Archief - De topics van lang geleden

IT-beveiliging draait teveel om dozen en techniek

13-03-2008, 11:53 door Redactie, 16 reacties

De IT-beveiliger is teveel op de techniek gericht, wat de mogelijkheden van bedrijven belemmert, aldus Lisa Young van het Computer Emergency Response Team van de Carnegie Mellon universiteit. In veel gevallen heeft security personeel de neiging om dingen af te sluiten, waardoor beveiliging binnen bedrijven een slecht imago heeft gekregen. Lopen ze tegen problemen aan, dan wordt er snel een "nieuwe doos" gekocht om dit te verhelpen, maar security is meer dan dat. Volgens Young draait het ook om mensen en processen en niet alleen technologie.

Aanbieders verdienen veel geld met het starre denken van de IT-beveiliger en bieden producten die alleen aan de wensen en eisen van deze groep tegemoet komen en de rest van de onderneming ondergeschikt maken. En daar heeft Young gelijk in. Op welke beurs je ook komt of met wie je ook praat, het gaat altijd over appliances en infrastructuur, waardoor even belangrijke aspecten als mensen en processen vergeten worden. Onze stelling luidt derhalve: IT-beveiliging draait teveel om dozen en techniek

Reacties (16)
13-03-2008, 12:06 door Jan-Hein
Informatie technologie beveiliging is een onderdeel van informatie beveiliging,
en zoals het woord al suggereert sterk gericht op de technische kanten.
Als de stelling wordt veranderd in "Informatie beveiliging draait te veel om
dozen en techniek", zal dat voor veel ontwerpen inderdaad wel herkenbaar zijn.
13-03-2008, 12:17 door Anoniem
Afsluiten is inderdaad een favoriete bezigheid voor minder geoutilleerde
beveiligers. Die hebben een tekort aan dozen en techniek, of inzicht.

Op beurzen worden doorgaans producten verkocht. Als je wilt praten over
security kun je beter een conferentie bezoeken.

Mensen en processen zijn niet beheersbaar, dat is een achterhaald idee uit
de jaren 90, mensen doen wat hen het beste uitkomt. Zeggen "Je mag geen
bijlagen openen van vreemden" wordt toch niet opgevolgd.

Je moet gedrag sturen met de techniek die voorhanden is. Zo moet je
mensen niet wegjagen naar webbased mail (bij gratis providers) als je
mailscanner beter beschermd dan je webscanner.

Een mythe onder beveiligers is dat ze denken dat security het doel is en
dat "dus" alle middelen zijn geoorloofd. Het doel van security is het laten
werken van de organisatie en het mogelijk maken van de organisatiedoelen,
blokkeren van daartoe benodigde hulpmiddelen hoort daar niet bij.
13-03-2008, 12:29 door jmp
Door Redactie op donderdag 13 maart 2008 11:53

De IT-beveiliger is teveel op de techniek gericht, wat de mogelijkheden van
bedrijven belemmert, aldus Lisa Young van het Computer Emergency

Lijkt mij vrij logisch. ICT beveveiliging is een te grijs vlak geworden met te veel
mensen die zich voor doen als profecional. Dit geeft opzich zelf de zwakheid
en onprofecionele houding aan van een IT beveiliger.

Op dat punt klopt de stelling wel. Als ze die oude zooi nou eens inpakken
opbergen of weg pleuren. Kunnen er betere protocolen onstaan met de
nieuwe kennis op het gebied van ICT beveiliging.
13-03-2008, 13:04 door Anoniem
De stelling had net zo goed kunnen luiden: IT beveiliging
draait te veel op processen en procedures.

Ik denk dat we voor beide van deze stellingen genoeg
praktijkvoorbeelden kennen. Te veel van één van deze
componenten is nooit goed. Per organisatie zal er op basis
van de voor die organisatie relevante risico's maatregelen
genomen moeten worden. Mijn gevoel zegt dat dit altijd een
mix moet zijn, maar ik kan me voorstellen dat er bij de ene
organisatie meer voor procesmatige maatregelen, en bij de
andere meer voor de technische maatregelen moet worden gekozen.

Resumerend: ik ben het oneens met de stelling. Veel te
ongenuanceerd.
13-03-2008, 13:53 door Anoniem
Ik geef meer om een gezonde mix en gezond verstand. Helaas
ontbreekt dat juist het meeste.
13-03-2008, 14:34 door Anoniem
Security is a journey, not a destination...
13-03-2008, 19:05 door Nomen Nescio
Door jmp
Door Redactie op donderdag 13 maart 2008 11:53

De IT-beveiliger is teveel op de techniek gericht, wat de mogelijkheden van
bedrijven belemmert, aldus Lisa Young van het Computer Emergency

Lijkt mij vrij logisch. ICT beveveiliging is een te grijs vlak geworden met te veel
mensen die zich voor doen als profecional. Dit geeft opzich zelf de zwakheid
en onprofecionele houding aan van een IT beveiliger.

Op dat punt klopt de stelling wel. Als ze die oude zooi nou eens inpakken
opbergen of weg pleuren. Kunnen er betere protocolen onstaan met de
nieuwe kennis op het gebied van ICT beveiliging.
Inhoudelijk ben ik dezelfde mening toegedaan. Maar 'profecional'...? Wel eens
gehoord van professional?
13-03-2008, 23:06 door jmp
Door Nomen Nescio op donderdag 13 maart 2008 19:05


quote:
--------------------------------------------------------------------------------
Door jmp

quote:
--------------------------------------------------------------------------------
Door Redactie op donderdag 13 maart 2008 11:53

De IT-beveiliger is teveel op de techniek gericht, wat de mogelijkheden van
bedrijven belemmert, aldus Lisa Young van het Computer Emergency
--------------------------------------------------------------------------------


Lijkt mij vrij logisch. ICT beveveiliging is een te grijs vlak geworden met te veel
mensen die zich voor doen als profecional. Dit geeft opzich zelf de zwakheid
en onprofecionele houding aan van een IT beveiliger.

Op dat punt klopt de stelling wel. Als ze die oude zooi nou eens inpakken
opbergen of weg pleuren. Kunnen er betere protocolen onstaan met de
nieuwe kennis op het gebied van ICT beveiliging.

--------------------------------------------------------------------------------


Inhoudelijk ben ik dezelfde mening toegedaan. Maar 'profecional'...? Wel eens
gehoord van professional?

Reageer met quote Gewijzigd op: 13-03-2008 19:05

Oh he de c bleef hangen...
14-03-2008, 10:36 door Jurgeno
Ik ben het met de stelling eens.

Bij beveiliging draait het om 'harde' en 'zachte' aspecten. Uiteraard is het
essentieel om technische beveiligingsmaatregelen te treffen. Echter, door
organisatorische problemen kunnen zich ook incidenten voordoen, welke
technisch niet te beveiligen zijn. Denk hierbij aan het uitlekken van gegevens
via medewerkers.

Eerder is al gezegd dat regels toch niet worden opgevolgd. Dit is te
verwachten, wanneer medewerkers zich niet bewust zijn van eigen
verantwoordelijkheden en gevolgen daarvan. Hiervoor is alleen een
awarenessprogramma niet voldoende. Dit heeft slechts een kort effect.
Beveiliging dient onderdeel uit te maken van de cultuur en processen. Hier
dient pro-actief aan gewerkt te worden.

Wat mij betreft is voor security een perfecte afstemming tussen technische
maatregelen, cultuur, bedrijfsprocessen, leiderschap, beleid en bewustzijn
noodzakelijk.
14-03-2008, 13:12 door Anoniem
Zoals iemand al opmerkte: security doe je niet voor
security, maar om het bedrijf goed te laten functioneren. Je
kan dat iets specifieker maken, je probeert de risico's
binnen het bedrijf(sproces) te onderkennen, en daarop
maatregelen te baseren.

Als het risico heel laag is, en de maatregel bijv. erg duur,
zal je het risico laten bestaan (je weet wel, geen euro
uitgeven om 50 cent te beschermen). Als het risico hoog is
(kans maal impact) en de maatregelen eenvoudig en goedkoop,
ga je die maatregelen nemen. Of die maatregelen IT-gebaseerd
zijn, hangt ervan af.

In principe dient IT om het business proces te ondersteunen.
Hetzelfde geldt voor IT-gebaseerde security maatregelen. Ze
zijn er om de algemene maatregelen te ondersteunen of te
versterken.
Kortom, het hangt af van de aard van de te nemen maatregelen
in hoeverre IT-security daar een rol in speelt.
14-03-2008, 14:38 door Anoniem
Door Anoniem
Zoals iemand al opmerkte: security doe je niet voor
security, maar om het bedrijf goed te laten functioneren. Je
kan dat iets specifieker maken, je probeert de risico's
binnen het bedrijf(sproces) te onderkennen, en daarop
maatregelen te baseren.

Als het risico heel laag is, en de maatregel bijv. erg duur,
zal je het risico laten bestaan (je weet wel, geen euro
uitgeven om 50 cent te beschermen). Als het risico hoog is
(kans maal impact) en de maatregelen eenvoudig en goedkoop,
ga je die maatregelen nemen. Of die maatregelen IT-gebaseerd
zijn, hangt ervan af.

In principe dient IT om het business proces te ondersteunen.
Hetzelfde geldt voor IT-gebaseerde security maatregelen. Ze
zijn er om de algemene maatregelen te ondersteunen of te
versterken.
Kortom, het hangt af van de aard van de te nemen maatregelen
in hoeverre IT-security daar een rol in speelt.


Dat is allemaal mooi management bullshit bingo, want als de
hardening van je systemen niet op orde is, mist de basis van
IT secutiy .

Er zijn teveel managers en beleidsmakers bezig met security,
zonder te weten wat de juiste balans is tussen beleid,
management en operationele maatregelen.
14-03-2008, 15:44 door Anoniem
>>>
Dat is allemaal mooi management bullshit bingo, want als de
hardening van je systemen niet op orde is, mist de basis van
IT secutiy .

Er zijn teveel managers en beleidsmakers bezig met security,
zonder te weten wat de juiste balans is tussen beleid,
management en operationele maatregelen.
<<<

En omgekeerd geldt dat wanneer al die hardening helemaal
niet nodig is, je onnodig geld over de balk hebt gesmeten
met het hardenen van je systemen..
14-03-2008, 16:10 door Bitwiper
Door Anoniem
En omgekeerd geldt dat wanneer al die hardening helemaal niet nodig is, je onnodig geld over de balk hebt gesmeten met het hardenen van je systemen..
Dat geldt voor elke preventiemaatregel, ook voor het security-aware opvoeden van gebruikers, doorlichten en verbeteren van processen etc. Er zijn zat bedrijven (vooral MKB) die nauwelijks iets aan security doen en daar mee wegkomen.

Bijv. [url=http://www.hoffmannbv.nl/index.cfm/t/ICT_Security/vid/7973FD04-423B-10FA-8827D0F3D2472A01]Hoffmann B.V.[/url] lijkt een club die niet alleen naar de techniek kijkt, heeft iemand ervaring met die jongens, bijv. een workshop bij ze gedaan of ze over de vloer gehad (vooraf of achteraf)?

PS behalve dat ze adverteren op de radio en in samenwerking met [url=http://www.linuxmag.nl/nl/4137085f61440]Linux Magazine[/url] recentelijk een 'forensic challenge' hadden, weet ik niets van ze (en ben er zeker niet werkzaam of zo).
14-03-2008, 20:24 door Anoniem
Teveel???

De bedoeling van een bedrijfsnetwerk is het voor medewerkers toegankelijk
maken van gegevens en applicaties om "hun werk" te doen. Verder moet
men
primaire handelingen uit kunnen voeren, men komt daar om te werken.
Andere sh!t doe je maar thuis, whatever that may be. En dat men op het werk,
als het werk dat nodig acht, connectie met het internet moet hebben tuurlijk
moet dit dan mogelijk zijn. Maar wanneer men het netwerk niet goed genoeg
dicht gooit, en er ineens 300000 persoonsgegevens "op straat" liggen, dan
hoor je men weer klagen "BLUEW BLUEW BLABLABLA hoe is dat mogelijk
en
BLUEW BLUEW BLABLABLA" de beste stuurlui staan altijd aan wal. Nee ik
voer nog steeds een "NON COMPROMISE" within security. Ik timmer niet
alleen het netwerk dicht maar ook lekker de werkplekken met bijna DOOD
SAAIE werkplekken ... maar uhhhh, ik heb geen kaartspelletje of pinball wat ik
thuis wel heb. Ach man of vrouw, ZEIK niet en ga lekker werkloos thuis zitten je
kaartspelletje doen.
15-03-2008, 14:04 door [Account Verwijderd]
[Verwijderd]
16-03-2008, 11:21 door Anoniem
Volgens Young draait het ook om mensen en processen
en niet
alleen technologie.

En Young kent de praktijk niet. Probeer eens aan het
personeel uit te leggen waarom je email moet encrypten en
wat encryptie zowiezo is.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.