image

10 security mythes: "Firefox maakt bedrijf veiliger dan IE"

donderdag 30 maart 2006, 12:45 door Redactie, 21 reacties

De beveiligingswereld zit vol sprookjes en fabeltjes over welke applicaties, methodieken en oplossingen het veiligst zijn. Sommige zijn erg hardnekkig en steken elke keer weer de kop op. De afgelopen jaren hebben verschillende security mythes de revue gepasseerd, waaraan we nu weer een lijstje kunnen toevoegen. Hier komen ze:

  1. Bedrijven zijn veiliger dan een jaar geleden
  2. De aanwezigheid of ontbreken van wetgeving is van belang bij het beschermen van klantgegevens
  3. Externe consultants weten meer over security dan eigen personeel
  4. Als information security effectief wil zijn, moet het als aparte afdeling worden geleid
  5. Moeilijk te raden wachtwoorden die regelmatig veranderen maken de onderneming veilig
  6. Het slotje dat tijdens een SSL sessie te zien is, betekent dat mijn gegevens veilig zijn
  7. Het overstappen van Internet Explorer naar Firefox maakt het bedrijf veiliger
  8. Hoe meer je uitgeeft aan security des te veiliger het wordt
  9. Draadloze netwerken zijn niet veilig
  10. Het dumpen van Windows voor Linux maakt de onderneming veiliger
Reacties (21)
30-03-2006, 13:19 door d.lemckert
Wanneer mensen eens na gaan denken i.p.v. neurotisch klikken wordt het
bedrijf veiliger.

De meesten hebben een kern van waarheid, maar het geheel blijft staan
en vallen bij de gebruikers en het gebruik.

Er is geen enkele technische maatregel afdoende, geen enkele
procedurele maatregel afdoende.
Het enige dat helpt is combinaties van maatregelen: 80% procedure, 20%
technologie. In de procedurele maatregelen zit ook iets als onderwijs.

Verder vooral opletten en proberen de ontwikkelingen te volgen.

Magic Bullets bestaan alleen in de film
30-03-2006, 13:24 door Anoniem
Bronvermdeling? Argumentatie?
30-03-2006, 13:41 door Anoniem
zonder wetgeving is er al helemaal geen investering in
security bij persoonsgegevens.
30-03-2006, 13:48 door Anoniem
Omdat het hier in een lijstje staat is dit dan de waarheid?
30-03-2006, 14:34 door Virtal
Security is afhankelijk van veel elementen die er mee
samenhangen, dat niet in een zin te vangen is. In die zin
zijn uitlatingen die een specifiek onderdeel isoleren
mythes. Dit wil niet zeggen dat zulke uitlatingen geen
waarde hebben, in tegendeel, het zijn fragmenten van een
groter geheel.

Punt 2 hoort niet in dit rijtje thuis: "De aanwezigheid
of ontbreken van wetgeving is van belang bij het beschermen
van klantgegevens
"

Denk bijvoorbeeld aan encryptie, dat per land/lidstaat
specifiek anders geregeld is, ongeacht zij wel of niet het
verdrag van Wassenaar ondertekend hebben.

De aanwezigheid of ontbreken van wetgeving is altijd
van belang.
30-03-2006, 14:35 door Anoniem
1 Bedrijven zijn veiliger dan een jaar geleden

Nee, bedrijven doen meer, met meer 3rd parties met snellere ROI's en
lagere TCO's. Dan wordt het altijd gevaarlijker
-=-=-=-=-=-=-
2 De aanwezigheid of ontbreken van wetgeving is van belang bij het
beschermen van klantgegevens

JA, zolang er geen wetgeving is, waarom zou je het dan doen? Dat kost
alleen maar geld en de concurent doet het ook niet, dus stel je jezelf achter
maak je jezelf duurder. Kwaliteit is geen concurentiemiddel meer anno
2006.
-=-=-=-=-=-=-
3 Externe consultants weten meer over security dan eigen personeel

JA, eigen personeel weet alleen meer over hun eigen meuk.
-=-=-=-=-=-=-
4 Als information security effectief wil zijn, moet het als aparte afdeling
worden geleid

JA, anders is het een kostenpost en wordt als zodanig omgesprongen,
onder andere met budgetten. Security met als hoofd een ACCOUNTANT
wil je echt niet hebben.
-=-=-=-=-=-=-
5 Moeilijk te raden wachtwoorden die regelmatig veranderen maken de
onderneming veilig

NEE, hoe vaker je een 'lang, moeilijk' wachtwoord moet vervangen, des te
eerder ga je jezelf beschermen tegen het vergeten daarvan. Dan komen
post-its, ezelsbruggetjes enz. om de hoek kijken. Een GOED wachtwoord
van 1 dag oud is net zo moeilijk te kraken als een van 1 jaar oud. Het
uitwisselen van wachtwoorden los je niet op met vaak MOETEN
veranderen, dat probleem ligt bij zowel security (actief controle op
uitwisselen) en bij OS-support, welke ervoor moeten zorgen dat er geen
noodzaak is om wachtwoorden uit te wisselen.
-=-=-=-=-=-=-
6 Het slotje dat tijdens een SSL sessie te zien is, betekent dat mijn
gegevens veilig zijn

NEE, de verbinding mag misschien wel moeilijk te kraken zijn, als
vervolgens de gegevens onencrypted op een lekke server komen, is er nog
steeds geen security.
-=-=-=-=-=-=-
7 Het overstappen van Internet Explorer naar Firefox maakt het bedrijf
veiliger

Ja, er zijn minder actieve exploits EN snellere patches.
-=-=-=-=-=-=-
8 Hoe meer je uitgeeft aan security des te veiliger het wordt

JA, het geld moet ergens aan opgemaakt worden, de kans dat er iets
zinvols mee gebeurt is groter dan wanneer je TE WEINIG geld krijgt.
-=-=-=-=-=-=-
9 Draadloze netwerken zijn niet veilig

Ja, draadloze netwerken zijn inderdaad niet veilig. Okay, het kostte me een
week maar over een afstand van 8km heb ik het wachtwoord van een
security officer kunnen kraken. Signalen, zeker als je 22 verdiepingen hoog
zit, dragen gigantisch ver. Dat komt neer op encrypted schreeuwen met
een megafoon. Kwestie van tijd totdat het gekraakt wordt (denk aan
enigma).
-=-=-=-=-=-=-
10 Het dumpen van Windows voor Linux maakt de onderneming veiliger

JA, linux heeft minder actieve exploits, en patchen sneller. Het security
model van Linux zit veel beter in elkaar dan dat van Windows. Je wordt
veiliger. Of het zinvol en MOGELIJK is, is een tweede...
AS

-=-=-=-=-=-=-
30-03-2006, 15:44 door Anoniem
Door Anoniem

4 Als information security effectief wil zijn, moet het als
aparte afdeling
worden geleid

JA, anders is het een kostenpost en wordt als zodanig
omgesprongen,
onder andere met budgetten. Security met als hoofd een
ACCOUNTANT
wil je echt niet hebben.
NEE!

Het gaat om INFORMATIE beveiliging, niet om technische
beveiliging. laten we die twee zaken nou gewoon scheiden.
Informatiebeveiliging is zo veel meer dan de data
encrypten... dat wil ik echt niet overlaten aan een
stelletje niet-communicatieve techneuten op een ICT-afdeling.

Techneuten kunnen technische afwegingen maken met betrekking
tot technische beveiliging. Ze kunnen geen enkele uitspraak
doen over de waarde van bepaalde informatie voor een
onderneming. Toevallig zijn bijvoorbeeld accountants daar
veel beter in. Het is niet voor niets dat security advies
vaak in het verlengde van EDP auditing ligt... we praten
namelijk in beide gevallen over assurance.

In dat licht wil ik graag inhaken op je punt 8. Uiteraard,
als je er meer geld tegenaan gooit wordt het veiliger, maar
op een zeker moment is het punt bereikt waarop je voor
relatief kleine verhogingen van de assurance heel veel geld
mee moet brengen. Ook daar zijn ICT-ers weer niet zo handig,
techneuten willen graag met het nieuwste speelgoed spelen.
Maar kosten/baten analyses maken, dat kunnen ze dan weer niet.
30-03-2006, 15:55 door pipo
Zinloze discussie. Het doel van informatie beveiliging is
het mitigeren van risico's. 100 % veiligheid kan niet worden
gegarandeerd. M.a.w., bovenstaande 10 stellingen kunnen
juist zijn of het tegendeel bewijzen, afhankelijk van
verdere gedetailleerde informatie.
30-03-2006, 16:12 door Virtal
JA, eigen personeel weet alleen meer over hun eigen
meuk.
Ze hebben meestal eigen voorkeuren, die niets
met het werk te maken hebben.
Security moet consequent worden doorgevoerd.
5 Moeilijk te raden wachtwoorden die regelmatig
veranderen maken de onderneming veilig

NEE, hoe vaker je een 'lang, moeilijk' wachtwoord moet
vervangen, des te
eerder ga je jezelf beschermen tegen het vergeten daarvan.
Dan komen
post-its, ezelsbruggetjes enz. om de hoek kijken. Een GOED
wachtwoord
van 1 dag oud is net zo moeilijk te kraken als een van 1
jaar oud.
Dat ligt er aan, hoe je 'moeilijk te
raden
' en 'regelmatig' interpreteerd evenals wat
je onder een 'goed wachtwoord' verstaat.
7 Het overstappen van Internet Explorer naar Firefox
maakt het bedrijf
veiliger

Ja, er zijn minder actieve exploits EN snellere
patches.
Wat nu wanneer een werknemer over teveel
rechten beschikt op zijn/haar werkstation en van een
dubieuze site een kwaadaardig programma download en dit
vervolgens installeert?
Het doorvoeren van een betere browser maakt een onderneming
niet 'instant' veiliger. Dat ligt wat complexer.
8 Hoe meer je uitgeeft aan security des te veiliger
het wordt

JA, het geld moet ergens aan opgemaakt worden, de kans dat
er iets
zinvols mee gebeurt is groter dan wanneer je TE WEINIG geld
krijgt.
Oplossingen kosten tijd, dat weleens vergeten
wordt. Anderzijds is tijd ook geld.
10 Het dumpen van Windows voor Linux maakt de
onderneming veiliger

JA, linux heeft minder actieve exploits, en patchen sneller.
Het security
model van Linux zit veel beter in elkaar dan dat van
Windows. Je wordt
veiliger.
Dat hangt geheel van haar beheerder af of
dit inderdaad meer veiligheid biedt.
30-03-2006, 17:04 door Virtal
Het gaat om INFORMATIE beveiliging, niet om technische
beveiliging. laten we die twee zaken nou gewoon scheiden.
Onverantwoord. Er bestaat een sterke relatie tussen beiden.
Het ene kan niet zonder het andere.
Informatiebeveiliging is zo veel meer dan de data encrypten...
Met deze strikt geïsoleerde stelling ben ik het geheel eens.
[...]Toevallig zijn bijvoorbeeld accountants daar
veel beter in. Het is niet voor niets dat security advies
vaak in het verlengde van EDP auditing ligt... we praten
namelijk in beide gevallen over assurance.
Vandaar de gegevens van duizenden werknemers dankzij accountants op straat komt te liggen, zoals de afgelopen periode regelmatig in het nieuws?

Het is zeker te kostbaar om de potentiële risico's en oplossingen door de eigen interne accountants te laten berekenen, gelet op een andere uiting:
maar op een zeker moment is het punt bereikt waarop je voor
relatief kleine verhogingen van de assurance heel veel geld mee moet brengen.
30-03-2006, 18:06 door Anoniem
Op de manier waarop deze stellingen tot mythes gebombardeerd
worden kan bijna iedere stelling wel omver getrokken worden
tot mythe. Het ontkrachten van een zinspraak is niet
hetzelfde als het ontkrachten van de bedoeling die achter de
zinnen zit.
30-03-2006, 20:31 door gmlk
Zelfbewuste medewerkers die begrijpen hoe de technologie die ze
gebruiken werkt en die de gevolgen van hun daden kunnen overzien maken
een onderneming veiliger. Kennis, inzicht en ervaring beïnvloeden een hele
hoop andere keuzes die gemaakt worden.

Vaak is het niet de technologie of zelfs het management die moet worden
verbeterd maar de hele populatie van medewerkers; De technologie en het
management volgen uiteindelijk wel.
30-03-2006, 22:25 door Anoniem
dat wil ik echt niet overlaten aan een
stelletje niet-communicatieve techneuten op een ICT-afdeling.

Ja hoor, en een ICT afdeling bestaat nog steeds uit een stelletje pukkelige
pizza-etende nerds die, omdat ze uiteraard geen vrouw hebben, niks
anders doen dan de nieuwste snufjes uit proberen.

Wellicht ook leuk om de grootste mythes over ICT afdelingen te
ontzenuwen.
31-03-2006, 08:37 door Constant
Als je management niet weet te overtuigen, krijg je ook geen budget voor
security en ook geen prioriteit in de projectenlijst. Eigenlijk lukt een
security implementatie alleen als iedereen (van hoog tot laag en
viceversa) overtuigd en kundig is. Technologie kun je makkelijker
aanpassen dan mensen.
31-03-2006, 09:24 door pipo
Door Constant
Als je management niet weet te overtuigen, krijg je ook geen
budget voor
security en ook geen prioriteit in de projectenlijst.
Eigenlijk lukt een
security implementatie alleen als iedereen (van hoog tot
laag en
viceversa) overtuigd en kundig is. Technologie kun je
makkelijker
aanpassen dan mensen.

Je zegt wel twee heel tegenstrijdige zaken, je bewering 'van
hoog tot laag' klopt. Maar dat het management overtuigd moet
worden is een zwaktebod, het management immers is
verantwoordelijk en wordt geacht (due care) zelf het
voortouw te nemen op het gebied van informatie beveiliging.
31-03-2006, 10:36 door Anoniem
management is toch altijd alleen verantwoordelijk voor
succes. falen komt door hun ondergeschikten. leer dat nou eens.
31-03-2006, 11:22 door gmlk
Door Anoniem
management is toch altijd alleen verantwoordelijk voor
succes. falen komt door hun ondergeschikten. leer dat nou eens.
Dank
je wel, dit verklaard een hoop.
31-03-2006, 11:32 door Anoniem
Door Anoniem
dat wil ik echt niet overlaten aan een
stelletje niet-communicatieve techneuten op een
ICT-afdeling.

Ja hoor, en een ICT afdeling bestaat nog steeds uit een
stelletje pukkelige
pizza-etende nerds die, omdat ze uiteraard geen vrouw
hebben, niks
anders doen dan de nieuwste snufjes uit proberen.

Wellicht ook leuk om de grootste mythes over ICT afdelingen te
ontzenuwen.

Ik ben blij dat dat voor JOUW ICT-afdeling niet geldt. Maar
loop maar eens een dagje over de willekeurige ict-beurs rond
en je ziet twee soorten mensen. De ene soort heeft een
opgeblazen ego en een air dat ze precies weten wat de user
nodig heeft, met de andere soort valt helemaal niet te
communiceren.

En heb jij wel eens rondgekeken naar het kwaliteitsniveau
van de automatiseerders die op ministeries, bij gemeentes en
op scholen werken?? Case in point, ik was laatst op een
lokatie waar men Exchange wilde implementeren. De
automatiseerders van die lokatie (die ik niet zal noemen,
maar die wel binnen een van bovengenoemde gebieden valt)
waren ernstig overtuigd van het feit dat 30000 gebruikers
makkelijk op 1 Exchange server gehost konden worden...
31-03-2006, 11:52 door pipo
Door Anoniem
management is toch altijd alleen verantwoordelijk voor
succes. falen komt door hun ondergeschikten. leer dat nou
eens.

Ik heb anders nog nooit een ondergeschikte voor 'het groene
hekje' zien staan. Nee hoor edelachtbare, het waren mijn
werknemers ...

Ja, jij hebt gevoel voor humor, alleen vergaat je in een
dergelijk geval wel het lachen. Nogmaal, managers zijn
verantwoordelijk voor succes EN falen, en dit kan ze
behoorlijk opbreken wanneer er sprake is van mismanagement.

Maar ik begrijp je sarcasme ten aanzien van 'minder
serieuze' zaken.
31-03-2006, 14:11 door Virtal
Het onderschatten van management is niet terecht. De
veiligheid is afhankelijk van management-skills en
zeker niet op de laatste plaats die van de security
professional zelf.
02-04-2006, 11:32 door Anoniem
hehe weet ik ook wel, gelukkig heb ik nu ook erg goede
managers. Alleen is 'management' een vak op zich geworden en
lopen er inmiddels naar mijn mening te veel managers rond
die te weinig verstand hebben van het vakgebied dat ze managen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.