Gartner: Geef minder geld uit aan IT-beveiliging
Ondernemingen moeten minder geld aan informatiebeveiliging uitgeven, het kan namelijk allemaal veel efficiënter, aldus onderzoeksbureau Gartner. De gemiddelde onderneming geeft 5% van het IT budget uit aan beveiliging, en dat is zonder disaster recovery en "business continuity" meegeteld. Niet alleen zijn IT-managers de verzoeken voor meer budget beu, beveiliging is qua "technisch zorgenkindje" van de eerste plaats in 2005 naar de zesde plaats in 2007 gevallen.
"Managers zijn niet meer overtuigd dat beveiliging een weg zonder bestemming is. Kun je voorstellen dat winst een weg is?", aldus Gartner vice-president John Pescatore. Tijdens de IT Security Summit die deze week plaatsvond merkte hij op dat veel andere IT-gebieden bedrijven meer functionaliteit voor minder geld opleveren.
Ook IT security kan volgens Pescatore efficiënter worden, als men naar een model overstapt genaamd "Security 3.0". Hierbij anticipeert men op dreigingen, in plaats van ze te bevechten als men al getroffen is.
worden, als men naar een model overstapt genaamd "Security
3.0".
Halverwege de zin dacht ik dat ze Unix of Linux gingen zeggen.
bestaat, en dat dat model POLA heet. POLA is inderdaad veel
efficienter, maar als we masaal van het kapotte identity
based access model afstappen, en over gaan op authority
based access controll, waar moet de security industrie dan
z'n geld nog mee verdienen? ;-)
Als je beseft hoe groot de belangen zijn, weet je dat de
security industrie z'n uiterste best zal doen om het IBAC
model buiten schot te blijven houden, en ik ben bang dat ze
dat nog erg lang blijft lukken.
vind. Security is geen doel op zich en het gaat allemaal om de bottom line
van de gehele organisatie.
Het wordt ook steeds zotter, de compliancy craze ("hoe zorg ik voor meer
red tape?") is nog niet uitgeraast. Ik ben nog geen bedrijf tegengekomen
dat een dreiging heeft afgeslagen door compliant te zijn.
doet, je er niets van merkt. Dan denken de bozo's dat het
niet nodig is en wordt het afgeknepen. Totdat het misgaat,
waarna het hele zootje weer opnieuw begint.
mis slaat waar het om security gaat... Echte security is
geen red tape, maar werkende maatregelen die aantoonbaar
financieel geld besparen of zelfs uberhaupt sommige business
modellen mogelijk maken. Ik zou niet kunnen werken zonder
antivirus en antispam produkten. Laat staan dat we zonder
firewalls kunnen.
Als ik zie wat voor mensen men bij sommige organisaties de
security laat regelen moet ik soms stomweg lachen. Ik weet
van mensen in SOX projecten die ICT security gerelateerde
zaken moeten opzetten die het verschil niet weten tussen ROM
en RAM. Ook hier gaat het oude gezegde op... Pay peanuts get
.... monkeys.
Anyway, omdat je 10 jaar geen ongeluk hebt gehad is geen
reden om je gordel af te doen... Lullige in de IT security
is vaak dat mensen veelal NIET weten dat ze een ongeluk
hebben gehad. Bij echte bedrijfsspionage is namelijk de
truuk niet alleen de boel leeg te stelen, maar dit vooral
ook ongemerkt te doen. Daar doen 2 policies meer of minder
inderdaad niks aan af. Maar met een goede loghost,
behoorlijke wachtwoorden en een hoop gezond verstand kom je
een eind in de rechtszaal...
My two cents,
Carlo
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
