Security Professionals
- ipfw add deny all from eindgebruikers to any
Tips voor opzetten beveiligingsbeleid
06-04-2009, 10:19 door Anoniem, 30 reacties
Hoi allemaal. Omdat ik bij mijn bedrijf de meeste ervaring heb met IT beveiliging, heeft de directeur mij gevraag om Security Officer te zijn voor het bedrijf. Mijn IT beveiligingservaring ligt vooral op het technische vlak. Mijn ervaring met een beveiligingsbeleid is vooral het controleren ervan: kijken of het in de praktijk ook wordt uitgevoerd en nageleefd. Het maken van een beleid voor het bedrijf waar ik nu werk is dus nieuw voor me.
Ik heb de praktijkgids voor CvIB van EJ Oud en de checklist om mee te beginnen. De vraag aan jullie is om me wat tips te geven over hoe ik kan leren een beleid te maken. Ik weet dat het maken van een goed security beleid een vak apart is, maar het bedrijf waarvoor ik werk is slechts 30 man groot. Het hoeft dus geen super uitgebreid en ingewikkeld beleid te zijn. Maar gezien het feit dat het bedrijf wel groeit (ja, zelfs in deze tijd), wil ik wel een goed begin maken. Zijn er misschien templates die ik als basis kan gebruiken?
Ik heb de praktijkgids voor CvIB van EJ Oud en de checklist om mee te beginnen. De vraag aan jullie is om me wat tips te geven over hoe ik kan leren een beleid te maken. Ik weet dat het maken van een goed security beleid een vak apart is, maar het bedrijf waarvoor ik werk is slechts 30 man groot. Het hoeft dus geen super uitgebreid en ingewikkeld beleid te zijn. Maar gezien het feit dat het bedrijf wel groeit (ja, zelfs in deze tijd), wil ik wel een goed begin maken. Zijn er misschien templates die ik als basis kan gebruiken?
Reacties (30)
06-04-2009, 11:35 door
root
Je bestelt de ISO 27002 op nen.nl en je leest hem door. Dan ga je het licht zien en weet je precies wat je te doen staat.
Op internet vind je diverse voorbeelden, maar eigenlijk zijn ze allemaal gebaseerd op een oudere versie, de code voor informatiebeveiliging (17799). Als je zelf wat gaat maken, dan heb je ook veel beter inzicht in wat belangrijk is en wat niet.
Op internet vind je diverse voorbeelden, maar eigenlijk zijn ze allemaal gebaseerd op een oudere versie, de code voor informatiebeveiliging (17799). Als je zelf wat gaat maken, dan heb je ook veel beter inzicht in wat belangrijk is en wat niet.
Information Security Policies Made Easy
http://www.informationshield.com/ispmemain.htm
http://www.informationshield.com/ispmemain.htm
06-04-2009, 11:39 door
ScaryBarry
Ik ben zelf net begonnen met meer hier over te lezen. Het boek "Informatie beveiliging onder controle" is een duidelijk boek om je meer richting te geven.
Had Security.nl niet een video serie over CVIB? Staat die nog online?
06-04-2009, 12:11 door
MAO2008
Je kunt ook een kleine investering doen en de basis check door een bedrijf dat al ervaring heeft in dit soort zaken laten doen. Scheelt je een hoop uitzoekwerk (lees verborgen kosten) en je hebt een mooie basis om te starten.
root, ik heb ISO 27002 PDF-jes uit 2000. Is die nog prima of toch maar de 2005 of 2007 versie nemen?
Door Anoniemroot, ik heb ISO 27002 PDF-jes uit 2000. Is die nog prima of toch maar de 2005 of 2007 versie nemen?
Wil je gecertificeerd worden of het gewoon als richtlijn gebruiken? In het eerste geval de 2007 versie kopen(!) en in het tweede geval is de 2000 versie prima bruikbaar.
06-04-2009, 13:35 door
root
Ik zou gewoon de nieuwste nemen.
Probeer eerst te bepalen wat belangrijk voor je organisatie is, i.p.v. meteen een document op te stellen wat niemand waarschijnlijk gaat lezen. Betrek hier zoveel mogelijk mensen, zodat ze het in ieder geval eens zijn waar de urgentie ligt.
Dit is denk ik ook wel een goede bron voor IB http://www.zbc.nu
Succes,
Robert
Succes,
Robert
06-04-2009, 16:34 door
Bladie
Ik weet niet hoe groot je bedrijf is maar bedenk dat het verstandiger is om "de belangrijkste" maatregelen uit de ISO-normen eerst te doen dan de gehele norm invoeren. Dat laatste geeft je de komende 15 jaar toch wel voldoende te doen. Zorg ervoor dat de maatregelen hanteerbaar zijn voor de mensen in je bedrijf. Aan Beleid dat niemand snapt en daardoor niet gebruikt heeft niemand wat en is zinloos. Beter om (zeg) 25 punten die iedereen snapt (en daardoor kan toepassen) eruit te lichten i.p.v. de volledige 170+ (?) uit de ISO-norm.
Met alle respect
Met alle respect maar informatie beveiliging is een vak en niet iets dat je gewoon even doet. Ook al zou je ervoor kiezen om ISO te gebruiken zul je moeten beseffen dat dit slechts een raamwerk is. Vakkennis is nodig om bij elke zogenaamde ‘control’ de 5 w’s (wie, wat, wanneer, waarom, waarmee) te bepalen. Ook wordt heel erg de nadruk gelegd op de Beschikbaarheid, de Betrouwbaarheid, en de Vertrouwelijkheid van informatie en je beveiliging zal daar op ingericht moeten worden.
Dit is dan ook het makkelijke deel. Echt moeilijk wordt het pas als je het je je plan aan de organisatie gaat verkopen.
Door AnoniemHoi allemaal. Omdat ik bij mijn bedrijf de meeste ervaring heb met IT beveiliging, heeft de directeur mij gevraag om Security Officer te zijn voor het bedrijf. Mijn IT beveiligingservaring ligt vooral op het technische vlak. Mijn ervaring met een beveiligingsbeleid is vooral het controleren ervan: kijken of het in de praktijk ook wordt uitgevoerd en nageleefd. Het maken van een beleid voor het bedrijf waar ik nu werk is dus nieuw voor me.
Ik heb de praktijkgids voor CvIB van EJ Oud en de checklist om mee te beginnen. De vraag aan jullie is om me wat tips te geven over hoe ik kan leren een beleid te maken. Ik weet dat het maken van een goed security beleid een vak apart is, maar het bedrijf waarvoor ik werk is slechts 30 man groot. Het hoeft dus geen super uitgebreid en ingewikkeld beleid te zijn. Maar gezien het feit dat het bedrijf wel groeit (ja, zelfs in deze tijd), wil ik wel een goed begin maken. Zijn er misschien templates die ik als basis kan gebruiken?
Ik heb de praktijkgids voor CvIB van EJ Oud en de checklist om mee te beginnen. De vraag aan jullie is om me wat tips te geven over hoe ik kan leren een beleid te maken. Ik weet dat het maken van een goed security beleid een vak apart is, maar het bedrijf waarvoor ik werk is slechts 30 man groot. Het hoeft dus geen super uitgebreid en ingewikkeld beleid te zijn. Maar gezien het feit dat het bedrijf wel groeit (ja, zelfs in deze tijd), wil ik wel een goed begin maken. Zijn er misschien templates die ik als basis kan gebruiken?
Met alle respect maar informatie beveiliging is een vak en niet iets dat je gewoon even doet. Ook al zou je ervoor kiezen om ISO te gebruiken zul je moeten beseffen dat dit slechts een raamwerk is. Vakkennis is nodig om bij elke zogenaamde ‘control’ de 5 w’s (wie, wat, wanneer, waarom, waarmee) te bepalen. Ook wordt heel erg de nadruk gelegd op de Beschikbaarheid, de Betrouwbaarheid, en de Vertrouwelijkheid van informatie en je beveiliging zal daar op ingericht moeten worden.
Dit is dan ook het makkelijke deel. Echt moeilijk wordt het pas als je het je je plan aan de organisatie gaat verkopen.
hier kun je een presentatie downloaden over de NEN 7510:
http://www.kennisportal.com/main.asp?ChapterID=3581
het staat wel in een "afgeschermd gedeelte"
maar de wachtwoorden staan in het client site script en worden met javascript gecontroleerd
http://www.kennisportal.com/main.asp?ChapterID=3581
het staat wel in een "afgeschermd gedeelte"
maar de wachtwoorden staan in het client site script en worden met javascript gecontroleerd
Ook wordt heel erg de nadruk gelegd op de Beschikbaarheid, de Betrouwbaarheid, en de Vertrouwelijkheid van informatie en je beveiliging zal daar op ingericht moeten worden.
Beschikbaarheid, betrouwbaarheid en vertrouwelijkheid? Klok, klepel?
Beveiliging handelt veelal over het kwaliteitsaspect betrouwbaarheid en valt als zodanig uiteen in 3 deelgebieden; beschikbaarheid, integriteit en vertrouwelijkheid
Als je iemand iets wilt bijbrengen, vertel dan svp wel het juiste en schotel 'm geen onzin voor.
"maar de wachtwoorden staan in het client site script en worden met javascript gecontroleerd"
En dat is dus een goed voorbeeld van hoe het niet moet! :D
En dat is dus een goed voorbeeld van hoe het niet moet! :D
Door Anoniem
Beschikbaarheid, betrouwbaarheid en vertrouwelijkheid? Klok, klepel?
Beveiliging handelt veelal over het kwaliteitsaspect betrouwbaarheid en valt als zodanig uiteen in 3 deelgebieden; beschikbaarheid, integriteit en vertrouwelijkheid
Als je iemand iets wilt bijbrengen, vertel dan svp wel het juiste en schotel 'm geen onzin voor.
Bedankt voor deze, uiterst constructieve, goed doordachte en positieve terugkoppeling. Ik denk dat dit inderdaad helpt. Ook wordt heel erg de nadruk gelegd op de Beschikbaarheid, de Betrouwbaarheid, en de Vertrouwelijkheid van informatie en je beveiliging zal daar op ingericht moeten worden.
Beschikbaarheid, betrouwbaarheid en vertrouwelijkheid? Klok, klepel?
Beveiliging handelt veelal over het kwaliteitsaspect betrouwbaarheid en valt als zodanig uiteen in 3 deelgebieden; beschikbaarheid, integriteit en vertrouwelijkheid
Als je iemand iets wilt bijbrengen, vertel dan svp wel het juiste en schotel 'm geen onzin voor.
Door Anoniem
Beschikbaarheid, betrouwbaarheid en vertrouwelijkheid? Klok, klepel?
Beveiliging handelt veelal over het kwaliteitsaspect betrouwbaarheid en valt als zodanig uiteen in 3 deelgebieden; beschikbaarheid, integriteit en vertrouwelijkheid
Als je iemand iets wilt bijbrengen, vertel dan svp wel het juiste en schotel 'm geen onzin voor.
Ook wordt heel erg de nadruk gelegd op de Beschikbaarheid, de Betrouwbaarheid, en de Vertrouwelijkheid van informatie en je beveiliging zal daar op ingericht moeten worden.
Beschikbaarheid, betrouwbaarheid en vertrouwelijkheid? Klok, klepel?
Beveiliging handelt veelal over het kwaliteitsaspect betrouwbaarheid en valt als zodanig uiteen in 3 deelgebieden; beschikbaarheid, integriteit en vertrouwelijkheid
Als je iemand iets wilt bijbrengen, vertel dan svp wel het juiste en schotel 'm geen onzin voor.
Hahaha, je loopt waarschijnlijk zelf ook nog met de klepel in de hand naar de klok te staren.
Door Anoniemhier kun je een presentatie downloaden over de NEN 7510:
http://www.kennisportal.com/main.asp?ChapterID=3581
het staat wel in een "afgeschermd gedeelte"
maar de wachtwoorden staan in het client site script en worden met javascript gecontroleerd
Redactie, deze reactie kan echt niet.http://www.kennisportal.com/main.asp?ChapterID=3581
het staat wel in een "afgeschermd gedeelte"
maar de wachtwoorden staan in het client site script en worden met javascript gecontroleerd
Op een security website oproepen een beveiligingsmaatregel te omzeilen is misschien niet strafbaar, maar wel laakbaar.
Door Anoniem
Op een security website oproepen een beveiligingsmaatregel te omzeilen is misschien niet strafbaar, maar wel laakbaar.
Door Anoniemhier kun je een presentatie downloaden over de NEN 7510:
http://www.kennisportal.com/main.asp?ChapterID=3581
het staat wel in een "afgeschermd gedeelte"
maar de wachtwoorden staan in het client site script en worden met javascript gecontroleerd
Redactie, deze reactie kan echt niet.http://www.kennisportal.com/main.asp?ChapterID=3581
het staat wel in een "afgeschermd gedeelte"
maar de wachtwoorden staan in het client site script en worden met javascript gecontroleerd
Op een security website oproepen een beveiligingsmaatregel te omzeilen is misschien niet strafbaar, maar wel laakbaar.
Misshien moeten ze daarom zelf eens aan de beveiliging denken???
Door Anoniem:
Misshien moeten ze daarom zelf eens aan de beveiliging denken???
Er bestaat zoiets als ethiek. Door Anoniem
Op een security website oproepen een beveiligingsmaatregel te omzeilen is misschien niet strafbaar, maar wel laakbaar.
Door Anoniemhier kun je een presentatie downloaden over de NEN 7510:
http://www.kennisportal.com/main.asp?ChapterID=3581
het staat wel in een "afgeschermd gedeelte"
maar de wachtwoorden staan in het client site script en worden met javascript gecontroleerd
Redactie, deze reactie kan echt niet.http://www.kennisportal.com/main.asp?ChapterID=3581
het staat wel in een "afgeschermd gedeelte"
maar de wachtwoorden staan in het client site script en worden met javascript gecontroleerd
Op een security website oproepen een beveiligingsmaatregel te omzeilen is misschien niet strafbaar, maar wel laakbaar.
Misshien moeten ze daarom zelf eens aan de beveiliging denken???
De vragensteller verwijzen naar een bron die niet publiek toegankelijk is en waarvoor een beveiligingsmaatregel doorbroken moet worden is niet ethisch. (hoe knullig die beveiligingsmaatregel ook mag zijn). De vragensteller werkt gewoon voor een bedrijf en kan via dat bedrijf alle informatie krigen die hij nodig heeft. Gewoon een kwestie van het NNI bellen of mailen.
Maar jouw instelling spreekt boekdelen.
Overigens zou ik al sik jou was nog maar eens kijken naar het CISSP examen. Mocht je dat ooit willen halen, dan zul je ook een code of ethics moeten ondertekenen. Mocht je CISSP hebben, dan wil ik graag je nummer even.
08-04-2009, 11:39 door
root
Beschikbaarheid, betrouwbaarheid en vertrouwelijkheid? Klok, klepel?
Beveiliging handelt veelal over het kwaliteitsaspect betrouwbaarheid en valt als zodanig uiteen in 3 deelgebieden; beschikbaarheid, integriteit en vertrouwelijkheid
08-04-2009, 11:42 door
root
Door Anoniem: hier kun je een presentatie downloaden over de NEN 7510:
http://www.kennisportal.com/main.asp?ChapterID=3581
het staat wel in een "afgeschermd gedeelte"
maar de wachtwoorden staan in het client site script en worden met javascript gecontroleerd
De NEN7510 is een gestripte versie van de verouderde 17799. Niet aan beginnen.http://www.kennisportal.com/main.asp?ChapterID=3581
het staat wel in een "afgeschermd gedeelte"
maar de wachtwoorden staan in het client site script en worden met javascript gecontroleerd
08-04-2009, 16:15 door
[Account Verwijderd]
[Verwijderd]
Door Hugo: Het is Beschikbaarheid, Vertrouwelijkheid en Deugdelijkheid (ezelsbruggetje: BVD)
of Confidelity, Integrity, Availibility (ezelsbruggetje: CIA)
kunnen we die zinloze discussie en nare aftroefpogingen staken.
of Confidelity, Integrity, Availibility (ezelsbruggetje: CIA)
kunnen we die zinloze discussie en nare aftroefpogingen staken.
Ja hoor, ik heb toch de grootste ;)
Zo min mogelijk beveiliging is de beste beveiliging. Duurt even voordat je in de praktijk begrijpt wat er mee wordt bedoeld maar je haalt er wel een boel foutieve aannames mee onderuit.
Eddee
Eddee
15-05-2009, 19:45 door
HyperVisor
Dit is gedoemd te gaan mislukken.
Het beste antwoord/advies dat je je directeur kan geven is dat hij hiervoor specialisten moet gaan inhuren.
Een Security Policy bestaat uit een Governing Policy waar onder Technical Policies, End-User policies en eveneens Standards, Guidelines en Procedures hangen. En er is geen one-size-fits-all.
Key word: business needs
Mijn advies: terug geven die opdracht. Je kunt alleen maar je vingers branden.
Het beste antwoord/advies dat je je directeur kan geven is dat hij hiervoor specialisten moet gaan inhuren.
Een Security Policy bestaat uit een Governing Policy waar onder Technical Policies, End-User policies en eveneens Standards, Guidelines en Procedures hangen. En er is geen one-size-fits-all.
Key word: business needs
Mijn advies: terug geven die opdracht. Je kunt alleen maar je vingers branden.
15-05-2009, 20:02 door
HyperVisor
Dit is gedoemd te gaan mislukken.
Het beste antwoord/advies dat je je directeur kan geven is dat hij hiervoor specialisten moet gaan inhuren.
Een Security Policy bestaat uit een Governing Policy waar onder Technical Policies, End-User policies en eveneens Standards, Guidelines en Procedures hangen. En er is geen one-size-fits-all.
Key word: business needs
Mijn advies: terug geven die opdracht. Je kunt alleen maar je vingers branden.
Het beste antwoord/advies dat je je directeur kan geven is dat hij hiervoor specialisten moet gaan inhuren.
Een Security Policy bestaat uit een Governing Policy waar onder Technical Policies, End-User policies en eveneens Standards, Guidelines en Procedures hangen. En er is geen one-size-fits-all.
Key word: business needs
Mijn advies: terug geven die opdracht. Je kunt alleen maar je vingers branden.
tja zo complex is het allemaal niet lijk mij.
30 man laat ze allemaal een policy onderteken zwart wit.
stel security centraal in. een gateway met monitoring + firewall etc........
centraalpatches rollen
end point beveiliging......
niet meer en niet minder
maak het niet te complex....................
Prettig weekend
30 man laat ze allemaal een policy onderteken zwart wit.
stel security centraal in. een gateway met monitoring + firewall etc........
centraalpatches rollen
end point beveiliging......
niet meer en niet minder
maak het niet te complex....................
Prettig weekend
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
