78% van de lokale overheden zijn 100% kwetsbaar voor security risico’s!

78% van de lokale overheden zijn 100% kwetsbaar voor security risico’s!

“78% van alle lokale overheden zijn 100% kwetsbaar

  • Bij 22 van de 28 besturen bleek het mogelijk controle te krijgen over de volledige IT-omgeving. Bij 2 andere besturen kregen de ethical hackers controle over een belangrijk deel van de IT-omgeving. Dergelijke controle laat toe de werking stil te leggen, kennis te nemen van gegevens en deze te manipuleren. Bron
Afbeelding
Bron: Thema-audit Informatiebeveiliging Globaal rapport | 18 september 2018

Beleid en organisatie

  • Om een goed informatiebeveiligingsbeleid (informatiebeheer) te kunnen uitbouwen, is het nuttig om eerst zicht te hebben op de risico’s waar je bestuur mee geconfronteerd wordt.
  • De volgende stappen staan omschreven in het Audit Vlaanderen rapport. Het heeft geen zin om verder te gaan zonder dat de feiten eerst bloot gelegd worden.

De geanonimiseerde resultaten

Bron: Thema-audit Informatiebeveiliging Globaal rapport | 18 september 2018

Technische analyse

  • Een technische analyse kan gebeuren in enkele werkdagen. Het lijkt misschien complex om veel effectieve datapunten te verzamelen en te rapporteren. Echter is het zo dat Microsoft tools heeft om elk inzicht te capteren.
  • Identiteitsrisico’s, gelekte accounts, slechte wachtwoorden – geen wachtwoorden zijn de basis van elke analyse. Eén van de grootste pijnpunten.
  • Data inzichten. 90% van de overheden werken met Microsoft Windows en kunnen hun document-data eenvoudig cross-platform inzichtelijk krijgen. On-Premise als in de cloud, voor mobiele gebruikers als voor interne gebruikers.
  • Technische instructies zijn ook hier raadpleegbaar.
  • Uiteraard kan je van A tot Z diepe en complexe security audits doen maar in dit voorbeeld gaan we er vanuit dat 90% Microsoft technologie is. Zie ook deze blog.

Phishing en malware is bekend, de andere risico’s niet

  • Phishing: Phishing is begrepen door volledige organisaties en is commodity.
  • Malware: Iedereen ken ‘virussen’, we installeren al 20 jaar virusscanners op onze computers.
  • Ransomware zoals Wannacry is bekekend. Vaak via de pers.

Risico’s die niet begrepen worden

  • Identiteitsfraude: Het misbruiken van gebruikerslogin’s.
  • Data breaches: Het exporteren, verkopen, misbruiken en afpersen van data.
  • Cloud Security Issues: Dankzij de overgang naar Cloud Services is het potentieel er om veiliger te zijn. In de realiteit zien we vaak geen implementatie. Het meest makkelijke voorbeeld = MFA.
  • Mobiele toestellen als de eerste attack-line. We doen alle werkgerelateerde taken met onze mobiele toestellen maar nemen nooit het beheer zo serieus als de fysieke werkstations.
  • Werkstationbeheer en update management. Het is doodeenvoudig om met technologie alle toestellen naar dezelfde updatebare versie te brengen. Uiteraard is er eerst een inhaalbeweging nodig. We zien updates steeds als een lange termijn actie, terwijl dit net een korte termijn, repititieve taak is.

Een Security traject is handelen

  • Organisaties bespreken security incidenten vaak als het te laat is. Spijtig, want proactief zijn er véél dingen die op enkele dagen ingericht kunnen worden.
  • We praten met de verkeerde integrators, bouwen geen standaarden terwijl de samenwerking tussen de overheden enorm veel potentieel kan bieden.
  • Mobiele toestellen en mobiele jobs blijven steeds groeien en men krijgt zicht niet genoeg georganiseerd om dit te begrijpen. De technologie om dit optimaat uit te bouwen staat niet stil. Starten met een lange termijn strategie is belangrijk.
  • Framework / kader / rapportering / strategie. Dit zijn de belangrijkste pijlers om klaar te zijn voor een veiligere toekomst.
  • Veiligheid is de verantwoordelijkheid van de organisatie. Niet die van de DPO, IT Manager of management-team.

Actieplan

  • Doe een security check / Assessment
  • Start een traject met de strategie om veiliger te zijn. Van Awareness to implementatie. Keep it simple. Maak dit transparant binnen de organisatie.
  • Veiligheid/Security = Cultuur. Het is voor iedereen binnen de organisatie. Betrek iedereen.
  • Niemand heeft het exacte stappenplan om te beginnen.. Dus…

10 Gerelateerde blogs

60% van securityrisico’s is het gevolg van een gecompromitteerd endpoint
Microsoft Teams security inrichtingen in 4 stappen
Office 365 Secure Score verbeteren
de 10 security aanbevelingen die we moeten inrichten nu we thuiswerken!

Jasper

Hallo, ik ben Jasper. Sinds 1 januari 2020 gestart met 365tips.be. Op deze website lees je artikels over ervaringen binnen Office 365, Microsoft Teams, etc... Veel leesplezier!

Geef een reactie