Outsourcen is niet altijd een optie. Daarmee leg je de
veiligheid van je netwerk bij derden. Voor sommige bedrijven
kan dat niet zomaar. Bovendien ben ik van mening dat je die
kennis gewoon in huis moet hebben. Zo ingewikkeld is het nu
ook weer niet. Met een beetje commen sense kun je al heel
ver komen.

Voor kleinere bedrijven is security inderdaad te ingewikkeld
om zelf te doen. Maar ieder bedrijf met laten we zeggen >50
medewerkers moet toch echt minstens één eigen
systeem/netwerkbeheerder hebben die ook de security op zich
moet nemen.

Security is moeilijk om mee te beginnen, maar als je hulp krijgt bij het
inrichten van de infrastructuur dan is het moeilijkste achter de rug en kan je
het daarna best zelf (mits je daar de interesse en resources voor hebt).

Outsourcen en kwaliteitscriteria zijn de enige oplossing.
De economische wetten zijn hier immers ook van toepassing. De kosten
om je kennis up-to-date te houden zijn veelal te hoog om het zelf te blijven
doen.
Zelf zorg je dat je deur op slot is dor het omdraaien van de sleutel, maar je
vertrouwd op je leverancies en certificering voor de kwaliteit van het slot.

Maar er is dus nog een lange weg voordat we allemaal zover zijn......
certificering is nog niet op orde en het onderklnnen van beveiliging als een
integraal onderdeel van de IT is ook nog niet bij elk bedrijf tussen de oren.

Dat hangt er natuurlijk vanaf wat er beveiligd moet worden, welke middelen
binnen bereik liggen en hoeveel je er zelf vanaf weet.
Als we de stelling strikt volgen kan niemand security doen en kan zelfs een
security professional niet zelf aan de slag om iemand te helpen bij de
security problemen.

Bij een groot bedrijf/ grote overheidsinstelling is het
mogelijk om voldoende kennis in huis te hebben. In de
praktijk blijkt nogal eens te gelden: 'vreemde ogen
dwingen', d.w.z. dezelfde aanpak wordt eerder geaccepteerd
van een externe adviseur, dan van interne adviseurs van een
andere afdeling.

deze stelling raakt kant noch wal... wat wil je nu horen?

als iemand er verstand van heeft kan hij het zelf doen, als
iemand er geen verstand van heeft kan hij het dus niet zelf
doen.

of iemand die er geen verstand van heeft het kan leren hangt
van iemands iq en doorzettings vermogen af.

zo ook weer opgelost.

(stelling: stellingen verzinnen is te moeilijk om zelf te doen.)

Net als het besturen van een 747. Waarom wordt er maar
vanuit gegaan dat iedere leek met een computer moet kunnen
werken, terwijl je voor iets "simpels" als autorijden een
rijbewijs moet halen. IT afdelingen zijn afdelingen met
hoofdzakelijk specialisten, net als de piloot van een
vliegtuig. Dat je thuis kunt computeren, houdt niet in dat
je er verstand van hebt en dus dat je goed bezig bent. Dat
haalt direct het "voordeel" van Linux aan, als je het niet
snapt, werkt het niet... En dus heb je nauwelijks
"unscholed" gebruikers en dus minder last van via e-mail
verspreide virussen... Goed, zo kunnen we dus nog wel even
doorgaan...

Ik ben het eens met de stelling en wil er het volgende aan
toevoegen.
"Dat je een computer kunt kopen, houdt nog niet in dat je er
verstand van hebt."

Ik kan ook een ultra light betalen, maar of het echt
verantwoord voor mij is om ermee te gaan vliegen...

Security is NIET te ingewikkeld om zelf te doen, maar het is meer de vraag
of een bedrijf zelf wil investeren in kennis en mensen om de zaken te
regelen (al dan niet eigen mensen of contractors), of dat ze zich op andere
zaken willen richten en daarbij security beheer uitbesteden.

Als je de juiste mensen hebt, is niets ingewikkeld, maar het is vaak van
belang om de specialisten en produkten up-to-date te houden. Dit kost
veel geld en tijd en daardoor kan het voor een bedrijf voordeliger zijn om dit
uit te besteden. Dit geldt trouwens niet alleen voor kleine bedrijven...

Het probleem is echter: Wat valt onder managed security? Security is
vandaag de dag behoorlijk breed: Firewall managed Service, VPN
Managed service, Antivirus, spyware, toegangsbeveiliging, etc etc...

Een gedeelte outsourcen kan ik me nog voorstellen, maar security in zijn
geheel???

Ik denk dat het zelfs als je een competente IT-afdeling hebt
verstandig kan zijn (een deel van) de beveiliging door een
gespecialiseerd bedrijf te doen.

Op de hoogte blijven van alle (snelle) ontwikkelingen is
duur als je het moet doen voor de beveiliging van 1 bedrijf.
Een gespecialiseerd bedrijf kan die kennis meteen in veel
bedrijven toepassen, dus daar is het wel rendabel.

Netwerk is al te moeilijk om zelf te doen. Dus de meeste bedrijven moeten
gewoon een goede systeembeheerder hebben. Als het goed is, weet die
ook het nodige van security.

gegeven hoe goed de 'grote' partijen hun zakies voor mekaar hebben (het
werkt niet, dan is het tenminste veilig...., of de schoenmaker heeft ook
kapotte schoenen) is outsourcen óók geen optie. Zeker als je naar prijs
prestatie kijkt: kasten vol normatieve en kaderstellende procedures maar
veilig? Lamenielache.

Dus security is té moeilijk, nu dan doene we het niet.

Ik ben het NIET eens met de stelling.

Het is niet té ingewikkeld om zelf te doen.
Wel ben ik ervan overtuigd dat het een onderwerp is waar je
je goed op moet inlezen en op moet focussen. Het is hedendag
niet meer iets wat je "naast de planten water geven" er even
bij kan doen.
Het uit besteden van Security kan dan ook grote voordelen
opleveren maar ik denk dat 'grote' bedrijven (eg Philips,
Shell) beter zelf hun technici in huis kunnen halen.

Ik ben het niet eens met de stelling.
Je moet een onderscheid maken tussen de organisatie en de uitvoering.

Als manager weet je met enig gezond verstand waar je risico's zitten.
Vervolgens kan je dan bekijken welke specialisten je nodig hebt om de
uitvoering geregeld te krijgen.

Outsourcen van security is mijn inziensgeen optie. Ga je als management
blind af op een externe die het wel even regelt??? Lijkt me dat je wel zelf in
control wilt blijven.

"Security is a state of mind"
R.D.

additionele stelling: besteed het beheer van security uit,
zodat je tijd overhebt om de gebruikers bij te scholen en op
te voeden. Daar ontbreekt het meestal aan bij
'professionals' die teveel in de techniek duiken!

Ik zie meer heil in het uitbesteden van dat opvoeden ;-)
Laat de techneuten lekker doen waar ze goed in zijn...

Um, bij (fatsoenlijk) outsourcen wordt de klant door de
specialist eerst voorgelicht over de gevaren en
mogelijkheden. Vervolgens wordt in nauwe samenwerking
bepaald welke beveiliging gewenst is, en uiteindelijk wordt
dat door de specialist ook gerealiseerd en onderhouden (!).

(uiteraard bedoel ik met `klant' en `specialist' geen
personen, maar bedrijven)

Natuurlijk kan een bedrijf ook zelf een (aantal)
werknemer(s) aantrekken om het zelf te doen, maar dat kost
kapitalen en dan nog is de kans groter dat zaken over het
hoofd worden gezien...

security is een mix van technology, organisatorische maatregelen en
mensen. En even zoveel disciplines. Mix and match een team van zowel
interne als externe contractors betrek user(groepen), HR en management
in het proces alvorens men techno babbel gaat voeren, eerst vaststellen
van requirements, doelen, baselnes, policies, vaststellen van strategie en
mogelijke vendors/partners en dan pas kijken naar oplossingen. Security
starts with awareness, not with technology r3tr0

Schoenmaker blijf bij je leest...

Security is niet ingewikkeld maar wel een 7x24 business. Wie
zeg dat security extern belegt minder veilig is dan intern?
Zijn interne mensen een betere garantie tegen misbruik?
Argumenten hierboven zijn verdedigende stellingen voor
mensen die bang zijn hun baan te verliezen.
Outsourcing is niet verstandig, want dan ben ik mijn baan
kwijt, ik kan namelijk alleen servicepacks installeren.
Stomme "NEXT Button specialisten"

Als multinational hebben wij initieel geopteerd om ons worldwide firewall
management te outsourcen. 24x7 security specialisten van wacht houden
is duur (plus de trainingen voor de snel veranderende technologie). Voor
monitoring en logfile consolidatie kan dit perfect, voor firewall management
(firewall rules aanmaken en wijzigen) zijn we hier snel van terug gekomen.
Door een gebrek aan kennis van het netwerk, de business context van
nieuwe toepassingen en de responstijd (bij ons contractueel binnen 4u,
maar soms zijn quasi realtime changes nodig) maken dat dit niet haalbaar
is voor dynamische omgevingen. Bedrijven waar de firewall 1x per jaar een
change moet ondergaan, zou MSS wel een optie (kunnen) zijn.

Beveiliging bestaat bovendien uit een zet van maatregelen
die zowel preventieve (firewalls etc.), detectieve en
reactieve dienen te omvatten om een effectief security kader
in te vullen. Alleen dikke firewalls kopen en die dan weer
in beheer geven van een interne of externe partij zet nog
geen zoden aan de dijk zonder ook 24x7x365 monitoring van de
infrastructuur. Juist hier zit de pijn om zelf aan de gang
te gaan. Interne beheerders hebben wel wat anders te doen en
zijn bovendien echt niet 24 uur alleen met beveiliging
bezig. Het werk vereist bovendien een combinatie van routine
en hoogwaardige ICT kennis. Iets wat je niet zomaar opbouwt
en instand houdt.

Het uitbesteden aan een Managed Security Monitoring dienst
kan enorm veel toevoegen. Bovendien getuigd het van een
professionele aanpak om operationele beheerstaken te
scheiden van controleren taken. Uitbesteding aan een
onafhankelijke MSM partij is dan ook een goede stap en kan
zelf leiden tot minder zware preventieve maatregelen (leuk
voor budget beheersing). Past bovendien in wettelijke eisen
zoals SOX, Basel II en en Tabaksblat.

Hoe doe je dat 24x7 zonder belangenverstrengeling met
beheerstaken, seperation of duties en audit-taken? en ook
bij grote bedrijven mis je op een gegeven moment de
mogelijkheid om elke dag weer de kennis op peil te houden
van je vak omdat je binnen alleen je eigen bedrijf en
wereldje actief bent.

> Security is te ingewikkeld om het zelf te doen

Als de stelling was geweest "Security is te ingewikkeld om
het ALLEEN te doen" zou ik zeggen ja.

En dan niet vanwege de complexiteit maar meer om de
afhankelijkheid. Security zelf is niet complex, het is
alleen een kwestie van welke risico's accepteer je en welke
niet. En als je buurman, collega, etc. zich niet van die
risico's bewust is, of het hem/haar geen ene moer kan
schelen, dan kun je zelf wel de nodige voorzorgsmaatregelen
treffen. Maar last hebben van de sh*t die bij/door anderen
wordt veroorzaakt heb je wel.

Niet veel anders dan in de niet-digitale samenleving zou ik
zeggen.

Om een citaat te lenen: Een veiliger systeem begint bij jezelf

Als mensen zo praten begint het bij mij altijd te kriebelen.
Is dit nu echt iemand die gewend is geraakt aan dit soort
taalgebruik, of doet deze anonieme poster zich gewichtiger
voor dan hij is? Zou iemand van de eerste categorie niet
weten dat het `opteren voor' is, en niet `opteren om'?

Niet dat het echt iets afdoet aan de inhoud van de post,
maar toch he...

Toch heb ik het idee dat de echte experts met beide benen op
de grond blijven staan en gewoon `in het begin kiezen voor'.

Het moet altijd beginnen bij besef, waar zijn we eigenlijk mee bezig
Er zijn goede toepasbare tools(technisch en niet technisch) voor handen.

Voor ieder product of dienst moet je vaststellen welke risico's er zijn.
Business Impact Analyse en Risico Analyse zijn prima voorbeelden
hiervan.

Techneuten en Ontwikkelaars hebben in principe alleen maar last van
security-requirements.

Tot slot het is belangrijk om te beseffen te awaren dat security er ook is ter
bescherming van de functionarissen welke gerbuik maken van data zodat
er niet onverhoopt gegrut en gemodificeerd wordt in data-gebieden waar
men feitelijk niets te zoeken heeft.

Dus wordt de vraag: hoe komen we aan dat besef? Ik denk dat
het in veel gevallen een goed idee zal zijn je voor te laten
lichten door een gespecialiseerd bedrijf.

Kleinere bedrijven kunnen de security wellicht uitbesteden, grotere
bedrijven kunen het beter zelf in de hand houden. Wel is het zinvol de
security periodiek door een externe partij te laten testen, zowel van
binnenuit alsvan buiten (perimeter penetratietest). Dit (mede) om
discussies tussen management en beheer te voorkomen.

Absoluut mee eens. N.a.v. vulnerability-scans,
perimeter-scans e.d. kan een organisatie zelf beoordelen of
de beveiliging in eigen beheer voldoende of dat externe
partijen dit beter kunnen regelen. Ook bij het uitbesteden
blijft het belangrijk dat een "derde" de beveiliging
frequent test.

Dit is een overtrokken foutgeredeneerde generalisatie!
"Security requirement" zijn niet een last. Ze zijn net zo
een ontwikkelingsuitdaging als andere kwaliteitseisen.
Echter omdat er niet meteen rekening mee wordt gehouden,
worden ze tot een last gemaakt. Net zoiets als een
gevangenis ontwerpen en pas achteraf realiseren dat het de
criminelen moet binnen houden i.p.v. dat het een gebouw is.
Het vreemde is dat het in andere vakgebieden wel rekening
gehouden kan worden met beveiliging en in de IT niet!?

De security eisen moeten vanuit de informatie behoefte
komen, echter is deze netzoals andere domein gerelateerde
aspecten niet altijd direct zichtbaar.

De vraag of je security moet outsourcen is een kwestie die
alleen aan de hand van de mee gemoeide risico's is te bepalen.

Zeker, maar tot op bepaalde hoogte. Er is veel te doen aan
obvious security leaks als 2 jaar oude binary distributies
gebruiken, zoals te veel bedrijven vandaag de dag nog doen.