ISO27001 controle van werknemers en hun IT-gebruik - Privacy en beveiliging

vrijdag 24 februari 2023 20:16

Acties:

0 Henk 'm!

Topicstarter

Bij ons op het werk hebben we sinds een half jaar de ISO 27001 certificering behaald. De afgelopen tijd hebben we grote slagen gemaakt om medewerkers bewust te maken. Hierbij kun je denken aan trainingen maar is ook het personeelshandboek onder de aandacht gebracht met daarin de nodige informatie.

Eigenlijk lopen we hierbij nog tegen 3 problemen aan:

1. Het gebruik van USB sticks / schijven. Helaas is het voor sommige collega's voor het werk noodzakelijk dat zij USB sticks / schijven moeten gebruiken. Het beleid hiervoor is om alles wat vertrouwelijk is te doen op beveiligde USB sticks. Voor zaken als het maken van images werkt dat niet, dus daarvoor mogen gewone USB sticks gebruikt worden. Hoe is dit te controleren? Mogen we bij collega's door kastjes en tassen zoeken naar USB sticks en kijken of ze zich aan deze regels houden?

2. De inhoud en software op laptops. In het bedrijfshandboek staat dat bepaalde software die beveiligingen omzeilt niet is toegestaan. Hoe controleer je dit? Zo waren er in het verleden collega's die scriptjes gebruikten zodat de screensaver niet aansprong, of met LogMeIn werkte omdat de VPN zo lastig was. Het liefst wil je dit nakijken, maar hoe doe je dat en wat mag wel en wat mag niet.

3. In het personeelshandboek staat nu dat je familieleden je zakelijke laptop mag laten gebruiken

Ik verzin het niet, het staat er echt in. Wel alleen familieleden. Je eigen dochter mag dus haar OnlyFans runnen vanaf die laptop maar haar vriendje mag je er niet op laten want geen familie

Als ICT-er was ik natuurlijk enigszins verbaast over dit stukje in het personeelshandboek en heeft dit reeds de nodige discussie opgeleverd. Collega's doen immers een security training, hebben een geheimhouding getekend, je familie totaal niet. Mocht iemand hier nog een gouden tip of argument voor hebben dan hoor ik het graag

Het idee hierachter is puur om medewerkers te informeren op dit moment en te voorkomen dat er fouten gemaakt worden. In een later stadium zullen er natuurlijk ook sancties volgen bij overtredingen.

☀️ 39 Panelen |⚡SolarEdge SE12.5K | 🔆 Panasonic 7KW KIT-WC07J3E5 | ❄❄❄❄ Mitsubishi SRK 20ZSX-W

vrijdag 24 februari 2023 20:29

Acties:

+1 Henk 'm!

Zebby

Als het goed is hebben jullie voor het behalen van het ISO 27001 certificaat allerlei procedures gemaakt die al jouw vragen zou moeten beantwoorden. Wat ik zo lees vind ik bizar, maar ik heb al niet zo'n hoge pet op van die certificeringstrajecten... Een grote papierwinkel.

Het lijkt me zeer onwaarschijnlijk dat USB sticks essentieel zijn voor werkzaamheden in 2023. Waarom zouden images niet werken op een beveiligde USB stick? Opslag is opslag. Over het algemeen worden alle USB devices voor opslag simpelweg niet toegestaan. Je zet de poorten gewoon dicht/uit. Dat is toch wel een van de meest eenvoudige manieren voor een gerichte aanvaller om binnen te komen.

Software manage je zelf vanuit je centrale IT. Alles wordt pushed, gebruikers mogen niks installeren tenzij essentieel voor het werk (uitzonderingen, gedocumenteerd).

Tja, simpelweg zou dit niet mogen. Controle is lastig tenzij je ook gaat monitoren op verbruik en allerlei zaken gaat blokkeren, maar daar maak je geen vrienden mee. Dit lijkt echter wel tegen je ISO procedures ingaan?

Jullie security officer heeft nog wat werk te doen volgens mij...

vrijdag 24 februari 2023 20:33

Acties:

0 Henk 'm!

Jazzy

Moderator SSC/PB

Moooooh!

Titel beetje duidelijker gemaakt, stuur me gerust een PB als je er iets anders van wilt maken.

Exchange en Office 365 specialist. Mijn blog.

vrijdag 24 februari 2023 20:43

Acties:

0 Henk 'm!

MrNOnamE

Topicstarter

Zebby schreef op vrijdag 24 februari 2023 @ 20:29:
Als het goed is hebben jullie voor het behalen van het ISO 27001 certificaat allerlei procedures gemaakt die al jouw vragen zou moeten beantwoorden. Wat ik zo lees vind ik bizar, maar ik heb al niet zo'n hoge pet op van die certificeringstrajecten... Een grote papierwinkel.

Het lijkt me zeer onwaarschijnlijk dat USB sticks essentieel zijn voor werkzaamheden in 2023. Waarom zouden images niet werken op een beveiligde USB stick? Opslag is opslag. Over het algemeen worden alle USB devices voor opslag simpelweg niet toegestaan. Je zet de poorten gewoon dicht/uit. Dat is toch wel een van de meest eenvoudige manieren voor een gerichte aanvaller om binnen te komen.

Software manage je zelf vanuit je centrale IT. Alles wordt pushed, gebruikers mogen niks installeren tenzij essentieel voor het werk (uitzonderingen, gedocumenteerd).

Tja, simpelweg zou dit niet mogen. Controle is lastig tenzij je ook gaat monitoren op verbruik en allerlei zaken gaat blokkeren, maar daar maak je geen vrienden mee. Dit lijkt echter wel tegen je ISO procedures ingaan?

Jullie security officer heeft nog wat werk te doen volgens mij...

Wat je zegt, veel bla bla en op papier gezet, weinig concrete bewustwording hoe er met zaken omgegaan dient te worden.

USB moet echt aanblijven staan. Engineers gebruiken dat om een breed spectrum aan apparaten te voorzien van firmware. Zelfs zaken als firewalls moeten uitstaan omdat er met broadcast verkeer gewerkt wordt en zaken niet werken. Idem voor software. Bij de rest van het bedrijf staat alles volledig dicht. Ik zit puur met de uitzonderingen in me maag en zeker omdat ik weet dat mensen zich niet aan de regels houden.

ISO certificering is voor mijn tijd aan begonnen en mag ik er nu bij doen als systeembeheerder. Zit pas kort bij deze firma.

Maar vind het wel een goede tip om eens te kijken of zaken niet gewoon functioneren met een beveiligde stick. Medewerkers roepen nogal snel maar eerst zien, dan geloven.

De rede inderdaad dat ik hier een balletje opgooi is omdat zoals je aangeeft dit zaken zijn waar je geen vrienden mee maakt. Anderzijds zijn mensen zich nu niet bewust dat ze iets doen wat niet mag wat een groot gevaar is.

☀️ 39 Panelen |⚡SolarEdge SE12.5K | 🔆 Panasonic 7KW KIT-WC07J3E5 | ❄❄❄❄ Mitsubishi SRK 20ZSX-W

vrijdag 24 februari 2023 20:53

Acties:

+2 Henk 'm!

HKLM_

MrNOnamE schreef op vrijdag 24 februari 2023 @ 20:43:
[...]

Wat je zegt, veel bla bla en op papier gezet, weinig concrete bewustwording hoe er met zaken omgegaan dient te worden.

USB moet echt aanblijven staan. Engineers gebruiken dat om een breed spectrum aan apparaten te voorzien van firmware. Zelfs zaken als firewalls moeten uitstaan omdat er met broadcast verkeer gewerkt wordt en zaken niet werken. Idem voor software. Bij de rest van het bedrijf staat alles volledig dicht. Ik zit puur met de uitzonderingen in me maag en zeker omdat ik weet dat mensen zich niet aan de regels houden.

ISO certificering is voor mijn tijd aan begonnen en mag ik er nu bij doen als systeembeheerder. Zit pas kort bij deze firma.

Maar vind het wel een goede tip om eens te kijken of zaken niet gewoon functioneren met een beveiligde stick. Medewerkers roepen nogal snel maar eerst zien, dan geloven.

De rede inderdaad dat ik hier een balletje opgooi is omdat zoals je aangeeft dit zaken zijn waar je geen vrienden mee maakt. Anderzijds zijn mensen zich nu niet bewust dat ze iets doen wat niet mag wat een groot gevaar is.

Als jij systeembeheer bent bij deze partij dan doe je er goed aan eens naar de opgezette procedures te kijken welke voor de 27001 zijn opgesteld voor het bedrijf.

De dingen die jij uit de personeelsgids hebt zijn ook beschreven voor de 27001.

Maandag je leidinggevende even aan zijn jasje trekken en vragen waar de officiële procedures staan voor dit stukje

[ Voor 4% gewijzigd door HKLM_ op 24-02-2023 20:54 ]

Cloud ☁️

vrijdag 24 februari 2023 21:01

Acties:

0 Henk 'm!

Zebby

MrNOnamE schreef op vrijdag 24 februari 2023 @ 20:43:
[...]

Wat je zegt, veel bla bla en op papier gezet, weinig concrete bewustwording hoe er met zaken omgegaan dient te worden.

USB moet echt aanblijven staan. Engineers gebruiken dat om een breed spectrum aan apparaten te voorzien van firmware. Zelfs zaken als firewalls moeten uitstaan omdat er met broadcast verkeer gewerkt wordt en zaken niet werken. Idem voor software. Bij de rest van het bedrijf staat alles volledig dicht. Ik zit puur met de uitzonderingen in me maag en zeker omdat ik weet dat mensen zich niet aan de regels houden.

ISO certificering is voor mijn tijd aan begonnen en mag ik er nu bij doen als systeembeheerder. Zit pas kort bij deze firma.

Maar vind het wel een goede tip om eens te kijken of zaken niet gewoon functioneren met een beveiligde stick. Medewerkers roepen nogal snel maar eerst zien, dan geloven.

De rede inderdaad dat ik hier een balletje opgooi is omdat zoals je aangeeft dit zaken zijn waar je geen vrienden mee maakt. Anderzijds zijn mensen zich nu niet bewust dat ze iets doen wat niet mag wat een groot gevaar is.

Uitzondering heb je altijd, als het goed is heb je ook daar een beschrijving voor hoe daar mee omgegaan dient te worden. Ik moet zeggen dat ik wel schrik van "firewalls uit", uh nee? Je firewall moet in basis dicht beginnen, en dan langzaam maar zeker specifiek worden geopend. Software idem dito - je start gewoon dicht en gaat kijken wat er nou echt weer open moet.

Als men zich niet houdt aan de regels moet het op papier worden bijgehouden, dat is aan de manager/HR. Net als uitzonderingen - ik moet bij een vorige werkgever tekenen voor de rechten zelf zaken te mogen installeren, daarmee kreeg ik de verantwoordelijkheid voor correct verbruik, inclusief sancties.

Vrienden maken doe je nooit met dit soort zaken, maar nogmaals, jij hebt het niet verzonnen. Don't shoot the messenger. Sowieso is veel van wat ik hier omschrijf verantwoordelijkheid van je security officer/CISO, niet van een systeembeheerder. Jij moet uitvoeren wat binnen jouw straatje valt.

vrijdag 24 februari 2023 21:06

Acties:

0 Henk 'm!

Jaer

Je geeft aan dat dit redelijk recent behaald is en dat je het er nu bij mag doen. Is de collega die dit deed helemaal weg?
Of is deze wat anders gaan doen en kan je daar nog vragen stellen? Of is dit door een externe partij gedaan en komt dit nu bij jou?

Ben je wel betrokken geweest bij de route naar de certificering? En heb je ook bij de audit erbij gezeten?

Je hebt als het goed is een management systeem, jaarplan, actieplan en doelstellingen voor je ISO team.
Combineer dat met functieprofielen en de tvb matrix (taken, verantwoordelijkheden en bevoegdheden)
En je hebt al sneller in kaart of je vragen al ergens beschreven staan en wat het interne sanctiebeleid is.

Eens met de Zebby hierboven, USB poorten zet je dicht. Maar ook het niet kunnen installeren van scripjes en andere software door gebruikers is toch wel geregeld met rechten?

De firewall uit? Als iemand met zo'n vraag bij ons komt is dat echt een no-go. Hoeveel onnodig risico wil je nemen?

En als er echt een collega is die wat met USB sticks moet doen dan staat beschreven hoe die toegang geregeld is, het doel hiervan en hoe dit gecontroleerd (kan) worden.

Als je de enige in dat ISO team bent is dat best druk om erbij te moeten doen?
Je kan dan ook bij een mogelijk incident met wat je allemaal omschrijft nooit de kar goed trekken.

vrijdag 24 februari 2023 21:40

Acties:

0 Henk 'm!

jeroen3

Certificeringstrajecten zijn er vooral voor zodat je weet waar de zwakke plekken zitten. Het doel is niet alle zwakke plekken direct te dichten. Alleen vinden te verbeteren of te managen.

Ik ben niet bekend met specifiek 27001 maar het lijkt over informatiebeveiliging te gaan.
1. De mensen die de usb sticks nodig hebben, kunnen die ook bij de te beveiligen informatie?
2. Dat lijkt mij inmiddels wel een opgelost probleem of niet?
3. Lol

Uiteindelijk probeer je een koekjsvorm in de organisatie te duwen. Er zit altijd deeg buiten de vorm. Straks weet je precies hoeveel en waar.

vrijdag 24 februari 2023 21:42

Acties:

0 Henk 'm!

D-dark

Wat betreft usb zou je dit via een policy kunnen regelen.

- Usb toegang standaard uit.
- Lid zijn van een groep om usb te mogen gebruiken, met beperkte hardware-id's
- Lid zijn van een groep om usb volledig te gebruiken

De inhoud en software op laptops

- Voor dat soort problemen is citrix uitgevonden. Verschaf een laptop waarmee verbinding wordt gemaakt met een virtuele werkplek, dichtgetimmerde chromebook als voorbeeld
- Voor degenen die echt standalone moeten werken een image waar men zelf geen software op kan installeren
- Blijft over development en testen. Dat doe je initiëel op een virtuele ontwikkelwerkplek waarna je de laptop waarop je wil testen in een testgroep voor nieuwe image zet.

Gebruik door familieleden
- Dat zal een rechtstreekse copy paste zijn van het lease auto reglement.

Maar heel veel kan je al oplossen door alle werknemers elk jaar een verplichte bijscholingscursus digitale veiligheid te laten volgen.

vrijdag 24 februari 2023 21:43

Acties:

+1 Henk 'm!

muhda

Time & Space traveler

Als eerst adviseer ik je toch echt om alle procedures en documentatie na te gaan en gespreksrondes in te plannen met de persoon(en) die het bedrijf de eerste keer door ISO certificering process hebben doorgeloodst.

Maar alleen om een beter beeld en jouw eigen taken helder te krijgen! Jij bent IT, dus jij handhaaft niet. Dat moet door iemand van Privacy & Security (InfoSecurity) gedaan worden en de managers /afdelingshoofden ondersteunen de beslissingen en handhaving.

Als IT ben je ondersteunend en implementeer of onderhoud je de IT oplossingen die hiervoor nodig zijn. Privacy & Security (InfoSecurity) gaat door de data en rapporteert aan management wanneer iemand zich niet aan de procedures en policy's houd.

(Wellicht handig om een cursus op het gebied van IT en ISO aan te vragen, om kennis en ervaring op te doen. Mocht de auditor vragen voor je hebben bij de volgende certificering

)

Mijn antwoorden op je punten (beetje kort door de bocht maar hopelijk toch nog nuttig:)

1: Zorg eerst voor alternatieven zoals: Microsoft OneDrive, Google Drive, Dropbox Business of een shared drive. Hoe je het indeelt kan je zelf bepalen, misschien eerst onderzoeken waarom USB stick's worden gebruikt. Maar met een persoonlijke drive (per gebruiker) en een drive/vault per afdeling kom je al ver.

Daarna kan je USB's verbieden en dit kan door Privacy & Security (InfoSecurity) worden afgedwongen. Bijvoorbeeld met device management software of een computer policy, door USB drives niet laten mounten of blokkeren.

2: Hier heb je inventarisatie en patch software voor nodig, bijvoorbeeld Ninite Pro of Chocolatey Pro. Hiermee kan je zien wat er per device (Desktop/Laptop/Mobile) geïnstalleerd is en wat gepatched moet worden.

3: Tjah de regel in het personeelshandboek moet toch echt gewijzigd/verwijdert worden, maar hier is IT geen antwoord in. Dit moet door het management ondersteund en doorgevoerd worden.

[ Voor 6% gewijzigd door muhda op 24-02-2023 21:49 . Reden: extra info en spelling ]

zaterdag 25 februari 2023 09:27

Acties:

+2 Henk 'm!

MrNOnamE

Topicstarter

Iedereen hartelijk dank voor de reacties. Wat ik voornamelijk opmaak hieruit is:

1. Ik moet nog een hoop leren. Cursus mbt ISO is hierbij zeker een goed begin.Ga ik aanvragen om hier meer grip op te krijgen.
2. Ik implementeer zaken maar de bewaking hiervan vindt plaats door andere personen. Dit staat of valt bij goede documentatie, zaken die medewerkers moeten ondertekenen, training hiervan.
3. Probeer niet alles zelf te regelen, maar ga naar de security officer/CISO die daarbij kan helpen.
4. Nog veel meer nuttige informatie waarvoor dank!

Voorlopig weet ik denk ik even genoeg. Maandag meteen even een aantal gesprekken inplannen en wat lijntjes uitzetten. Ik houdt deze post even gebookmarked om alle tips de komende tijd nog eens terug te kunnen lezen.

☀️ 39 Panelen |⚡SolarEdge SE12.5K | 🔆 Panasonic 7KW KIT-WC07J3E5 | ❄❄❄❄ Mitsubishi SRK 20ZSX-W

zaterdag 25 februari 2023 10:59

Acties:

0 Henk 'm!

F_J_K

Moderator CSA/PB

Front verplichte underscores

De norm zelf is natuurlijk gewoon te lezen, idem 27002 etc. Maar staar je er niet dood op. Er is meer.
-
Sommige zaken zijn overigens deels technisch op te lossen.

Logmein is op netwerkniveau te blokkeren.
USB-disks en adminrechten is voor de meeste users uit te schakelen (of stap over op een zero trust-model).
Familie: ik mag hopen dat er beleid is dat er geen gedeelde accounts zijn en dat er iets van access control is (zoals de norm vraagt). Maak aparte accounts voor familie (met nul rechten op bedrijfsdata, met auto-updates van de browser). Lijkt me zelfs veiliger dan verbieden (want mensen zijn mensen, ff dochterlief laten browsen gebeurt uitzonderingen daargelaten toch wel).

Controle van tassen: daar eerst even akkoord van krijgen van de OR. En het eerst vooraf in het personeelshandboek zetten in welke gevalen het gebeurt.

Maar goed, uiteindelijk is elke techniek te omzeilen. Opleiden, uitleggen, herhalen, herhalen.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

zaterdag 25 februari 2023 11:12

Acties:

0 Henk 'm!

Falcon

DevOps/Q.A. Engineer

Neem pas verantwoordelijkheid voor dit, als je het ook kan! Dit kan je hele capiciteit opslokken en dus kom je niet aan je andere taken/verantwoordelijkheden toe.

Stem dit goed af met je manager.

Bedenk je goed, dat ze de operationele verantwoordelijkheid van een ISO certificaat graag beleggen ipv zelf constant onderdeel van de uitvoering te zijn.

Been there, with 27010

[ Voor 32% gewijzigd door Falcon op 25-02-2023 11:15 ]

"We never grow up. We just learn how to act in public" - "Dyslexie is a bitch"

zaterdag 25 februari 2023 15:48

Acties:

+1 Henk 'm!

Orangelights23

Heb tientallen ISO27001 implementaties gedaan en dit zie je altijd. Gelukkig is er ook een control, iets met disciplinairere procedure

Je mag gerust steekproeven uitvoeren. Op basis van je risico assessment bepaal je hoeveel, op basis van je incident management bepaal je of dit verhoogd/verlaagd kan worden. Dit valt dan allemaal weer onder hoofdstuk 10 van de norm, Verbetering. Eerst een jaar of twee draaien, en dan heb je, als je het ISMS goed beheert, voldoende informatie om beleid aan te passen, controls aan te passen, of een combinatie van deze twee.

maandag 27 februari 2023 10:08

Acties:

+2 Henk 'm!

Frogmen

Tip gedraag je niet als een dictator van IT security maar ga in gesprek met de mensen en ga na waarom. Vaak zeer legitiem omdat ze hun werk moeten kunnen doen (bedenk dat IT daar ondersteunend aan is) ga in overleg om tot een werkbare oplossing te komen.
Dictators worden altijd omzeilt desnoods door gewoon een eigen laptop voor het werk te gebruiken. Of buiten IT om een leverancier een PC laten leveren buiten IT soms met medeweten directie.

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.

maandag 27 februari 2023 10:32

Acties:

+1 Henk 'm!

laurens0619

Helemaal eens met hierboven. Als je echt wil dat security gebuikt gaat worden, dan moet dit ook een fijne oplossing zijn. Anders verzinnen mensen wel iets anders:

1. USB sticks
De standaard die je vaak ziet is het gebruiken van Bitlocker To Go. Hiermee forceer je iedereen de usb sticks encrypted te gebruiken. Nadeel zijn de apparaten waar unecyrpted data naartoe moe. Whitelisten op hardware id kan niet met bitlocker to go, wel kun je de devices in een exceptie groep zetten of de gebruikers een script geven om het tijdelijk uit te schakelen.

2. VPN/Logmein
Maak de VPN gebruiksvriendelijk. Bijvoorbeeld overweeg het gebruik van alwaysonvpn met device certificaten ipv een vpn dialer waar je iedere keer credentials/otp moet invoeren.

CISSP! Drop your encryption keys!