search

MinBZK / Baseline-Informatiebeveiliging-Overheid

Samen werken aan de nieuwe Baseline Informatiebeveiliging Overheid: BIO2
https://minbzk.github.io/Baseline-Informatiebeveiliging-Overheid/
Other
34 stars 6 forks source link

8.07.05 #124

Open ebos-zuidema opened 4 months ago

ebos-zuidema commented 4 months ago

8.07.05 Minimaal jaarlijks worden gebruikers getest op hun klikgedrag

Het doel is niet duidelijk.

Er wordt gevraagd jaarlijks gebruikers te toetsen op klikgedrag. Het is hierbij niet duidelijk om welk klikgedrag het gaat: op links op webpagina's? op links in emailberichten? afbeeldingen? etc.

Daarnaast is niet duidelijk wat het doel moet zijn voor deze test. Wat moet er worden bereikt met deze test? Onderaan de streep kan deze maatregel uitgevoerd worden door elk jaar een phishing-campagne uit te voeren maar niets te doen met de uitkomsten.

Voorgestelde oplossing tekst aanvullen met '... teneinde de technische maatregelen om schadelijk klikgedrag tegen te gaan te evalueren en aan te scherpen en gebruikers bewust te maken of te trainen.' of iets waaruit valt op te maken dat de maatregel daadwerkelijk iets verbetert of daar aan bijdraagt.

Alternatieven overwogen Schrappen van deze maatregel. Echter, als er een goed plan voor opvolging aanwezig is, kan het een bijdrage leveren aan veiligheid.

Aanvullende context Phishing is tegenwoordig zeer gerafinneerd. Zelfs doorgewinterde beveiligers zijn soms niet in staat echt van onecht te onderscheiden. Phishing campagnes hebben het risico in zich dat medewerkers zich schamen bij foutief klikgedrag of 'boos' zijn op beveiliging voor de zoveelste vermoeiende test, waardoor de wens om veilig te werken af neemt. Het tegenovergestelde wordt bereikt. Echter, als de uitkomsten worden gebruikt om maatregelen zoals bv. controle op DMARC, SPF etc. te evalueren en als algemene input voor awareness presentaties wordt m.i. deze exercitie nuttig (zoals bedoeld in ISO27002, 8.7, uitlicht richtlijn (m)

floort commented 4 months ago

Mag ik een alternatief voorstellen: Minimaal jaarlijks worden technische anti-phishing maatregelen getest op het tegenhouden van phishing en de gevolgen ervan, gebruikers getest op het detecteren en rapporteren van phishing en beheerders getest op het opvolgen van gedetecteerde phishing-pogingen.

meep1979 commented 3 months ago

Het lijkt op het verplicht stellen van phishing campagnes en daar zou ik niet voor zijn. Niet dat ik het risico ontken van onbekwaam klikgedrag maar zoals de bovenstaande post ook aangeeft, een goede phishing campagne zonder ongewenste bijwerkingen is een stuk moeilijker te realiseren dan een niet van echt te onderscheiden phishing mail. Er zijn mijns inziens betere investeringen mogelijk, bijvoorbeeld aan de technische kant.