Column: Een papieren tijger in een zilveren lijstje
Heeft alle aandacht voor Security geleid tot meer veiligheid? Tot een jaar of drie, vier terug was er in de Security geen droog brood te verdienen; nu rollen de CISSPs van de lopende band zoals vroeger de CCNA's en MCSE-ers. Gewapend met een massa kennis zoals dat http-verkeer poort 80 moet gebruiken, vinden ze een goedbetaalde baan. Naast deze grote groep gecertificeerde specialisten is er een reeks bindende voorschriften gekomen die organisaties dwingen nu eindelijk allerhande zaken te regelen. Zelfs de schone slaper VIR kreeg na 2003 opeens allerlei vormen van aandacht. En om het allemaal nog mooier te maken werden technieken als enterprise patch management, Intrusion Detection, Identity Management en laag 7 firewalls in een bloedstollend tempo volwassen. Al met al zou de spullenboel dus een stuk beter moeten zijn.
Er is geld en aandacht, er zijn mensen en bruikbare oplossingen. Toch is het hoofdzakelijk puin, als vanouds. En als je nadenkt over de ROSI, de Return On Security Investment, wordt je al helemaal niet vrolijk.
Tabaksblat, Sox en NEN7510 zijn wellicht de bekendste voorbeelden van opgelegde beveiligingsinspanningen. Deze formaliseren de best practices van BS7799, VIR en CVIB, die dateren uit de vroege jaren negentig. De enterprise automatisering was toen nog pre-Internet en zelfs pre-Windows. En dus richten de voorschriften zich primair op informatiebeveiliging conform het aloude - en alleen voor infosec valide - adagium dat aanvallen grotendeels van binnenuit komen. Terwijl de problemen waardoor er meer aandacht voor beveiliging kwam (zoals Melisa, Iloveyou en code red volledig uit de hoek van de Compusec kwamen. Een virus kijkt heus niet naar de informatie op een systeem voor het besluit te nemen al dan niet te infecteren. De voorschriften hebben 15 jaar oude
oplossingen voor een ánder probleem tot wettelijke norm verheven. Is er dan geen vooruitgang?
Eens even denken. Dit jaar zag ISO27001 het levenslicht: het Information Security Management Systeem. Eindelijk kunnen we beveiligen met een druk op de knop. Een weelde van informatie van alle incidenten, anomalieën in de logs, actuele patchlevels van systemen, einddatums van SSL certificaten, zombie machines, wat je maar wilt.
Stop met dromen We krijgen dus een database waarin alle getroffen maatregelen opgeslagen worden. Dat noemen wij boekhouden. Daar vang je echt geen virus mee. Dit is Compliancy, en heeft met het verder verouderen van de regelsets iedere dag minder te maken met de realiteit van Security.
We hadden een Compusec probleem en de specialisten kwamen met een oplossing voor een ander probleem wat ze blijkbaar interessanter vonden: Informatiebeveiliging. Wat de jongste ISO telg ons brengt is een boekhoudkundig sluitstuk om aan te tonen of je aan de aloude voorschriften voldoet. Voor je het weet bereik je Security Maturity Level 3 en kun je onder het genot van een Cola Light een certificaat in de hal ophangen naast je ISO 9000. De papieren tijgers fokken papieren tijgers zodat je ingelijste papieren tijgers aan de muur kunt hangen. Intussen is driekwart van alle computers in het gemiddelde bedrijf van boven tot onder verziekt, verliezen we het gevecht tegen spam en heeft niemand een idee wat er op het netwerk gebeurd. Want ja, dát moet Beheer maar doen: beveiligingsspecialisten vinden techniek tegenwoordig maar vies.
Peter Rietveld, Senior Security consultant bij Traxion - The Identity Management Specialists -
Vorige columns van Peter
Reacties (33)
20-10-2006, 14:33 door
egeltje
CompuSec is een onderdeel van InfoSec, net als PhysiSec en HumaSec.
Door dat niet in te zien ("We hadden een Compusec probleem en de
specialisten kwamen met een oplossing voor een ander probleem wat ze
blijkbaar interessanter vonden: Informatiebeveiliging."), blijft het lastig
maatregelen nemen en verantwoorden aan een business waar informatie
de kern is en computer slechts een middel.
Door dat niet in te zien ("We hadden een Compusec probleem en de
specialisten kwamen met een oplossing voor een ander probleem wat ze
blijkbaar interessanter vonden: Informatiebeveiliging."), blijft het lastig
maatregelen nemen en verantwoorden aan een business waar informatie
de kern is en computer slechts een middel.
Gewapend met een massa kennis zoals dat http-verkeer
poort 80 moet gebruiken, vinden ze een goedbetaalde baan
poort 80 moet gebruiken, vinden ze een goedbetaalde baan
Nou mensen, dit geeft dus precies aan hoe slecht het gesteld
is met die "massa kennis" omdat de .sec industrie steeds een
boekhoud/bla bla fabeltje wordt >.> HTTP verkeer kan over
iedere poort, zolang de ontvanger het protocol maar goed
interpreteerd .....
'k Zou er toch van uitgaan dat een senior security
consultant de Nederlandse taal voldoende beheerst voor
hij/zij een column ter publicatie aanlevert, hetgeen niet
bepaald blijkt uit de column.
En een column wordt traditioneel geacht een boodschap te
hebben. Waarom dat hier niet het geval is of wat de
boodschap zou zijn, blijft onduidelijk.
Waarmee de column hinderlijk en nutteloos wordt...
En inhoudelijk: Om te beweren dat Tabaksblat en SOx het
formaliseren van best practices uit een miniem hoekje van
bedrijfsvoering namelijk informatiebeveiliging zou zijn
gekoppeld aan al of niet 'pre-Windows enterprise
automatisering', is een nogal belachelijke opmerking die
duidt op een verregaand minkukelig begrip (quod non) van de
ten onrechte bij elkaar geveegde problematieken.
Kortom: Traxion, daar wil je niet mee worden geassocieerd...
consultant de Nederlandse taal voldoende beheerst voor
hij/zij een column ter publicatie aanlevert, hetgeen niet
bepaald blijkt uit de column.
En een column wordt traditioneel geacht een boodschap te
hebben. Waarom dat hier niet het geval is of wat de
boodschap zou zijn, blijft onduidelijk.
Waarmee de column hinderlijk en nutteloos wordt...
En inhoudelijk: Om te beweren dat Tabaksblat en SOx het
formaliseren van best practices uit een miniem hoekje van
bedrijfsvoering namelijk informatiebeveiliging zou zijn
gekoppeld aan al of niet 'pre-Windows enterprise
automatisering', is een nogal belachelijke opmerking die
duidt op een verregaand minkukelig begrip (quod non) van de
ten onrechte bij elkaar geveegde problematieken.
Kortom: Traxion, daar wil je niet mee worden geassocieerd...
20-10-2006, 15:45 door
fubar
Het gaat hier om kwaliteit. Wie met de Franse slag omgaat
met het implementeren van controls c.q.
beveiligingsmaatregelen hoeft ook geen resultaten te
verwachten.
Het monitoren van wat er werkelijk gebeurd op het netwerk is
een kunst op zich. In het verleden is gebleken dat tijdens
peneratietesten zelfs grote namen die met IDS-en de
netwerken van klanten in de gaten hielden onze verichtingen
op het netwerk niet detecteerden. Terwijl we ongeveer root
c.q. admin rechten hadden verzameld op ALLE servers!
Standaarden zoals ISO 17799 en 27001 werken alleen als men
daadwerkelijk de onderliggende technische kennis in huis
haalt voor wat betreft de implementatie van de
beveiligingsmaatregelen. Als je bijvoorbeeld denkt dat je
met een gammel afgesteld IDS resultaten zult behalen kom je
bedrogen uit. Wel of niet resultaten behalen zit vaak in de
details.
Ook het inhuren van mensen met goede up-to-date kennis moet
gedaan worden door mensen die weten waar ze mee bezig zijn.
Het oude Engelse gezegde "pay peanuts get monkeys" gaat hier
op. Verder zijn certificeringen zoals CISSP en dergelijke
inderdaad geen garantie voor de noodzakelijke diepgaande
technische kennis. Zonder deze is er inderdaad geen
daadwerkelijke begripsvorming mogelijk op het detail niveau
waar vaak juist de hacks plaats vinden. Maar dat is in alle
eerlijkheid ook niet de rol van een CISSP.
Voor het bepalen van een overall beveiligingsstrategie geven
de standaarden een duidelijke context waarbinnen de
beveiligingswerkzaamheden gestructureerd dienen te worden.
Hier kan een CISSP of gelijkwaardig geschoolde c.q. ervaren
persoon een meerwaarde hebben door op gepaste wijze te
communiceren met de organisatie. Iets wat je uiteraard niet
in handen van een techneut kunt laten. Simpelweg omdat de
praktijk al jarenlang heeft uitgewezen dat dit niet werkt om
vele verschillende redenen. Al was het maar omdat er aan de
businesskant bij organisaties vaak leterlijk een ander
communicatiemodel gebruikt wordt dan in de IT technische
afdelingen.
Conclusie is dus dat voor een goed werkend
beveiligingssysteem er hoogwaardig gekwalificeerde
specialisten nodig zijn voor de invulling van de techniek.
Daarnaast is het noodzakelijk om ook op politiek niveau een
communicator in te stellen (security officer) die in staat
is op de juiste manier te communiceren met de business. Je
hebt ze dus allebei nodig.
Carlo Seddaiu
http://www.pragmasec.com
met het implementeren van controls c.q.
beveiligingsmaatregelen hoeft ook geen resultaten te
verwachten.
Het monitoren van wat er werkelijk gebeurd op het netwerk is
een kunst op zich. In het verleden is gebleken dat tijdens
peneratietesten zelfs grote namen die met IDS-en de
netwerken van klanten in de gaten hielden onze verichtingen
op het netwerk niet detecteerden. Terwijl we ongeveer root
c.q. admin rechten hadden verzameld op ALLE servers!
Standaarden zoals ISO 17799 en 27001 werken alleen als men
daadwerkelijk de onderliggende technische kennis in huis
haalt voor wat betreft de implementatie van de
beveiligingsmaatregelen. Als je bijvoorbeeld denkt dat je
met een gammel afgesteld IDS resultaten zult behalen kom je
bedrogen uit. Wel of niet resultaten behalen zit vaak in de
details.
Ook het inhuren van mensen met goede up-to-date kennis moet
gedaan worden door mensen die weten waar ze mee bezig zijn.
Het oude Engelse gezegde "pay peanuts get monkeys" gaat hier
op. Verder zijn certificeringen zoals CISSP en dergelijke
inderdaad geen garantie voor de noodzakelijke diepgaande
technische kennis. Zonder deze is er inderdaad geen
daadwerkelijke begripsvorming mogelijk op het detail niveau
waar vaak juist de hacks plaats vinden. Maar dat is in alle
eerlijkheid ook niet de rol van een CISSP.
Voor het bepalen van een overall beveiligingsstrategie geven
de standaarden een duidelijke context waarbinnen de
beveiligingswerkzaamheden gestructureerd dienen te worden.
Hier kan een CISSP of gelijkwaardig geschoolde c.q. ervaren
persoon een meerwaarde hebben door op gepaste wijze te
communiceren met de organisatie. Iets wat je uiteraard niet
in handen van een techneut kunt laten. Simpelweg omdat de
praktijk al jarenlang heeft uitgewezen dat dit niet werkt om
vele verschillende redenen. Al was het maar omdat er aan de
businesskant bij organisaties vaak leterlijk een ander
communicatiemodel gebruikt wordt dan in de IT technische
afdelingen.
Conclusie is dus dat voor een goed werkend
beveiligingssysteem er hoogwaardig gekwalificeerde
specialisten nodig zijn voor de invulling van de techniek.
Daarnaast is het noodzakelijk om ook op politiek niveau een
communicator in te stellen (security officer) die in staat
is op de juiste manier te communiceren met de business. Je
hebt ze dus allebei nodig.
Carlo Seddaiu
http://www.pragmasec.com
Door fubar
Het gaat hier om kwaliteit. Wie met de Franse slag omgaat
met het implementeren van controls c.q.
beveiligingsmaatregelen hoeft ook geen resultaten te
verwachten.
Standaarden zoals ISO 17799 en 27001 werken alleen als men
daadwerkelijk de onderliggende technische kennis in huis
haalt voor wat betreft de implementatie van de
beveiligingsmaatregelen. Als je bijvoorbeeld denkt dat je
met een gammel afgesteld IDS resultaten zult behalen kom je
bedrogen uit. Wel of niet resultaten behalen zit vaak in de
details.
Carlo Seddaiu
http://www.pragmasec.com
Het gaat hier om kwaliteit. Wie met de Franse slag omgaat
met het implementeren van controls c.q.
beveiligingsmaatregelen hoeft ook geen resultaten te
verwachten.
Standaarden zoals ISO 17799 en 27001 werken alleen als men
daadwerkelijk de onderliggende technische kennis in huis
haalt voor wat betreft de implementatie van de
beveiligingsmaatregelen. Als je bijvoorbeeld denkt dat je
met een gammel afgesteld IDS resultaten zult behalen kom je
bedrogen uit. Wel of niet resultaten behalen zit vaak in de
details.
Carlo Seddaiu
http://www.pragmasec.com
Beste Carlo,
Ik heb zo het idee dat je het niet helemaal begrepen hebt
als je iets als ISO 17799 en technische kennis in éé zin
durft te noemen. ISO 17799 is helemaal geen technische
standaard, integendeel. ISO 17799 beoogt organisatiekundig
zaken rondom informatiebeveiliging te regelen, en dat gaat
veel verder and een IDS of een penetratietest, of om het
even welke technische maatregel dan ook.
20-10-2006, 16:12 door
[Account Verwijderd]
[Verwijderd]
Door rookie
Ik weet het niet meer, naar mijn idee is beveiliging:
Challenge/Response, encryptie, vpn, PF(OpenBSD), backup, het
up2date houden van systeem && software, het
monitoren van
netwerkverkeer en systeemprocessen.
En daarom heen moeten verschillende dichtgetimmerde policies
komen voor de verschillende niveaus van beveiliging waarop
een gebruiker/beheerder opereert.
En dan moet het geen moeilijk bureaucratisch politiek
verhaal zijn dat is geschreven door 1 of andere pennelikker
die ver van het front staat, want sommige mensen weten iets
bijvoorbeeld in 1 a4tje te beschrijven wat ook in 3 regels
te beschrijven is. (Hier ontstaan veel problemen)
En dan kom je een eind denk ik.
Ik weet het niet meer, naar mijn idee is beveiliging:
Challenge/Response, encryptie, vpn, PF(OpenBSD), backup, het
up2date houden van systeem && software, het
monitoren van
netwerkverkeer en systeemprocessen.
En daarom heen moeten verschillende dichtgetimmerde policies
komen voor de verschillende niveaus van beveiliging waarop
een gebruiker/beheerder opereert.
En dan moet het geen moeilijk bureaucratisch politiek
verhaal zijn dat is geschreven door 1 of andere pennelikker
die ver van het front staat, want sommige mensen weten iets
bijvoorbeeld in 1 a4tje te beschrijven wat ook in 3 regels
te beschrijven is. (Hier ontstaan veel problemen)
En dan kom je een eind denk ik.
En dat is dus precies wat je niet wilt.
Jij wilt niet die gozer zijn die altijd nee zegt, die altijd
stennis maakt en die altijd die marketingjongens in de weg
zit als zij een te gek idee hebben. Dat is het fundamentele
probleem aan security.nl, en heel veel security
specialisten. Techneuten zonder een greintje gevoel voor
waar het in een organisatie om gaat. Techneuten met een
groot gebrek aan sociale skills om hun verhaal ook aan het
management te verkopen.
Wat denk je dat beter werkt? Aan senior management
demonstreren wat de gevolgen zijn van falend beleid of als
roepende in de woestijn volhouden dat encryptie belangrijk
is omdat derden op internet wel eens zouden kunnen lezen wat
er gemaild wordt?
Iedere vorm van technologie is slechts een middel om een
bepaald doel te breiken. Security is het onderkennen,
afdekken en vervolgens managen van risico's. Dat heeft alles
met organisatiekunde en eigenlijk heel weinig met
technologie te maken. Dat is ook wat het gros van de
security specialisten niet snapt.
20-10-2006, 16:37 door
[Account Verwijderd]
[Verwijderd]
Door Anoniem
En dat is dus precies wat je niet wilt.
Jij wilt niet die gozer zijn die altijd nee zegt, die altijd
stennis maakt en die altijd die marketingjongens in de weg
zit als zij een te gek idee hebben. Dat is het fundamentele
probleem aan security.nl, en heel veel security
specialisten. Techneuten zonder een greintje gevoel voor
waar het in een organisatie om gaat. Techneuten met een
groot gebrek aan sociale skills om hun verhaal ook aan het
management te verkopen.
Wat denk je dat beter werkt? Aan senior management
demonstreren wat de gevolgen zijn van falend beleid of als
roepende in de woestijn volhouden dat encryptie belangrijk
is omdat derden op internet wel eens zouden kunnen lezen wat
er gemaild wordt?
Iedere vorm van technologie is slechts een middel om een
bepaald doel te breiken. Security is het onderkennen,
afdekken en vervolgens managen van risico's. Dat heeft alles
met organisatiekunde en eigenlijk heel weinig met
technologie te maken. Dat is ook wat het gros van de
security specialisten niet snapt.
Door rookie
Ik weet het niet meer, naar mijn idee is beveiliging:
Challenge/Response, encryptie, vpn, PF(OpenBSD), backup, het
up2date houden van systeem && software, het
monitoren van
netwerkverkeer en systeemprocessen.
En daarom heen moeten verschillende dichtgetimmerde policies
komen voor de verschillende niveaus van beveiliging waarop
een gebruiker/beheerder opereert.
En dan moet het geen moeilijk bureaucratisch politiek
verhaal zijn dat is geschreven door 1 of andere pennelikker
die ver van het front staat, want sommige mensen weten iets
bijvoorbeeld in 1 a4tje te beschrijven wat ook in 3 regels
te beschrijven is. (Hier ontstaan veel problemen)
En dan kom je een eind denk ik.
Ik weet het niet meer, naar mijn idee is beveiliging:
Challenge/Response, encryptie, vpn, PF(OpenBSD), backup, het
up2date houden van systeem && software, het
monitoren van
netwerkverkeer en systeemprocessen.
En daarom heen moeten verschillende dichtgetimmerde policies
komen voor de verschillende niveaus van beveiliging waarop
een gebruiker/beheerder opereert.
En dan moet het geen moeilijk bureaucratisch politiek
verhaal zijn dat is geschreven door 1 of andere pennelikker
die ver van het front staat, want sommige mensen weten iets
bijvoorbeeld in 1 a4tje te beschrijven wat ook in 3 regels
te beschrijven is. (Hier ontstaan veel problemen)
En dan kom je een eind denk ik.
En dat is dus precies wat je niet wilt.
Jij wilt niet die gozer zijn die altijd nee zegt, die altijd
stennis maakt en die altijd die marketingjongens in de weg
zit als zij een te gek idee hebben. Dat is het fundamentele
probleem aan security.nl, en heel veel security
specialisten. Techneuten zonder een greintje gevoel voor
waar het in een organisatie om gaat. Techneuten met een
groot gebrek aan sociale skills om hun verhaal ook aan het
management te verkopen.
Wat denk je dat beter werkt? Aan senior management
demonstreren wat de gevolgen zijn van falend beleid of als
roepende in de woestijn volhouden dat encryptie belangrijk
is omdat derden op internet wel eens zouden kunnen lezen wat
er gemaild wordt?
Iedere vorm van technologie is slechts een middel om een
bepaald doel te breiken. Security is het onderkennen,
afdekken en vervolgens managen van risico's. Dat heeft alles
met organisatiekunde en eigenlijk heel weinig met
technologie te maken. Dat is ook wat het gros van de
security specialisten niet snapt.
Vertel eens jongetje, heb je wel eens een penetration test
gedaan? En was het leuk, spelen met nessus? Spelen met een
prefab exploitje om de "management jongens" bang te maken en
zo dat leuke contractje binnen te slepen? Kom op, ga spelen
ofzo. Iets technisch is en blijft iets technisch, en daar
kun je bullshit standaarden omheen bouwen en een hoop gelul
rondomheen spijkeren maar dat maakt de boel nog niet
veiliger. Maar ach ja, kan ik het iemand die nog niet weet
wat een heap overflow is het kwalijk nemen?
Door Anoniem
Iedere vorm van technologie is slechts een middel om een
bepaald doel te breiken. Security is het onderkennen,
afdekken en vervolgens managen van risico's. Dat heeft alles
met organisatiekunde en eigenlijk heel weinig met
technologie te maken. Dat is ook wat het gros van de
security specialisten niet snapt.
Iedere vorm van technologie is slechts een middel om een
bepaald doel te breiken. Security is het onderkennen,
afdekken en vervolgens managen van risico's. Dat heeft alles
met organisatiekunde en eigenlijk heel weinig met
technologie te maken. Dat is ook wat het gros van de
security specialisten niet snapt.
Nu mis je toch een paar belangrijke zaken. Als jij je
security manged door het onderkennen, afdekken en managen
van risicio's zonder of slechts weinig rekening te houden
met techniek begrijp je niet waarom die techneut/beheerder
zo moeilijk doet.
Het gaat er meer om om de technische beperkingen van je
maatregelen te vertalen naar organisatorische consequenties.
Dat is niet iedere techneut/beheerder gegeven, dat klopt.
Dat betekent echter niet dat wat hij zegt geen consequenties
heeft. ICT en beveiliging zijn middelen om organisatorische
doelen te bereiken. Bij bedrijven gaat het tenslotte om geld
te verdienen. Als je de doelen veranderd, lees een
briljante marketing stunt, kan het zijn dat je middelen niet
meer voldoen. Met een hamer alleen is het moeilijk om een
bakstenen huis te bouwen.
Peter,
Ik vraag me af of je de zelfde type tekst gebruikt als consultant bij je bedrijf
om te adviseren op security vlak. Op al je columns rust namelijk een
negatieve lading waar ik niet vrolijk van wordt en in mijn beleving geeft dit
geen positieve image aan je bedrijf waar je werkt en aan security.nl
Van een Senior Consultant verwacht ik juist het tegenovergestelde om de
problematiek die je aankaart te verbeteren. Jouw verhalen geven aan dat
je beter kan stoppen met beveiliging want het helpt toch niet.
Als iedereen dit deed, dan zijn de gevolgen niet te overzien. Met jouw
verhalen kan je de deur van je huis ook wel open laten staan of van je auto.
Inbreken doet men ook nog steeds onegacht politie keurmerken, dubbele
sloten en alarmen.
Veel succes met je verdere columns en hoop dat ze een positievere lading
meekrijgen.
Ik vraag me af of je de zelfde type tekst gebruikt als consultant bij je bedrijf
om te adviseren op security vlak. Op al je columns rust namelijk een
negatieve lading waar ik niet vrolijk van wordt en in mijn beleving geeft dit
geen positieve image aan je bedrijf waar je werkt en aan security.nl
Van een Senior Consultant verwacht ik juist het tegenovergestelde om de
problematiek die je aankaart te verbeteren. Jouw verhalen geven aan dat
je beter kan stoppen met beveiliging want het helpt toch niet.
Als iedereen dit deed, dan zijn de gevolgen niet te overzien. Met jouw
verhalen kan je de deur van je huis ook wel open laten staan of van je auto.
Inbreken doet men ook nog steeds onegacht politie keurmerken, dubbele
sloten en alarmen.
Veel succes met je verdere columns en hoop dat ze een positievere lading
meekrijgen.
Begrijp ik Peter Rietveld goed als ik samenvat dat hij
duidelijk wil maken dat beveiligingscertificaten niet
automatisch bijdragen aan een hogere veiligheid?
duidelijk wil maken dat beveiligingscertificaten niet
automatisch bijdragen aan een hogere veiligheid?
20-10-2006, 18:46 door
fubar
Beste Anoniem,
Ik maak juist wel het onderscheid door te stellen dat je
beide typen specialisten nodig hebt. Je hebt namelijk zowel de
strategische specialist voor de communicatie met de business nodig. Alsook de operationele specialist die technisch op detail niveau de zaken daadwerkelijk op orde brengt.
Carlo Seddaiu
http://www.pragmasec.com
Ik maak juist wel het onderscheid door te stellen dat je
beide typen specialisten nodig hebt. Je hebt namelijk zowel de
strategische specialist voor de communicatie met de business nodig. Alsook de operationele specialist die technisch op detail niveau de zaken daadwerkelijk op orde brengt.
Carlo Seddaiu
http://www.pragmasec.com
20-10-2006, 18:56 door
fubar
Beste Anoniempje,
Het venijn zit m er nou juist in dat het management wel
degelijk moet begrijpen wat er aan de hand is. Anders krijg
je in grote organisaties niet de toestemming om tijd en geld
te spenderen om op technisch niveau zaken te regelen. Dus
eerst de business overtuigen van de noodzaak en daarna kun
je op bit niveau gaan stoeien...
Daarnaast zijn er ook zaken als schouder surfen, social engineering die simpelweg technisch niet zo gemakkelijk te ondervangen zijn.
Carlo Seddaiu
http://www.pragmasec.com
Vertel eens jongetje, heb je wel eens een penetration test
gedaan? En was het leuk, spelen met nessus? Spelen met een
prefab exploitje om de "management jongens" bang
te maken en
zo dat leuke contractje binnen te slepen? Kom op, ga spelen
ofzo. Iets technisch is en blijft iets technisch, en daar
kun je bullshit standaarden omheen bouwen en een hoop gelul
rondomheen spijkeren maar dat maakt de boel nog niet
veiliger. Maar ach ja, kan ik het iemand die nog niet weet
wat een heap overflow is het kwalijk nemen?
Het venijn zit m er nou juist in dat het management wel
degelijk moet begrijpen wat er aan de hand is. Anders krijg
je in grote organisaties niet de toestemming om tijd en geld
te spenderen om op technisch niveau zaken te regelen. Dus
eerst de business overtuigen van de noodzaak en daarna kun
je op bit niveau gaan stoeien...
Daarnaast zijn er ook zaken als schouder surfen, social engineering die simpelweg technisch niet zo gemakkelijk te ondervangen zijn.
Carlo Seddaiu
http://www.pragmasec.com
Vertel eens jongetje, heb je wel eens een penetration test
gedaan? En was het leuk, spelen met nessus? Spelen met een
prefab exploitje om de "management jongens" bang
te maken en
zo dat leuke contractje binnen te slepen? Kom op, ga spelen
ofzo. Iets technisch is en blijft iets technisch, en daar
kun je bullshit standaarden omheen bouwen en een hoop gelul
rondomheen spijkeren maar dat maakt de boel nog niet
veiliger. Maar ach ja, kan ik het iemand die nog niet weet
wat een heap overflow is het kwalijk nemen?
21-10-2006, 08:44 door
Constant
Door Anoniem
Begrijp ik Peter Rietveld goed als ik samenvat dat hij
duidelijk wil maken dat beveiligingscertificaten niet
automatisch bijdragen aan een hogere veiligheid?
Meestal is het eerste wat ik begrijp is dat de schrijver het certificaat niet Begrijp ik Peter Rietveld goed als ik samenvat dat hij
duidelijk wil maken dat beveiligingscertificaten niet
automatisch bijdragen aan een hogere veiligheid?
gehaald heeft en daar blijkbaar heel veel moeite mee heeft.
Praktijkcertificaten zoals CISSP zijn een bewijs dat iemand over een
bepaalde basis kennis beschikt. Mensen die het niet willen of niet
kunnen halen, geven er meestal vreselijk op af. Praktijkcertificaten
gaan over de kennis die je nodig hebt voor je dagelijkse werk (in
tegenstelling tot academisch gezweef), dus de standaard zeurpraat
van Peter Rietveld deel ik niet. Het is goed om gecertificeerd te zijn,
ook al is het niet zaligmakend (maar dat weten we allemaal, althans ik
heb nooit anders gehoord).
Ik ging na een lichte voorbereiding (paar uur het boek doorgelezen om
de kleine hiaten aan te vullen) naar het CISSP examen en haalde het,
vooral dankzij jarenlange kennisopbouw tijdens het werken.
Wat is de waarde?
- goed voor sollicatities
- goed als je regelmatig nieuwe contacten moet leggen tijdens het
werk, dan weet de andere partij op welke gespreksniveau men kan
beginnen zonder te lang stil te staan bij de basics.
- de rest moet je zelf doen, maar dat geldt voor elk diploma. Weten is
niet altijd hetzelfde als Kunnen, elke beroepsgroep heeft haar
prutsers. Maar certificering houdt in ieder geval een hoop prutsers
buiten en ik geloof niet dat CISSP niet te halen is voor een echte IT
beveiliger.
- het hoeft niet zo te zijn dat mensen zonder diploma slechter werk af
leveren, maar er zit wel degelijk een sterk verband tussen kwaliteit
leveren en een diploma hebben.
Je kan het vergelijken met een rijbewijs. Bezit van een rijbewijs is
geen bewijs dat iemand goed kan rijden, maar dat iemand het
rijexamen heeft gehaald en daarna blijkbaar nooit ernstige fouten
heeft gemaakt die tot inname van het rijbewijs hebben geleid. En er
bestaan mensen die goed auto kunnen rijden zonder ooit het rijbewijs
gehaald te hebben, maar dat wil niet zeggen dat we daarom geen
waarde aan het rijbewijs moeten geven.
Gezien het vele aantal prutsende IT beveiligers vind ik het goed om
mensen naar praktijkexamens te laten gaan, dan weet je wat iemand
wel en niet weet.
Tabaksblat, Sox en NEN7510 zijn wellicht de bekendste
voorbeelden van opgelegde beveiligingsinspanningen.
SOX en Tabaksblat gaan over corporate governance/goed voorbeelden van opgelegde beveiligingsinspanningen.
ondernemingsbestuur, het zijn geen beveligingsnormen. Wel is het zo
dat op basis van goed ondernemerschap een bedrijf o.a. moet denken
aan IT beveiliging. Sox maakt een verwijzing naar een IT controls
framework en noemt Cobit als voorbeeld; Tabaksblat zegt bij mijn
weten niets over IT beveiliging en dit is de eerste keer dat ik zo'n
directe verwijzing hoor.
Eigen ben ik gek dat ik nog op deze columns reageer: Pieter Rietveld
heeft er gewoon werkelijk niets van begrepen, roept maar wat, vrijwel
elke zin is onzin met wat bekende kreten, en ik ben zo stom om te
reageren.
Je kan het vergelijken met een rijbewijs. Bezit van een rijbewijs is
geen bewijs dat iemand goed kan rijden, maar dat iemand het
rijexamen heeft gehaald en daarna blijkbaar nooit ernstige fouten
heeft gemaakt die tot inname van het rijbewijs hebben geleid.
geen bewijs dat iemand goed kan rijden, maar dat iemand het
rijexamen heeft gehaald en daarna blijkbaar nooit ernstige fouten
heeft gemaakt die tot inname van het rijbewijs hebben geleid.
Ik denk dat ook hier een andere factor mee speeld namelijk techonolgie en
vooruitgang.Waneer bedrijven in een bepaalde regio workshops of
conferenties zou organiseren voor IT profectionals of netwerk beheerders.
Zou de kwaliteit ook vooruit gaan en kennis langer blijven hangen het
voordeel is dat de laaste verranderingen kunnen worden besproken
worden en zo dus ook IT profecionals en netwerk beheerders op de
hoogte zijn van de laaste verranderingen op het gebied van ict.Waardoor je
kan verkomen dat waneer een netwerk beheerder die pci tijd perk een
opleiding heeft gevolgd niet in een keer voor verrassingen komt te staan
wanneer het is overgegaan na een sata aansluiting.
Tevens is er nog een andere factor dat het weer stimulerend kan werken
voor IT profecionals en netwerkbeheerders van andere firma's omdat ze
zo weer hun kennis kunnen delen wat weer motiverend kan werken.
En het kan ook leuk gewoon leuk zijn als je zo weer contacten kan op
bouwen.
21-10-2006, 13:57 door
Constant
Door Koekie
Ik denk dat ook hier een andere factor mee speeld namelijk
techonolgie en
vooruitgang.Waneer bedrijven in een bepaalde regio workshops of
conferenties zou organiseren voor IT profectionals of netwerk
beheerders.
Zou de kwaliteit ook vooruit gaan en kennis langer blijven hangen het
voordeel is dat de laaste verranderingen kunnen worden besproken
worden en zo dus ook IT profecionals en netwerk beheerders op de
hoogte zijn van de laaste verranderingen op het gebied van
ict.Waardoor je
kan verkomen dat waneer een netwerk beheerder die pci tijd perk een
opleiding heeft gevolgd niet in een keer voor verrassingen komt te
staan
wanneer het is overgegaan na een sata aansluiting.
Tevens is er nog een andere factor dat het weer stimulerend kan
werken
voor IT profecionals en netwerkbeheerders van andere firma's omdat
ze
zo weer hun kennis kunnen delen wat weer motiverend kan werken.
En het kan ook leuk gewoon leuk zijn als je zo weer contacten kan op
bouwen.
Sjonge jonge, dat soort info kun je ook vinden in PC Magazine en Je kan het vergelijken met een rijbewijs. Bezit van een rijbewijs
is
geen bewijs dat iemand goed kan rijden, maar dat iemand het
rijexamen heeft gehaald en daarna blijkbaar nooit ernstige fouten
heeft gemaakt die tot inname van het rijbewijs hebben geleid.
is
geen bewijs dat iemand goed kan rijden, maar dat iemand het
rijexamen heeft gehaald en daarna blijkbaar nooit ernstige fouten
heeft gemaakt die tot inname van het rijbewijs hebben geleid.
Ik denk dat ook hier een andere factor mee speeld namelijk
techonolgie en
vooruitgang.Waneer bedrijven in een bepaalde regio workshops of
conferenties zou organiseren voor IT profectionals of netwerk
beheerders.
Zou de kwaliteit ook vooruit gaan en kennis langer blijven hangen het
voordeel is dat de laaste verranderingen kunnen worden besproken
worden en zo dus ook IT profecionals en netwerk beheerders op de
hoogte zijn van de laaste verranderingen op het gebied van
ict.Waardoor je
kan verkomen dat waneer een netwerk beheerder die pci tijd perk een
opleiding heeft gevolgd niet in een keer voor verrassingen komt te
staan
wanneer het is overgegaan na een sata aansluiting.
Tevens is er nog een andere factor dat het weer stimulerend kan
werken
voor IT profecionals en netwerkbeheerders van andere firma's omdat
ze
zo weer hun kennis kunnen delen wat weer motiverend kan werken.
En het kan ook leuk gewoon leuk zijn als je zo weer contacten kan op
bouwen.
ComputerIdee. Iemand die daarvoor een workshop nodig heeft, kan ik
niet serieus nemen als "IT profectional" (wat dat ook mag zijn).
Sjonge jonge, dat soort info kun je ook vinden in PC Magazine en
ComputerIdee. Iemand die daarvoor een workshop nodig heeft, kan ik
niet serieus nemen als "IT profectional" (wat dat ook mag zijn).
ComputerIdee. Iemand die daarvoor een workshop nodig heeft, kan ik
niet serieus nemen als "IT profectional" (wat dat ook mag zijn).
Het was maar een simpel voorbeeld over de oneindige mogelijkheden.Of
misschien wat meer toepasselijk was iets als client/server applicaties over
een ipsec netwerk.Het kan allemaal het punt was alleen zodat dingen
besproken kunnen worden waar je tijdens een opleidingen niet aan
toekomt of technologie die vernieuwd is waar je de tijd niet voor hebt om
in te verdiepen vanwege het werk.Wat is er dan niks mooiers als je een
avond/dag in de week met andere ict profecionals hier over kan hebben.
Bedoel hoe moeilijk is het een presentatie te houden over een bepaald
onderwerp een paar pc aan elkaar te knopen en het inpraktijk te brengen.
Door Constant
Eigen ben ik gek dat ik nog op deze columns reageer: Pieter
Rietveld
heeft er gewoon werkelijk niets van begrepen, roept maar
wat, vrijwel
elke zin is onzin met wat bekende kreten, en ik ben zo stom
om te
reageren.
Eigen ben ik gek dat ik nog op deze columns reageer: Pieter
Rietveld
heeft er gewoon werkelijk niets van begrepen, roept maar
wat, vrijwel
elke zin is onzin met wat bekende kreten, en ik ben zo stom
om te
reageren.
Wie is Constant dat hij/zij dat durft te zeggen? Overigens
ben ik wel met je eens dat Peter Rietveld niet overkomt al
iemand die ik als senior security consultant in zou willen
huren.... dat hij onder de naam van het bedrijf waar hij
werkt dit soort stukjes durft te schrijven en dat zijn
maganers hier geen actie tegen ondernemen, dat vind ik
stuitend.
22-10-2006, 23:09 door
gorn
Constant dit komt rechtstreeks uit Tabaksblat.
C. Met betrekking tot de werking van de interne risicobeheersings- en
controlesystemen (inclusief de betrouwbaarheid en continuïteit van de
geautomatiseerde gegevensverwerking) en de kwaliteit van de interne
informatievoorziening:
• verbeterpunten, geconstateerde leemten en kwaliteitsbeoordelingen;
• opmerkingen over bedreigingen en risico’s voor de vennootschap en de
wijze waarop daarover in de te publiceren gegevens gerapporteerd dient te
worden;
• naleving van statuten, instructies, regelgeving, leningsconvenanten,
vereisten van externe toezichthouders, etc.
Mischien toch eens beter lezen.
C. Met betrekking tot de werking van de interne risicobeheersings- en
controlesystemen (inclusief de betrouwbaarheid en continuïteit van de
geautomatiseerde gegevensverwerking) en de kwaliteit van de interne
informatievoorziening:
• verbeterpunten, geconstateerde leemten en kwaliteitsbeoordelingen;
• opmerkingen over bedreigingen en risico’s voor de vennootschap en de
wijze waarop daarover in de te publiceren gegevens gerapporteerd dient te
worden;
• naleving van statuten, instructies, regelgeving, leningsconvenanten,
vereisten van externe toezichthouders, etc.
Mischien toch eens beter lezen.
22-10-2006, 23:17 door
gorn
Het probleem met CISSP is niet zozeer dat een IT beveiliger die niet kan
halen. Het probleem ligt meer in wie kunnen CISSP worden met een
bootcamp of een cram sessie.
De voorwaarde dat je een aantal jaren gewerkt moet hebben als IT
beveiliger geeft niet aan op welk niveau. Op deze manier wordt CISSP de
kwalificatie die je moet hebben als je iets met beveiliging doet net zoals
MCSE gevraagd wordt als je iets met windows moet doen.
halen. Het probleem ligt meer in wie kunnen CISSP worden met een
bootcamp of een cram sessie.
De voorwaarde dat je een aantal jaren gewerkt moet hebben als IT
beveiliger geeft niet aan op welk niveau. Op deze manier wordt CISSP de
kwalificatie die je moet hebben als je iets met beveiliging doet net zoals
MCSE gevraagd wordt als je iets met windows moet doen.
mijn huidige ervaring met de geimplementeerde security processen is dat het toch vooral pure papieren tijgers zijn die door het vaak niet technisch vaardige management gebruikt worden om schuldigen aan te kunnen wijzen waardoor hun eigen falen verhuld wordt. Deze papieren monsters doen over het algemeen niets behalve het beschrijven van een te volgen protocol, waarvan onder geen beding afgeweken mag worden. Deze protocollen worden ook nog eens opgesteld zonder dat de impact hiervan op de bedrijfsprocessen ook maar enigszins in kaart worden gebracht. Het gevolg laat zich eenvoudig raden, de procedure happy proces manager gaat zich volledig te buiten aan wollige niets zeggende maar wel vele pagina's dikke rapporten en krijgt vervolgens van de auditors te horen dat hij zeer goed bezig omdat er over iedere stap in het proces documentatie aanwezig is.
Dat alle approvals in zaken als SOX via een mailtje met "I approve" worden afgedaan, is blijkbaar een feilloos systeem,de procedure schrijft immers deze e-mail voor. Ik ben heel benieuwd wanneer de eerste virus/spam e-mails komen met "I approve" erin die ogenschijnlijk afkomstig zijn van je collega's, om nog maar te zwijgen over de mail relay mogelijkheden.
Het briljante systeem voorziet er ook in dat de mail gecut en paste wordt in een change management systeem zodat de authenticiteit van de gekopieerde mail-tekst nooit meer te achterhalen is. Ik dacht altijd dat het doel van security het afschermen cq beschermen van je informatie/netwerk was en daarbij de risico's van externe factoren zoveel mogelijk te beperken, helaas hebben er tegenwoordig tien keer zoveel mensen toegang tot allerlei informatie al is het dan wel in de vorm van een auditor. De gemiddelde externe auditor heeft niet meer dan 3 maanden cursus gehad over wat ie nou eigenlijk komt doen, de USB sticks vliegen in het rond en dan spreken we nog steeds over hetzelfde fantastische security proces dat zij auditen.
Wat een volslagen onzin !
Dat alle approvals in zaken als SOX via een mailtje met "I approve" worden afgedaan, is blijkbaar een feilloos systeem,de procedure schrijft immers deze e-mail voor. Ik ben heel benieuwd wanneer de eerste virus/spam e-mails komen met "I approve" erin die ogenschijnlijk afkomstig zijn van je collega's, om nog maar te zwijgen over de mail relay mogelijkheden.
Het briljante systeem voorziet er ook in dat de mail gecut en paste wordt in een change management systeem zodat de authenticiteit van de gekopieerde mail-tekst nooit meer te achterhalen is. Ik dacht altijd dat het doel van security het afschermen cq beschermen van je informatie/netwerk was en daarbij de risico's van externe factoren zoveel mogelijk te beperken, helaas hebben er tegenwoordig tien keer zoveel mensen toegang tot allerlei informatie al is het dan wel in de vorm van een auditor. De gemiddelde externe auditor heeft niet meer dan 3 maanden cursus gehad over wat ie nou eigenlijk komt doen, de USB sticks vliegen in het rond en dan spreken we nog steeds over hetzelfde fantastische security proces dat zij auditen.
Wat een volslagen onzin !
Ik ben in 2003 CISSP geworden, en vervolgens genoeg punten verzameld
om deze te verlengen.
Gedurende deze periode heb ik me echter meerdere malen afgevraagd
wat de waarde van het certificaat is. Ik ben bang dat mijn conclusie niet
positief is. Een lijst van observaties volgt:
- Een papieren exercitie, met als gevolg, een certificaat met een foutieve
naam
- ISC verlangt per jaar $85 om het certificaat te behouden, dit riekt naar
Amerikaanse geldgier. Dit gevoel wordt versterkt door: Ik kreeg een
aanmaning, plus een boete uiteraard, om ook voor het 1ste jaar te
betalen. Beetje vreemd, gezien het feit dat ik net $450 voor het examen
had betaald. Dat er ook voor het eerste jaar betaald moest worden staat
(althans stond) nergens bij ISC vermeld
- Ik ben nog nooit iemand tegengekomen die het certificaat niet heeft
behaald. Meer mensen is nml. meer inkomsten voor ISC
Bij navraag voor zowel de foutieve naam op het certificaat alsook het
betalen voor het eerste jaar bleek, je raad het wellicht al, geen antwoord.
Mijns insziens is dat dit een certificaat is dat mi weinig waarde heeft. Ik
bepaal zelf liever de kunde en kennis van mensen.
CISSP #42763
om deze te verlengen.
Gedurende deze periode heb ik me echter meerdere malen afgevraagd
wat de waarde van het certificaat is. Ik ben bang dat mijn conclusie niet
positief is. Een lijst van observaties volgt:
- Een papieren exercitie, met als gevolg, een certificaat met een foutieve
naam
- ISC verlangt per jaar $85 om het certificaat te behouden, dit riekt naar
Amerikaanse geldgier. Dit gevoel wordt versterkt door: Ik kreeg een
aanmaning, plus een boete uiteraard, om ook voor het 1ste jaar te
betalen. Beetje vreemd, gezien het feit dat ik net $450 voor het examen
had betaald. Dat er ook voor het eerste jaar betaald moest worden staat
(althans stond) nergens bij ISC vermeld
- Ik ben nog nooit iemand tegengekomen die het certificaat niet heeft
behaald. Meer mensen is nml. meer inkomsten voor ISC
Bij navraag voor zowel de foutieve naam op het certificaat alsook het
betalen voor het eerste jaar bleek, je raad het wellicht al, geen antwoord.
Mijns insziens is dat dit een certificaat is dat mi weinig waarde heeft. Ik
bepaal zelf liever de kunde en kennis van mensen.
CISSP #42763
23-10-2006, 12:07 door
Consultant
Beste Peter,
Ik vind dat je groot gelijk hebt, en zie dat bedrijven die compliant willen zijn
en op papier veilig zijn volgens ....norm zus...norm zo.. in de praktijk niet
veilig zijn en slechte technische beslissingen nemen. Allemaal volgens
het principe van risico management zonder technische visie/verstand.
Ik vind dat je groot gelijk hebt, en zie dat bedrijven die compliant willen zijn
en op papier veilig zijn volgens ....norm zus...norm zo.. in de praktijk niet
veilig zijn en slechte technische beslissingen nemen. Allemaal volgens
het principe van risico management zonder technische visie/verstand.
Wat ik een beetje mis in jullie terechte discussie is dat security toepassen
op een bedrijfsvoering veel weg heeft van het mechanisme zoals deze bij
verzekeringen gelden.
Technisch gezien is het een enorme uitdaging, zoniet onmogelijk, om
volledige garanties te kunnen geven als het gaat om de mate van
beveiliging van (compromiterende) gegevens. Vanuit een technisch
(techneuten) perspectief begrijpt idd niemand wat er bij komt kijken om
informatie technologie (lees: uw omgeving) veilig te maken en te houden.
Bedrijfskundig gezien is het ook een enorme uitdaging om precies op de
scheidslijn te lopen van aan de ene kant 'zinvolle' investering en aan de
anderekant het afgewogen risico. Het is bedrijfskundig verstandig om op
basis van een gedegen risico analyse maatregelen te nemen. In de
praktijk komt het er dan op neer dat je met gedegen regulering en 'cover
your or my ass'-politiek voldoende aan security doet, terwijl dit vanuit een
technisch oogpunt onvoldoende blijkt te zijn.
De eerder genoemde analogie voor wat betreft beveiliging van je eigen
huis is treffend: Als het aan de politie lag, baricadeerde je je huis met
allerlei anti-inbraakstrips en zelfs sloten op het WC-raampje. Kosten nog
moeite dienen te worden gespaard is het devies. Als het aan de eigenaar
van het huis ligt (en dus ook de betalende partij) doet ie alleen dat wat hij
zinvol acht binnen het gestelde budget. Dat WC-raampje is slecht
bereikbaar en de kans dat iemand dáár doorheen komt is erg klein. Dus
die investering laat hij of zij achterwege uit oogpunt van de risicoanalyse vs
te maken kosten.
Sommige risico's zijn dus prima mee te leven. Het lijkt mij juist de taak van
een CISSP of iemand die op andere gronden zijn strepen heeft verdient op
dat vlak om daarin goed te kunnen adviseren.
Kortom, we hebben allemaal gelijk. Maar laten we wel in de gaten houden
dat complete veiligheid a) onbetaalbaar is, b) onwerkbaar is c) onhaalbaar
is en dus indruist tegen elke vorm van vrijheid zoals wij deze in onze
westerse wereld nastreef(d)en maar wél de grootst mogelijke aandacht
verdient.
Martin
op een bedrijfsvoering veel weg heeft van het mechanisme zoals deze bij
verzekeringen gelden.
Technisch gezien is het een enorme uitdaging, zoniet onmogelijk, om
volledige garanties te kunnen geven als het gaat om de mate van
beveiliging van (compromiterende) gegevens. Vanuit een technisch
(techneuten) perspectief begrijpt idd niemand wat er bij komt kijken om
informatie technologie (lees: uw omgeving) veilig te maken en te houden.
Bedrijfskundig gezien is het ook een enorme uitdaging om precies op de
scheidslijn te lopen van aan de ene kant 'zinvolle' investering en aan de
anderekant het afgewogen risico. Het is bedrijfskundig verstandig om op
basis van een gedegen risico analyse maatregelen te nemen. In de
praktijk komt het er dan op neer dat je met gedegen regulering en 'cover
your or my ass'-politiek voldoende aan security doet, terwijl dit vanuit een
technisch oogpunt onvoldoende blijkt te zijn.
De eerder genoemde analogie voor wat betreft beveiliging van je eigen
huis is treffend: Als het aan de politie lag, baricadeerde je je huis met
allerlei anti-inbraakstrips en zelfs sloten op het WC-raampje. Kosten nog
moeite dienen te worden gespaard is het devies. Als het aan de eigenaar
van het huis ligt (en dus ook de betalende partij) doet ie alleen dat wat hij
zinvol acht binnen het gestelde budget. Dat WC-raampje is slecht
bereikbaar en de kans dat iemand dáár doorheen komt is erg klein. Dus
die investering laat hij of zij achterwege uit oogpunt van de risicoanalyse vs
te maken kosten.
Sommige risico's zijn dus prima mee te leven. Het lijkt mij juist de taak van
een CISSP of iemand die op andere gronden zijn strepen heeft verdient op
dat vlak om daarin goed te kunnen adviseren.
Kortom, we hebben allemaal gelijk. Maar laten we wel in de gaten houden
dat complete veiligheid a) onbetaalbaar is, b) onwerkbaar is c) onhaalbaar
is en dus indruist tegen elke vorm van vrijheid zoals wij deze in onze
westerse wereld nastreef(d)en maar wél de grootst mogelijke aandacht
verdient.
Martin
24-10-2006, 15:50 door
Kevin Mitnik
Sure, the technical issues of Infosec are very important :-)
24-10-2006, 16:06 door
Security Consultant
...nu rollen de CISSPs van de lopende band...
Peter,Dankzij je negatieve toonzetting lijkt het erop dat je je examen niet gehaald
hebt...
Tabaksblat, Sox en NEN7510 zijn wellicht de bekendste
voorbeelden van opgelegde beveiligingsinspanningen.
Afgezien van Tabaksblatt en Sox heb je gelijk :-)voorbeelden van opgelegde beveiligingsinspanningen.
Eens even denken. Dit jaar zag ISO27001 het levenslicht: het
Information Security Management Systeem. Eindelijk kunnen we
beveiligen met een druk op de knop.
ISMS bestaat gelukkig al veel langer. De rest van de zin begrijp ik niet.Information Security Management Systeem. Eindelijk kunnen we
beveiligen met een druk op de knop.
Niet dat ik je stuk wil afzeiken, maar je bent hier en daar (te) onvolledig en
(te) kort door de bocht.
Verder wens ik je veel succes !
25-10-2006, 06:56 door
Constant
Door gorn
Constant dit komt rechtstreeks uit Tabaksblat.
C. Met betrekking tot de werking van de interne risicobeheersings- en
controlesystemen (inclusief de betrouwbaarheid en continuïteit van de
geautomatiseerde gegevensverwerking) en de kwaliteit van de interne
informatievoorziening:
• verbeterpunten, geconstateerde leemten en kwaliteitsbeoordelingen;
• opmerkingen over bedreigingen en risico’s voor de vennootschap en
de
wijze waarop daarover in de te publiceren gegevens gerapporteerd
dient te
worden;
• naleving van statuten, instructies, regelgeving, leningsconvenanten,
vereisten van externe toezichthouders, etc.
Mischien toch eens beter lezen.
Ik schreef toch heel duidelijk dat het een corporate framework betrof en geen beveiligingsNORMEN. Tabaksblat bevat geen normen, maar "principles" zoals de commissie destijds al zei. Constant dit komt rechtstreeks uit Tabaksblat.
C. Met betrekking tot de werking van de interne risicobeheersings- en
controlesystemen (inclusief de betrouwbaarheid en continuïteit van de
geautomatiseerde gegevensverwerking) en de kwaliteit van de interne
informatievoorziening:
• verbeterpunten, geconstateerde leemten en kwaliteitsbeoordelingen;
• opmerkingen over bedreigingen en risico’s voor de vennootschap en
de
wijze waarop daarover in de te publiceren gegevens gerapporteerd
dient te
worden;
• naleving van statuten, instructies, regelgeving, leningsconvenanten,
vereisten van externe toezichthouders, etc.
Mischien toch eens beter lezen.
Beter lezen dus, begin met uzelf. Lees ook eens uw eigen quote door, ik zie geen normen maar doelstellingen. Dat is een wezenlijk verschil dat u blijkbaar nog moet leren.
25-10-2006, 17:08 door
gorn
Constant ik reageerde op onderstaand stukje. Daarin stel je
dat Tabaksblat niets over IT beveiliging zegt. Ik begrijp
uit je opmerking dat je
C. Met betrekking tot de werking van de interne
risicobeheersings- en
controlesystemen (inclusief de betrouwbaarheid en
continuïteit van de
geautomatiseerde gegevensverwerking) en de kwaliteit van de
interne
informatievoorziening:
Niet ook vindt slaan op IT-beveiliging. Zoals het daar
staat dien je de integriteit van je gegevens te garanderen,
ook in geautomatiseerde gegevensverking systemen. Hoe je dat
wil doen zonder iets aan IT beveiliging te doen lijkt mij
onmogelijk. Met alleen procedures los je dit niet op, je kan
de integriteit van je gegevens niet garanderen.
SOX en Tabaksblat gaan over corporate governance/goed
ondernemingsbestuur, het zijn geen beveligingsnormen. Wel is
het zo
dat op basis van goed ondernemerschap een bedrijf o.a. moet
denken
aan IT beveiliging. Sox maakt een verwijzing naar een IT
controls
framework en noemt Cobit als voorbeeld; Tabaksblat zegt
bij mijn
weten niets over IT beveiliging en dit is de eerste keer
dat ik zo'n
directe verwijzing hoor.
dat Tabaksblat niets over IT beveiliging zegt. Ik begrijp
uit je opmerking dat je
C. Met betrekking tot de werking van de interne
risicobeheersings- en
controlesystemen (inclusief de betrouwbaarheid en
continuïteit van de
geautomatiseerde gegevensverwerking) en de kwaliteit van de
interne
informatievoorziening:
staat dien je de integriteit van je gegevens te garanderen,
ook in geautomatiseerde gegevensverking systemen. Hoe je dat
wil doen zonder iets aan IT beveiliging te doen lijkt mij
onmogelijk. Met alleen procedures los je dit niet op, je kan
de integriteit van je gegevens niet garanderen.
SOX en Tabaksblat gaan over corporate governance/goed
ondernemingsbestuur, het zijn geen beveligingsnormen. Wel is
het zo
dat op basis van goed ondernemerschap een bedrijf o.a. moet
denken
aan IT beveiliging. Sox maakt een verwijzing naar een IT
controls
framework en noemt Cobit als voorbeeld; Tabaksblat zegt
bij mijn
weten niets over IT beveiliging en dit is de eerste keer
dat ik zo'n
directe verwijzing hoor.
25-10-2006, 20:21 door
Constant
Ja, roepen dat iets moet gebeuren en dat het goed moet zijn (het
aloude bekende goed-koopmanschap), dat zijn geen toetsbare
normen. Daarop zijn mijn woorden (zie hieronder) gebaseerd.
Overigens is de Code Tabaksblat een hele goede ontwikkeling op
Corporate Governance gebied, maar voor IT security zou ik het niet
durven noemen als vernieuwing. Je Knip en Plak werk komt trouwens
uit het hoofdstuk mbt de externe Auditor / controlerend accountant en
niet uit het hoofdstuk met de eisen die aan de interne beheersing
worden gesteld. Beetje met losse flodders schieten ipv van een echt
inhoudelijke discussie.
gaat niet alleen door systemen. En de invulling van het begrip kwaliteit
is blijkbaar aan de lezer. Dus mijn inziens zegt deze passage NIETS
over IT security (behalve dat de informatievoorziening van goede
kwaliteit moet zijn).
Lees mijn woorden nog maar een keer goed, wellicht snap je dan wat
ik bedoel in plaats van al te snel reageren.
aloude bekende goed-koopmanschap), dat zijn geen toetsbare
normen. Daarop zijn mijn woorden (zie hieronder) gebaseerd.
Overigens is de Code Tabaksblat een hele goede ontwikkeling op
Corporate Governance gebied, maar voor IT security zou ik het niet
durven noemen als vernieuwing. Je Knip en Plak werk komt trouwens
uit het hoofdstuk mbt de externe Auditor / controlerend accountant en
niet uit het hoofdstuk met de eisen die aan de interne beheersing
worden gesteld. Beetje met losse flodders schieten ipv van een echt
inhoudelijke discussie.
kwaliteit van de interne informatievoorziening:
informatie gaat niet alleen door systemen. En de invulling van het begrip kwaliteit
is blijkbaar aan de lezer. Dus mijn inziens zegt deze passage NIETS
over IT security (behalve dat de informatievoorziening van goede
kwaliteit moet zijn).
Lees mijn woorden nog maar een keer goed, wellicht snap je dan wat
ik bedoel in plaats van al te snel reageren.
Constant heeft gezegd:
SOX en Tabaksblat gaan over corporate governance/goed
ondernemingsbestuur, het zijn geen beveligingsnormen. Wel is het zo
dat op basis van goed ondernemerschap een bedrijf o.a. moet denken
aan IT beveiliging. Sox maakt een verwijzing naar een IT controls
framework en noemt Cobit als voorbeeld; Tabaksblat zegt bij mijn
weten niets over IT beveiliging en dit is de eerste keer dat ik zo'n
directe verwijzing hoor.
SOX en Tabaksblat gaan over corporate governance/goed
ondernemingsbestuur, het zijn geen beveligingsnormen. Wel is het zo
dat op basis van goed ondernemerschap een bedrijf o.a. moet denken
aan IT beveiliging. Sox maakt een verwijzing naar een IT controls
framework en noemt Cobit als voorbeeld; Tabaksblat zegt bij mijn
weten niets over IT beveiliging en dit is de eerste keer dat ik zo'n
directe verwijzing hoor.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
