Inloggen Geen profiel? Registreer hier.

Tip van de sluier: of een eerste blik op de resultaten van security audits bij lokale besturen

05/10/2015

Groot was de interesse toen V-ICT-OR de oproep lanceerde om gratis security audits uit te voeren binnen enkele West-Vlaamse besturen.
Met de richtsnoeren versie 2 als leidraad werden de geselecteerde besturen onderworpen aan een technische audit, een vragenlijst en de doorlichting van enkele beleidsdocumenten.

Dit proefproject in samenwerking met de Hogeschool West-Vlaanderen, opleiding computer & cybercrime professional resulteerde in interessante bevinden.

Vandaag delen we alvast een eerste reeks:

Informatieveiligheidsbeleid en organisatie
'Het veiligheidsplan? We werken eraan'
De doorlichting van de beleidsdocumenten leerde ons dat er, met uitzondering van de e-policy, nog heel wat werk aan de winkel is. Alles begint met een duidelijke intentieverklaring van de beleidsmakers en duidelijke richtlijnen voor de gebruikers.
Slechts 59 % van de deelnemende besturen heeft een interne veiligheidsconsulent.
Logisch gevolg is dat de minderheid van de deelnemers (18 %) dan ook een volledig afgewerkt veiligheidsplan heeft.

Personeelsbeleid
'Communicatie tussen HRM en ICT is belangrijk'
In meer dan de helft van de gevallen wordt de dienst informatica niet tijdig op de hoogte gebracht wanneer er een collega uit dienst gaat.
Gevolg is dat er na uitdiensttreding nog steeds toegang is tot vertrouwelijke gegevens.
12 % Van de deelnemende besturen verplicht het personeel om fysieke of logische veiligheidslekken te melden.
Op deze wijze betrek je iedereen in het informatieveiligheidsbeleid en sluit je eventuele misbruiken over langere periodes uit.

Leveranciersbeheer
'
Leveranciers, onderhoud jullie systemen!'
Tijdens de technische audits werden er nogal wat servers en toepassingen gevonden van externe leveranciers die niet voorzien waren van de laatste security updates.
Wie uiteindelijk verantwoordelijk is voor de updates van deze systemen spreek je best af met de externe leveranciers. Ons advies is deze verantwoordelijkheid bij de leverancier te leggen. Op deze wijze gaan we er vanuit dat de updates op compatibiliteit met hun programma’s getest worden.
Het belang van leveranciersbeheer bij informatieveiligheid wordt nog eens onderstreept door het feit dat dit onderwerp als extra aandachtspunt is toegevoegd aan de nieuwe versie (v.3) van de richtsnoeren.

Volgende week deel 2 van deze 'never ending story'