Archief - De topics van lang geleden

Echte security professionals maken zichzelf overbodig

26-11-2007, 14:31 door Redactie, 19 reacties

"Geef een man een vis en je voedt hem voor een dag. Leer een man hoe hij moet vissen en je voedt hem zijn leven lang", iets wat zeker geldt voor informatiebeveiliging. Teveel trainingen en bewustzijnscursussen richten zich alleen op de antwoorden, zonder uit te leggen hoe men tot het antwoord komt. "Als je mensen het principe voor het oplossen van het probleem uitlegt, in plaats van een tijdelijke oplossing te bieden, geef je ze de mogelijkheid om zichzelf te verbeteren", zegt beveiligingsspecialist Chad Perrin.

Beveiliging kun je dan ook niet automatiseren. Dat geldt zeker voor systemen die gebruikersinteractie proberen weg te automatiseren zonder de gebruiker te leren wat er precies gaande is en waarom. Als je de eindgebruiker de principes niet leert, maar juist probeert te verbergen hoe dingen werken, dan zorg je er gewoon voor dat de eindgebruiker vroeger of laat in de problemen komt, of je dit nu wilde of niet.

Sommige mensen zien dit als "job security" of als een vast gegeven vanwege de staat waarin IT-security zich bevindt, maar dat zijn geen echte IT'ers. "Als je een IT security consultant bent, en je helpt je klanten niet hoe ze met je diensten om moeten gaan, doe je eigenlijk niet je werk", aldus Perrin. De stelling van deze week luidt daarom: Het doel van een echte security professional is zichzelf overbodig maken.

Russiche haard spam

Piraten van internet afgesloten...

Reacties (19)

26-11-2007, 14:49 door Anoniem

Helemaal mee eens, dat zou de theorie van het principe
moeten zijn aangezien het in de praktijk natuurlijk nooit
helemaal te verwezenlijken is.
Ik pleit dan ook al geruime tijd voor structurele
voorlichting, desnoods in de vorm van een Internet rijbewijs.

26-11-2007, 14:53 door Anoniem

Zelfs in Star Trek deed men nog aan gegevens en systeem
audit's, dus mogen we aannemen dat het overbodig worden van
professionals niet zo een vaart zal lopen.

IT Security = Science Fictie, beveiliging gebaseerd op
fictieve aanvallen (de audit).

26-11-2007, 14:56 door awesselius

Het is afhankelijk wie dat doel heeft bepaald. Ik zou het
mezelf geen doel maken als ik een security professional zou
zijn. Je kunt het wel als ideaal gebruiken, want die zijn
meestal toch niet te bereiken.

Het is ook aan de gebruikers die je moet instrueren in
hoeverre ze jouw beleid en/of aanwijzingen ter harte nemen.
Een heleboel mensen denken namelijk bij zichzelf: "Waarom
zou ik al die dingen moeten onthouden? Daar heb ik helemaal
geen zin. En als het mis gaat, dan heb ik Sjaak Security
nog, die weet wel hoe ik dat en dat moet oplossen.". Ze
schuiven dus de verantwoordelijkheid van zich af.

En zolang dat gebeurd, blijf je security professionals
houden. Maar dat is niet alleen in de ICT. Zonder het
afschuiven van verantwoordelijkheden zouden we geen
criminaliteit kennen.

- Unomi -

26-11-2007, 15:53 door Anoniem

Helemaal mee eens. Je bent een soort missionaris die het geloof
verkondigt zonder iedereen elke *dag naar je kerk te laten komen.

Je brengt mensen iets bij, helpt ze op weg, leert ze het in stand houden.

26-11-2007, 16:58 door Anoniem

elke consultant dient zichzelf overbodig te maken
elke medewerker dient zichzelf voor 100% in te zetten voor
de rest van zijn leven/contract

26-11-2007, 18:19 door Anoniem

Natuurlijk. Het geldt voor iedere verlener van diensten, en
ook voor heel veel leveranciers van producten. Maar
aangezien niemand zichzelf overbodig wil maken, wordt er
iedere keer iets nieuws verzonnen waarmee nieuwe
onmisbaarheid gecreëerd wordt. Heet dat niet economie?

26-11-2007, 18:29 door Anoniem

Als een consultant een dominee is die een geloof uit moet dragen, kan
deze zich overbodig maken, als de boodschap overgekomen is tot zover
die ooit zal kunnen overkomen. Sterker, dit soort consultants is al
overbodig. Zo lang er nieuwe technologiën uitkomen, nieuwe
medewerkers in dienst komen en dergelijke, zal er werk zijn voor
consultants die geen oplossingen prediken of 'implementeren', maar
gewoon oplossen. Nieuwe problemen blijven immers.

26-11-2007, 19:11 door Anoniem

Geef een man een wachtwoord en hij komt op een systeem.
Leer hem te hacken en hij komt op elk systeem.

26-11-2007, 20:27 door Anoniem

Als je een consultant bent van een specifieke klant, bijv.
een bedrijf, is dit een goed streven, aangezien daar iets te
managen valt. Door het management bepaalde security
beginselen duidelijk te maken, en het duidelijk te maken dat
herhaling van de boodschap nodig is, moet het mogelijk te
zijn iets te bereiken binnen het bedrijf.

Echter, het grote publiek (thuis) kun je op deze manier niet
bereiken. Als mensen voor de basis beveiliging zelf moeten
zorgen, wordt het voor veel mensen al moeilijk. Als ze dan
ook nog moeten denken aan alle overige bedreigingen waar ze
zelf op moeten letten, wordt het alleen maar moeilijker.
Zeker bij mensen die niet dagelijks met IT te maken hebben,
kun je een aantal reacties verwachten die niet helemaal
positief zijn:

- Men neemt het heel serieus en probeert alle risico's voor
te zijn, en komt niet meer toe aan de leuke dingen, waarvoor
men eigenlijk Internet had.

- Men schiet in de stress, en durft eigenlijk het Internet
niet meer op (vooral oudere mensen waarschijnlijk)

- Men denkt "dat kan ik allemaal niet vatten" en gelooft het
verder wel. M.a.w. men doet niets meer aan beveiliging.

Welke reactie ook volgt, het is niet echt het beoogde effect.

Natuurlijk bestaan er ook andere reacties, maar het lijkt
onwaarschijnlijk dat al die miljoenen Internet gebruikers
bereikt kunnen worden met zo'n boodschap.
Dus ik zou zeggen dat het uiterst belangrijk zal zijn om
gewoon te voorkomen dat bedreigingen de gebruikers kunnen
bereiken.
Tsja, ook dan zijn we nog even bezig......

Laten we het erop houden dat we gebruikers moeten
opvoeden/opleiden, maar nooit moeten ophouden met het in
toom houden van de nieuwe bedreigingen... Misschien dat een
combinatie van beide hoop geeft op echte verbetering...

27-11-2007, 01:17 door Anoniem

Beetje zinloos, als ik je een wetboek geef, zul jij dan
nooit meer te hard rijden? Of als ik je vertel dat roken
dodelijk is, stop je dan direct met roken?
Met iemand leren hoe met security om te gaan betekent niet
direct het einde van je vakn, nee, het zorgt juist voor zijn
bestaans recht. Die arme man heeft wel leren vissen, maar
hey, ik heb viskweek ontwikkeld met waar de vissen
automatisch worden gevoed. Denk dat hij dat ook kan? Het is
ene farce om te denken dat het stopt met het overdragen van
kennis. Zelf houd ik mij al 5 jaar met security bezig en nog
steeds moet ik de vis leren vangen :)

27-11-2007, 15:54 door Anoniem

Informatiebeveiliging kun je als sec.prof alleen aan een bedrijf zelf
overlaten, wanneer de processen en verantwoordelijkheden daarvoor zijn
ingericht. Controle en zelfcontrole (al dan niet geautomatiseerd) zijn de key
woorden. Je zult het als bedrijf echter nooit zonder externe audit kunnen
stellen, wanneer je Informatiebeveiling op de agenda hebt staan.

Fishtech Sincerus

27-11-2007, 20:01 door Anoniem

Door Anoniem
Informatiebeveiliging kun je als sec.prof alleen aan een bedrijf zelf
overlaten, wanneer de processen en verantwoordelijkheden daarvoor zijn
ingericht. Controle en zelfcontrole (al dan niet geautomatiseerd) zijn de key
woorden. Je zult het als bedrijf echter nooit zonder externe audit kunnen
stellen, wanneer je Informatiebeveiling op de agenda hebt staan.

Fishtech Sincerus

Oh Wauw. Auditors zijn onmisbaar. Onkreukbaar, onfeilbaar.
Verantwoordelijkheden toewijzen leidt er tevens toe dat mensen precies
weten wat ze moeten doen. Adequaat optreden alom. Schiphol bajes of
Enron anyone?

27-11-2007, 20:25 door Anoniem

29-11-2007, 09:45 door Anoniem

"Echte security professionals maken zichzelf overbodig"

Ja want als jij de (klant) omgeving goed heb ingericht en al je gebruikers
hebt geinstrueerd dan valt er nooit meer iemand aan en er wijzigt nooit
meer iets in het netwerk.

/sarcasme uit.

De titel zou moeten lezen "Echte security Consultants maken zichzelf
overbodig"

M.

29-11-2007, 12:53 door d4mn

Beter is:

DE BESTE SECURITY PROFS MAKEN DE MINDER GOEIE OVERBODIG ;)

29-11-2007, 13:06 door [Account Verwijderd]

[Verwijderd]

29-11-2007, 14:13 door Anoniem

Eigenlijk beweer je dan dat 100% security bestaat ... wat er
dus *niet* is ... en ik dus ook niet overbodig ben.

30-11-2007, 15:19 door Anoniem

"Een echte security professional gaat er altijd van uit dat
de eindgebruiker een digibeet, computercrimineel of ander
gespuis is."

Een echte security professional gaat er vanuit dat die mogelijkheid
bestaat, zonder dat hij daarbij aan overmatige paranoia gaat lijden. Je gaat
er vanuit dat men te vertrouwen is, maar houdt rekening met de kans
dat het tegendeel waar blijkt te zijn ;)

08-12-2007, 10:19 door [Account Verwijderd]

[Verwijderd]

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Pick one:

Advertentie

Specialiseer je in Forensisch ICT

Online informatieavond 19 november

Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:

Bachelor Informatica Forensisch ICT (deeltijd)
Master Digital Forensics (vol- en deeltijd)
Module Mobile Forensics
Module Data Analytics

Interesse? Meld je aan!

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

31 reacties

Lees meer