image

Hoe leg je IT-security uit zonder kasteel?

dinsdag 1 april 2008, 16:53 door Redactie, 8 reacties

Vroeger was IT-security nog eenvoudig. Je had het bedrijfsnetwerk met vertrouwelijke gegevens en daaromheen een dikke muur om aanvallers af te weren, net als bij een kasteel. De analogie werd tot in den treuren gebruikt om niet-technische mensen informatiebeveiliging uit te leggen. Het kasteel volstaat echter niet meer in een tijd waarbij data "on the move" is en zich overal bevindt. Sterker nog, data bevindt zich vaker buiten de muren dan er binnen. En wat te denken van het feit dat de boeren/insiders een groter risico dan de aanvallers van buiten vormen?

Daarnaast is er vandaag de dag niet één, maar meerdere koningen, tenslotte heeft iedereen wat te beschermen, en kunnen personen meerdere identiteiten hebben. De kasteel metafoor is daarom aan vervanging toe, iets wat wel wordt bewezen door het feit dat de "security boodschap" bij veel managers en bestuurders niet aankomt.

Forrester analist Thomas Raschke vraagt zich dan ook af of IT'ers niet moeten proberen zich beter uit te drukken. "Zijn een niet-technische taal, eenvoudige woorden en een context voldoende om onze boodschap over te brengen? Is het een combinatie van communicatie en analogieën? Of komt het uiteindelijk allemaal neer op K.I.S.S.?"

Reacties (8)
01-04-2008, 18:06 door [Account Verwijderd]
[Verwijderd]
01-04-2008, 22:04 door Anoniem
Ik denk dat je het beter kunt uitleggen met het voorbeeld van een hotel.

Bij de buitendeur een portier (firewall) en daarna netjes alle kamers (pc's) op
slot (virusscanner ed.).
Dat is iets waar mensen zich iets bij kunnen voorstellen.
01-04-2008, 22:41 door [Account Verwijderd]
[Verwijderd]
01-04-2008, 23:12 door Anoniem
Wat te denken van het vervangen van de kasteel analogie door
die van een hotel? Die zienswijze van
beveilingsarchitecturen is toch hopelijk niet nieuw voor de
meeste lezers hier?!

Het idee van een hotel is dat:
- minder sterke beveiliging aan de grenzen zit
- niet alleen dreigingen van buitenaf worden onderkent, maar
ook juist van binnenuit
- er meer sprake is van servicegerichtheid
- informatie groepsgewijs beveiligd is. Niet bepaald door
een centrale autoriteit, maar door de eigenaar.
Dit concept sluit bijvoorbeeld ook veel beter aan bij de
beveilingsvraagstukken rondom SOA's.

De nieuwste analogie is die van een tank: sterke beveiliging
van (individuele) brongegevens, ook tijdens transport. Denk
over dit concept maar eens na! :) (bij mij is dit nog niet
uitgekristalliseerd...)
01-04-2008, 23:41 door Peter K
Vergelijk informatie met ondergoed. Je neemt het altijd mee, je leent het nooit
uit, je laat het nooit zien, je wast het altijd goed(ondanks dat het nooit vuil
wordt :-) en je trek het alleen uit in een beschermde omgeving.
02-04-2008, 13:06 door meneer
Goeie genade, hebben die consultants nooit gehoord van het
[url=http://www.opengroup.org/jericho/]Jericho forum[/url]?
02-04-2008, 20:54 door e.r.
Ik heb serieus nog nooit gehoord van de kasteel analogie...
02-04-2008, 23:24 door Anoniem
Door meneer
Goeie genade, hebben die consultants nooit gehoord van het
[url=http://www.opengroup.org/jericho/]Jericho
forum[/url]?

Inderdaad 'the place to be' wat dit onderwerp betreft.
Vergeten te noemen in mijn reactie @23:12
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.