Archief - De topics van lang geleden

Zonder security audits geen goede beveiliging

22-05-2006, 17:22 door Redactie, 20 reacties

Als het gaat om informatiebeveiliging zijn er tal van oplossingen en procedures die moeten bijdragen aan een veilig systeem, netwerk of informatie. Veel bedrijven vergeten na het implementeren echter de hardware of software te testen om te zien of het ook daadwerkelijk doet wat het zou moeten doen. Je kunt het beter van tevoren weten dan als het te laat is, wat ook vaak de uitgaven voor een audit of test rechtvaardigt.

Daarnaast leveren testen en audits ook waardevolle informatie op over problemen die mogelijk over het hoofd gezien zijn. Audits zijn daarom onmisbaar. Onze stelling luidt derhalve: Zonder security audits geen goede beveiliging

Reacties (20)
22-05-2006, 19:18 door inglorion
Ik ben het niet met de stelling eens. Een security audit is
een test van de beveiliging. Zonder zo'n test is de
beveiliging precies even goed. Natuurlijk is het wel zo dat
je door het testen fouten kunt ontdekken, en daarom is het
een goed idee om een audit te doen, maar dat is een veel
zwakkere bewering dan dat audits onmisbaar zouden zijn.
22-05-2006, 20:47 door Anoniem
Ik ben het wél met de stelling eens.

Een beveiliging kan goed zijn, maar er zitten vrijwel altijd
lekken in. Daarom moet door testen de gaten opgespoort
worden en gedicht worden. Als je de beveiliging blijft
testen en verbeteren, dan is uiteindelijk de beveiliging goed.
22-05-2006, 21:03 door Anoniem
Het kan altijd beter... en jij zelf zal dat niet (direct) zien... Het
moet dus niet zo'n KPMG rapport zijn welke precies hetzelfde
zegt als de lokale systeembeheerder (maar omdat dat KPMG
rapport 2 ton kostte, wordt DAT wel geloofd).
22-05-2006, 23:28 door Anoniem
Door inglorion
Ik ben het niet met de stelling eens. Een security audit is
een test van de beveiliging. Zonder zo'n test is de
beveiliging precies even goed. Natuurlijk is het wel zo dat
je door het testen fouten kunt ontdekken, en daarom is het
een goed idee om een audit te doen, maar dat is een veel
zwakkere bewering dan dat audits onmisbaar zouden zijn.

Sorry Inglorion, foute stelling, een security audit is geen "test". Een security
audit is de basis voor een betere beveiliging en behandeld niet alleen het
geheel van te nemen maatregelen, maar begint met vragen zoals: wat wilt
u beveiligen, waartegen, waarom, hoe zwaar, etc. en zal leiden tot een
degelijk advies met bijbehorend prijskaartje. Dit gaat dus (veel) verder dan
alleen maar security in de ict omgeving.
22-05-2006, 23:56 door Anoniem
Ik ben het met de stelling eens, want:
i. security is beschreven in een beleid (soll situatie)
ii. de audit toetst de implementatie en de naleving van het
beleid (ist situatie).
Door de audit weet je waar je zwakke plekken zitten in de
implementatie en/of naleving van je security beleid.
23-05-2006, 02:19 door Anoniem
Door inglorion
Ik ben het niet met de stelling eens. Een security audit is
een test van de beveiliging. Zonder zo'n test is de
beveiliging precies even goed. Natuurlijk is het wel zo dat
je door het testen fouten kunt ontdekken, en daarom is het
een goed idee om een audit te doen, maar dat is een veel
zwakkere bewering dan dat audits onmisbaar zouden zijn.

Zonder Audit geen KENNIS, zonder KENNIS geen beveiliging /
garantie, verzekering etc.!


Dus als ik het goed begrijp neem 'jij' genoegen met het feit dat de
autofabrikant 6 airbags installeert zonder te testen en dan mag
beweren dat deze 100% veilig zijn??

Net zoiets als ongezien een '100% veilig' condoom kopen op
marktplaats.nl, nieuwe medicatie voorschrijven zonder dat deze
voldoende is getest etc. etc.

Klinkt erg Loesje............

.Een NIEUW (of aangepast) kruispunt met verkeerslichten die niet
zijn onderworpen aan een synchroon functionaliteit's test.
23-05-2006, 08:09 door Anoniem
Ik ben het er wel mee eens; Audits geven je inzicht in de kwaliteit van de
security en kan zo helpen deze naar een hoger niveau te tillen. Meten =
Weten.
23-05-2006, 08:33 door Albert H.
Hoe kun je iets weten, zonder het te weten?
Dus ééns.

Gelukkig is het besef groeiende dat beveiliging een
intergraal onderdeel is van plannen in de ICT. Toch wordt er
wel eens beknibbeld na enige tijd zonder noemenswaardige
problemen om financiele of organisatorische redenen.
Een Security Audit houd de organisatie dan scherp, veel
accountantskantoren zijn er ook mee belast vanuit de wetgeving.
23-05-2006, 08:57 door Peter_
Helemaal mee eens. Je kan wel wat moois opzetten maar als er
iemand is die dit de eerste dag gelijk onveilig maakt denk
je een veilig systeem te hebben maar heb je het niet.

Een regelmatig audit is dus een vereiste als je iets echt
veilig wilt hebben.
23-05-2006, 09:19 door Section
Dus alle security oplossingen zonder ‘security audit’ zijn geen goede
oplossingen. Als een organisatie aan een security audit voldoen heerst
daar een vals gevoel van veiligheid. Ofwel wij voldoen aan de security audit
en ons kan niks gebeuren. Security audit is wel belangrijk, maar niet het
belangrijkste. Gebruik het als toetsmoment. Het op maat maken van
security oplossingen binnen een netwerkinfrastructuur is een belangrijker
item. Ook zullen er meer prioriteiten gesteld worden aan werkelijke
problemen.
23-05-2006, 10:24 door Anoniem
Laten we allereerst eens even nadenken over wat een 'audit'
nou eigenlijk is. Een audit is de controle van alle security
maatregelen en gerelateerde processen en procedures met
behulp van normen en richtlijnen. Deze normen en richtlijnen
komen uit de organisatie zelf.

Je kan hier dus uit extraheren dat een organisatie zonder
strategie, beleid en bijbehorende normen en richtlijnen geen
audit kan doen. Zelfs geen technische audit. Simpelweg omdat
de normenkaders ontbreken om een audit mee te doen.
Natuurlijk kan je een 'best-practice' of 'standaard'
normenkader gebruiken, maar die is niet toegespitst op de
organisatie en dus van significant mindere waarde.

---
'Security infrastructuur' is:
Op strategisch niveau: strategie, beleid, normen en
richtlijnen, risico management processen en eventueel asset
manegement processen
Op tactisch niveau: procedures, programma's en baselines
Op operationeel niveau: beheersprocessen van de security
controls
---

Ik denk dat een bedrijf zich in die (hele grove) fasen kan
bevinden:
1) Security infastructuur is afwezig
2) Security infrastructuur is in aanbouw
3) Security infrastructuur is aanwezig

Afhankelijk van de staat waarin je bent, kan een audit /
assessment of een penetratie test toegevoegde waarde hebben.
Een 2-maal jaarse audit (op welke niveau dan ook) in een
organisatie zonder infrastructuur is zinloos. Omdat er niets
is om te controleren. Een 2-maal jaarse audit in een
organisatie met infrastructuur is erg zinvol. Assessments
(audits aan de hand van best-practice, kennis en expertise)
zijn weer waarvol in de lifecyle van een infrastructuur in
aanbouw (PDCA..), waar het weer minder interessant is
wanneer de infrastructuur aanwezig is (simpel weg, omdat je
er dan al normen en richtlijnen voor hebt).

Een penetratie test, en dat is denk ik wat men hier bedoelt,
is de verwezelijking van een risico scenario en de
registratie van de reactie van de infrastructuur.

Ik denk dat bij een keuze maken enkele stappen gevolgd
moeten worden.
1) In welke fase begeef je je
2) Wil je de inrichting van je infrastructuur controleren,
om de effectiviteit en efficiency van je infrastructuur
testen door een risico te laten voltrekken
3) Bekijk de mogelijkheden

Een audit, assessment of penetratie test hebben niet als
doel: veiligheid. Maar als doel informatie die dient om
security manageable te maken.

Ja! Security Infrastructuren kunnen niet zonder audits,
assessments of penetratie test omdat ze simpelweg de
verwezelijking zijn van een informatie behoefte die voorkomt
uit het process wat de infrastructuur opbouwd. Dit kan in
vele soorten, vormen en maten komen.

Joep Gommers
23-05-2006, 10:24 door Anoniem
Een beveiliging kan goed zijn, maar er zitten vrijwel altijd lekken in.
Daarom moet door testen de gaten opgespoort worden en gedicht
worden. Als je de beveiliging blijft testen en verbeteren, dan is uiteindelijk
de beveiliging goed.

Volledig mee eens. En naast de audits is het ook wenselijk om elkaars
werk te controleren. Zo wordt er minimaal via twee invalshoeken naar iets
gekeken en kan je er vast kleine foutjes uit halen. Maar of je iets ooit 100%
veilig krijgt.... denk het niet. Er zitten altijd wel in één van de gebruikte
pakketten bugs, die misbruikt kunnen worden. Volgens mij is fysieke
beveiliging nog de beste methode.

Levon
23-05-2006, 11:42 door pipo
Naast de stelling is er nog een ander niet onbelangrijk
gegeven aanwezig; in een aantal bedrijfstakken is het een
verplichting om audits af te nemen. Dat zegt volgens mij al
voldoende over de zin en het nut ervan, in deze specifieke
branches wel te verstaan.

In de financiele en medische wereld staan de belangen van
consumenten en patienten op het spel, daarmee wordt al
voldoende de noodzaak aangetoond.

Over de inhoud en kwaliteit van een audit valt de
discussieren, maar dat doet niets af aan het belang van de
audit zelf.
23-05-2006, 13:17 door Anoniem
Naast de stelling is er nog een ander niet onbelangrijk
gegeven aanwezig; in een aantal bedrijfstakken is het een
verplichting om audits af te nemen. Dat zegt volgens mij al
voldoende over de zin en het nut ervan, in deze specifieke
branches wel te verstaan.

Ik denk dat iedereen het er over eens is dat het nuttig is om een audit te
laten uitvoeren. Ik kan me echter niet volledig vinden in de stelling
aangezien je zelf een verantwoordelijkheid hebt om na te gaan of de
genomen maatregelen daadwerkelijk werken. Dat er periodiek een audit
wordt uitgevoerd heeft te maken met regelgeving en verantwoording naar
management of derden.

Zonder Audit geen KENNIS, zonder KENNIS geen beveiliging /
garantie, verzekering etc.!

Ik vind de stelling "zonder audit geen kennis" dan ook wat te zwaar
aangezet. Zonder kennis geen beveiliging klopt geukkig wel en bewijst dat
je zelf controls op moet zetten en na moet gaan of deze controls ook
werken door middel van periodieke toetsing. Continue monitoring van je
processen vind ik belangrijker dan de jaarlijkse audit, die overigens nog
steeds belangrijk is.
23-05-2006, 13:40 door Anoniem
Een audit levert soms aanbevelingen op die je vooral NIET moet opvolgen
(meestal i.v.m. kosten/baten verhouding), maar toch ben ik het met de
stelling eens. Als was het alleen maar omdat door een audit het
verantwoordelijke management wordt gedwongen over deze zaken na te
denken en besluiten daarin te nemen. Ze kunnen zich dan niet meer
verschuilen achter een beheerder-afdeling "die daarvoor is ingehuurd".
23-05-2006, 23:43 door Anoniem
Door Anoniem
Een audit levert soms aanbevelingen op die je vooral NIET moet
opvolgen (meestal i.v.m. kosten/baten verhouding), maar toch ben
ik het met de stelling eens. Als was het alleen maar omdat door een
audit het verantwoordelijke management wordt gedwongen over
deze zaken na te denken en besluiten daarin te nemen. Ze kunnen
zich dan niet meer verschuilen achter een beheerder-afdeling "die
daarvoor is ingehuurd".

Bij een security audit kunnen de kosten / baten nimmer worden
bepaald tenzij men reeds slachtoffer is geworden van nalatigheid,
dan zijn de 'kosten' bekend en weet men dat de baten hoger zijn
dan de kosten..............
24-05-2006, 15:58 door pipo
Door Anoniem
Door Anoniem
Een audit levert soms aanbevelingen op die je vooral NIET moet
opvolgen (meestal i.v.m. kosten/baten verhouding), maar toch
ben
ik het met de stelling eens. Als was het alleen maar omdat
door een
audit het verantwoordelijke management wordt gedwongen over
deze zaken na te denken en besluiten daarin te nemen. Ze kunnen
zich dan niet meer verschuilen achter een beheerder-afdeling
"die
daarvoor is ingehuurd".

Bij een security audit kunnen de kosten / baten nimmer worden
bepaald tenzij men reeds slachtoffer is geworden van
nalatigheid,
dan zijn de 'kosten' bekend en weet men dat de baten hoger zijn
dan de kosten..............


goed opgemerkt ! het lijkt erop dat de persoon het begrip
audit verward met risk management, waarbij je afhankelijk
van de uitkomst van de analyse bepaald of je wel of geen
countermeasure implementeert.

Overigens hoeft er dan nog geen voorval te hebben
plaatsgevonden, dat is tevens het moeilijke van
riskmanagement, mogelijke kosten van incidenten bepalen, wat
meestal neerkomt op een ''gut feeling'' van specialisten
omdat een kwantitatieve (lees monetaire) beoordeling
nauwelijks kan plaatsvinden in de praktijk.
28-05-2006, 19:13 door Constant
Door Anoniem
Bij een security audit kunnen de kosten / baten nimmer worden
bepaald tenzij men reeds slachtoffer is geworden van nalatigheid,
dan zijn de 'kosten' bekend en weet men dat de baten hoger zijn
dan de kosten..............
De kosten kunnen behoorlijk goed geschat
worden in een goede risico analyse. Een risico analyse is natuurlijk een
onderdeel van een goede security audit.
29-05-2006, 11:55 door fits
eens met de stelling
06-06-2006, 17:23 door Anoniem
De overheid heeft het nog steeds niet. Een wetgeving zoals die van ons
schrikken de cybercriminals niet af, net zo min als de geijkte bestaande
wetgeving m.b.t. criminele activiteiten op de straat geen afschrikkend
middel zijn voor de normale crimineel.

M.b.t kwetsbaarheid analyses, als een klant een ondertekende opdracht
geeft aan een pentester /v.a. specialist en ze tekenen ook voor de
mogelijke gevolgen m.b.t. beschikbaarheid van die systemen voor en na
de test...is er niks aan het handje. Onder deze wetgeving kunnen wij
gewoon ons werk doen, zodat de bedrijven en organisaties die een
infrastructuur hebben die niet stabiel en veilig is alsnog dit kunnen
verbeteren met de informatie die wij verstekken.

Heikel punt, een v.a. moet je regelmatig en op random dagen en
tijdstippen doen. Een eenmalige v.a., audit of pentest hoe je het ook wil
noemen is bs, gaat niet werken. Daarom ben ik voorstander van een
combinatie van geautomatiseerde scans 1 x per maand of 1 x per week als
het gaat om transactie sites of e-commerce sites and 1 x in het kwartaal
een grondige audit met een tigerteam. En dan ook de webapplicaties
grondig analyseren op kwetsbaarheden.

Mijn paar centen.

R3tr0
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.