Analyse Security Audits 2016

Maat: px

Weergave met pagina beginnen:

Download "Analyse Security Audits 2016"

Anke Verlinden
9 jaren geleden
Aantal bezoeken:

1 Analyse Security Audits 2016 Ivo Depoorter Projectleider Security Audits V-ICT-OR Security

Deelnemers Beide OCMW Gemeente Provincie West-Vlaanderen 2 1 6

2 Deelnemers Beide OCMW Gemeente Provincie West-Vlaanderen Oost-Vlaanderen 1 5 Antwerpen Vlaams-Brabant 1 6 Limburg

3 Vlaamse student hackt Facebook

4 Methodiek Online vragenlijst Doorlichting beleidsdocument Bezoek aan het bestuur Hoofdstuk Beleid Organisatie Personeelsbeleid Bedrijfsmiddelen Toegang tot persoonsgegevens Fysieke beveiliging Operationele beveiliging Communicatiebeveiliging Aanschaffen, ontwikkelen en onderhouden van informatiesystemen Leveranciersrelaties Informatiebeveiligingsincidenten Naleving Richtsnoer(en) A A-3.1.1, B A-4.1.2, A-4.2.1, B B A A-8.1.1, A.8.2.2, B A-9.2.1, A-9.3.1, B.9.2.1, B B , B , B A A A A % Richtsnoeren versie 3 (GLO)

5 Analyse Beleid NOK % Er is geen informatieveiligheidsplan 18 43,90% Er werden geen werkkredieten voor informatieveiligheid voorzien 10 24,39% Het veiligheidsplan heeft geen concrete timing 11 26,83% Het veiligheidsplan is niet aangepast aan versie 3 van de richtsnoeren 9 21,95% Het veiligheidsplan is nog in ontwikkeling 6 14,63% Op het veiligheidsplan werden geen verantwoordelijkheden aangeduid 10 24,39% Organisatie NOK % Er is geen veiligheidscel 16 39,02% Er is geen veiligheidsconsulent 10 24,39%

6 Analyse Personeelsbeleid NOK % Het arbeidsreglement bevat geen clausule omtrent de verantwoordelijkheden voor de informatiebeveiliging van persoonsgegevens 21 51,22% Het personeel is onvoldoende op de hoogte over de omgang met verdachte s 10 24,39% Het personeel maakt op een onveilige wijze gebruik van wachtwoorden 19 46,34% Bedrijfsmiddelen NOK % De lijst met toegestane software ontbreekt 27 65,85% Er is geen procedure voor het verwijderen/hergebruiken van media 20 48,78% Campagne

7 Analyse Toegang tot persoonsgegevens NOK % Het personeel gaat slordig om met persoonsgegevens 25 60,98% Niet alle personeel is op de hoogte van het wachtwoordbeleid 14 34,15% Werkstations worden zonder schermbeveiliging achter gelaten 24 58,54% Fysieke beveiliging NOK % De brandbeveiliging in de serverruimte is niet in orde 8 19,51% Er werd geen risicoanalyse uitgevoerd van de ruimtes waar persoonsgegevens bewaard worden 23 56,10%

8 Analyse Operationele beveiliging NOK % De anti-malware is niet voorzien van de laatste definities 2 4,88% De anti-malware oplossing is verouderd. 2 4,88% De anti-malware oplossing op de werkstations werken niet naar behoren. 6 14,63% De dienst informatica krijgt geen melding van een mogelijke malware besmetting op het netwerk 21 51,22% De gebruiker kan de anti-malware oplossing op het werkstation uitschakelen 6 14,63% Er is geen centraal anti-malware beheer 7 17,07% Er is geen malware detectie op één of meerdere toegangen (USB, , Web) 11 26,83% De back-ups worden niet op een veilige afstand van de back-up bron bewaard. 4 9,76% Er is geen formeel back-up beleid 18 43,90% De standaard wachtwoorden van de randapparatuur werden niet gewijzigd ,73% De wijze waarop alle software up-to-date gehouden wordt (patch management) is niet in orde 30 73,17% De randapparatuur is niet voorzien van de laatste software 4 9,76% Er werden verdachte processen gevonden op het werkstation, nazicht is vereist. 3 7,32% Er wordt gebruik gemaakt van software waarvoor de fabrikant niet langer security updates voorziet ,61% Het personeel werkt met de rechten van een lokale beheerder. 4 9,76% Er is misbruik van computersystemen mogelijk 29 70,73%

9 Analyse Communicatiebeveiliging NOK % Het netwerkschema ontbreekt of is niet up-to-date 12 29,27% Persoonsgegevens worden onvoldoende beschermd 20 48,78% Leveranciersrelaties NOK % Er werd geen vertrouwelijkheidsovereenkomst afgesloten tussen het bestuur en de externe leverancier Toepassingen in het beheer van de externe leverancier worden niet voorzien van de nodige security updates 29 70,73% 3 7,32%

10 Analyse Informatiebeveiligingsincidenten NOK % Er is geen procedure voor veiligheidsincidenten 26 63,41% Naleving NOK % In het verleden werd er nog geen audit uitgevoerd 24 58,54%

11 Operationele beveiliging - screenshots Gebruik standaard wachtwoorden Bediening installatie zonnepanelen, admin-admin

12 Operationele beveiliging - screenshots Gebruik standaard wachtwoorden Bediening UPS, apc -apc

13 Operationele beveiliging - screenshots Gebruik standaard wachtwoorden Configuratie Switch: manager-friend

14 Operationele beveiliging - screenshots Gebruik standaard wachtwoorden Configuratie SAN: root-root

15 Operationele beveiliging - screenshots Geen wachtwoord nodig Bewakingscamera zonder wachtwoord

16 Operationele beveiliging - screenshots Exploitatie systemen Exploitatie Windows XP (SMB Exploit)

17 Operationele beveiliging - screenshots Exploitatie systemen Exploitatie Terminal Server (SSL Heartbleed)

18 Operationele beveiliging - screenshots Malware Virusscanner reageert niet bij het openen van het testvirus

19 Operationele beveiliging - screenshots Malware /Patchmanagement Niet-Microsoft Programma s krijgen geen update

20 Tot slot Conclusies - Veel aandachtspunten - alle domeinen - V-ICT-OR als vertrouwde audit partner Volgende audits?? ([email protected])

Vergelijkbare documenten

#vvsg_gdpr Wat kunnen we leren uit de thema-audit informatiebeveiliging?

#vvsg_gdpr Wat kunnen we leren uit de thema-audit informatiebeveiliging? Gunther Schryvers, Audit Vlaanderen Lies Van Cauter, Audit Vlaanderen. Informatiebeveiliging bij lokale besturen: een uitdaging