Archief
- De topics van lang geleden
Wie controleert de systeembeheerder?
29-07-2007, 19:28 door Anoniem, 28 reacties
====geplukt van het internet====
Met grote regelmaat stellen wij tijdens onze forensische
digitale onderzoeken vast dat organisaties totaal geen zicht
hebben op de activiteiten van hun systeembeheerders. De
mensen in deze functies kunnen vaak ongecontroleerd te werk
gaan. En dat dit uitermate risicovol kan zijn, bleek laatst
weer eens.
Zo onderzochten we het handelen van een systeembeheerder die
het netwerk van zijn werkgever had gebruikt voor zijn
downloadverslaving. Als gevolg hiervan stond het netwerk vol
met illegale software. Daarnaast had de man keyboardloggers
geïnstalleerd; dat zijn relatief kleine programma's die
feilloos alle toetsaanslagen registreren. Hiermee
achterhaalde de man de gebruikersnaam en het wachtwoord van
collega's. Hierdoor was de weg vrij om volkomen 'ongezien'
het systeem te kunnen manipuleren. De systeembeheerder was
echter vergeten dat een keyboardlogger ook zijn eigen
aanslagen bijhield waardoor wij, weer zijn activiteiten
konden achterhalen.
Tijdens een ander digitaal onderzoek stelden wij vast dat
een groep van vijftien medewerkers van de afdelingen Helpdesk
en Systeembeheer zonder enige vorm van controle de
e-mailberichten van de algemeen directeur konden inzien en
daarmee dus toegang hadden tot allerlei vertrouwelijke en
kritische bedrijfsinformatie.
Natuurlijk is het zo dat de functie van systeem- en
netwerkbeheerder een vertrouwensfunctie is. Het argument dat
deze mensen functioneel toegang moeten hebben tot het hele
systeem is correct, maar dat betekent niet dat daarop geen
toezicht uitgeoefend kan worden.
Wij pleiten ervoor de functies van systeem- en
netwerkbeheerders niet te koppelen. Bovendien zouden zowel
de systeem- als netwerkbeheerder slechts beperkt toegang tot
de systemen moeten hebben. De controle van loggegevens en
dergelijke, zou door een onafhankelijke partij moeten
gebeuren. Het systeem dat hiervoor gebruikt wordt, dient
niet zonder meer toegankelijk te zijn voor de eigen
beheerders. Op deze manier kan op een onafhankelijke wijze
toezicht en controle worden uitgevoerd.
Omdat de systeembeheerders zo'n vertrouwenspositie bekleden,
is het vanzelfsprekend dat ze voor indiensttreding standaard
grondig gescreend zouden moeten worden.
Wij hebben inmiddels een brede ervaring opgebouwd met het
ontwerpen en implementeren van controlesystemen voor de ICT
binnen bedrijven en instellingen. Wij zijn desgewenst ook uw
organisatie graag van dienst, al is het maar om uw situatie
op dit vlak in kaart te brengen.
Bron: website Hoffmann-BV
update: typo's verholpen.
Met grote regelmaat stellen wij tijdens onze forensische
digitale onderzoeken vast dat organisaties totaal geen zicht
hebben op de activiteiten van hun systeembeheerders. De
mensen in deze functies kunnen vaak ongecontroleerd te werk
gaan. En dat dit uitermate risicovol kan zijn, bleek laatst
weer eens.
Zo onderzochten we het handelen van een systeembeheerder die
het netwerk van zijn werkgever had gebruikt voor zijn
downloadverslaving. Als gevolg hiervan stond het netwerk vol
met illegale software. Daarnaast had de man keyboardloggers
geïnstalleerd; dat zijn relatief kleine programma's die
feilloos alle toetsaanslagen registreren. Hiermee
achterhaalde de man de gebruikersnaam en het wachtwoord van
collega's. Hierdoor was de weg vrij om volkomen 'ongezien'
het systeem te kunnen manipuleren. De systeembeheerder was
echter vergeten dat een keyboardlogger ook zijn eigen
aanslagen bijhield waardoor wij, weer zijn activiteiten
konden achterhalen.
Tijdens een ander digitaal onderzoek stelden wij vast dat
een groep van vijftien medewerkers van de afdelingen Helpdesk
en Systeembeheer zonder enige vorm van controle de
e-mailberichten van de algemeen directeur konden inzien en
daarmee dus toegang hadden tot allerlei vertrouwelijke en
kritische bedrijfsinformatie.
Natuurlijk is het zo dat de functie van systeem- en
netwerkbeheerder een vertrouwensfunctie is. Het argument dat
deze mensen functioneel toegang moeten hebben tot het hele
systeem is correct, maar dat betekent niet dat daarop geen
toezicht uitgeoefend kan worden.
Wij pleiten ervoor de functies van systeem- en
netwerkbeheerders niet te koppelen. Bovendien zouden zowel
de systeem- als netwerkbeheerder slechts beperkt toegang tot
de systemen moeten hebben. De controle van loggegevens en
dergelijke, zou door een onafhankelijke partij moeten
gebeuren. Het systeem dat hiervoor gebruikt wordt, dient
niet zonder meer toegankelijk te zijn voor de eigen
beheerders. Op deze manier kan op een onafhankelijke wijze
toezicht en controle worden uitgevoerd.
Omdat de systeembeheerders zo'n vertrouwenspositie bekleden,
is het vanzelfsprekend dat ze voor indiensttreding standaard
grondig gescreend zouden moeten worden.
Wij hebben inmiddels een brede ervaring opgebouwd met het
ontwerpen en implementeren van controlesystemen voor de ICT
binnen bedrijven en instellingen. Wij zijn desgewenst ook uw
organisatie graag van dienst, al is het maar om uw situatie
op dit vlak in kaart te brengen.
Bron: website Hoffmann-BV
update: typo's verholpen.
Reacties (28)
En dit is nou precies een mooi voorbeeld waarom beveiligings
organisaties los horen te staan en uitgebreidere posities moeten
krijgen om systeembeheerders te kunnen controleren. Daarvoor
worden ze tenslote ook ingehuurd om toezicht te houden op de
veiligheids risico's van een bedrijf.
Wanneer de beveiliging meer toegang krijgt tot digitale controle op
zowel netwerk verker en data verkeer kan samenwerking weer beter
samen werken met systeembeheerders om een oplossing te zoeken.
organisaties los horen te staan en uitgebreidere posities moeten
krijgen om systeembeheerders te kunnen controleren. Daarvoor
worden ze tenslote ook ingehuurd om toezicht te houden op de
veiligheids risico's van een bedrijf.
Wanneer de beveiliging meer toegang krijgt tot digitale controle op
zowel netwerk verker en data verkeer kan samenwerking weer beter
samen werken met systeembeheerders om een oplossing te zoeken.
Wie controleert de controleurs? Moeten we daar niet nog een paar
organisaties voor oprichten? Het budget moet toch minstens 500%
omhoog. En we moeten ook een certicering halen, doe maar 1000%.
Is er iemand vrij te maken die een kosten/baten analyse doet?
organisaties voor oprichten? Het budget moet toch minstens 500%
omhoog. En we moeten ook een certicering halen, doe maar 1000%.
Is er iemand vrij te maken die een kosten/baten analyse doet?
Iedere BOFH doet toch de eed op de heilige digitatalus, wat wil je nu
nog meer :-)
Bas
nog meer :-)
Bas
"Wie controleert de controleurs? Moeten we daar niet nog een paar
organisaties voor oprichten?"
Zolang er een duidelijke scheiding van verantwoordelijkheden is, is dat
niet zo'n probleem. Zo hoeft een security engineer niet per definitie
dezelfde of meer rechten te hebben als de system- of network
engineer wiens werk deze controleert.
Deze moet toegang hebben tot de logfiles en dergelijke, maar hoeft
niet op alle apparatuur admin rechten te hebben, aangezien de
infosec engineer wel controleert, maar zelf geen wijzigingen doorvoert.
organisaties voor oprichten?"
Zolang er een duidelijke scheiding van verantwoordelijkheden is, is dat
niet zo'n probleem. Zo hoeft een security engineer niet per definitie
dezelfde of meer rechten te hebben als de system- of network
engineer wiens werk deze controleert.
Deze moet toegang hebben tot de logfiles en dergelijke, maar hoeft
niet op alle apparatuur admin rechten te hebben, aangezien de
infosec engineer wel controleert, maar zelf geen wijzigingen doorvoert.
En wie controleert Hofman? Er wordt hier onrust gekweekt, die nergens
voor nodig is. Hou eens op met het hypen van potentieel gevaar.
voor nodig is. Hou eens op met het hypen van potentieel gevaar.
Door Anoniem
En wie controleert Hofman? Er wordt hier onrust gekweekt, die nergens
voor nodig is. Hou eens op met het hypen van potentieel gevaar.
En wie controleert Hofman? Er wordt hier onrust gekweekt, die nergens
voor nodig is. Hou eens op met het hypen van potentieel gevaar.
Ja, ik ben voor een controle van Hoffmann, dat bedrijf heeft teveel
macht en het is hier duidelijk bezig meer werk voor zichzelf te verzorgen.
Even serieus nu: zoals vaak wordt ook nu weer het doel uit het oog
verloren. Het doel is niet organisatieprocessen zo veilig mogelijk te
maken, het doel is de veiligheid in dienst te stellen van de
organisatiedoelen. De middelen moeten niet het doel gaan vervangen.
Dus als je omwille van een gering veiligheidswinst taken wilt scheiden
waardoor heel waarschijnlijk problemen ontstaan bij
storingoplossingen en het voorkomen van storingen en als dat vrijwel
zeker meer geld gaat kosten, dan schaadt je a priori de doelen van de
grote meerderheid van organisaties. Alleen zeer grote organisaties
kunnen zich dat veroorloven.
Zoals altijd dient er een kosten/baten analyse op organisatieniveau
plaats te vinden.
"Dus als je omwille van een gering veiligheidswinst taken wilt scheiden
waardoor heel waarschijnlijk problemen ontstaan bij
storingoplossingen en het voorkomen van storingen en als dat vrijwel
zeker meer geld gaat kosten, dan schaadt je a priori de doelen van de
grote meerderheid van organisaties. Alleen zeer grote organisaties
kunnen zich dat veroorloven."
Die moeten dat vaak ook wel, omdat contractueel met klanten ligt
vastgelegd dat er een scheiding van verantwoordelijkheden wordt
gehanteerd om daarmee de beveiliging zo goed mogelijk te houden.
In kleinere bedrijfjes waar men puur bezig is met eigen infrastructuur
spelen dit soort zaken natuurlijk veel minder, zeker als het niet gaat
om fraude-gevoelige systemen.
waardoor heel waarschijnlijk problemen ontstaan bij
storingoplossingen en het voorkomen van storingen en als dat vrijwel
zeker meer geld gaat kosten, dan schaadt je a priori de doelen van de
grote meerderheid van organisaties. Alleen zeer grote organisaties
kunnen zich dat veroorloven."
Die moeten dat vaak ook wel, omdat contractueel met klanten ligt
vastgelegd dat er een scheiding van verantwoordelijkheden wordt
gehanteerd om daarmee de beveiliging zo goed mogelijk te houden.
In kleinere bedrijfjes waar men puur bezig is met eigen infrastructuur
spelen dit soort zaken natuurlijk veel minder, zeker als het niet gaat
om fraude-gevoelige systemen.
Op belangrijke functies/taken hoort op zijn minst een z.g.
'two man rule' van toepassing te zijn en daarna nog een
(eind)controle.
Wie dat doet is de verantwoording van betreffende organisatie.
Maar ik weet ook dat geen enkele manager de zin 'Two man
rule' wil horen.
Dat kost namelijk geld en gaat van zijn bonus af want hij
kan het managmentteam de noodzaak niet uitleggen.
'two man rule' van toepassing te zijn en daarna nog een
(eind)controle.
Wie dat doet is de verantwoording van betreffende organisatie.
Maar ik weet ook dat geen enkele manager de zin 'Two man
rule' wil horen.
Dat kost namelijk geld en gaat van zijn bonus af want hij
kan het managmentteam de noodzaak niet uitleggen.
Door Anoniem
"Dus als je omwille van een gering veiligheidswinst taken wilt
scheiden
waardoor heel waarschijnlijk problemen ontstaan bij
storingoplossingen en het voorkomen van storingen en als dat vrijwel
zeker meer geld gaat kosten, dan schaadt je a priori de doelen van de
grote meerderheid van organisaties. Alleen zeer grote organisaties
kunnen zich dat veroorloven."
Die moeten dat vaak ook wel, omdat contractueel met klanten ligt
vastgelegd dat er een scheiding van verantwoordelijkheden wordt
gehanteerd om daarmee de beveiliging zo goed mogelijk te houden.
In kleinere bedrijfjes waar men puur bezig is met eigen infrastructuur
spelen dit soort zaken natuurlijk veel minder, zeker als het niet gaat
om fraude-gevoelige systemen.
"Dus als je omwille van een gering veiligheidswinst taken wilt
scheiden
waardoor heel waarschijnlijk problemen ontstaan bij
storingoplossingen en het voorkomen van storingen en als dat vrijwel
zeker meer geld gaat kosten, dan schaadt je a priori de doelen van de
grote meerderheid van organisaties. Alleen zeer grote organisaties
kunnen zich dat veroorloven."
Die moeten dat vaak ook wel, omdat contractueel met klanten ligt
vastgelegd dat er een scheiding van verantwoordelijkheden wordt
gehanteerd om daarmee de beveiliging zo goed mogelijk te houden.
In kleinere bedrijfjes waar men puur bezig is met eigen infrastructuur
spelen dit soort zaken natuurlijk veel minder, zeker als het niet gaat
om fraude-gevoelige systemen.
Onzin. Die "kleinere bedrijfjes" kunnen gerust enkele duizenden
werknemers hebben. Het scheiden van netwerk en systeembeheer
gaat bijna nergens over, het is niet zoiets als het scheiden van
uitvoerende en wetgevende macht. Het gaat hier om nauw
gerelateerde uitvoerende zaken, niet over iets wat te veel macht op zal
leveren.
Een "two man rule" is net zo debiel als 80/20 "regel". Alleen bestemd
voor kippen zonder kop. Elke situatie is anders, je moet het beoordelen
(lees: berekenen) aan de hand van de kans dat iets misgaat en wat de
kosten van het misgaan zijn. Als het goedkoper is om het niet te doen,
moeten bedrijven dat gewoon doen. Ik voorspel je dat dat het geval is in
>95% van Nederlandse bedrijven.
Je loyaliteit is aan het bedrijf en niet aan je vak.
Mijn loyaliteit is aan de continuiteit van mijn salaris, mocht ik alhier
ontslag krijgen op gronde van fraude dan kan ik een dergelijke positie
elders waarschijnlijk ook wel vergeten. Ik ben tenslotte geen
Topmanager.
Dus voer ik mijn werkzaamheden naar eer en geweten uit en zal mij
nooit enige ethisch onverantwoorde situatie verwijtbaar zijn.
ontslag krijgen op gronde van fraude dan kan ik een dergelijke positie
elders waarschijnlijk ook wel vergeten. Ik ben tenslotte geen
Topmanager.
Dus voer ik mijn werkzaamheden naar eer en geweten uit en zal mij
nooit enige ethisch onverantwoorde situatie verwijtbaar zijn.
Door Anoniem
Door Anoniem
" Een "two man rule" is net zo debiel als
80/20 "regel". Alleen bestemd
voor kippen zonder kop. Elke situatie is anders, je moet het
beoordelen
(lees: berekenen) aan de hand van de kans dat iets misgaat
en wat de
kosten van het misgaan zijn. Als het goedkoper is om het
niet te doen,
moeten bedrijven dat gewoon doen. Ik voorspel je dat dat het
geval is in
>95% van Nederlandse bedrijven.
Je weet echt wat de two man rule inhoudt.... NOT!" Een "two man rule" is net zo debiel als
80/20 "regel". Alleen bestemd
voor kippen zonder kop. Elke situatie is anders, je moet het
beoordelen
(lees: berekenen) aan de hand van de kans dat iets misgaat
en wat de
kosten van het misgaan zijn. Als het goedkoper is om het
niet te doen,
moeten bedrijven dat gewoon doen. Ik voorspel je dat dat het
geval is in
>95% van Nederlandse bedrijven.
Door Anoniem
Je hebt nog niet door dat je het met verwijzingen naar onzinnige
regeltjes het niet redt. Het gaat om de bottom line. Verbeedt je
gezichtsveld eens en focus minder op aangeleerde trucjes.
Door Anoniem
Door Anoniem
" Een "two man rule" is net zo
debiel als
80/20 "regel". Alleen bestemd
voor kippen zonder kop. Elke situatie is anders, je moet het
beoordelen
(lees: berekenen) aan de hand van de kans dat iets misgaat
en wat de
kosten van het misgaan zijn. Als het goedkoper is om het
niet te doen,
moeten bedrijven dat gewoon doen. Ik voorspel je dat dat het
geval is in
>95% van Nederlandse bedrijven.
Je weet echt wat de two man rule inhoudt.... NOT!" Een "two man rule" is net zo
debiel als
80/20 "regel". Alleen bestemd
voor kippen zonder kop. Elke situatie is anders, je moet het
beoordelen
(lees: berekenen) aan de hand van de kans dat iets misgaat
en wat de
kosten van het misgaan zijn. Als het goedkoper is om het
niet te doen,
moeten bedrijven dat gewoon doen. Ik voorspel je dat dat het
geval is in
>95% van Nederlandse bedrijven.
Je hebt nog niet door dat je het met verwijzingen naar onzinnige
regeltjes het niet redt. Het gaat om de bottom line. Verbeedt je
gezichtsveld eens en focus minder op aangeleerde trucjes.
Die onzinnige regeltjes, zoals je het neerbuigend noemt,
zorgen er anders b.v. al meer dan 40 jaar voor dat er geen
ongelukken gebeuren met kernwapens.
Ik denk dat jij eens uit je ivoren toren moet komen, daar
heb je misschien wel een 'breed gezichtsveld' maar het heeft
zo weinig met de 'down 2 earth' realiteit te maken.... ;)
Anders zou je misschien kunnen proberen een concreet
voorbeeld te noemen.... iets op de praktijk gebaseerd..... !?
Want dat is 'the bottom line' ! (Dat is het in 95% van de
gevallen, volgens mijn voorspelling ;) )
zorgen er anders b.v. al meer dan 40 jaar voor dat er geen
ongelukken gebeuren met kernwapens.
Ik denk dat jij eens uit je ivoren toren moet komen, daar
heb je misschien wel een 'breed gezichtsveld' maar het heeft
zo weinig met de 'down 2 earth' realiteit te maken.... ;)
Anders zou je misschien kunnen proberen een concreet
voorbeeld te noemen.... iets op de praktijk gebaseerd..... !?
Want dat is 'the bottom line' ! (Dat is het in 95% van de
gevallen, volgens mijn voorspelling ;) )
Door Anoniem
Die onzinnige regeltjes, zoals je het neerbuigend noemt,
zorgen er anders b.v. al meer dan 40 jaar voor dat er geen
ongelukken gebeuren met kernwapens.
/quote]
wat een logica. Er is al veertig jaar geen ongeluk, dus één van de vele
maatregelen om ongelukken te voorkomen is DUS op andere situaties
van toepassing. En dan de ander een ivoren toren verwijten.
Misschien dat logica vanaf groep 3 verplicht gesteld moet worden (het
vak, niet de toko). Voorkom je dit soort kromdenken. Daarnaast een
deel van de canon voor normen en waarden: iemand voor ivoren toren
uitmaken en een smalle visie verwijten terwijl je dat zelf duidelijk ook
hebt. JP: er is nog een hoop werk voor je!
Die onzinnige regeltjes, zoals je het neerbuigend noemt,
zorgen er anders b.v. al meer dan 40 jaar voor dat er geen
ongelukken gebeuren met kernwapens.
/quote]
wat een logica. Er is al veertig jaar geen ongeluk, dus één van de vele
maatregelen om ongelukken te voorkomen is DUS op andere situaties
van toepassing. En dan de ander een ivoren toren verwijten.
Misschien dat logica vanaf groep 3 verplicht gesteld moet worden (het
vak, niet de toko). Voorkom je dit soort kromdenken. Daarnaast een
deel van de canon voor normen en waarden: iemand voor ivoren toren
uitmaken en een smalle visie verwijten terwijl je dat zelf duidelijk ook
hebt. JP: er is nog een hoop werk voor je!
Door Anoniem
Bla bla bla.... Anders zou je misschien kunnen proberen een
concreet
voorbeeld te noemen.... iets op de praktijk gebaseerd..... !?
Door Anoniem
Die onzinnige regeltjes, zoals je het neerbuigend noemt,
zorgen er anders b.v. al meer dan 40 jaar voor dat er geen
ongelukken gebeuren met kernwapens.
/quote]
wat een logica. Er is al veertig jaar geen ongeluk, dus één
van de vele
maatregelen om ongelukken te voorkomen is DUS op andere
situaties
van toepassing. En dan de ander een ivoren toren verwijten.
Misschien dat logica vanaf groep 3 verplicht gesteld moet
worden (het
vak, niet de toko). Voorkom je dit soort kromdenken.
Daarnaast een
deel van de canon voor normen en waarden: iemand voor ivoren
toren
uitmaken en een smalle visie verwijten terwijl je dat zelf
duidelijk ook
hebt. JP: er is nog een hoop werk voor je!
Die onzinnige regeltjes, zoals je het neerbuigend noemt,
zorgen er anders b.v. al meer dan 40 jaar voor dat er geen
ongelukken gebeuren met kernwapens.
/quote]
wat een logica. Er is al veertig jaar geen ongeluk, dus één
van de vele
maatregelen om ongelukken te voorkomen is DUS op andere
situaties
van toepassing. En dan de ander een ivoren toren verwijten.
Misschien dat logica vanaf groep 3 verplicht gesteld moet
worden (het
vak, niet de toko). Voorkom je dit soort kromdenken.
Daarnaast een
deel van de canon voor normen en waarden: iemand voor ivoren
toren
uitmaken en een smalle visie verwijten terwijl je dat zelf
duidelijk ook
hebt. JP: er is nog een hoop werk voor je!
Bla bla bla.... Anders zou je misschien kunnen proberen een
concreet
voorbeeld te noemen.... iets op de praktijk gebaseerd..... !?
18-08-2007, 13:14 door
[Account Verwijderd]
[Verwijderd]
Door rookie
Het is een ingewikkelde constructie, maar als je er geld voor krijgt om
dit proces uit te denken, dan kom je een heel eind ;)
Het is een ingewikkelde constructie, maar als je er geld voor krijgt om
dit proces uit te denken, dan kom je een heel eind ;)
Uiteraard, daar gaat het je om, consultancy uurtjes verkopen.
18-08-2007, 20:07 door
Arno Nimus
...stellen wij...
...Zo onderzochten we...
...waardoor wij...
...stelden wij vast
Klinkt als belanghebbenden......Zo onderzochten we...
...waardoor wij...
...stelden wij vast
Wij hebben inmiddels...
Wij zijn desgewenst ook uw organisatie graag van dienst...
website Hoffmann-BV
Inderdaad. Belanghebbenden...Wij zijn desgewenst ook uw organisatie graag van dienst...
website Hoffmann-BV
19-08-2007, 22:54 door
[Account Verwijderd]
[Verwijderd]
Door rookie
Je moet een constructie bedenken dat bijvoorbeeld meerdere
systeembeheerders elkaar monitoren.
Dit probleem speelt niet alleen in de IT, maar ook
bijvoorbeeld bij tolken die voor de politie werken.
Netzoals dat een zwaar beveiligd complex, de beveiliging
niet door 1 beveiligings bedrijf geïnstalleerd kan worden.
Het is een ingewikkelde constructie, maar als je er geld
voor krijgt om dit proces uit te denken, dan kom je een heel
eind ;)
Je moet een constructie bedenken dat bijvoorbeeld meerdere
systeembeheerders elkaar monitoren.
Dit probleem speelt niet alleen in de IT, maar ook
bijvoorbeeld bij tolken die voor de politie werken.
Netzoals dat een zwaar beveiligd complex, de beveiliging
niet door 1 beveiligings bedrijf geïnstalleerd kan worden.
Het is een ingewikkelde constructie, maar als je er geld
voor krijgt om dit proces uit te denken, dan kom je een heel
eind ;)
LOL ... Zo'n constructie heet vanouds; 'The two man rule'
maar er zijn hier dus luitjes die dat een onzinnige
regel/procedure vinden..... ;)
Zegt meer over hun achtergrond, I agree.... ;)
Ach, Zolang al het verkeer unencrypt over de netwerken gaat
kan iedere netwerk beheerder, systeem beheerder, applicatie
en security beheerder al het verkeer ondervangen, net als
iedereen die in hetzelfde LAN een systeem heeft.
En omdat encryptie nog steed te duur, moeilijk en eng is
wordt dit ook niet veranderd.
Maar met een goede externe audit hebben we weer aan onze
compliance verplichting voldaan en kunnen we rustig
slapen... ...
kan iedere netwerk beheerder, systeem beheerder, applicatie
en security beheerder al het verkeer ondervangen, net als
iedereen die in hetzelfde LAN een systeem heeft.
En omdat encryptie nog steed te duur, moeilijk en eng is
wordt dit ook niet veranderd.
Maar met een goede externe audit hebben we weer aan onze
compliance verplichting voldaan en kunnen we rustig
slapen... ...
LOL ... Zo'n constructie heet vanouds; 'The two man rule'
maar er zijn hier dus luitjes die dat een onzinnige
regel/procedure vinden..... ;)
Zegt meer over hun achtergrond, I agree.... ;)
maar er zijn hier dus luitjes die dat een onzinnige
regel/procedure vinden..... ;)
Zegt meer over hun achtergrond, I agree.... ;)
Het zegt voldoende over jouw achtergrond en je onvermogen tot
autonoom denken.
Er zijn al een hele tijd produkten in omloop die ook systeem
beheerders controleren. Cisco Works houd alles bij wat je
doet en wie je bent. Maar ook andere leveranciers zoals
Balabit hebben oplossingen op dat vlak zoals de Shell
Control Box die bij houdt wat beheerders uitvoeren...
Ciao,
Carlo
beheerders controleren. Cisco Works houd alles bij wat je
doet en wie je bent. Maar ook andere leveranciers zoals
Balabit hebben oplossingen op dat vlak zoals de Shell
Control Box die bij houdt wat beheerders uitvoeren...
Ciao,
Carlo
Door Anoniem
Er zijn al een hele tijd produkten in omloop die ook systeem
beheerders controleren. Cisco Works houd alles bij wat je
doet en wie je bent. Maar ook andere leveranciers zoals
Balabit hebben oplossingen op dat vlak zoals de Shell
Control Box die bij houdt wat beheerders uitvoeren...
Ciao,
Carlo
Er moet wel iemand zijn, die die producten ook leest.Er zijn al een hele tijd produkten in omloop die ook systeem
beheerders controleren. Cisco Works houd alles bij wat je
doet en wie je bent. Maar ook andere leveranciers zoals
Balabit hebben oplossingen op dat vlak zoals de Shell
Control Box die bij houdt wat beheerders uitvoeren...
Ciao,
Carlo
De tweede man of vrouw blijft dus noodzakelijk. (the second man rule)
Door Anoniem
Het zegt voldoende over jouw achtergrond en je onvermogen tot
autonoom denken.
LOL ... Zo'n constructie heet vanouds; 'The two man rule'
maar er zijn hier dus luitjes die dat een onzinnige
regel/procedure vinden..... ;)
Zegt meer over hun achtergrond, I agree.... ;)
maar er zijn hier dus luitjes die dat een onzinnige
regel/procedure vinden..... ;)
Zegt meer over hun achtergrond, I agree.... ;)
Het zegt voldoende over jouw achtergrond en je onvermogen tot
autonoom denken.
Heb jij het wiel zojuist weer uitgevonden dan ? ;)
Door Anoniem
Heb jij het wiel zojuist weer uitgevonden dan ? ;)
Door Anoniem
Het zegt voldoende over jouw achtergrond en je onvermogen tot
autonoom denken.
LOL ... Zo'n constructie heet vanouds; 'The two man rule'
maar er zijn hier dus luitjes die dat een onzinnige
regel/procedure vinden..... ;)
Zegt meer over hun achtergrond, I agree.... ;)
maar er zijn hier dus luitjes die dat een onzinnige
regel/procedure vinden..... ;)
Zegt meer over hun achtergrond, I agree.... ;)
Het zegt voldoende over jouw achtergrond en je onvermogen tot
autonoom denken.
Heb jij het wiel zojuist weer uitgevonden dan ? ;)
Zie Door Anoniem op dinsdag 31 juli 2007 21:03
Security is het doel niet, en dat is het probleem van domme toepassing
van "regeltjes".
Door Anoniem Zie Door Anoniem op dinsdag 31
juli 2007 21:03
Security is het doel niet, en dat is het probleem van domme
toepassing
van "regeltjes".
juli 2007 21:03
Security is het doel niet, en dat is het probleem van domme
toepassing
van "regeltjes".
Welk probleem hebben we het dan hier over ?
Het feit dat mede dankzij die domme regeltjes er al
jaren dingen (nog net) goed gaan ?! ;)
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
