|
|
 |
|
|
|
"Take control with ISMScontrol", Het Instrument voor het beheersen, rapporteren en monitoren van IT Governance, -Risicomanagement, -Compliance, informatiebeveiliging, management control en normen/standaarden zoals ISO 27001/27002, NEN 7510, PCI DSS, BS 25999, SAS 70 / ISAE 3402 etc.
|
|
 |
|
 |
|
|
|
|
 |
|
ISO 27001 |
|
|
|
NEN 7510 / ISO 27799 |
|
|
|
BS 25999 |
|
|
|
PCI DSS |
|
|
|
COBIT |
|
|
|
SAS70 - TPM |
|
|
|
(J)SOX |
|
Trainingen ISMScontrol
|
 |
Terug naar nieuwsitemsDiginotar-hack is relevant voor elke organisatieEr zijn veel lessen te trekken uit het gebeuren rondom Diginotar. En met iedere nieuwe onthulling komen er nieuwe lessen bij, dus voor de definitieve conclusie is het nog veel te vroeg. Maar is de meest voor de hand liggende les inderdaad de belangrijkste?
Les één lijkt te zijn dat grootschalige onderschatting van security risico’s nog steeds (te) veel voorkomt en uiteindelijk niet zonder consequenties blijft. Basale zaken zoals antivirus, defense in depth, zoning, een monitoring capability en de juiste cultuur/mindset zijn randvoorwaarden voor een adequate beveiliging. En als die ontbreken, resulteert dat onvermijdelijk in een inbraak die veel te gemakkelijk is te plegen en die vroeg of laat gesignaleerd wordt.
Maar dat is, hoe waar en relevant ook, geen nieuwe les. Het grootste leerpunt van wat er momenteel gebeurt, is misschien wel gelegen in het feit dat Diginotar waarschijnlijk niet het echte mikpunt van de inbreker(s) was. Via Diginotar konden beveiligingsmiddelen van andere organisaties gecompromitteerd worden, zodat daar ingebroken, afgeluisterd of gefraudeerd kan worden. En dat lijkt een nieuwe tactiek. Want gebeurde enkele maanden geleden niet hetzelfde met RSA? Via gecompromitteerde Secure ID tokens van RSA werden organisaties aangevallen die op die tokens vertrouwden voor hun toegangsbeveiliging.
Dat betekent dat iedere organisatie zich af moet vragen of de risico’s in de keten bekend zijn. Je kunt allerlei beveiligingszaken prima regelen, maar voor veel activiteiten zal vertrouwd worden op de diensten en producten van derden. En die blijken niet altijd zonder meer te vertrouwen. Daar zal dus zekerheid over verkregen moeten worden. Maar zelfs dan zullen we moeten accepteren dat niet alle risico’s voorkomen kunnen worden (als we tenminste ons huidige niveau van connectivity willen handhaven) en dat er dus nog meer nadruk zal moeten komen op detectie van mogelijk misbruik. En dat hoeft niet alleen achteraf, door middel van security monitoring, maar kan ook vooraf door het onderkennen van patronen en trends in de markt en de waardeketen. Daarmee krijg je als onderneming ‘situational awareness’; je kunt duiden wat er in de nabije (cyber)omgeving van de organisatie gebeurt , wat je in staat stelt te anticiperen op het juiste risiconiveau.
Laten we daarom niet te snel denken dat wat er nu bij Diginotar gebeurt , zich beperkt tot de direct betrokkenen en alleen kan gebeuren als basale beveiligingsmaatregelen niet getroffen zijn. Iedere organisatie dient zich af te vragen welke risico’s zich bevinden in de waardeketen en of er voldoende informatie is om de risico’s real time te monitoren, te analyseren en risico’s te signaleren.
Bron: Computable |
|
 |
|
|
 |
|
|
Neem contact op
Vraag de demo aan
|
zoeken |
|
|
|
|
|
nieuws |
|
|
|
|
|
|
|
|
|
CompLions nieuws |
|
|
|
|
|
|
|
|
|
