The Great Resignation treft elk bedrijf hard, maar het kan angstaanjagend zijn als je beveiligingsprofessionals massaal vertrekken. Er zijn meer dan de voor de hand liggende risico's op het spel, en CISO's moeten ze allemaal beheersen. Een checklist kan ervoor zorgen dat er geen fouten worden gemaakt en spijt is niet duur.

"Aangezien bedrijven te maken hebben met een toenemend personeelsverloop, moeten ze ook rekening houden met het feit dat hoogopgeleide ex-werknemers vertrekken met belangrijke institutionele kennis en vertrouwelijke informatie", waarschuwt Todd Moore, global head of encryptieproducten bij Thales, een in Frankrijk gevestigd bedrijf. multinationale leverancier van elektrische systemen en diensten voor de lucht- en ruimtevaart-, defensie-, transport- en beveiligingsmarkten.

"Dit verhoogt mogelijk het risico op datalekken en andere cyberincidenten, wat nog wordt vergroot wanneer de organisatie en bescherming van de gegevens wordt gecontroleerd door menselijke managers", voegt Moore toe.

Laat niets aan het toeval of toezicht over door in plaats daarvan met een checklist te werken.

de checklist

"CISO's zouden de toegangsrechten van alle werknemers al moeten controleren en bijwerken en de beheerderstoegang periodiek moeten beheren en een lijst met taken en procedures moeten hebben wanneer werknemers vertrekken", zegt Ahmad Zoua, senior projectmanager bij Guidepost Solutions, een wereldwijd beveiligings-, en onderzoeksadviesbureau.

In dit artikel wordt ervan uitgegaan dat u de routinematige maatregelen. Als dat niet het geval is, moet u eerst de basis herstellen. We concentreren ons alleen op de extra stappen die nodig zijn om het beveiligingspersoneel te ontslaan.

Hier is de lijst die is samengesteld op basis van het advies van veel CISO's en andere beveiligingsprofessionals:

1. Tijd voor het afscheid. Sommige zullen "onmiddellijk naar buiten worden gebracht, andere minder", maar CSO's/CISO's moeten "een protocol hebben in combinatie met de gevoeligheid, systeemtoegang en kennis, enz. van de functie", zegt Timothy Williams, vice-voorzitter van het wereldwijde beveiligingsbedrijf Pinkerton. In alle gevallen is het "belangrijk om de vertrekkende werknemer met waardigheid te behandelen [en] te proberen ervoor te zorgen dat de vertrekkende werknemer door de rest van de afdeling als professioneel en correct wordt behandeld, opnieuw in overeenstemming met de gevoeligheid van de positie van de vertrekkende werknemer", zei hij. voegt toe.
2. Bereid je voor op de Grote Boemerang. Doe er alles aan om van het laatste afscheid een goede investering te houden. Zorg ervoor dat u geen vijandige buitenboordmotoren heeft met uw beveiligingspersoneel en dat iedereen die vertrekt niet zou aarzelen om op een dag terug te keren. “Ik denk dat de Grote Resignatie een aantal Grote Boemerang zal bevatten. Maar wat nog belangrijker is, vecht hard om het talent dat je hebt te behouden en het soort baas te zijn dat je eerder in je carrière had willen hebben – zorg ervoor dat je personeel weet dat je hun bijdragen aan je gezamenlijke succes waardeert”, zegt James Arlen, CISO bij Aiven , een leverancier van beheerde open source datatechnologieën voor de cloud.
3. Roep de hulp in van uw beveiligingsteam. Als je het nieuws van een vertrekkend personeelslid met gratie en waardigheid hebt behandeld, zodat er geen kwade gevoelens zijn en geen motivatie om kwaad te doen, "zal je bestaande personeel net zo hard werken als jij om ervoor te zorgen dat je de baseert zich hier, omdat dit nu niet echt een beveiligingsprobleem is – het is een nalevingsprobleem”, zegt Arlen.
4. Doe de Insider Threat Checks. Uw Insider Risk-team moet een terugblikanalyse van zes maanden uitvoeren op de activiteit van de werknemer, "op zoek naar verdacht gedrag of verkeerde behandeling van beschermde bedrijfsgegevens", zegt Ken Deitz, vice-president en chief security officer/CISO bij Secureworks. Het Insider Risk-team moet ook de terugblikanalyse met de manager van de werknemer doornemen om ervoor te zorgen dat niets over het hoofd wordt gezien vanuit een zakelijk perspectief. "Niemand zal beter weten hoe normaal eruit ziet voor de werknemer dan de lokale leider", zegt Deitz. Gebruik die kennis om elk hoekje en gaatje te controleren op enig bewijs van een waarschijnlijke dreiging.
5. Doe een laatste-dag-audit. Het Insider Risk-team moet een korte audit van de laatste dag doen om "ervoor te zorgen dat" alle toegang is correct beëindigd, en dat alle activa zijn teruggegeven”, aldus Deitz.
6. Controleer de silo's. "Verouderde toegangstechnologieën, met name silo-oplossingen zoals VPN's, bieden veel te veel toegang en zijn te vaak losgekoppeld van HR- of offboarding-processen", zegt Jason Garbis, chief product officer bij Appgate. Vergeet ook niet om die communicatie-apps zoals Microsoft Teams en Zoom te controleren.
7. Breng andere betrokken partijen op de hoogte. "Stel de helpdesk, het beveiligingsteam en het systeem- en faciliteitenteam van uw organisatie op de hoogte dat de werknemer niet langer bij het bedrijf is", zegt Greg Crowley, CISO bij eSentire, een bedrijf voor beheerde detectie en respons. "Informeer ook belangrijke externe leveranciers, waaronder beheerde services van derden, dat de werknemer niet langer een geautoriseerde contactpersoon voor het account is." Hij adviseert om die meldingen te volgen met "een audit van de afgelopen 3 dagen accountactiviteit op verdacht gedrag of indicatoren van het maken van een achterdeuraccount".
8. Schakel de BYOD-netwerkmachtigingen uit en wis apparaten. Genoeg gezegd!
9. Fysieke toegangsmachtigingen uitschakelen/weigeren. Dit betekent het verzamelen van fysieke toegangstokens, badges, fysieke sleutels, apps, USB-sticks, eventuele back-ups, externe schijven en eventuele pincodes en biometrische gegevens, en het uitvoeren van een forensische back-up van schijven op de werkende systemen en externe schijven van de werknemer, adviseert Adam Perella, manager bij Schellman, een wereldwijde onafhankelijke beoordelaar op het gebied van security en privacy compliance.
10. Eigendom van gegevens overdragen. Ongestructureerde gegevens vormen een unieke uitdaging voor ondernemingen om te controleren, "vooral in de verschuiving naar thuiswerken, waar werknemers bestanden op verschillende en onverwachte plaatsen kunnen opslaan", zegt Grady Summers, EVP van product bij SailPoint. Uittredende werknemers moeten de taak krijgen allerlei ongestructureerde gegevens te lokaliseren en het eigendom over te dragen aan de resterende werknemers. “Ik denk dat de verschuiving naar SaaS-gebaseerde documentopslag hier heeft geholpen. Bij de meeste services kan de toegang bij beëindiging eenvoudig opnieuw worden toegewezen aan een manager', voegt Summers toe.
11. Controleer alle codes. “Zorg ervoor dat er geen scripts of aangepaste codeafhankelijkheden afhankelijk zijn van het bestaande account van de vertrekkende werknemer. Services moeten worden uitgevoerd onder goedgekeurde serviceaccounts”, zegt Brian Wilson, CISO bij SAS. Dat omvat ook het controleren van andere codes, referenties en certificaten. Zorg ervoor dat u cloudroot-inloggegevens, inloggegevens voor broncoderepository's, domeinregistratiecertificaten en "alle andere accounts of systemen die niet zijn gekoppeld aan Secured Sign On (SSO) die mogelijk individuele gebruikersnaam en wachtwoorden hebben om te beheren", beveiligt, zegt Bryan Harper , manager bij Schellman.
12. Sluit de achterdeur. “Zorg ervoor dat er geen achterdeurtjes of Trojaanse paarden achterblijven in productiesystemen en software. Voer een assessment (threat hunt) uit als er vermoedens of zorgen zijn. Besteed veel aandacht aan perimetertoegangspunten, aangezien beveiligingspersoneel vaak op de hoogte is van kwetsbaarheden uit eerdere beveiligingsrapporten”, zegt Brian Wrozek, chief information security officer en vice-president bij Optiv.
13. Veilige beveiligingssystemen. Dat klinkt als een gegeven, maar "de ontdekking van SIEM's, EDR, firewalls, enz., vooral als de persoon tot meerdere groepen en volgende groepen behoort, is vaak een uitdaging", zegt Raj Dodhiawala, president van zero-trust privilege security provider Remedie.
14. Configuraties zoeken en opslaan. Beveiligingstools hebben geconfigureerde gegevens zoals SIEM- of firewallregels, evenals gerelateerde controles die zijn ontworpen om organisaties weerbaar te maken tegen cyberaanvallen. CISO's moeten ervoor zorgen dat deze bekend zijn, bewaard blijven en in overeenstemming worden gehouden met het beleid en de controles. "Als dat niet het geval is, moeten ze methoden gaan implementeren om configuraties op te slaan en/of versiebeheer te gebruiken", zegt Dodhiawala.
15. Controleer incident- en loggegevens. “Je zult versteld staan ​​hoeveel er in gebeurtenislogboeken, apparaatlogboeken en toepassingslogboeken zit. Naast het afsnijden van de toegang tot deze gegevens, moeten de gegevens zelf worden beschermd”, zegt Dodhiawala.

Kijk opnieuw

Ga er dan maar van uit dat er zwarte gaten in uw processen zitten. Als je denkt dat je alles hebt behandeld, kijk dan nog eens met de veronderstelling dat je iets hebt gemist.

"In theorie heb je als CISO of beveiligingsmanager je documentatie goed gedaan en heb je een soort van toegangsbeheervolgsysteem voor al die dingen die geen deel uitmaken van je nominale SSO-domein", zegt Arlen. "Maar laten we eerlijk zijn, dat heb je waarschijnlijk niet, en nu moet je overal zoeken waar je misschien een soort toegang hebt achtergelaten."

• Coinsmart. Europa's beste Bitcoin- en crypto-uitwisseling.
• Platoblockchain. Web3 Metaverse Intelligentie. Kennis versterkt. GRATIS TOEGANG.
• CryptoHawk. Altcoin-radar. Gratis proefversie.
• Bron: https://www.darkreading.com/edge-articles/ciso-checklist-for-offboarding-security-staff