Hoe je security aan de man brengt
Er zijn twee manieren om iets te verkopen, of het product geeft de koper iets wat hij verlangt, of het voorkomt dat de koper iets krijgt wat hij niet wil, denk aan brand, fraude, inbraken of terroristische aanvallen. Mensen zijn daarom huiverig om verzekeringen af te sluiten of te investeren in security, aldus Bruce Schneier, die opmerkt dat hoe beter je de koper begrijpt, des te beter je kunt verkopen.
Schneier baseert zijn verhaal rond de Prospect theory van Daniel Kahneman en Amos Tversky, die uitlegt hoe mensen aan de hand van risico's een beslissing maken. Mensen kiezen liever voor een kleine winst die zeker is, dan voor een grote onzekere winst. Als het gaat om verliezen, dan is het juist omgedraaid. Dan kiest de meerderheid voor een groter verlies dat onzeker is, dan voor een kleiner, maar zeker verlies.
De Prospect Theory verklaart waarom security zo lastig aan de man te brengen is. Het is een keuze tussen een zeker verlies, de kosten voor de beveiligingssoftware of appliance, en het mogelijke grotere verlies als gevolg van een succesvolle aanval op het netwerk. Kopers nemen liever het risico dat de aanval niet plaatsvindt, dan dat ze moeten investeren, want dat geld zijn ze zeker kwijt.
Angst verkoopt
Een oplossing om mensen toch zover te krijgen om producten te kopen is ze bang te maken. Angst is een primaire emotie die verder gaat en ouder is dan de afweging die mensen bij een aanschaf maken. Als mensen echt bang zijn, doen ze bijna alles om dat gevoel kwijt te raken. "Hoewel dit effectief is, is angst zaaien onethisch. Het is een betere oplossing om security niet direct te verkopen, maar onder te brengen in een meer algemene dienst of product. Je auto komt bijvoorbeeld met ingebouwde veiligheid," zegt Schneier.
"Security draait om het voorkomen van het negatieve dus je kunt nooit het menselijke vooroordeel dat zo diep geworteld is negeren. Maar als je het begrijpt, heb je meer kans om het te overwinnen."
Schrijf een goed artikeltje voor security.nl waarin je een security dilemma
uiteenzet, en voeg daar een link aan toe naar je product wat een oplossing
zou kunnen leveren voor het beschreven probleem ?
(Wij van WC-eend.....)
;-)
dat ze geinfecteerd of gehackt zijn indien dat het geval is. Veel mensen
hebben domweg niet door dat het niet draaien van beveiliginggssoftware op
systemen waar men mee bankiert of produkten mee aanschaft hetzelfde is als
je pincode met je pas op buitendeur plakken... Voor wie het maar wil
gebruiken...
Verplichte afname.
En vanuit de overheid moeten ze dit bekrachtigen ,... dus niet gaan praten over
minimale beveiligingen..want iets vager dan dat is er niet.
Een goede definitie van de maatregelen die elk bedrijf moet nemen en
sancties als ze het niet doen.
Dan zijn we eindelijk van die keuzes af, het blijft toch zo sterk als de zwakste
schakel.
Maar ja de overheid laat zelf ook behoorlijke veren dus wat mij betreft mag er
een commissie van wijze koppen zich hierover buigen en dat wettelijk laten
vastleggen.
Zijn we hopelijk van een groot deel af van dat gezeur met die security
budgetten. Uberhaupt raar dat dit apart gepositioneerd wordt.
Het gaat ten alle tijde om ...ja ja ja beschikbaarheid...en vul maar aan...
Security moet gewoon geen keuze zijn in de ITC het moet er gewoon bij zitten.
Verplichte afname.
producten? Dan moeten vendors via aanbestedingen het monopolie op de
nederlandse markt krijgen?
onmogelijk maken. Maar waarom wordt het niet eens omgedraaid ? Door het
juist implementeren van beveiligingsmaatregelen worden zaken juist wél
mogelijk. Laten we daar eens de nadruk op gaan leggen....
security niet enkel ICT omvat. Mijns inziens moet je het
naast de technologische oplossingen ook hebben over security
awareness. Veel bedrijven zien hiervan echter (nog) niet de
noodzaak in omdat ze incident-driven handelen. Security
awareness gaat meer over het voorkomen dan genezen.
Dilemma: omdat bedrijven incident-driven handelen moet er
eerst een incident zijn voordat je als leverancier je
expertise kan komen tonen. Je zou dus eigenlijk eerst een
audit moeten uitvoeren waardoor de zwakheden aan het licht
komen (angst) maar voordat je deze audit mag uitvoeren moet
er vertrouwen zijn, veel vertrouwen. Bedrijven laten je niet
zomaar hun 'vuile was' blootleggen en hun bedrijfsgeheime
gegevens achterhalen, ongeacht de juridische kracht van een NDA.
Lastig...
Security moet gewoon geen keuze zijn in de ITC het moet er gewoon bij zitten.
Verplichte afname.
producten? Dan moeten vendors via aanbestedingen het monopolie op de
nederlandse markt krijgen?
Nope geen produktkeuze, maar ik stel voor dat er een set van concrete
functionele eisen wordt gedefinieerd.
Wellicht had ik dit beter moeten toelichten. Alles is beter dan de
eise "minimale beveiliging"
Daarom een commissie van wijze heren.
zitten. Verplichte afname."
Security is geen produkt maar een proces. En je hebt slechte security,
middelmatige security, en goede security. Wat wil jij nou eigenlijk verplicht
maken ?
Het aanschaffen van bepaalde produkten, het voldoen aan bepaalde
compliancy regels, het rapporteren van beveiligingsincidenten ?
"Security verplicht maken" is een beetje een loze kreet.
door bangmakerij of door het op te dringen in een set
maatregels. De methode die ik al jaren succesvol toepas, is
de volgende.
Projecten waar ik in adviseer krijgen informatiebeveiliging
standaard ingebouwd. Niet naderhand toegevoegd, maar gewoon
vanaf het functioneel ontwerp en technisch ontwerp mee
ontwikkeld. Dit is maatwerk, maar vergt slechts echte
inspanning aan het begin van het project. Gedurende de
doorlooptijd komen nog wel ad hoc vragen naar voren, maar
het zware werk is in de ontwerpfase al verzet.
Mijn andere successen haal ik door informatiebeveiliging te
verkopen als een upgrade van bestaande pakketten. Dat kan
door revisie, aanpassing en/of actualisering van het
product, zoals een werkplek upgrade. Ook nieuwe server
platformversies e.d. worden op dezelfde wijze als hierboven
beschreven uitgevoerd. Steeds vraag ik aan de business wat
de echte functionele eisen zijn en laat dan de technische
mensen uitzoeken hoe dit op een veilige, betrouwbare en goed
beheerbare wijze kan worden geïmplementeerd.
Uiteindelijk haal ik met eenvoudige middelen, zonder alle
beheerders tegen mij in het harnas te jagen steeds goede
security resultaten, terwijl zelfs de gebruikers (over het
algemeen) tevreden zijn.
FUD (Fear, Uncertainty and Doubt) verspreiden werkt goed, op
de korte termijn. Als de voorspelde rampen niet plaatsvinden
komen de gebruikers toch bij je langs om te klagen over de
lomp en onbezonnen doorgevoerde beveiligingsmaatregelen. Dat
is natuurlijk allemaal minder van belang als je een
gerenommeerde dozenschuiver bent - het enige wat je dan
hoeft te doen is te wijzen op de upgrade naar versie 1.1,
beter te gebruiken, veiliger maar wel een stukje duurder ....
Security is geen produkt maar een proces.
"Security verplicht maken" is een beetje een loze kreet.
Security is geen product maar een proces is zélf ook een beetje loze kreet,
hoor.
....vanaf het functioneel ontwerp en technisch ontwerp mee
ontwikkeld. Dit is maatwerk, maar vergt slechts echte
inspanning aan het begin van het project. ...
... te verkopen als een upgrade van bestaande pakketten. Dat kan
door revisie, aanpassing en/of actualisering van het
product, zoals een werkplek upgrade. Ook nieuwe server
platformversies e.d. worden op dezelfde wijze als hierboven
beschreven uitgevoerd.
Hierbij ga je er echter vanuit dat security puur iets
technisch is, een systeem / upgrade / infrastructuur en
daardoor laat je de menselijke factor buiten beschouwing. Als
je security awareness zou meenemen in een project als
'standaard onderdeel' dan zou je project (als je het goed
wilt doen) niet meer rendabel zijn. Vooral niet als de klant
er niet om gevraagd heeft en je het min of meer 'standaard'
of 'voor eigen rekening' doet..
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
