De presentatie wordt gedownload. Even geduld aub

De presentatie wordt gedownload. Even geduld aub

Maart-mei 2009. Ter herinnering: Doel enquête: “Inzicht krijgen op de objectieve en subjectieve aspecten van veiligheid in de CLB’s van het GO!, zodanig.

Verwante presentaties


Presentatie over: "Maart-mei 2009. Ter herinnering: Doel enquête: “Inzicht krijgen op de objectieve en subjectieve aspecten van veiligheid in de CLB’s van het GO!, zodanig."— Transcript van de presentatie:

1 Maart-mei 2009

2 Ter herinnering: Doel enquête: “Inzicht krijgen op de objectieve en subjectieve aspecten van veiligheid in de CLB’s van het GO!, zodanig dat er prioriteiten kunnen gelegd worden” Deel 1 Checklist: Ja/nee vragen Inventariseren van bepaalde veiligheidsaspecten Startpunt bepalen Deel 2 Inschatting Subjectieve inschatting van veiligheidsaspecten door diverse personeelsleden in een bepaald centrum

3 Deelname: Deel 1 Alle centra hebben deelgenomen 24 hoofdzetels 3 centra hebben per vestigingsplaats geantwoord In deze resultaten wordt alleen rekening gehouden met de hoofdzetel De resultaten per vestigingplaats zullen ter plaatse besproken worden, indien gewenst

4 Deelname: Deel 2 23 Centra hebben deelgenomen Tussen de 1 en 6 respondenten per centrum Meeste centra 3 deelnemers Sommige centra hebben in groep één enquête ingevuld Totaal 80 enquêtes verwerkt

5 Bespreking resultaten: 4 domeinen: Personeel gerelateerde zaken Fysieke beveiliging Operationele processen Logische toegang Per onderwerp: Eerst een zicht op de subjectieve beleving Vergelijken met de checklist Per Domein: Voorstel prioriteitenlijst

6 Personeel: veiligheidsbeleid Ernst van de bedreiging

7 Personeel: veiligheidsbeleid waarschijnlijkheid

8 Personeel : veiligheidsbeleid Geen weet van veiligheidsbeleid: Tamelijk ernstige gevolgen, lage tot gemiddelde waarschijnlijkheid Vooral impact op classificatie en menselijk Informeren en vormen personeel Geen meldpunt voor veiligheidsincidenten: Geen zware gevolgen, lage waarschijnlijkheid Lage impact Logging per centrum, eventueel centraal

9 Personeel: veiligheidsbeleid Ontbreken van evaluatie- en sanctiebeleid: Gemiddeld tot hoge bedreiging, waarschijnlijkheid gemiddeld Lage impact Opnemen in de evalutie? Sanctiebeleid? (niet duidelijk) Niet melden van softwarebugs Weinig ernstig, weinig waarschijnlijk Zeer lage impact Het melden wordt in vraag gesteld, zowel lokaal als rechtstreeks naar de softwarebouwer

10 Veiligheidsbeleid: In 16 centra wordt aandacht besteed aan veiligheidsbeleid Geheimhoudingsverklaring: 11 op 24 Initiële vorming in 15 centra Verschil tussen personeel en stagiars Meldpunt Er is een meldpunt in 22 centra, maar Niet duidelijk wat veiligheidsincidenten zijn Geen logging Personeel: veiligheidsbeleid checklist

11 Evaluatie en sanctiebeleid Geen toetsing van de veiligheidsvereisten (22) Geen evalutie van het personeel op dat vlak (18) Niet melden van softwarebugs: In 19 centra wordt dit gemeld aan de directie Personeel: veiligheidsbeleid checklist

12 Bepaalde specialisaties gekend door één persoon Tamelijke ernstige bedreiging en waarschijnlijkheid Lage impact Ander personeelslid als backup opleiden heeft de voorkeur Gevaar voor schade door gebrek aan opleiding/ervaring: Tamelijk ernstig, doch weinig waarschijnlijk Lage impact Vorming en procedures Personeel: opleiding

13 Rechten van niet actief personeel laten staan Lage ernst en waarschijnlijkheid Lage impact Onmiddellijk toegang tot gebouwen en systemen verhinderen is een goede methode. Personeel: opleiding

14 In 14 centra wordt er aandacht besteed dat specialisaties doorgegeven worden Weinig aandacht voor eventuele schade door verkeerd gebruik van systemen of gebrek aan ervaring Bij vertrek of functiewijziging wordt aandacht besteed aan het verhinderen van de toegang tot gebouwen en systemen. Personeel: opleiding - Checklist

15 Personeel: prioriteiten Veiligheidsbeleid ondersteunen via concretiseren van “wat zijn veiligheidsincidenten” Stimuleren van loggingsystemen Samenwerken met de kwaliteitsverantwoordelijken ivm functieprofielen en backup van specialisaties (werkinstructies, procedures,…)

16 Ongewenste toegang tot de gebouwen: Gemiddeld tot lage gevolgen, lage waarschijnlijkheid Lage impact Voorkeur gaat naar het beveiligen van de toegang, eerder dan het verplaatsen van onthaal… Ongewenste toegang tot de kantoren Gemiddeld tot lage gevolgen, lage waarschijnlijkheid Lage impact Deuren afsluiten. Fysieke beveiliging : toegangscontrole

17 Inbraak Ernstige bedreiging, lage tot gemiddelde waarschijnlijkheid Financieel en menselijk hoge gevolgen Antidiefstalsysteem met beveiligingsfirma en betere fysieke bescherming hebben de voorkeur Verzekeringen zijn materie voor discussie Fysieke beveiliging : toegangscontrole

18 Er is onderscheid tussen diverse zones in meer dan de helft van de centra Beveiligde zones meestal niet afgesloten Plaatsing van printers, kopieerapparaten is soms een probleem Bij uitdiensttreding: wordt er wel gelet op het afgeven van sleutels. Veel minder op het wijzigen van toegangscodes voor systemen Fysieke beveiliging : toegangscontrole - checklist

19 In de helft van de centra kan men zomaar binnenlopen Meestal worden de medewerkers aangemoedigd om bezoekers aan te spreken Geen instructies rond bezoekers, geen registratie Controle bij het verlaten van het gebouw.. Fysieke beveiliging : toegangscontrole - checklist

20 9 centra beschikken over inbraak dedectiesystemen Geen afspraken over wat te doen in geval van inbraak (politie, sleutelhouders,…) Geen enkel centrum beschikt over videobewaking Slechts één centrum heeft een systeem van toegangscontrole met badges Fysieke beveiliging : toegangscontrole - Checklist

21 Diefstal van laptops: (zie ook “processen”) Ernstige bedreiging en gemiddelde waarschijnlijkheid Gevolgen zijn ernstig op financieel en menselijk vlak, gemiddeld op de classificatie Richtlijnen voor gebruik en vervoer zijn goede maatregelen Fysieke beveiliging minder Verzekeringen zijn terug een punt van discussie Fysieke beveiliging : andere incidenten

22 Brand Ernstige bedreiging, lage waarschijnlijkheid Zware gevolgen op financieel vlak Brandmelders en brandblussers hebben de voorkeur Verzekering is zinvol Oefeningen? Storing in het elektriciteitsnet Weinig ernstig en weinig waarschijnlijk Zeer lage gevolgen Plaatsen van UPS draagt hier de voorkeur Fysieke beveiliging : andere incidenten

23 Meestal zijn de gevoelige toestellen opgesteld in niet publieksruimtes Brandpreventie: Geen bliksemafleiders (4/24 waar is het nodig?) Brandwerende scheidingen ontbreken vaak Goede signalisatie (23/24) Brandblussers beschikbaar(22/24) Instructies en oefeningen (17/24) Laptops Geen voorschriften in 23 centra voor vervoer en gebruik buitenshuis Geen beveiling via kabelsloten Inventarisatie is OK Viruscontrole is optimaal in alle centra Fysieke beveiliging : andere incidenten - checklist

24 Stroomonderbrekingen Apparatuur meestal niet beveiligd tegen elektrische storingen (7/24) Geen analyse van eventuele gevolgen Installatie voldoet aan de technische normen in 23 centra 14 centra beschikken over een UPS Afvoeren van materiaal Goed onderhoud Privacy bij onderhoud door derden? Aandacht voor het vernietigen van gegevens is een probleem Fysieke beveiliging : andere incidenten - checklist

25 Via het beeldscherm: (zie ook processen en logische toegang) Weinig ernstig en weinig waarschijnlijk Lage gevolgen Beveiliging met wachtwoord (screensaver) en incryptie scoren goed Via documenten: Ernstig doch weinig waarschijnlijk Menselijk een gemiddelde impact Documenten opbergen in afgesloten kasten eerder dan bureau op slot doen Fysieke beveiliging : raadplegen van documenten

26 Geen voorschriften voor het beschermen van informatie in het algemeen (in 22 centra) Opbergen van dossiers - aandachtspunt Gebruik van screensavers! Plaatsing van printers is soms een probleem (laten liggen van documenten) Toezicht op gebruik van fax en kopieertoestellen Fysieke beveiliging : raadplegen van documenten - checklist

27 Fysieke beveiliging: prioriteiten Richtlijnen rond bezoekers: Onthaal? Controle? Registratie? Richtlijnen rond gebruik/vervoer van laptops Richtlijnen rond het beschermen van informatie

28 Verkeerde versies: Zeer lage bedreiging en zeer lage waarschijnlijkheid Zeer lage gevolgen Bugs in software van derden: Bedreiging is discutabel, lage waarschijnlijkheid Lage gevolgen Helpdesk(?); centrale registratie Beschikbaarheid van applicatie: Gemiddelde bedreiging, waarschijnlijkheid gemiddeld Zeer lage gevolgen Helpdesk en registratie Processen : software

29 Er wordt weinig gebruik gemaakt van procedures en registratie van incidenten inzake gebruik van IT In 11 centra wordt gebruik gemaakt van eigen ontworpen applicaties(versiebeheer in 6 gevallen) Geen “noodplannen” of registratie bij het niet beschikbaar zijn van applicaties beheerd door derden (bvb LARS). Processen : software - Checklist

30 Virussen: Gemiddelde tot ernstige bedreiging, lage waarschijnlijkheid Gevolgen gemiddeld Antivirus programma’s en firewall Spyware: Ernstige bedreiging, lage waarschijnlijkheid Lage gevolgen Antivirus programma’s en firewall Processen : virussen en spyware

31 Antivirus software is in alle gevallen up to date Er is in de meeste gevallen een formeel beleid inzake illegale software Men is zich bewust van de gevaren van virussen en spyware Wat te doen in geval van problemen? Processen : virussen en spyware - Checklist

32 Gebrek aan backups: Ernstige bedreiging, lage waarschijnlijkheid Lage gevolgen Maken van backups, zowel lokaal en op server Processen : Backups Processen : Backups - Checklist In 19 centra worden backups gemaakt van de data Aandacht nodig voor de bewaring van de backups

33 Onderbreking: Lage bedreiging, lage waarschijnlijkheid Zeer lage gevolgen Maatregelen:?? Inbraak in het netwerk (bekabeld): Lage bedreiging, zeer lage waarschijnlijkheid Lage gevolgen Geen vreemde PC’s toelaten, gebruik van profielen Inbraak in het netwerk (draadloos): Lage bedreiging, zeer lage waarschijnlijkheid Lage gevolgen Encryptie en beveiliging op MAC adres Processen : Netwerk - lokaal

34 Netwerk is in de meeste gevallen beveiligd tegen hackers Als men een draadloos netwerk gebruikt (17) is het meestal beveiligd via encryptie(14). Weinig registratie van eventuele inbraakpogingen Processen : Netwerk – lokaal - Checklist

35 Via laptops: Ernstige bedreiging, lage waarschijnlijkheid Gevolgen vooral op menselijk vlak Laptop beveiligen (wachtwoord, encryptie) en richtlijnen Via media (CD’s, memorysticks,…) Ernstige bedreiging, lage waarschijnlijkheid Gevolgen vooral op menselijk vlak Beveiligen via encryptie en wachtwoord Processen : verlies of diefstal van gegevens

36 Geen richtlijnen over het gebruik van laptops en verwijderbare media Geen classificatie van documenten Versiebeheer en volledigheid van documenten Processen : verlies of diefstal van gegevens - Checklist

37 Bewaring: Gemiddelde bedreiging, weinig waarschijnlijk Gevolgen op menselijk vlak Veilige bewaring Vernietiging: Lage bedreiging, zeer weinig waarschijnlijk Lage gevolgen Beroep doen op gespecialiseerde firma voor vernietiging Processen : archivering

38 Bewaren en vernietigen van archieven is in de meeste gevallen goed geregeld Registratie van te vernietigen gegevens, is dit noodzakelijk? Processen : archivering - Checklist

39 Uitwisselen dossiers: Ernstige bedreiging, lage waarschijnlijkheid Vooral gevolgen op menselijk vlak Registratie van uitwisselen Aangetekend versturen?? Processen : uitwisselen van dossiers

40 In de helft van de centra zijn er afspraken gemaakt voor de uitwisseling In 19 centra is er registratie van de uitwisseling Geen formele procedures voorzien Datatransport op elektronische manier gebeurt onveilig Gebruik van post/koerierdiensten Processen : uitwisselen van dossiers - Checklist

41 Ongeoorloofd lezen van mails: Ernstige bedreiging, lage waarschijnlijkheid Lage gevolgen Regels en encryptie Processen : Processen : - Checklist Geen afspraken of procedures in verband met het gebruik van in de meeste centra De antiviruscontrole is in alle centra OK

42 Hacking van eigen website of intranet: Weinig ernstige bedreiging, zeer lage waarschijnlijkheid Zeer lage gevolgen Firewall Ongecontroleerd internetgebruik: Weinig ernstige bedreiging, gemiddelde waarschijnlijkheid Zeer lage gevolgen ?? Processen : Internet

43 20 centra beschikken over een eigen website 14 centra gebruiken een intranet (voldoende beveiligd in 10 gevallen) Geen onderrichtingen in verband met het gebruik van internet. In 9 centra kunnen “vreemden” gebruik maken van het internet. Processen : Internet - Checklist

44 Telefonisch gegevens doorgeven: Ernstige bedreiging, weinig waarschijnlijk Gevolgen op menselijk vlak ??? Processen : social engineering

45 In 13 centra zijn er regels over het doorgeven van vertrouwelijke informatie via telefoon en andere openbare gesprekken Opletten voor personen die zich voordoen als iemand anders. Processen : social engineering - Checklist

46 Richtlijnen rond gebruik van laptops en ander verwijderbare media Instructies rond uitwisseling dossiers (en internetgebruik) structureren Processen : prioriteiten

47 Misbruik van wachtwoorden: Lage tot gemiddelde bedreiging, weinig waarschijnlijk Lage gevolgen Maatregelen?? Logische toegang : wachtwoorden Logische toegang : Checklist Matig wachtwoordenbeleid Openstaande sessies Geen enkel centrum gebruikt kaartlezers

48 Gebruik van laptop door derden Weinig ernstige bedreiging, weinig waarschijnlijk Zeer lage gevolgen Gebruik van screensavers en encryptie Logische toegang : gebruik laptop Logische toegang : gebruik laptop - Checklist Zeer goede virusbescherming In de helft van de centra is er een beleid rond het gebruik in het openbaar en vervoer Geen encryptie Geen richtlijnen voor gebruik door derden Onderhoud na terugbrengen?

49 Telewerken Weinig ernstige bedreiging, zeer lage waarschijnlijkheid Lage impact Gebruik van VPN Werken op thuis- of schoolcomputer Weinig ernstige bedreiging, zeer lage waarschijnlijkheid Lage impact Geen gebruik maken van zulke PC’s? Encryptie Logische toegang : afstandswerk

50 Geen afspraken rond het afstandswerk, wel rond de fysieke werkplek In 12 centra wordt gebruik gemaakt van VPN verbindingen om met de eigen server te connecteren Logische toegang : afstandswerk - Checklist

51 Logische toegang : prioriteiten Gebruik van wachtwoorden Openstaande sessies en screensavers Afstandswerk?

52 Deel 2 inschatting: Geen afgetekende resultaten algemene attitude…. “Sommige risico’s kunnen ernstige gevolgen hebben, maar het zal ons niet overkomen” Deel 1 checklist: goed startpunt om te zien hoever we staan.

53

54


Download ppt "Maart-mei 2009. Ter herinnering: Doel enquête: “Inzicht krijgen op de objectieve en subjectieve aspecten van veiligheid in de CLB’s van het GO!, zodanig."

Verwante presentaties


Ads door Google