Blinde vlekken in het IT-landschap
17-08-2023
Tijdens onze Cyber Security Audits komen we bij veel verschillende bedrijven. Vaak is vooraf de gedachtegang dat de informatiebeveiliging op orde is. "Ze zullen vast wat vinden, maar heel spannend zal het niet zijn". Onze risicoperceptie is natuurlijk iets anders door alle ellende die we zien als het mis is gegaan en we erbij worden geroepen om puin te ruimen. Blinde vlekken in het IT-landschap zorgen voor veel risico's.
Blinde vlekken in het IT-landschap door het gebruik van smartphones en tablets.
Tijdens een van onze onderzoeken viel het op dat er verdacht veel apparaten waren gekoppeld aan de accounts van medewerkers. Tijdens de rondgang bij dit bedrijf ontdekten we ook veel afgedankte IT-apparatuur die niet (correct) bleek te zijn afgevoerd. Reden om daar eens in te duiken en de lezers van onze nieuwsbrief te waarschuwen voor de risico's die ontstaan door onvoldoende overzicht over de IT-omgeving.
Onvoldoende overzicht zorgt voor extra risico's
Uit het onderzoek bleek dat er geen controle aanwezig was op het koppelen van nieuwe apparatuur aan de online Microsoft omgeving. Zo bleek dat medewerkers BYOD (Bring Your Own Device) hebben toegepast, zonder dat hier duidelijke afspraken over waren gemaakt.
Dit resulteerde in data op plekken waarvan de vraag mag worden gesteld of dat wel zo verstandig was. In ieder geval werden er geen bewuste keuzes gemaakt en hebben onveilige situaties kunnen voortbestaan doordat er onvoldoende aandacht was voor een goede IT-huishouding. De onveilige situatie werd bovendien versterkt doordat er onvoldoende heldere afspraken met de uitvoerende IT-dienstverleners waren.
Onvoldoende aandacht voor daadwerkelijke beheersing van een IT-omgeving, betekent dus extra risico's. Die risico's worden vaak volledig onbewust gecreeerd en in stand gehouden.
Aannames
De ondernemer in kwestie nam aan dat de ingeschakelde IT-dienstverleners meer controle zouden hebben over de IT-omgeving dan er daadwerkelijk bleek te zijn. Dit heeft geresulteerd in blinde vlekken, zoals data op privémobieltjes, die door medewerkers ook werden gebruikt op vakantie. Zoals met mobieltjes gebruikelijk is: die worden wel eens gestolen of raken kwijt, waardoor bedrijfsdata in verkeerde handen zou kunnen vallen.
Ook hier geldt: Voorkomen is écht beter dan genezen!
Orde in de chaos
WeSecureIT heeft geholpen om weer orde te krijgen in de chaos. Met een duidelijk beleid en concrete visie kunnen aannames worden voorkomen. De IT-dienstverlener werkt samen met de beveiligingsexpert van WeSecureIT en de ondernemer om meer grip te krijgen op de IT-omgeving.
Bent u bereid om risico's te accepteren die u niet kent? Als het antwoord nee is, schakel dan de experts van WeSecureIT in om grip te krijgen op IT!
Een uitgebreide nulmeting is een goede start om te weten waar uw organisatie staat: https://www.wesecureit.nl/prevent/cyber-security-audit/
