1 / 52

Resultaten enquête veiligheidsbeleid CLB-GO!

Resultaten enquête veiligheidsbeleid CLB-GO!. Maart-mei 2009. Ter herinnering:. Doel enquête: “Inzicht krijgen op de objectieve en subjectieve aspecten van veiligheid in de CLB’s van het GO!, zodanig dat er prioriteiten kunnen gelegd worden” Deel 1 Checklist: Ja/nee vragen

edie
Download Presentation

Resultaten enquête veiligheidsbeleid CLB-GO!

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Resultaten enquête veiligheidsbeleidCLB-GO! Maart-mei 2009

  2. Ter herinnering: • Doel enquête: “Inzicht krijgen op de objectieve en subjectieve aspecten van veiligheid in de CLB’s van het GO!, zodanig dat er prioriteiten kunnen gelegd worden” • Deel 1 Checklist: • Ja/nee vragen • Inventariseren van bepaalde veiligheidsaspecten • Startpunt bepalen • Deel 2 Inschatting • Subjectieve inschatting van veiligheidsaspecten door diverse personeelsleden in een bepaald centrum

  3. Deelname: Deel 1 • Alle centra hebben deelgenomen • 24 hoofdzetels • 3 centra hebben per vestigingsplaats geantwoord • In deze resultaten wordt alleen rekening gehouden met de hoofdzetel • De resultaten per vestigingplaats zullen ter plaatse besproken worden, indien gewenst

  4. Deelname: Deel 2 • 23 Centra hebben deelgenomen • Tussen de 1 en 6 respondenten per centrum • Meeste centra 3 deelnemers • Sommige centra hebben in groep één enquête ingevuld • Totaal 80 enquêtes verwerkt

  5. Bespreking resultaten: • 4 domeinen: • Personeel gerelateerde zaken • Fysieke beveiliging • Operationele processen • Logische toegang • Per onderwerp: • Eerst een zicht op de subjectieve beleving • Vergelijken met de checklist • Per Domein: • Voorstel prioriteitenlijst

  6. Personeel: veiligheidsbeleid • Geen weet van veiligheidsbeleid: • Tamelijk ernstige gevolgen, lage tot gemiddelde waarschijnlijkheid • Vooral impact op classificatie en menselijk • Informeren en vormen personeel • Geen meldpunt voor veiligheidsincidenten: • Geen zware gevolgen, lage waarschijnlijkheid • Lage impact • Logging per centrum, eventueel centraal

  7. Personeel: veiligheidsbeleid • Ontbreken van evaluatie- en sanctiebeleid: • Gemiddeld tot hoge bedreiging, waarschijnlijkheid gemiddeld • Lage impact • Opnemen in de evalutie? Sanctiebeleid? (niet duidelijk) • Niet melden van softwarebugs • Weinig ernstig, weinig waarschijnlijk • Zeer lage impact • Het melden wordt in vraag gesteld, zowel lokaal als rechtstreeks naar de softwarebouwer

  8. Personeel: veiligheidsbeleid checklist • Veiligheidsbeleid: • In 16 centra wordt aandacht besteed aan veiligheidsbeleid • Geheimhoudingsverklaring: 11 op 24 • Initiële vorming in 15 centra • Verschil tussen personeel en stagiars • Meldpunt • Er is een meldpunt in 22 centra, maar • Niet duidelijk wat veiligheidsincidenten zijn • Geen logging

  9. Personeel: veiligheidsbeleid checklist • Evaluatie en sanctiebeleid • Geen toetsing van de veiligheidsvereisten (22) • Geen evalutie van het personeel op dat vlak (18) • Niet melden van softwarebugs: • In 19 centra wordt dit gemeld aan de directie

  10. Personeel: opleiding • Bepaalde specialisaties gekend door één persoon • Tamelijke ernstige bedreiging en waarschijnlijkheid • Lage impact • Ander personeelslid als backup opleiden heeft de voorkeur • Gevaar voor schade door gebrek aan opleiding/ervaring: • Tamelijk ernstig, doch weinig waarschijnlijk • Lage impact • Vorming en procedures

  11. Personeel: opleiding • Rechten van niet actief personeel laten staan • Lage ernst en waarschijnlijkheid • Lage impact • Onmiddellijk toegang tot gebouwen en systemen verhinderen is een goede methode.

  12. Personeel: opleiding - Checklist • In 14 centra wordt er aandacht besteed dat specialisaties doorgegeven worden • Weinig aandacht voor eventuele schade door verkeerd gebruik van systemen of gebrek aan ervaring • Bij vertrek of functiewijziging wordt aandacht besteed aan het verhinderen van de toegang tot gebouwen en systemen.

  13. Personeel: prioriteiten • Veiligheidsbeleid ondersteunen via concretiseren van “wat zijn veiligheidsincidenten” • Stimuleren van loggingsystemen • Samenwerken met de kwaliteitsverantwoordelijken ivm functieprofielen en backup van specialisaties (werkinstructies, procedures,…)

  14. Fysieke beveiliging: toegangscontrole • Ongewenste toegang tot de gebouwen: • Gemiddeld tot lage gevolgen, lage waarschijnlijkheid • Lage impact • Voorkeur gaat naar het beveiligen van de toegang, eerder dan het verplaatsen van onthaal… • Ongewenste toegang tot de kantoren • Gemiddeld tot lage gevolgen, lage waarschijnlijkheid • Lage impact • Deuren afsluiten.

  15. Fysieke beveiliging: toegangscontrole • Inbraak • Ernstige bedreiging, lage tot gemiddelde waarschijnlijkheid • Financieel en menselijk hoge gevolgen • Antidiefstalsysteem met beveiligingsfirma en betere fysieke bescherming hebben de voorkeur • Verzekeringen zijn materie voor discussie

  16. Fysieke beveiliging: toegangscontrole - checklist • Er is onderscheid tussen diverse zones in meer dan de helft van de centra • Beveiligde zones meestal niet afgesloten • Plaatsing van printers, kopieerapparaten is soms een probleem • Bij uitdiensttreding: • wordt er wel gelet op het afgeven van sleutels. • Veel minder op het wijzigen van toegangscodes voor systemen

  17. Fysieke beveiliging: toegangscontrole - checklist • In de helft van de centra kan men zomaar binnenlopen • Meestal worden de medewerkers aangemoedigd om bezoekers aan te spreken • Geen instructies rond bezoekers, geen registratie • Controle bij het verlaten van het gebouw..

  18. Fysieke beveiliging: toegangscontrole - Checklist • 9 centra beschikken over inbraak dedectiesystemen • Geen afspraken over wat te doen in geval van inbraak (politie, sleutelhouders,…) • Geen enkel centrum beschikt over videobewaking • Slechts één centrum heeft een systeem van toegangscontrole met badges

  19. Fysieke beveiliging: andere incidenten • Diefstal van laptops: (zie ook “processen”) • Ernstige bedreiging en gemiddelde waarschijnlijkheid • Gevolgen zijn ernstig op financieel en menselijk vlak, gemiddeld op de classificatie • Richtlijnen voor gebruik en vervoer zijn goede maatregelen • Fysieke beveiliging minder • Verzekeringen zijn terug een punt van discussie

  20. Fysieke beveiliging: andere incidenten • Brand • Ernstige bedreiging, lage waarschijnlijkheid • Zware gevolgen op financieel vlak • Brandmelders en brandblussers hebben de voorkeur • Verzekering is zinvol • Oefeningen? • Storing in het elektriciteitsnet • Weinig ernstig en weinig waarschijnlijk • Zeer lage gevolgen • Plaatsen van UPS draagt hier de voorkeur

  21. Fysieke beveiliging: andere incidenten - checklist • Meestal zijn de gevoelige toestellen opgesteld in niet publieksruimtes • Brandpreventie: • Geen bliksemafleiders (4/24 waar is het nodig?) • Brandwerende scheidingen ontbreken vaak • Goede signalisatie (23/24) • Brandblussers beschikbaar(22/24) • Instructies en oefeningen (17/24) • Laptops • Geen voorschriften in 23 centra voor vervoer en gebruik buitenshuis • Geen beveiling via kabelsloten • Inventarisatie is OK • Viruscontrole is optimaal in alle centra

  22. Fysieke beveiliging: andere incidenten - checklist • Stroomonderbrekingen • Apparatuur meestal niet beveiligd tegen elektrische storingen (7/24) • Geen analyse van eventuele gevolgen • Installatie voldoet aan de technische normen in 23 centra • 14 centra beschikken over een UPS • Afvoeren van materiaal • Goed onderhoud • Privacy bij onderhoud door derden? • Aandacht voor het vernietigen van gegevens is een probleem

  23. Fysieke beveiliging: raadplegen van documenten • Via het beeldscherm: (zie ook processen en logische toegang) • Weinig ernstig en weinig waarschijnlijk • Lage gevolgen • Beveiliging met wachtwoord (screensaver) en incryptie scoren goed • Via documenten: • Ernstig doch weinig waarschijnlijk • Menselijk een gemiddelde impact • Documenten opbergen in afgesloten kasten eerder dan bureau op slot doen

  24. Fysieke beveiliging: raadplegen van documenten - checklist • Geen voorschriften voor het beschermen van informatie in het algemeen (in 22 centra) • Opbergen van dossiers - aandachtspunt • Gebruik van screensavers! • Plaatsing van printers is soms een probleem (laten liggen van documenten) • Toezicht op gebruik van fax en kopieertoestellen

  25. Fysieke beveiliging: prioriteiten • Richtlijnen rond bezoekers: • Onthaal? • Controle? • Registratie? • Richtlijnen rond gebruik/vervoer van laptops • Richtlijnen rond het beschermen van informatie

  26. Processen: software • Verkeerde versies: • Zeer lage bedreiging en zeer lage waarschijnlijkheid • Zeer lage gevolgen • Bugs in software van derden: • Bedreiging is discutabel, lage waarschijnlijkheid • Lage gevolgen • Helpdesk(?); centrale registratie • Beschikbaarheid van applicatie: • Gemiddelde bedreiging, waarschijnlijkheid gemiddeld • Zeer lage gevolgen • Helpdesk en registratie

  27. Processen: software - Checklist • Er wordt weinig gebruik gemaakt van procedures en registratie van incidenten inzake gebruik van IT • In 11 centra wordt gebruik gemaakt van eigen ontworpen applicaties(versiebeheer in 6 gevallen) • Geen “noodplannen” of registratie bij het niet beschikbaar zijn van applicaties beheerd door derden (bvb LARS).

  28. Processen: virussen en spyware • Virussen: • Gemiddelde tot ernstige bedreiging, lage waarschijnlijkheid • Gevolgen gemiddeld • Antivirus programma’s en firewall • Spyware: • Ernstige bedreiging, lage waarschijnlijkheid • Lage gevolgen • Antivirus programma’s en firewall

  29. Processen: virussen en spyware - Checklist • Antivirus software is in alle gevallen up to date • Er is in de meeste gevallen een formeel beleid inzake illegale software • Men is zich bewust van de gevaren van virussen en spyware • Wat te doen in geval van problemen?

  30. Processen: Backups • Gebrek aan backups: • Ernstige bedreiging, lage waarschijnlijkheid • Lage gevolgen • Maken van backups, zowel lokaal en op server Processen: Backups - Checklist • In 19 centra worden backups gemaakt van de data • Aandacht nodig voor de bewaring van de backups

  31. Processen: Netwerk - lokaal • Onderbreking: • Lage bedreiging, lage waarschijnlijkheid • Zeer lage gevolgen • Maatregelen:?? • Inbraak in het netwerk (bekabeld): • Lage bedreiging, zeer lage waarschijnlijkheid • Lage gevolgen • Geen vreemde PC’s toelaten, gebruik van profielen • Inbraak in het netwerk (draadloos): • Lage bedreiging, zeer lage waarschijnlijkheid • Lage gevolgen • Encryptie en beveiliging op MAC adres

  32. Processen: Netwerk – lokaal - Checklist • Netwerk is in de meeste gevallen beveiligd tegen hackers • Als men een draadloos netwerk gebruikt (17) is het meestal beveiligd via encryptie(14). • Weinig registratie van eventuele inbraakpogingen

  33. Processen: verlies of diefstal van gegevens • Via laptops: • Ernstige bedreiging, lage waarschijnlijkheid • Gevolgen vooral op menselijk vlak • Laptop beveiligen (wachtwoord, encryptie) en richtlijnen • Via media (CD’s, memorysticks,…) • Ernstige bedreiging, lage waarschijnlijkheid • Gevolgen vooral op menselijk vlak • Beveiligen via encryptie en wachtwoord

  34. Processen: verlies of diefstal van gegevens - Checklist • Geen richtlijnen over het gebruik van laptops en verwijderbare media • Geen classificatie van documenten • Versiebeheer en volledigheid van documenten

  35. Processen: archivering • Bewaring: • Gemiddelde bedreiging, weinig waarschijnlijk • Gevolgen op menselijk vlak • Veilige bewaring • Vernietiging: • Lage bedreiging, zeer weinig waarschijnlijk • Lage gevolgen • Beroep doen op gespecialiseerde firma voor vernietiging

  36. Processen: archivering - Checklist • Bewaren en vernietigen van archieven is in de meeste gevallen goed geregeld • Registratie van te vernietigen gegevens, is dit noodzakelijk?

  37. Processen: uitwisselen van dossiers • Uitwisselen dossiers: • Ernstige bedreiging, lage waarschijnlijkheid • Vooral gevolgen op menselijk vlak • Registratie van uitwisselen • Aangetekend versturen??

  38. Processen: uitwisselen van dossiers - Checklist • In de helft van de centra zijn er afspraken gemaakt voor de uitwisseling • In 19 centra is er registratie van de uitwisseling • Geen formele procedures voorzien • Datatransport op elektronische manier gebeurt onveilig • Gebruik van post/koerierdiensten

  39. Processen: e-mail • Ongeoorloofd lezen van mails: • Ernstige bedreiging, lage waarschijnlijkheid • Lage gevolgen • Regels en encryptie Processen: e-mail - Checklist • Geen afspraken of procedures in verband met het gebruik van e-mail in de meeste centra • De antiviruscontrole is in alle centra OK

  40. Processen: Internet • Hacking van eigen website of intranet: • Weinig ernstige bedreiging, zeer lage waarschijnlijkheid • Zeer lage gevolgen • Firewall • Ongecontroleerd internetgebruik: • Weinig ernstige bedreiging, gemiddelde waarschijnlijkheid • Zeer lage gevolgen • ??

  41. Processen: Internet - Checklist • 20 centra beschikken over een eigen website • 14 centra gebruiken een intranet (voldoende beveiligd in 10 gevallen) • Geen onderrichtingen in verband met het gebruik van internet. • In 9 centra kunnen “vreemden” gebruik maken van het internet.

  42. Processen: social engineering • Telefonisch gegevens doorgeven: • Ernstige bedreiging, weinig waarschijnlijk • Gevolgen op menselijk vlak • ???

  43. Processen: social engineering - Checklist • In 13 centra zijn er regels over het doorgeven van vertrouwelijke informatie via telefoon en andere openbare gesprekken • Opletten voor personen die zich voordoen als iemand anders.

  44. Processen: prioriteiten • Richtlijnen rond gebruik van laptops en ander verwijderbare media • Instructies rond uitwisseling dossiers • E-mail (en internetgebruik) structureren

  45. Logische toegang: wachtwoorden • Misbruik van wachtwoorden: • Lage tot gemiddelde bedreiging, weinig waarschijnlijk • Lage gevolgen • Maatregelen?? Logische toegang: Checklist • Matig wachtwoordenbeleid • Openstaande sessies • Geen enkel centrum gebruikt kaartlezers

  46. Logische toegang: gebruik laptop • Gebruik van laptop door derden • Weinig ernstige bedreiging, weinig waarschijnlijk • Zeer lage gevolgen • Gebruik van screensavers en encryptie Logische toegang: gebruik laptop - Checklist • Zeer goede virusbescherming • In de helft van de centra is er een beleid rond het gebruik in het openbaar en vervoer • Geen encryptie • Geen richtlijnen voor gebruik door derden • Onderhoud na terugbrengen?

  47. Logische toegang: afstandswerk • Telewerken • Weinig ernstige bedreiging, zeer lage waarschijnlijkheid • Lage impact • Gebruik van VPN • Werken op thuis- of schoolcomputer • Weinig ernstige bedreiging, zeer lage waarschijnlijkheid • Lage impact • Geen gebruik maken van zulke PC’s? Encryptie

  48. Logische toegang: afstandswerk - Checklist • Geen afspraken rond het afstandswerk, wel rond de fysieke werkplek • In 12 centra wordt gebruik gemaakt van VPN verbindingen om met de eigen server te connecteren

  49. Logische toegang: prioriteiten • Gebruik van wachtwoorden • Openstaande sessies en screensavers • Afstandswerk?

  50. Algemenen conclusies Deel 2 inschatting: Geen afgetekende resultaten algemene attitude…. “Sommige risico’s kunnen ernstige gevolgen hebben, maar het zal ons niet overkomen” Deel 1 checklist: goed startpunt om te zien hoever we staan.

More Related