist
Richtlijnen rond gebruik van laptops en ander verwijderbare media
Instructies rond uitwisseling dossiersE-mail (en internetgebruik) structureren
Processen: prioriteiten
Misbruik van wachtwoorden:Lage tot gemiddelde bedreiging, weinig
waarschijnlijkLage gevolgenMaatregelen??
Logische toegang: wachtwoorden
Logische toegang: ChecklistMatig wachtwoordenbeleid Openstaande sessiesGeen enkel centrum gebruikt kaartlezers
Gebruik van laptop door derdenWeinig ernstige bedreiging, weinig waarschijnlijkZeer lage gevolgenGebruik van screensavers en encryptie
Logische toegang: gebruik laptop
Logische toegang: gebruik laptop - ChecklistZeer goede virusbeschermingIn de helft van de centra is er een beleid rond
het gebruik in het openbaar en vervoerGeen encryptieGeen richtlijnen voor gebruik door derdenOnderhoud na terugbrengen?
TelewerkenWeinig ernstige bedreiging, zeer lage
waarschijnlijkheidLage impactGebruik van VPN
Werken op thuis- of schoolcomputerWeinig ernstige bedreiging, zeer lage
waarschijnlijkheidLage impactGeen gebruik maken van zulke PC’s? Encryptie
Logische toegang: afstandswerk
Geen afspraken rond het afstandswerk, wel rond de fysieke werkplek
In 12 centra wordt gebruik gemaakt van VPN verbindingen om met de eigen server te connecteren
Logische toegang: afstandswerk - Checklist
Logische toegang: prioriteiten
Gebruik van wachtwoordenOpenstaande sessies en screensaversAfstandswerk?
• Deel 2 inschatting: •Geen afgetekende resultaten•algemene attitude….“Sommige risico’s kunnen ernstige gevolgen hebben, maar het zal ons niet overkomen”
• Deel 1 checklist: goed startpunt om te zien hoever we staan.