Duh.

Gebruikers willen helemaal geen beveiliging, die is namelijk zo lastig. Gebruikers willen helemaal geen beveiliging van hun bedrijfsprocessen, dat kost tijd, geld en middelen. Zonde van alle 3. Risicomanagement? Uiteindelijk komt het neer op: "Zet alles maar open, we dekken de risico's wel financieel af.".

Wat was de oorzaak van de krediet crisis ook al weer? O ja, iets met ontbreken aan risico management... Nog een hoop te leren voor deze consultant dus.

EJ

@aan de redactie gaarne plaatsen

Idd Riskmanagement!!!!

Maar er is altijd een spanning tussen techniek en commercie.

Techneuten zouden het liefst alles 100% willen beveiligen wat nooit lukt. Aangezien de scope veels te groot is en de gemiddelde hacker maar 0,01% hoeft te vinden vd 100% zeg maar.

Daarintegen is 80% beveiliging tegen de aard van een specialist. Die klagen natuurlijk met recht dat 1 gaatje voldoende is. Anderzijds is 100% secure nooit haalbaar hoeveel geld je er ook tegen aan gooit dat is een utopie. Mits je uberhaupt dat budget krijgt. En dan zul je snel moeten handelen na een net ramp, knappe jongen als je dat lukt.

Maar ja dan kun je je afvragen wie dan het risico draagt. De risico nemer is doorgaans ver te zoeken. (LEG ALLE AFSPRAKEN VAST en zorg dat je ze kan vinden)

Klanten willen niets merken van security. Het enige wat ze doorgaans willen weten is...hey dat xxxx virus zijn we daar tegen beschermd? Want op dat moment staan de kranten vol...tot het volgende nieuwsbericht maar weer denk je dan..noob. Maar het is hun goed recht om dat te vragen.

En als ze hun risicos bv willen indekken door verzekeringen dan is ook dat hun goed recht maar dan zal de beherende partij hun contracten erop afgestemd moeten hebben.

3x raden wat meestal niet goed is ingeregeld...Juist ja de contracten die dekken doorgaans de lading niet. Kwestie van je huiswerk doen en altijd een security officer en een specialist mee laten koekeloeren naar de contracten...voor de valkuilen zeg maar.

Realisme is echter dat niets 100% geregeld kan worden zo simpel is dat. Ook niet met een verzekering...ga het maar aantonen de geleden schade, 10 jaar onderzoek verder krijg je misschien je geld.

We leven in een wereld van 90% project opdrachten....alles noodgedwongen net niet af maar wordt wel verkocht.

De schrik van elke project leider.

En ja ik weet waar ik over praat, ben een man vd praktijk. Ik heb bij alle grote IT bedrijven gewerkt.

Die meneer wil zeggen dat hij ongeschikt is voor zijn vak. ;-)

EJ

tis toch simpel..
men koop een product, waar bij men zich veilig waant.
daarna klikken ze alsnog simpel weg op alles, waardoor alles geinfecteerd raakt...
en de fabrikant krijgt de schuld..

Volgens mij wil Mr. Oltsik zeggen dat de producten die de beveiligingsindustrie nu maakt, niet goed integreren bij de gebruiker van deze producten. Beveiliging moet onzichtbaar op de achtergrond aanwezig zijn en vooral geen processen verstoren, want dan gaan gebruikers er omheen werken. In feite betekent dit dat beveiliging voor elke organisatie maatwerk moet zijn, gebaseerd op de binnen het bedrijf gehanteerde processen, in plaats van deze processen aanpassen aan de beveiligingssoftware.

Er is weinig zo moeilijk binnen een organisatie als het succesvol wijzigen van de processen omdat de software dat verlangt. Daarom moet je dat niet willen, maar juist de software zich laten aanpassen aan de organisatie.

Realiseer je je wel dat negatieve berichtgeving als gevolg van het lekken van vertrouwelijke gegevens een zeer negatieve invloed heeft op het imago en dat dat direct omgezet kan worden in verlies in harde valuta? Als het verwachtte verlies van het niet gebruiken van beveiliging groter is dan de kosten die gemoeid zijn met het beveiligen, is het logisch om te gaan voor wel beveiligen.
Alleen vermoed ik dat de risicoperceptie van de betreffende beleidsmakers vaak dermate optimistisch is, dat de kosten om wel te gaan beveiligen volgens hen niet opwegen tegen het afdekken van de gevolgen van niet beveiligen.
En het punt dat Mr. Oltsik aankaart, kan wel degelijk invloed hebben op beslissers. Als ze de huidige processen kunnen continueren en de beveiliging dus geen zichtbare hinder oplevert, is het een stuk aantrekkelijker om dan toch maar te gaan voor beveiliging.

Mooi om te zien dat er mensen hier reageren die blijkbaar behoren tot de groep beveiligers (beveiligingsaanbieders) waar Oltsik het over heeft.

eigenlijk moet de kop zijn.
de Klant weet niet wat die zelf wilt... :)

Ben bang dat meneer Oltsik en ook jij niet begrijpen waar het werkelijke probleem zit. De commerciele drive eist dat er zo min mogelijk geld wordt uitgegeven, en al helemaal niet aan een post die zinloos lijkt: de beveiliging.

Helaas zie ik die instelling te vaak bij bedrijven, en zelfs te vaak bij banken.

Managers en marketing mensen hebben het voor het zeggen. Helaas zijn dat niet de groepen die enig begrip van de werkelijke wereld hebben. Berucht citaat binnen een bank:

"Maar we hebben een contract, en dus hoeven we geen beveiliging. Als het misgaat spreken we ze financieel aan." Net alsof je met een contract een kwaadwillende buiten houdt. Dan heb je echt niet begrepen hoe de wereld in elkaar zit. Helaas is dit wel de insteek binnen bedrijven.

EJ

Het probleem is dat er te veel figuren rondlopen zoals deze marketing meneer (INDERDAAD HIJ IS GEEN SECURITY MAN!!, kijk maar eens naar zijn CV (http://www.enterprisestrategygroup.com/OurTeam/TeamBio.asp?TeamMemberID=8) die iets roepen over beveiliging die echt niet weten waar ze het over hebben...

Wanneer gaan journalisten nou eens hun bronnen op daadwerkelijke waarde beoordelen voordat ze iets publiceren van dergelijke nono's. Ik iriiteer meer elke weer aan dergelijk blabla verhalen van mensen die cecht niet weten waar ze het over hebben.

Een security specialist met 20 jaar ECHTE ervaring in ICT, TSCM en Fysieke security!

Zoals EJ? ;-)

Ze zouden dat mannetje eens op een CISSP cursus moeten sturen, kijken of hij dan nog hetzelfde roept.

EJ