Mindblowing N.V.
Oefenprojecten in MIS
blz. 271 & 272
1. Wat is het totaal aantal risico’s van elk systeem? Wat zijn bij elk platform de mogelijke gevolgen van de beveiligingsproblemen voor de organisatie?
Windows Server: 67 risico’s.
Mogelijke gevolgen: Hackers kunnen aan informatie komen/ toepassingen vernielen. Ongeautoriseerde gebruikers kunnen de applicaties gebruiken/afsluiten.
Windows Vista Ultimate: 385 risico’s (128 per pc).
Mogelijke gevolgen: Hackers kunnen managementinformatie achterhalen/verwijderen. Ongeautoriseerde medewerkers kunnen ongeoorloofd de beschikking krijgen over deze informatie.
Linux: 255 risico’s.
Mogelijke gevolgen: Hackers kunnen moedwillig het emailverkeer achterhalen en/of het afdruksysteem platleggen. Medewerkers kunnen ongeoorloofd toegang krijgen tot andermans e-mails of per ongeluk het emailverkeer/afdruksysteem afsluiten.
Sun Solaris: 389 risico’s (195 per pc).
Mogelijke gevolgen: Het online handelssysteem kan door hackers of medewerkers platgelegd worden.
Windows Vista: 1267 risico’s (6 per pc).
Mogelijke gevolgen: Laptops en Desktoppen kunnen per ongeluk al dan niet moedwillig worden losgekoppeld van het systeem.
2. Als je slechts één informatiespecialist op het gebied van beveiliging hebt, met welk platform zou je dan bij het aanpakken van deze risico’s beginnen? En welk zou je als tweede doen? En als derde? En als laatste? Waarom?
1. Windows Vista Ultimate. Het is van groot belang dat informatie van hogerhand niet bekend wordt. Dit kan het bedrijf grote schade toebrengen, zowel intern als extern.
2. Sun Solaris. Klant is koning, althans zo hoort het te zijn bij bedrijven. In dat kader hoort het gebied van E-commerce altijd beschikbaar en veilig te zijn voor de klanten van je firma.
3. Windows Server. Vervolgens is het belangrijk dat de dagelijkse gang van zaken gewoon plaats kan vinden. In dat kader is het belangrijk dat alle toepassingen die werknemers gebruiken voor hun werk, goed en veilig werken.
4. Windows Vista voor laptops en desktoppen. Het is belangrijk dat alle werknemers met hun pc’s verbinding kunnen maken met het bedrijfsnetwerk. Anders kunnen zij niet gebruik maken van de toepassingen van het Windows Server-platform.
5. Linux. Tegenwoordig kunnen e-mails op veel verschillende manieren vervangen worden, waardoor een probleem hiermee niet direct grote impact heeft. Afdrukopdrachten kunnen vaak wel even in de wachtrij staan en vaak hebben bedrijven op dit gebied wel een alternatief binnenshuis. Daarom heeft dit platform de minste prioriteit.
3. Stel de typen beveiligingsproblemen vast waaruit deze risico’s volgen en leg uit welke maatregelen er moeten worden genomen om ze op te lossen.
Grote risico’s: Ongeautoriseerde gebruikers die toegang proberen te krijgen, gemakkelijk te raden wachtwoorden en gebruikersaccounts zonder wachtwoorden en ongeautoriseerde programma’s in applicatiesystemen.
Deze risico’s komen voort uit het feit dat hackers of onwelwillende mensen intern in de organisatie aan bepaalde informatie willen komen, waarvan zij misbruik kunnen maken.
Maatregelen: Biometrische authenticatie, Firewalls inbouwen, antivirussoftware en inbraakdetectiesystemen aanschaffen. Om te voorkomen dat andere medewerkers aan gegevens kunnen komen, kun je zorgen voor persoonlijke wachtwoorden die bij ieder bezoek veranderen.
Gemiddelde risico’s:
- De mogelijkheid het systeem af te sluiten zonder aangemeld te zijn
- Wachtwoorden en instellingen van de screensaver die niet zijn ingesteld voor pc’s en verouderde versies van de software die op de harde schijf zijn opgeslagen
Dit zijn risico’s die minder impact hebben op de gang van zaken in een bedrijf, maar uiteraard wel vervelend zijn.
Maatregelen: Beveiliging van het bedrijfsnetwerk, zodat onaangemelde gebruikers het ook niet kunnen afsluiten. Dit kan met firewalls. Tevens is het belangrijk om een pakket aan te schaffen om software beschikbaar te maken op de verschillende pc’s.
Lage risico’s:
- De onmogelijkheid voor gebruikers om hun wachtwoord te veranderen
- Gebruikerswachtwoorden die niet regelmatig gewijzigd worden
- Wachtwoorden die niet voldoen aan de eisen van het bedrijf
Deze risico’s zijn dan wel laag, maar kunnen wel leiden tot grote schade omdat ‘foute’ mensen achter bepaalde wachtwoorden kunnen komen. Als dit het geval is kunnen bergen informatie bij deze mensen terechtkomen en uitlekken.
Maatregelen: Zorg er voor dat iedere werknemers een eigen ‘PasswordManager’ krijgt. Dit is een soort sleutelhanger die iedere keer als je ergens wilt inloggen een nieuw wachtwoord geeft, die vervolgens inclusief enkele persoonlijke tekens ingevoerd moet worden. Dit systeem lijkt op dat van de Rabobank, dat werkt met een signeercode, die altijd verschillend is. Het zorgt ervoor dat er in feite geen standaardwachtwoord is en dat het wachtwoord altijd voldoet aan de eisen.
4. Wat riskeert jouw bedrijf door vastgestelde beveiligingsrisico’s te negeren?
Het bedrijf riskeert onder meer dat gevoelige management informatie op straat komt te liggen of verwijderd kan worden. Daarnaast riskeert het bedrijf dat het eigen netwerk platgelegd wordt, waardoor de dagelijkse gang van zaken binnen de firma niet meer kan plaatsvinden. Ook kan het handelsverkeer hierdoor schade oplopen. Daarnaast kunnen er intern zak voorkomen waarbij medewerkers aan andermans emailverkeer kunnen komen of uitgesloten worden van het systeem en hun persoonlijke bestanden. Etc. etc.