Some improvements
This commit is contained in:
parent
2e5de56240
commit
da22db5fa2
4 changed files with 31 additions and 2 deletions
|
|
@ -0,0 +1,25 @@
|
|||
# IT is not going to fix your security
|
||||
|
||||
POST AT 7:30 PM DUTCH TIME
|
||||
|
||||
IT is not going to fix your security.
|
||||
|
||||
Not because they don't want to. Not because they lack technical skills. But because essential parts of information security are out of scope for the IT department.
|
||||
|
||||
Here’s what I see in practice:.
|
||||
- A website developer temporarily shares admin rights with an external consultant to troubleshoot an integration.
|
||||
- The account of the maintenance engineer that left the company last year is still being used.
|
||||
- A sales agent in Brazil gets full access to the company’s CRM, despite operating under a different legal framework.
|
||||
|
||||
Examples of non-trivial information security risks arising in day-to-day operations. They cannot be fixed by technical solutions. Why? Because they're management issues, not IT problems.
|
||||
|
||||
Still, for most business initiatives the responsibility for information security is dumped on IT after the fact – like asking a constructor to oversee a renovation, while you're tearing down a load-bearing wall.
|
||||
|
||||
Information won't be secure until senior senior leadership starts managing risks, by asking the right questions before decisions are made.
|
||||
|
||||
Which questions are not being asked in your organization?
|
||||
|
||||
|
||||
— Security as an organizational challenge — post 1/3
|
||||
|
||||
**#managingsecurity**
|
||||
|
|
@ -2,7 +2,7 @@
|
|||
|
||||
Niet omdat ze dat niet willen. Niet omdat ze technisch niet vaardig zijn. Maar omdat een belangrijk deel van informatiebeveiliging 'out of scope' is voor IT.
|
||||
|
||||
Enkele voorbeelden uit de praktijk. De koppeling tussen het nieuwe CRM systeem en de website hapert, orders blijven hangen – de website beheerder deelt tijdelijk zijn beheersrechten met de externe consultant. Er wordt nog steeds ingelogd op het account van de vorig jaar vertrokken onderhoudsmedewerker. De sales partner in Brazilië heeft toegang nodig tot het CRM systeem, maar hoe zorgvuldig gaan ze om met informatie?
|
||||
Enkele voorbeelden uit de praktijk. De website beheerder deelt tijdelijk zijn beheersrechten met de externe consultant van het CRM systeem om problemen met de koppeling op te lossen. Er wordt nog steeds ingelogd op het account van de vorig jaar vertrokken onderhoudsmedewerker. De sales partner in Brazilië krijgt toegang tot het CRM systeem, maar is niet gehouden aan de GDPR.
|
||||
|
||||
Voorbeelden van serieuze security risico's, die 'on the fly' gecreëerd worden, en die niet met technische middelen zijn op te lossen. Want het zijn geen IT problemen, maar managementvraagstukken.
|
||||
|
||||
|
|
@ -10,4 +10,8 @@ Toch wordt bij de meeste initiatieven de verantwoordelijkheid met terugwerkende
|
|||
|
||||
Informatiebeveiliging gaat pas werken wanneer het management verantwoordelijkheid neemt en stuurt op risico's. Door vooraf de juiste vragen te stellen.
|
||||
|
||||
— Security als managementvraagstuk — 1/3 \#managingsecurity
|
||||
Welke vragen worden in jouw organisatie niet gesteld?
|
||||
|
||||
— Security als managementvraagstuk — post 1/3
|
||||
|
||||
**#managingsecurity**
|
||||
Loading…
Add table
Add a link
Reference in a new issue