De presentatie wordt gedownload. Even geduld aub

De presentatie wordt gedownload. Even geduld aub

Resultaten enquête veiligheidsbeleid CLB-GO!

Verwante presentaties


Presentatie over: "Resultaten enquête veiligheidsbeleid CLB-GO!"— Transcript van de presentatie:

1 Resultaten enquête veiligheidsbeleid CLB-GO!
Maart-mei 2009

2 Ter herinnering: Doel enquête: Deel 1 Checklist: Deel 2 Inschatting
“Inzicht krijgen op de objectieve en subjectieve aspecten van veiligheid in de CLB’s van het GO!, zodanig dat er prioriteiten kunnen gelegd worden” Deel 1 Checklist: Ja/nee vragen Inventariseren van bepaalde veiligheidsaspecten Startpunt bepalen Deel 2 Inschatting Subjectieve inschatting van veiligheidsaspecten door diverse personeelsleden in een bepaald centrum

3 Deelname: Deel 1 Alle centra hebben deelgenomen 24 hoofdzetels
3 centra hebben per vestigingsplaats geantwoord In deze resultaten wordt alleen rekening gehouden met de hoofdzetel De resultaten per vestigingplaats zullen ter plaatse besproken worden, indien gewenst

4 Deelname: Deel 2 23 Centra hebben deelgenomen
Tussen de 1 en 6 respondenten per centrum Meeste centra 3 deelnemers Sommige centra hebben in groep één enquête ingevuld Totaal 80 enquêtes verwerkt

5 Bespreking resultaten:
4 domeinen: Personeel gerelateerde zaken Fysieke beveiliging Operationele processen Logische toegang Per onderwerp: Eerst een zicht op de subjectieve beleving Vergelijken met de checklist Per Domein: Voorstel prioriteitenlijst

6 Personeel: veiligheidsbeleid Ernst van de bedreiging

7 Personeel: veiligheidsbeleid waarschijnlijkheid

8 Personeel: veiligheidsbeleid
Geen weet van veiligheidsbeleid: Tamelijk ernstige gevolgen, lage tot gemiddelde waarschijnlijkheid Vooral impact op classificatie en menselijk Informeren en vormen personeel Geen meldpunt voor veiligheidsincidenten: Geen zware gevolgen, lage waarschijnlijkheid Lage impact Logging per centrum, eventueel centraal

9 Personeel: veiligheidsbeleid
Ontbreken van evaluatie- en sanctiebeleid: Gemiddeld tot hoge bedreiging, waarschijnlijkheid gemiddeld Lage impact Opnemen in de evalutie? Sanctiebeleid? (niet duidelijk) Niet melden van softwarebugs Weinig ernstig, weinig waarschijnlijk Zeer lage impact Het melden wordt in vraag gesteld, zowel lokaal als rechtstreeks naar de softwarebouwer

10 Personeel: veiligheidsbeleid checklist
In 16 centra wordt aandacht besteed aan veiligheidsbeleid Geheimhoudingsverklaring: 11 op 24 Initiële vorming in 15 centra Verschil tussen personeel en stagiars Meldpunt Er is een meldpunt in 22 centra, maar Niet duidelijk wat veiligheidsincidenten zijn Geen logging

11 Personeel: veiligheidsbeleid checklist
Evaluatie en sanctiebeleid Geen toetsing van de veiligheidsvereisten (22) Geen evalutie van het personeel op dat vlak (18) Niet melden van softwarebugs: In 19 centra wordt dit gemeld aan de directie

12 Personeel: opleiding Bepaalde specialisaties gekend door één persoon
Tamelijke ernstige bedreiging en waarschijnlijkheid Lage impact Ander personeelslid als backup opleiden heeft de voorkeur Gevaar voor schade door gebrek aan opleiding/ervaring: Tamelijk ernstig, doch weinig waarschijnlijk Vorming en procedures

13 Personeel: opleiding Rechten van niet actief personeel laten staan
Lage ernst en waarschijnlijkheid Lage impact Onmiddellijk toegang tot gebouwen en systemen verhinderen is een goede methode.

14 Personeel: opleiding - Checklist
In 14 centra wordt er aandacht besteed dat specialisaties doorgegeven worden Weinig aandacht voor eventuele schade door verkeerd gebruik van systemen of gebrek aan ervaring Bij vertrek of functiewijziging wordt aandacht besteed aan het verhinderen van de toegang tot gebouwen en systemen.

15 Personeel: prioriteiten
Veiligheidsbeleid ondersteunen via concretiseren van “wat zijn veiligheidsincidenten” Stimuleren van loggingsystemen Samenwerken met de kwaliteitsverantwoordelijken ivm functieprofielen en backup van specialisaties (werkinstructies, procedures,…)

16 Fysieke beveiliging: toegangscontrole
Ongewenste toegang tot de gebouwen: Gemiddeld tot lage gevolgen, lage waarschijnlijkheid Lage impact Voorkeur gaat naar het beveiligen van de toegang, eerder dan het verplaatsen van onthaal… Ongewenste toegang tot de kantoren Deuren afsluiten.

17 Fysieke beveiliging: toegangscontrole
Inbraak Ernstige bedreiging, lage tot gemiddelde waarschijnlijkheid Financieel en menselijk hoge gevolgen Antidiefstalsysteem met beveiligingsfirma en betere fysieke bescherming hebben de voorkeur Verzekeringen zijn materie voor discussie

18 Fysieke beveiliging: toegangscontrole - checklist
Er is onderscheid tussen diverse zones in meer dan de helft van de centra Beveiligde zones meestal niet afgesloten Plaatsing van printers, kopieerapparaten is soms een probleem Bij uitdiensttreding: wordt er wel gelet op het afgeven van sleutels. Veel minder op het wijzigen van toegangscodes voor systemen

19 Fysieke beveiliging: toegangscontrole - checklist
In de helft van de centra kan men zomaar binnenlopen Meestal worden de medewerkers aangemoedigd om bezoekers aan te spreken Geen instructies rond bezoekers, geen registratie Controle bij het verlaten van het gebouw..

20 Fysieke beveiliging: toegangscontrole - Checklist
9 centra beschikken over inbraak dedectiesystemen Geen afspraken over wat te doen in geval van inbraak (politie, sleutelhouders,…) Geen enkel centrum beschikt over videobewaking Slechts één centrum heeft een systeem van toegangscontrole met badges

21 Fysieke beveiliging: andere incidenten
Diefstal van laptops: (zie ook “processen”) Ernstige bedreiging en gemiddelde waarschijnlijkheid Gevolgen zijn ernstig op financieel en menselijk vlak, gemiddeld op de classificatie Richtlijnen voor gebruik en vervoer zijn goede maatregelen Fysieke beveiliging minder Verzekeringen zijn terug een punt van discussie

22 Fysieke beveiliging: andere incidenten
Brand Ernstige bedreiging, lage waarschijnlijkheid Zware gevolgen op financieel vlak Brandmelders en brandblussers hebben de voorkeur Verzekering is zinvol Oefeningen? Storing in het elektriciteitsnet Weinig ernstig en weinig waarschijnlijk Zeer lage gevolgen Plaatsen van UPS draagt hier de voorkeur

23 Fysieke beveiliging: andere incidenten - checklist
Meestal zijn de gevoelige toestellen opgesteld in niet publieksruimtes Brandpreventie: Geen bliksemafleiders (4/24 waar is het nodig?) Brandwerende scheidingen ontbreken vaak Goede signalisatie (23/24) Brandblussers beschikbaar(22/24) Instructies en oefeningen (17/24) Laptops Geen voorschriften in 23 centra voor vervoer en gebruik buitenshuis Geen beveiling via kabelsloten Inventarisatie is OK Viruscontrole is optimaal in alle centra

24 Fysieke beveiliging: andere incidenten - checklist
Stroomonderbrekingen Apparatuur meestal niet beveiligd tegen elektrische storingen (7/24) Geen analyse van eventuele gevolgen Installatie voldoet aan de technische normen in 23 centra 14 centra beschikken over een UPS Afvoeren van materiaal Goed onderhoud Privacy bij onderhoud door derden? Aandacht voor het vernietigen van gegevens is een probleem

25 Fysieke beveiliging: raadplegen van documenten
Via het beeldscherm: (zie ook processen en logische toegang) Weinig ernstig en weinig waarschijnlijk Lage gevolgen Beveiliging met wachtwoord (screensaver) en incryptie scoren goed Via documenten: Ernstig doch weinig waarschijnlijk Menselijk een gemiddelde impact Documenten opbergen in afgesloten kasten eerder dan bureau op slot doen

26 Fysieke beveiliging: raadplegen van documenten - checklist
Geen voorschriften voor het beschermen van informatie in het algemeen (in 22 centra) Opbergen van dossiers - aandachtspunt Gebruik van screensavers! Plaatsing van printers is soms een probleem (laten liggen van documenten) Toezicht op gebruik van fax en kopieertoestellen

27 Fysieke beveiliging: prioriteiten
Richtlijnen rond bezoekers: Onthaal? Controle? Registratie? Richtlijnen rond gebruik/vervoer van laptops Richtlijnen rond het beschermen van informatie

28 Processen: software Verkeerde versies: Bugs in software van derden:
Zeer lage bedreiging en zeer lage waarschijnlijkheid Zeer lage gevolgen Bugs in software van derden: Bedreiging is discutabel, lage waarschijnlijkheid Lage gevolgen Helpdesk(?); centrale registratie Beschikbaarheid van applicatie: Gemiddelde bedreiging, waarschijnlijkheid gemiddeld Helpdesk en registratie

29 Processen: software - Checklist
Er wordt weinig gebruik gemaakt van procedures en registratie van incidenten inzake gebruik van IT In 11 centra wordt gebruik gemaakt van eigen ontworpen applicaties(versiebeheer in 6 gevallen) Geen “noodplannen” of registratie bij het niet beschikbaar zijn van applicaties beheerd door derden (bvb LARS).

30 Processen: virussen en spyware
Gemiddelde tot ernstige bedreiging, lage waarschijnlijkheid Gevolgen gemiddeld Antivirus programma’s en firewall Spyware: Ernstige bedreiging, lage waarschijnlijkheid Lage gevolgen

31 Processen: virussen en spyware - Checklist
Antivirus software is in alle gevallen up to date Er is in de meeste gevallen een formeel beleid inzake illegale software Men is zich bewust van de gevaren van virussen en spyware Wat te doen in geval van problemen?

32 Processen: Backups - Checklist
Gebrek aan backups: Ernstige bedreiging, lage waarschijnlijkheid Lage gevolgen Maken van backups, zowel lokaal en op server Processen: Backups - Checklist In 19 centra worden backups gemaakt van de data Aandacht nodig voor de bewaring van de backups

33 Processen: Netwerk - lokaal
Onderbreking: Lage bedreiging, lage waarschijnlijkheid Zeer lage gevolgen Maatregelen:?? Inbraak in het netwerk (bekabeld): Lage bedreiging, zeer lage waarschijnlijkheid Lage gevolgen Geen vreemde PC’s toelaten, gebruik van profielen Inbraak in het netwerk (draadloos): Encryptie en beveiliging op MAC adres

34 Processen: Netwerk – lokaal - Checklist
Netwerk is in de meeste gevallen beveiligd tegen hackers Als men een draadloos netwerk gebruikt (17) is het meestal beveiligd via encryptie(14). Weinig registratie van eventuele inbraakpogingen

35 Processen: verlies of diefstal van gegevens
Via laptops: Ernstige bedreiging, lage waarschijnlijkheid Gevolgen vooral op menselijk vlak Laptop beveiligen (wachtwoord, encryptie) en richtlijnen Via media (CD’s, memorysticks,…) Beveiligen via encryptie en wachtwoord

36 Processen: verlies of diefstal van gegevens - Checklist
Geen richtlijnen over het gebruik van laptops en verwijderbare media Geen classificatie van documenten Versiebeheer en volledigheid van documenten

37 Processen: archivering
Bewaring: Gemiddelde bedreiging, weinig waarschijnlijk Gevolgen op menselijk vlak Veilige bewaring Vernietiging: Lage bedreiging, zeer weinig waarschijnlijk Lage gevolgen Beroep doen op gespecialiseerde firma voor vernietiging

38 Processen: archivering - Checklist
Bewaren en vernietigen van archieven is in de meeste gevallen goed geregeld Registratie van te vernietigen gegevens, is dit noodzakelijk?

39 Processen: uitwisselen van dossiers
Uitwisselen dossiers: Ernstige bedreiging, lage waarschijnlijkheid Vooral gevolgen op menselijk vlak Registratie van uitwisselen Aangetekend versturen??

40 Processen: uitwisselen van dossiers - Checklist
In de helft van de centra zijn er afspraken gemaakt voor de uitwisseling In 19 centra is er registratie van de uitwisseling Geen formele procedures voorzien Datatransport op elektronische manier gebeurt onveilig Gebruik van post/koerierdiensten

41 Processen: e-mail - Checklist
Ongeoorloofd lezen van mails: Ernstige bedreiging, lage waarschijnlijkheid Lage gevolgen Regels en encryptie Processen: - Checklist Geen afspraken of procedures in verband met het gebruik van in de meeste centra De antiviruscontrole is in alle centra OK

42 Processen: Internet Hacking van eigen website of intranet:
Weinig ernstige bedreiging, zeer lage waarschijnlijkheid Zeer lage gevolgen Firewall Ongecontroleerd internetgebruik: Weinig ernstige bedreiging, gemiddelde waarschijnlijkheid ??

43 Processen: Internet - Checklist
20 centra beschikken over een eigen website 14 centra gebruiken een intranet (voldoende beveiligd in 10 gevallen) Geen onderrichtingen in verband met het gebruik van internet. In 9 centra kunnen “vreemden” gebruik maken van het internet.

44 Processen: social engineering
Telefonisch gegevens doorgeven: Ernstige bedreiging, weinig waarschijnlijk Gevolgen op menselijk vlak ???

45 Processen: social engineering - Checklist
In 13 centra zijn er regels over het doorgeven van vertrouwelijke informatie via telefoon en andere openbare gesprekken Opletten voor personen die zich voordoen als iemand anders.

46 Processen: prioriteiten
Richtlijnen rond gebruik van laptops en ander verwijderbare media Instructies rond uitwisseling dossiers (en internetgebruik) structureren

47 Logische toegang: wachtwoorden
Misbruik van wachtwoorden: Lage tot gemiddelde bedreiging, weinig waarschijnlijk Lage gevolgen Maatregelen?? Logische toegang: Checklist Matig wachtwoordenbeleid Openstaande sessies Geen enkel centrum gebruikt kaartlezers

48 Logische toegang: gebruik laptop
Gebruik van laptop door derden Weinig ernstige bedreiging, weinig waarschijnlijk Zeer lage gevolgen Gebruik van screensavers en encryptie Logische toegang: gebruik laptop - Checklist Zeer goede virusbescherming In de helft van de centra is er een beleid rond het gebruik in het openbaar en vervoer Geen encryptie Geen richtlijnen voor gebruik door derden Onderhoud na terugbrengen?

49 Logische toegang: afstandswerk
Telewerken Weinig ernstige bedreiging, zeer lage waarschijnlijkheid Lage impact Gebruik van VPN Werken op thuis- of schoolcomputer Geen gebruik maken van zulke PC’s? Encryptie

50 Logische toegang: afstandswerk - Checklist
Geen afspraken rond het afstandswerk, wel rond de fysieke werkplek In 12 centra wordt gebruik gemaakt van VPN verbindingen om met de eigen server te connecteren

51 Logische toegang: prioriteiten
Gebruik van wachtwoorden Openstaande sessies en screensavers Afstandswerk?

52 Algemenen conclusies Deel 2 inschatting:
Geen afgetekende resultaten algemene attitude…. “Sommige risico’s kunnen ernstige gevolgen hebben, maar het zal ons niet overkomen” Deel 1 checklist: goed startpunt om te zien hoever we staan.

53 Indien gewenst kunnen de resultaten per centrum besproken worden ter plaatse

54 Wat gaan we volgend jaar aanpakken?


Download ppt "Resultaten enquête veiligheidsbeleid CLB-GO!"

Verwante presentaties


Ads door Google