Hmm... Als ik dit zo lees, krijg ik het gevoel alsof de security expert de
inbrekers een beetje geholpen heeft ;) "zie je wel, ik heb jullie toch
gewaarschuwd"

Deze security professional werkte al 20 jaar in een omgeving waarin niet
in security werd geinvesteerd, dus 20 jaar uit zijn neus gegeten?

Tsja, ik ben benieuwd naar de andere kant van het verhaal. Naast de
krenterigheid van de CEO om te zorgen voor het betere hang- eb
sluitwerk in combinatie met een beveiligingscontract., is er nog meer
mis.

Wat ik mis is een uitleg waarom de backup restore vele weken heeft
geduurd? Blijkbaar waren de backups niet volledig en was er geen goed
restore plan.

Wellicht is de security goeroe ontslagen wegens het falende restore
plan. Twee weken, dat is echt teveel omdat men (zo te lezen) na een dag
al nieuwe harde schijven had.

Dus ontslag van de security goeroe is terecht, maar had de CEO ook
moeten vertrekken.

Goed voorbeeld dat je bij dit soort ernstige kwesties de zaak moet laten
onderzoeken door een externe onhankhankelijke deskundige, in plaats
van een intern onderzoek waarin de CEO dicteert wie (lees: de zwakste
partij) de schuld krijgt.

En welke security goeroe wil uberhaupt werken bij een bedrijf dat niet in
security investeert? Vreemd verhaal, dit klopt ook niet in de genoemde
kwestie, een security officer verdient al gauw het dubbele tot drie dubbele
van de genoemde 32000 USD. Dan kan je beter het hang en sluitwerk
kopen en de security officer niet in dienst nemen.

@Consultant : Hij werkte er 20 jaar en begon als helpdesk medewerker.
De IT department had meerdere weken nodig om alle hardware en
software te kopen en te installeren.

@Constant.
Het verschijnsel komt voor. Zelf al jaren in de beveiliging actief, gebeurde
het op een dag dat ik in het gebouw (waar ik als beveiliger werkte) opeens
een aantal schilders aantrof die niet via de normale weg waren binnen
gekomen. Op de vraag hoe zij dit hadden gedaan, vertelde 1 van hen dat
een dagschoot van een deur via een schroevendraaier aan de buitenkant
was opengeflipperd. Ik heb meteen het hoofd van de afdeling via een
rapport gewaarschuwd dat deze deur inbraak gevoelig was. Na drie
maanden waarschuwen werd er alsnog niets aan het euvel gedaan.

Op een kwade dag echter werd er 's nachts ingebroken in het gebouw en
voor duizenden euro's schade aangericht. De inbreker wist zich via de
trapportaal naar boven te werken en vernielingen aan te richten. Of er ook
wat gestolen was, kon toen niet met zekerheid worden gezegd.

Bij het doorspitten van het logbestand van de alarminstallatie bleek dat 1
bepaalde groep van bewegingsmelders de inbreker had opgemerkt. Na
onderzoek bleek het de zone te zijn, waarbij de bewuste deur van drie
maanden geleden een rol speelde. Samen met de huismeester zijn we
toen gaan kijken of de deur misschien aan de buitenkant was
opengeflipperd, en.....ja hoor. Via deze deur bleek de inbreker te zijn
binnen gekomen. Dezelfde deur waar ik voor gewaarschuwd had en de
leiding van het gebouw maar niet wilde luisteren naar mijn
beveiligingsadvies. Toen opeens was de afdelingchef wél bereid om te
luisteren en een beveiligingsstrip van een paar euro te laten plaatsen. Nu zaten ze met een kostenpost van vele duizenden euro's schade.

Moraal van het verhaal: is het kalf verdroken, dan pas dempt men de put.

@Peter: Helaas ken ik ook een hele waslijst van praktijk gevallen van
zowel te zuinige managers als van falende IT security officers. En
inderdaad, er moet eerst iets flink misgaan voordat budget wordt
vrijgemaakt, want security wordt als kostenpost gezien in plaats van
kostenbeperker.

Misschien is het niet helemaal duidelijk in mijn tekst (ik zie ook wat
taalfouten in mijn reactie, dus een nieuwe poging om mijn visie helder
weer te geven), na het bron artikel te hebben geraadpleegd, zie ik 2
dingen:
(1) nalatigheid van de CEO om het hang- en sluitwerk aan te pakken (zou
reden ontslag CEO moeten zijn, voorkomen is nu eenmaal beter dan
achteraf corrigerend optreden).
en
(2) een ernstig fout in het backup en restore plan: alleen data was
gebackup-ed, geen backup van applicatie + OS, dus men verloor de
meeste tijd van de 2 weken aan configureren. Dat was de hoofdoorzaak
waren het meer dan 2 weken duurde om de zaak te repareren. Dit zie ik
als de fout van de security man ("Director of Data Security And
Compliance").

Had in deze kwestie 1 van de 2 schuldigen zijn werk goed gedaan, dan
was de ramp minder groot geweest. Nu zitten beide schuldigen met de
vinger naar elkaar te wijzen en de zwakste verliest. Ik zou beide laten
ontslaan wegens ernstige nalatigheid.

"We had offsite backups of our data on tape, however it took the IT staff
several weeks to buy the equipment, install operating systems,
configure software, etc. "

Het opnieuw installeren en configureren was dus niet nodig geweest bij een goede backup.

Haha, mooie lui dan. ;)

Hij is terecht ontslagen, als jij -zie aanvulling- beveiliging in je functie
omschrijving hebt staan kan ik het me niet voorstellen dat je niet voor,
tijdens en uiteraard na verhuizing geen toezicht houd op voortgang, indien
hij slechts babbelt over beveiliging met een CEO dan kan je net zo goed
niets doen, een ieder die met bestuuders heeft gesproken weet dat ze
alleen geintresseerd zijn in resultaten waarmee zij een goede sier maken.


Dus als deze persoon beter had gecommuniceerd had hij zichzelf beter
ingedekt, maar gezien het feit dat hij voor het nieuwe gebouw ql geen
resultaten had geboekt; hij allerlij mensen gaat zitten mailen, zie ik heb als
een backstabbende rebel die je liever kwijt bent als rijk.

Ik denk dat er maar weinig mensen zijn in Nederland die je niet een
soortgelijk verhaal kan vertellen aldaniet met ontslag als gevolg.

Klinkt mij te veel in de oren als een broode aap. En als het
geen aap is, dan zullen er hoe dan ook koppen gaan rollen
als deze brave man alls keurig kan verantwoorden.
Elke securityfiguur weet dat het doorvoeren van adviezen een
kwestie van lange adem is. Komt wel een keer goed. Zeker in
Amerika leeft het heftig. Als ik lees investors, lees ik ook
SOx. Ik kan me niet voorstellen dat dit verhaal dan ook geen
gevolgen heeft voor CEO en CFO.

Deze man is dus wel degelijk onterecht ontslagen.
Het zijn wel managers die de verantwoordelijkheid dragen
niet de uitvoerende persoon.
Hij zal dus wel meer gedaan hebben als "gebabbeld met de
CEO" hij had een dossier met ROI etc... Hij had ook een
kostenraming.
Denk toch dat velen hier eens Engels moeten leren ipv te
kankeren dat het terecht is.
En naar mijn weten is nog altijd de IT manager
verantwoordelijk voor een goed restore plan en niet de
persoon die zich bezighoudt met de administratieve security
taken.