Archief - De topics van lang geleden

Security is te ingewikkeld om het zelf te doen

13-06-2005, 10:35 door Redactie, 31 reacties

Security is vandaag de dag niet meer weg te denken, of het nu gaat om overheden, bedrijven of thuisgebruikers. Het implementeren van beveiligingsoplossingen is echter makkelijker gezegd dan gedaan, getuige het aantal bedrijven dat hun zaakjes nog steeds niet op orde heeft. Nu kun je security als bedrijf zijnde zelf verzorgen, het out-sourcen ervan lijkt steeds populairder te worden. Iets wat niet verwonderlijk is. Security is namelijk een complex iets en vereist de nodige kennis, die ook nog eens continu op peil gehouden moet worden. Onze stelling luidt derhalve: Security is te ingewikkeld om het zelf te doen

Reacties (31)
13-06-2005, 10:51 door SirDice
Outsourcen is niet altijd een optie. Daarmee leg je de
veiligheid van je netwerk bij derden. Voor sommige bedrijven
kan dat niet zomaar. Bovendien ben ik van mening dat je die
kennis gewoon in huis moet hebben. Zo ingewikkeld is het nu
ook weer niet. Met een beetje commen sense kun je al heel
ver komen.
13-06-2005, 10:53 door Walter
Voor kleinere bedrijven is security inderdaad te ingewikkeld
om zelf te doen. Maar ieder bedrijf met laten we zeggen >50
medewerkers moet toch echt minstens één eigen
systeem/netwerkbeheerder hebben die ook de security op zich
moet nemen.
13-06-2005, 11:01 door Anoniem
Security is moeilijk om mee te beginnen, maar als je hulp krijgt bij het
inrichten van de infrastructuur dan is het moeilijkste achter de rug en kan je
het daarna best zelf (mits je daar de interesse en resources voor hebt).
13-06-2005, 11:01 door Anoniem
Outsourcen en kwaliteitscriteria zijn de enige oplossing.
De economische wetten zijn hier immers ook van toepassing. De kosten
om je kennis up-to-date te houden zijn veelal te hoog om het zelf te blijven
doen.
Zelf zorg je dat je deur op slot is dor het omdraaien van de sleutel, maar je
vertrouwd op je leverancies en certificering voor de kwaliteit van het slot.

Maar er is dus nog een lange weg voordat we allemaal zover zijn......
certificering is nog niet op orde en het onderklnnen van beveiliging als een
integraal onderdeel van de IT is ook nog niet bij elk bedrijf tussen de oren.
13-06-2005, 11:02 door Anoniem
Dat hangt er natuurlijk vanaf wat er beveiligd moet worden, welke middelen
binnen bereik liggen en hoeveel je er zelf vanaf weet.
Als we de stelling strikt volgen kan niemand security doen en kan zelfs een
security professional niet zelf aan de slag om iemand te helpen bij de
security problemen.
13-06-2005, 11:42 door Anoniem
Bij een groot bedrijf/ grote overheidsinstelling is het
mogelijk om voldoende kennis in huis te hebben. In de
praktijk blijkt nogal eens te gelden: 'vreemde ogen
dwingen', d.w.z. dezelfde aanpak wordt eerder geaccepteerd
van een externe adviseur, dan van interne adviseurs van een
andere afdeling.
13-06-2005, 11:52 door Anoniem
deze stelling raakt kant noch wal... wat wil je nu horen?

als iemand er verstand van heeft kan hij het zelf doen, als
iemand er geen verstand van heeft kan hij het dus niet zelf
doen.

of iemand die er geen verstand van heeft het kan leren hangt
van iemands iq en doorzettings vermogen af.

zo ook weer opgelost.

(stelling: stellingen verzinnen is te moeilijk om zelf te doen.)
13-06-2005, 11:53 door Acumen
Net als het besturen van een 747. Waarom wordt er maar
vanuit gegaan dat iedere leek met een computer moet kunnen
werken, terwijl je voor iets "simpels" als autorijden een
rijbewijs moet halen. IT afdelingen zijn afdelingen met
hoofdzakelijk specialisten, net als de piloot van een
vliegtuig. Dat je thuis kunt computeren, houdt niet in dat
je er verstand van hebt en dus dat je goed bezig bent. Dat
haalt direct het "voordeel" van Linux aan, als je het niet
snapt, werkt het niet... En dus heb je nauwelijks
"unscholed" gebruikers en dus minder last van via e-mail
verspreide virussen... Goed, zo kunnen we dus nog wel even
doorgaan...

Ik ben het eens met de stelling en wil er het volgende aan
toevoegen.
"Dat je een computer kunt kopen, houdt nog niet in dat je er
verstand van hebt."

Ik kan ook een ultra light betalen, maar of het echt
verantwoord voor mij is om ermee te gaan vliegen...
13-06-2005, 13:09 door Anoniem
Security is NIET te ingewikkeld om zelf te doen, maar het is meer de vraag
of een bedrijf zelf wil investeren in kennis en mensen om de zaken te
regelen (al dan niet eigen mensen of contractors), of dat ze zich op andere
zaken willen richten en daarbij security beheer uitbesteden.

Als je de juiste mensen hebt, is niets ingewikkeld, maar het is vaak van
belang om de specialisten en produkten up-to-date te houden. Dit kost
veel geld en tijd en daardoor kan het voor een bedrijf voordeliger zijn om dit
uit te besteden. Dit geldt trouwens niet alleen voor kleine bedrijven...

Het probleem is echter: Wat valt onder managed security? Security is
vandaag de dag behoorlijk breed: Firewall managed Service, VPN
Managed service, Antivirus, spyware, toegangsbeveiliging, etc etc...

Een gedeelte outsourcen kan ik me nog voorstellen, maar security in zijn
geheel???
13-06-2005, 13:26 door raboof
Ik denk dat het zelfs als je een competente IT-afdeling hebt
verstandig kan zijn (een deel van) de beveiliging door een
gespecialiseerd bedrijf te doen.

Op de hoogte blijven van alle (snelle) ontwikkelingen is
duur als je het moet doen voor de beveiliging van 1 bedrijf.
Een gespecialiseerd bedrijf kan die kennis meteen in veel
bedrijven toepassen, dus daar is het wel rendabel.
13-06-2005, 13:59 door Anoniem
Netwerk is al te moeilijk om zelf te doen. Dus de meeste bedrijven moeten
gewoon een goede systeembeheerder hebben. Als het goed is, weet die
ook het nodige van security.
13-06-2005, 19:17 door Anoniem
gegeven hoe goed de 'grote' partijen hun zakies voor mekaar hebben (het
werkt niet, dan is het tenminste veilig...., of de schoenmaker heeft ook
kapotte schoenen) is outsourcen óók geen optie. Zeker als je naar prijs
prestatie kijkt: kasten vol normatieve en kaderstellende procedures maar
veilig? Lamenielache.

Dus security is té moeilijk, nu dan doene we het niet.
13-06-2005, 21:22 door jkfjkhfdkjhdfkhjdfkjhfdg
Ik ben het NIET eens met de stelling.

Het is niet té ingewikkeld om zelf te doen.
Wel ben ik ervan overtuigd dat het een onderwerp is waar je
je goed op moet inlezen en op moet focussen. Het is hedendag
niet meer iets wat je "naast de planten water geven" er even
bij kan doen.
Het uit besteden van Security kan dan ook grote voordelen
opleveren maar ik denk dat 'grote' bedrijven (eg Philips,
Shell) beter zelf hun technici in huis kunnen halen.
14-06-2005, 07:45 door Anoniem
Ik ben het niet eens met de stelling.
Je moet een onderscheid maken tussen de organisatie en de uitvoering.

Als manager weet je met enig gezond verstand waar je risico's zitten.
Vervolgens kan je dan bekijken welke specialisten je nodig hebt om de
uitvoering geregeld te krijgen.

Outsourcen van security is mijn inziensgeen optie. Ga je als management
blind af op een externe die het wel even regelt??? Lijkt me dat je wel zelf in
control wilt blijven.

"Security is a state of mind"
R.D.
14-06-2005, 08:40 door Anoniem
additionele stelling: besteed het beheer van security uit,
zodat je tijd overhebt om de gebruikers bij te scholen en op
te voeden. Daar ontbreekt het meestal aan bij
'professionals' die teveel in de techniek duiken!
14-06-2005, 11:16 door SirDice
Door Anoniem
additionele stelling: besteed het beheer van security uit,
zodat je tijd overhebt om de gebruikers bij te scholen en op
te voeden. Daar ontbreekt het meestal aan bij
'professionals' die teveel in de techniek duiken!

Ik zie meer heil in het uitbesteden van dat opvoeden ;-)
Laat de techneuten lekker doen waar ze goed in zijn...
14-06-2005, 11:47 door raboof
Outsourcen van security is mijn inziensgeen optie. Ga
je als management blind af op een externe die het wel even
regelt??? Lijkt me dat je wel zelf in control wilt
blijven.
Um, bij (fatsoenlijk) outsourcen wordt de klant door de
specialist eerst voorgelicht over de gevaren en
mogelijkheden. Vervolgens wordt in nauwe samenwerking
bepaald welke beveiliging gewenst is, en uiteindelijk wordt
dat door de specialist ook gerealiseerd en onderhouden (!).

(uiteraard bedoel ik met `klant' en `specialist' geen
personen, maar bedrijven)

Natuurlijk kan een bedrijf ook zelf een (aantal)
werknemer(s) aantrekken om het zelf te doen, maar dat kost
kapitalen en dan nog is de kans groter dat zaken over het
hoofd worden gezien...
14-06-2005, 15:52 door Anoniem
security is een mix van technology, organisatorische maatregelen en
mensen. En even zoveel disciplines. Mix and match een team van zowel
interne als externe contractors betrek user(groepen), HR en management
in het proces alvorens men techno babbel gaat voeren, eerst vaststellen
van requirements, doelen, baselnes, policies, vaststellen van strategie en
mogelijke vendors/partners en dan pas kijken naar oplossingen. Security
starts with awareness, not with technology r3tr0
14-06-2005, 16:38 door Anoniem
Schoenmaker blijf bij je leest...
15-06-2005, 10:37 door Anoniem
Security is niet ingewikkeld maar wel een 7x24 business. Wie
zeg dat security extern belegt minder veilig is dan intern?
Zijn interne mensen een betere garantie tegen misbruik?
Argumenten hierboven zijn verdedigende stellingen voor
mensen die bang zijn hun baan te verliezen.
Outsourcing is niet verstandig, want dan ben ik mijn baan
kwijt, ik kan namelijk alleen servicepacks installeren.
Stomme "NEXT Button specialisten"
15-06-2005, 10:53 door Anoniem
Als multinational hebben wij initieel geopteerd om ons worldwide firewall
management te outsourcen. 24x7 security specialisten van wacht houden
is duur (plus de trainingen voor de snel veranderende technologie). Voor
monitoring en logfile consolidatie kan dit perfect, voor firewall management
(firewall rules aanmaken en wijzigen) zijn we hier snel van terug gekomen.
Door een gebrek aan kennis van het netwerk, de business context van
nieuwe toepassingen en de responstijd (bij ons contractueel binnen 4u,
maar soms zijn quasi realtime changes nodig) maken dat dit niet haalbaar
is voor dynamische omgevingen. Bedrijven waar de firewall 1x per jaar een
change moet ondergaan, zou MSS wel een optie (kunnen) zijn.
16-06-2005, 13:21 door Anoniem
Door Anoniem
Als multinational hebben wij initieel geopteerd om ons
worldwide firewall
management te outsourcen. 24x7 security specialisten van
wacht houden
is duur (plus de trainingen voor de snel veranderende
technologie). Voor
monitoring en logfile consolidatie kan dit perfect, voor
firewall management
(firewall rules aanmaken en wijzigen) zijn we hier snel van
terug gekomen.
Door een gebrek aan kennis van het netwerk, de business
context van
nieuwe toepassingen en de responstijd (bij ons contractueel
binnen 4u,
maar soms zijn quasi realtime changes nodig) maken dat dit
niet haalbaar
is voor dynamische omgevingen. Bedrijven waar de firewall 1x
per jaar een
change moet ondergaan, zou MSS wel een optie (kunnen)
zijn.


Beveiliging bestaat bovendien uit een zet van maatregelen
die zowel preventieve (firewalls etc.), detectieve en
reactieve dienen te omvatten om een effectief security kader
in te vullen. Alleen dikke firewalls kopen en die dan weer
in beheer geven van een interne of externe partij zet nog
geen zoden aan de dijk zonder ook 24x7x365 monitoring van de
infrastructuur. Juist hier zit de pijn om zelf aan de gang
te gaan. Interne beheerders hebben wel wat anders te doen en
zijn bovendien echt niet 24 uur alleen met beveiliging
bezig. Het werk vereist bovendien een combinatie van routine
en hoogwaardige ICT kennis. Iets wat je niet zomaar opbouwt
en instand houdt.

Het uitbesteden aan een Managed Security Monitoring dienst
kan enorm veel toevoegen. Bovendien getuigd het van een
professionele aanpak om operationele beheerstaken te
scheiden van controleren taken. Uitbesteding aan een
onafhankelijke MSM partij is dan ook een goede stap en kan
zelf leiden tot minder zware preventieve maatregelen (leuk
voor budget beheersing). Past bovendien in wettelijke eisen
zoals SOX, Basel II en en Tabaksblat.
16-06-2005, 13:24 door Anoniem
Door J-P
Ik ben het NIET eens met de stelling.

Het is niet té ingewikkeld om zelf te doen.
Wel ben ik ervan overtuigd dat het een onderwerp is waar je
je goed op moet inlezen en op moet focussen. Het is hedendag
niet meer iets wat je "naast de planten water geven" er even
bij kan doen.
Het uit besteden van Security kan dan ook grote voordelen
opleveren maar ik denk dat 'grote' bedrijven (eg Philips,
Shell) beter zelf hun technici in huis kunnen halen.

Hoe doe je dat 24x7 zonder belangenverstrengeling met
beheerstaken, seperation of duties en audit-taken? en ook
bij grote bedrijven mis je op een gegeven moment de
mogelijkheid om elke dag weer de kennis op peil te houden
van je vak omdat je binnen alleen je eigen bedrijf en
wereldje actief bent.
17-06-2005, 20:43 door Anoniem
> Security is te ingewikkeld om het zelf te doen

Als de stelling was geweest "Security is te ingewikkeld om
het ALLEEN te doen" zou ik zeggen ja.

En dan niet vanwege de complexiteit maar meer om de
afhankelijkheid. Security zelf is niet complex, het is
alleen een kwestie van welke risico's accepteer je en welke
niet. En als je buurman, collega, etc. zich niet van die
risico's bewust is, of het hem/haar geen ene moer kan
schelen, dan kun je zelf wel de nodige voorzorgsmaatregelen
treffen. Maar last hebben van de sh*t die bij/door anderen
wordt veroorzaakt heb je wel.

Niet veel anders dan in de niet-digitale samenleving zou ik
zeggen.

Om een citaat te lenen: Een veiliger systeem begint bij jezelf
18-06-2005, 09:11 door raboof
Als multinational hebben wij initieel geopteerd om
ons worldwide firewall management te outsourcen.

Als mensen zo praten begint het bij mij altijd te kriebelen.
Is dit nu echt iemand die gewend is geraakt aan dit soort
taalgebruik, of doet deze anonieme poster zich gewichtiger
voor dan hij is? Zou iemand van de eerste categorie niet
weten dat het `opteren voor' is, en niet `opteren om'?

Niet dat het echt iets afdoet aan de inhoud van de post,
maar toch he...

Toch heb ik het idee dat de echte experts met beide benen op
de grond blijven staan en gewoon `in het begin kiezen voor'.
18-06-2005, 12:21 door Jan Peree
Het moet altijd beginnen bij besef, waar zijn we eigenlijk mee bezig
Er zijn goede toepasbare tools(technisch en niet technisch) voor handen.

Voor ieder product of dienst moet je vaststellen welke risico's er zijn.
Business Impact Analyse en Risico Analyse zijn prima voorbeelden
hiervan.

Techneuten en Ontwikkelaars hebben in principe alleen maar last van
security-requirements.

Tot slot het is belangrijk om te beseffen te awaren dat security er ook is ter
bescherming van de functionarissen welke gerbuik maken van data zodat
er niet onverhoopt gegrut en gemodificeerd wordt in data-gebieden waar
men feitelijk niets te zoeken heeft.
18-06-2005, 12:48 door raboof
Dus wordt de vraag: hoe komen we aan dat besef? Ik denk dat
het in veel gevallen een goed idee zal zijn je voor te laten
lichten door een gespecialiseerd bedrijf.
18-06-2005, 14:34 door Anoniem
Kleinere bedrijven kunnen de security wellicht uitbesteden, grotere
bedrijven kunen het beter zelf in de hand houden. Wel is het zinvol de
security periodiek door een externe partij te laten testen, zowel van
binnenuit alsvan buiten (perimeter penetratietest). Dit (mede) om
discussies tussen management en beheer te voorkomen.
18-06-2005, 15:24 door Peter D.
Door Anoniem
Kleinere bedrijven kunnen de security wellicht uitbesteden,
grotere
bedrijven kunen het beter zelf in de hand houden. Wel is het
zinvol de
security periodiek door een externe partij te laten testen,
zowel van
binnenuit alsvan buiten (perimeter penetratietest). Dit
(mede) om
discussies tussen management en beheer te voorkomen.

Absoluut mee eens. N.a.v. vulnerability-scans,
perimeter-scans e.d. kan een organisatie zelf beoordelen of
de beveiliging in eigen beheer voldoende of dat externe
partijen dit beter kunnen regelen. Ook bij het uitbesteden
blijft het belangrijk dat een "derde" de beveiliging
frequent test.
18-06-2005, 17:53 door Anoniem
Door Jan Perée
Techneuten en Ontwikkelaars hebben in principe alleen maar
last van
security-requirements.

Dit is een overtrokken foutgeredeneerde generalisatie!
"Security requirement" zijn niet een last. Ze zijn net zo
een ontwikkelingsuitdaging als andere kwaliteitseisen.
Echter omdat er niet meteen rekening mee wordt gehouden,
worden ze tot een last gemaakt. Net zoiets als een
gevangenis ontwerpen en pas achteraf realiseren dat het de
criminelen moet binnen houden i.p.v. dat het een gebouw is.
Het vreemde is dat het in andere vakgebieden wel rekening
gehouden kan worden met beveiliging en in de IT niet!?

De security eisen moeten vanuit de informatie behoefte
komen, echter is deze netzoals andere domein gerelateerde
aspecten niet altijd direct zichtbaar.

De vraag of je security moet outsourcen is een kwestie die
alleen aan de hand van de mee gemoeide risico's is te bepalen.
21-06-2005, 18:00 door Anoniem
Zeker, maar tot op bepaalde hoogte. Er is veel te doen aan
obvious security leaks als 2 jaar oude binary distributies
gebruiken, zoals te veel bedrijven vandaag de dag nog doen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.