10 mythes in IT-beveiliging volgens Gartner
Mythe 1: Het gebeurt mij niet
Oorzaak: Afgestompt door de hype rond beveiligingsrisico's krijgen werknemers ruim baan en worden kosten en verantwoordelijkheden gemeden.
Oplossing: Neem de verantwoordelijkheid en beoordeel beveiligingsgerelateerde onderwerpen, bijvoorbeeld aan de hand van een classificatieraamwerk voor beveiligingsrisico's.
Mythe 2: Het beveiligingsbudget beslaat 10% van de IT-uitgaven
Oorzaak: Whishful thinking: Uit de gegevens van Gartner blijkt dat het beveiligingsbudget eerder in de buurt van de 5% ligt.
Oplossing: Sla de boekhouding er eens op na.
Mythe 3: Beveiligingsrisico's kunnen worden gekwantificeerd
Oorzaak: In een cijfers-georiënteerde cultuur ontstaat vaak het idee dat wie over de meeste cijfers beschikt, wint. Het creëert de illusie dat het beveiligingsbudget gerechtvaardigd kan worden op basis van een spreadsheet.
Oplossing: Ontwikkel een systeem met non-nummerieke omschrijvingen van risico's. Zorg dat elke bedrijfseenheid verantwoordelijkheid krijgt voor zijn eigen IT-gerelateerde risico's.
Mythe 4: Wij hebben fysieke beveiliging (of SSL) dus je weet dat je data veilig zijn
Oorzaak: Whishful thinking en een slecht begrip van risico's
Oplossing: Zorg er voor dat de inkoop van beveiligingstoepassingen in lijn is met het niveau van beveiliging dat de gegevens vereisen.
Mythe 5: Tijdelijke en complexe wachtwoorden verminderen het risico
Oorzaak: Laksheid, wachtwoorden alleen zijn niet veilig, maar het kraken ervan is niet het belangrijkste veiligheidsrisico. Wachtwoorden worden 'gesniffed'.
Oplossing: Die is er niet direct
Mythe 6: De verantwoordelijkheid voor IT-beveiliging (CISO) leggen buiten de IT levert automatisch een goede beveiliging op
Oorzaak: Doorschuiven van het probleem. Het is de oude truc om een probleem op te lossen door iets te reorganiseren.
Oplossing: Ga op zoek naar de werkelijke oorzaak van de zwakheden in het beveiligingsprogramma.
Mythe 7: Het opvolgen van beveiligingsbeleid is het probleem van de CISO ( chief information security officer)
Oorzaak: Doorschuiven van het probleem. Bedrijfsonderdelen schuiven graag de beveiligingsrisico's af naar anderen, waarbij de CISO alle last op zijn schouders krijgt. Toch willen de bedrijfseenheden niet dat de CISO hen vertelt wat te doen.
Oplossing: Creëer een informatiebeveiligingsprogramma dat aansluit bij de bedrijfscultuur.
Mythe 8: Koop dit gereedschap en al je zorgen zijn voorbij
Oorzaak: De zoektocht buiten de deur naar een magische oplossing voor lastige problemen: Whishful thinking.
Oplossing: Zorg voor een methodische risico-analyse en een meerjarig beveiligingsplan.
Mythe 9: Wanneer het beleid is geïmplementeerd, zijn we klaar
Oorzaak: Whishful thinking
Oplossing: Zorg voor verantwoordelijkheid bij het management en ga de strijd zorgvuldig aan.
Mythe 10: Encryptie is de beste manier om gevoelige bestanden veilig te bewaren
Oorzaak: Wanneer encryptie werkt, is het heel goed. Maar soms richt encryptie meer schade aan dan het goed doet wanneer er naïeve verwachtingen bestaan ten aanzien van een complexe technologie. Soms draait het uit op een zoektocht naar de heilige graal voor problemen die gewoon met een goed beveiligingsbeleid kunnen worden opgelost.
Oplossing: Zorg voor een ruime ervaring met cryptografie voordat er keuzes worden gemaakt.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee