Hoe leg je IT-security uit zonder kasteel?
Vroeger was IT-security nog eenvoudig. Je had het bedrijfsnetwerk met vertrouwelijke gegevens en daaromheen een dikke muur om aanvallers af te weren, net als bij een kasteel. De analogie werd tot in den treuren gebruikt om niet-technische mensen informatiebeveiliging uit te leggen. Het kasteel volstaat echter niet meer in een tijd waarbij data "on the move" is en zich overal bevindt. Sterker nog, data bevindt zich vaker buiten de muren dan er binnen. En wat te denken van het feit dat de boeren/insiders een groter risico dan de aanvallers van buiten vormen?
Daarnaast is er vandaag de dag niet één, maar meerdere koningen, tenslotte heeft iedereen wat te beschermen, en kunnen personen meerdere identiteiten hebben. De kasteel metafoor is daarom aan vervanging toe, iets wat wel wordt bewezen door het feit dat de "security boodschap" bij veel managers en bestuurders niet aankomt.
Forrester analist Thomas Raschke vraagt zich dan ook af of IT'ers niet moeten proberen zich beter uit te drukken. "Zijn een niet-technische taal, eenvoudige woorden en een context voldoende om onze boodschap over te brengen? Is het een combinatie van communicatie en analogieën? Of komt het uiteindelijk allemaal neer op K.I.S.S.?"
Bij de buitendeur een portier (firewall) en daarna netjes alle kamers (pc's) op
slot (virusscanner ed.).
Dat is iets waar mensen zich iets bij kunnen voorstellen.
die van een hotel? Die zienswijze van
beveilingsarchitecturen is toch hopelijk niet nieuw voor de
meeste lezers hier?!
Het idee van een hotel is dat:
- minder sterke beveiliging aan de grenzen zit
- niet alleen dreigingen van buitenaf worden onderkent, maar
ook juist van binnenuit
- er meer sprake is van servicegerichtheid
- informatie groepsgewijs beveiligd is. Niet bepaald door
een centrale autoriteit, maar door de eigenaar.
Dit concept sluit bijvoorbeeld ook veel beter aan bij de
beveilingsvraagstukken rondom SOA's.
De nieuwste analogie is die van een tank: sterke beveiliging
van (individuele) brongegevens, ook tijdens transport. Denk
over dit concept maar eens na! :) (bij mij is dit nog niet
uitgekristalliseerd...)
uit, je laat het nooit zien, je wast het altijd goed(ondanks dat het nooit vuil
wordt :-) en je trek het alleen uit in een beschermde omgeving.
[url=http://www.opengroup.org/jericho/]Jericho forum[/url]?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
