5. Onderwijzen van gebruikers: Het leren van gebruikers is
een verspilling, mensen moeten dit uit zichzelf doen.

Onderwijzen van gebruikers is toch wel erg belangrijk
vandaag de dag dus ik begrijp niet dat er zo mee gespot word.

Ja dat gespot met gebruikers snap ik ook niet. Men moet zich wel
realiseren dat security allemaal leuk is maar uiteindelijk wil je dat wat je
beveiligt ook wel kunt gebruiken. Wanneer gebruikers begrijpen wat de
bedoeling is heb je uiteindelijk meer beveiliging dan dat je maar allerlei
technische dingen verzint die de gebruiker, jouw klant niet wil of kan
begrijpen.

Dit is duidelijk opgesteld door iemand die er heilig van overtuigd is dat je of
veilig bent, of onbeveiligd.
Beveiliging werkt niet zo. Wie dat wel denkt is zelf te kortzichtig bezig om de
impact en het doel van beveiliging te begrijpen. Het gaat om de combinatie
van toegepaste beveiliging oplossingen die een systeem of netwerk veilig
maken.
Het opgenoemde is in veel gevallen op zich helemaal niet dom, zolang je
maar een goede reden hebt om het als beveiliging te gebruiken. Het is
uiteindelijk niet de oplossing die de slimheid bepaald maar de
achterliggende gedachte die aangeeft wanneer het voor de eigenaar veilig
genoeg is.

Als gebruikers zelf verantwoordelijk worden gesteld voor de
schade, die zij aanrichten aan hun computer werkplek, dan
zullen zij geneigd zijn om zichzelf te laten informeren hoe
zij dat het beste kunnen doen. Als een ICT afdeling
verantwoordelijk is voor die schade, dan kan deze afdeling
haast niets anders doen dan vrijheden van gebruikers zo
inperken, dat zij haast niets meer kunnen doen.
Is een computerwerkplek niet gewoon een hulpmiddel om je
werk uit te kunnen voeren, net zoals een vorkheftruck dat is
voor een magazijnmedewerker? En wie heeft er een probleem
als de vorkheftruck total-loss wordt gereden?

5. Onderwijzen van gebruikers: Het leren van gebruikers is een verspilling,
mensen moeten dit uit zichzelf doen.

Hiermee wordt bedoelt dat men een interface zo ontwikkeld dat
onderwijzen niet meer nodig is. Ik vermoed dat dit meer een idealisme is
dan een werkelijke mogelijkheid.

Veel 'gebruikers' om mij heen raken in paniek zodra ze iets
moeten kiezen (bijvoorbeeld een popup die er vanuit
veiligheidsoverwegingen inzit). Als ik ze dan vertel dat ze
even rustig moeten lezen wat er staat en ze vervolgens vraag
wat ze denken dat daarmee bedoelt wordt hebben ze het
vrijwel altijd goed, maar zonder dat iemand ze even vertelt
adem te halen, te lezen, en even normaal na te denken, gaat
het meestal mis. Dat heeft niet zozeer met interface te
maken maar met paniek, en te snel opgeven (en dan maar iets
te klikken, meestal 'ja').

Dat denk ik ook, er bestaat geen interface die zo simpel is dat iedereen
het begrijpt en imho zal die er ook nooit, in elk geval niet op korte termijn
komen. Maar zelfs als die er is kan het geen kwaad dat je gebruikers
weten waar het over gaat. En waarom zouden ze dat niet mogen weten.

Spotten met gebruikers:

idee 1: default permit
Dit slaat vooral op firewalls en op het standaard kunnen
uitvoeren van allerlei code op je machine.

idee 2: enumerating badness
Alle aandacht gaat uit naar het tegenhouden van 'slechte'
software i.p.v. het toestaan van 'goeie' software. Dus
steeds nieuwe viruslijsten met 75K signaturen i.p.v. een min
of meer stabiele lijst met 30 apps die wel mogen. Beetje in
het verlengde van punt 1 eigenlijk.

idee 3: penetrate and patch
Dat beveiliging niet in het ontwerp wordt meegenomen en vaak
onder (commerciële) tijdsdruk het ondergeschoven kindje is
met alle narigheid van dien. Vergelijk producten met een
goede veiligheidsgeschiedenis (Postfix) met b.v. producten
met een extreem slechte (IE).

idee 4: hacking is cool
Eigenlijk niet dus, vindt de schrijver. Hij kaart een in
feite maatschappelijk probleem aan.

idee 5: educating users
Hij vraagt zich af of opvoeding veel zin heeft omdat de
helft van de internettende wereldbevolking graag linkjes
volgt naar naaktplaatjes van bepaalde dames. Hij vraagt zich
af of de benadering wel klopt, stelt gewoon dingen vast. Ik
zie niet waar hij spot met gebruikers in het algemeen.

idee 6: action is better than inaction
Over het wel of niet vroeg opnemen van nieuwe technologie.

Het ligt vast aan mij maar ik zie niet waar de schrijver
spot met gebruikers.

Misschien is het belang van security wel in geld uit te
drukken. Hoeveel schade heeft de wereld de afgelopen 20 jaar
geleden door virussen, malware en instabiele software?
Gebruiksgemak en veiligheid staan in principe haaks op
elkaar inderdaad. Soms zul je dus dingen moeten verbieden
voor veiligheid en dan zul je dat de gebruikers moeten
uitleggen omwille van het 'draagvlak'.
Aan de andere kant maakt het verschil welk gereedschap je
gebruikt voor een klus. Prettig surfen kan in principe
behoorlijk veilig met FireFox en Opera en in principe niet
met Internet Explorer. De techniek doet wel degelijk ter
zake. Kijk ook weer naar de verschillen tussen Sendmail en
Postfix bijvoorbeeld.

1. Default Permit: Het standaard toestaan of verbieden van
bepaalde services, bijvoorbeeld bij een firewall.

Laten we kort zijn. Alles toestaan is vragen om problemen. Alles
dichtzetten ook. Maar de veelgebruikte zaken die absoluut niet
nodig zijn, dichtzetten. Afhankelijk van de situatie moet dit
aangepast worden.


2. "Enumerating Badness": Het beschrijven en blokkeren van
specifieke malware in plaats van alleen "goede" dingen toestaan.

Mwah wel goed dunkt me. Alleen betrek je gebruikers erbij. Anders
krijg je alleen klachten dat iets niet werkt. Als men de reden weet
waarom iets niet kan, legt men zich er wel bij neer.


3. Penetrate en Patch: Patchen van software in plaats van veilige
programma's en procedures ontwikkelen.

Grappig.... Dit zegt indirect dat we te afhankelijk zijn..... (vul zelf de
rest maar in)


4. Hacking is cool: IT professionals die denken dat kunnenhacken
handig is, terwijl men meer de nadruk op het veilig ontwerpen en
hack-bestendig maken van het systeem moet leggen.

mwah. wel redelijk. Als een beheerder weet hoe een aanval eruit
kan zien, kan hij zich ertegen wapenen. Ik zeg hierbij niet dat ie zelf
moet kunnen hacken, maar wel dat ie moet weten hoe aanvallen
gemaakt kunnen worden zodat ie rekening kan houden met de
zwakste schakels..


5. Onderwijzen van gebruikers: Het leren van gebruikers is een
verspilling, mensen moeten dit uit zichzelf doen.

En dat is nou iets wat nooit zal gebeuren. En als het gebeurd, steekt
men er niets van op anders dat de kantine goede maaltijden had of
juist niet. Waarom ? Omdat men geen verantwoordelijkheid heeft.
Als het niet werkt klaag je toch bij de beheerder. Is geweldig want
dan hoef je ook geen werk meer te doen en kun je gewoon
"aanwezig" zijn.

6. Actie is beter dan niets doen: Het is makkelijk om niet iets doms
te doen dan iets verstandig.

Tuurlijk is het makkelijk om niets te doen. Soms gewenst, soms niet.
Dit gaat samen met verantwoordelijkheid. Soms is het beter om
iemand te laten merken dat ie bepaalde zaken niet moet doen. We
leren nog steeds van fouten.


Conclusie :
- het stukje kun je niet zo uitleggen als je zelf wilt.
- security land is niet zwart wit
- waar ligt de verantwoordelijkheid


Security werkt alleen als je duidelijk maakt waar je het voor doet, je
gebruikers erbij betrekt en ze ook verantwoordelijk maakt voor hun
eigen systeem. Dat is in mijn ervaring het beste.

Alles dichtzetten betekent de verantwoording naar de beheerder,
ipv de gebruikers. Verder wordt het dan interesant om er toch
doorheen te komen.

Alles open laten staan betekent verantwoording bij de gebruiker.
Uiteindelijk komt de verantwoording bij de beheerder, maar via
andere wegen en daar gaat meestal een hoop irritatie aan vooraf.

Betekent simpelweg dat zonder overleg de zaken niet gaan
werken.

nummer 7: een besturingssysteem van MS gebruiken :)

7. de artikelen op security.nl té serieus nemen.

8. de reacties op de artikelen op security.nl té serieus te
nemen.

9. de hierboven genoemde advies nummer 7. op te volgen