Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Welke bedreigingen kennen we eigenlijk?

04-09-2009, 13:30 door Airsecure, 15 reacties
Voor mijn werk ben ik bezig om een set van bedreigingen (zeg maar DE set) in relatie tot informatiebeveiliging op te stellen. Deze heb ik nodig voor mijn risicoanalyse. Ik ken de lijsten uit de ISO27005 en de PD3005:2002). De lijsten komen deels overeen, maar wijken op net zoveel punten ook weer af. Wie heeft ervaring hiermee en kan mij aangeven waar ik een werkbare lijst kan vinden?? Dank voor jullie reactie..
Reacties (15)
04-09-2009, 15:08 door Anoniem
1. social engineering
2. social engineering
3. social engineering
4. memorysticks van thuis
5. alle andere dreigingen

Dat is voor bedrijven het belangrijkste als ze voor de rest beschikken over goede defensie zoals firewalls, scanners en goede systeembeheerders.
04-09-2009, 16:59 door Thijzzz
1. managers die lijstjes willen
2. managers die hun wereld willen vormen naar het aantal tabbladen in Excel.
3. meer budget voor high-profile, dan high-risk-issues.

Voordat je je druk kunt maken over memorysticks en virussen en hackers en scriptkiddies, firewalls, en van die grappige sleutelhangertjes(met bedrijfslogo) die nummertjes genereren...

Eerst regelen dat het management een vast percentage van het budget naar security laat gaan.
Mijn ervaring: hoe meer ISO, DIN en NEN, hoe minder resultaat.

Richt je op de echte inhoud van je rapport, niet op hoe goed het voldoet aan de laatste mode op rapportage-gebied,
04-09-2009, 19:00 door Anoniem
Bedreigingen?
Vier soorten:
Onbedoeld, Act of Nature;
Onbedoeld, menselijke fouten;
Bedoeld, menselijke acties;
Bedoeld, Acts of Nature --- oh nee, die doet toch maar niet mee. Laten we het scenario dat 'terroristen' de hele wereld opblazen, maar niet serieus nemen...
04-09-2009, 19:49 door Anoniem
Om goed te kunnen bepalen wat de bedreigingen zijn voor wie dan ook is het van belang te bepalen wat van waarde is in de specifieke context. Als deze attributen helder zijn dan zijn de bedreigingen eenvoudiger te bepalen.
04-09-2009, 22:24 door Anoniem
Ik neem aan dat je al een brede management support hebt gevonden en men dus inziet dat security belangrijk is en zodoende ook voldoende budget en mandaat krijgt? Zo ja, lees verder :)

Een middagje brainstormen met collega;s zal een redelijk specifieke set voor jullie bedrijf opleveren. Het leuke is dat je altijd door iets wordt getroffen wat net niet in die lijst staat of op basis van die lijst geen prio kreeg :-)

Steek dus zeker de nodige tijd en budget in incident detection & response + disaster recovery. Let verder goed op dat men toeziet op naleving van opgestelde procedures en sancties.

Ik loop in mijn nieuwe werk helaas al stuk op het eerst genoemde punt, management support.... Verder hebben we leuke richtlijnen voor van alles en nog wat maar niemand let er op dat deze goed worden gevolgd en bij overtreding van regels volgen geen sancties. 1 maal raden in welke sector ik werk... haha
05-09-2009, 10:39 door Anoniem
Wil je een risico analyse, of een security analyse?
De taal is onmogelijk, de naam brak en de laatste versie laat op zich wachten en toch raad ik 'm aan:
http://www.osstmm.org. De "light" versie heeft al een hoofdstuk over data networks. Waarom ik dit mormel aanraad, is omdat het je weg kan leiden van een soort "blacklisting" van risico's en een verfrissende blik geeft op security.
05-09-2009, 21:25 door Anoniem
Aan je naam te zien werk je in de luchtvaart? hihi Grapje....


de vraag is heel simpel....Welk type bedrijf is het en waar haalt het het grootste deel van de omzet vandaan. Daarnaast de locatie van het bedrijf ivm nuts-voorzieningen enz....zomaar een lijst kan niet.
Als je het type bedrijf vermeldt en de locatie kan ik je wel een lijst geven
06-09-2009, 07:58 door Anoniem
Ik hou wel van een gokje: Je bent ambtenaar bij de ABN AMRO?
06-09-2009, 13:42 door Anoniem
http://www.iso27001security.com/
06-09-2009, 15:00 door Anoniem
"Voor mijn werk ben ik bezig om een set van bedreigingen (zeg maar DE set) in relatie tot informatiebeveiliging op te stellen. Deze heb ik nodig voor mijn risicoanalyse. Ik ken de lijsten uit de ISO27005 en de PD3005:2002). De lijsten komen deels overeen, maar wijken op net zoveel punten ook weer af. Wie heeft ervaring hiermee en kan mij aangeven waar ik een werkbare lijst kan vinden??"

Zijn de bedreigingen dan niet mede afhankelijk van de organisatie waarin je werkzaam bent ? Natuurlijk kan je lijsten vinden, maar een 'werkbare lijst' zul je toch uiteindelijk zelf moeten opstellen, want "DE" set bestaat simpelweg niet... ?
06-09-2009, 16:11 door [Account Verwijderd]
[Verwijderd]
07-09-2009, 07:27 door Anoniem
Door Anoniem: Ik neem aan dat je al een brede management support hebt gevonden en men dus inziet dat security belangrijk is en zodoende ook voldoende budget en mandaat krijgt? Zo ja, lees verder :)

Een middagje brainstormen met collega;s zal een redelijk specifieke set voor jullie bedrijf opleveren. Het leuke is dat je altijd door iets wordt getroffen wat net niet in die lijst staat of op basis van die lijst geen prio kreeg :-)

Steek dus zeker de nodige tijd en budget in incident detection & response + disaster recovery. Let verder goed op dat men toeziet op naleving van opgestelde procedures en sancties.

Ik loop in mijn nieuwe werk helaas al stuk op het eerst genoemde punt, management support.... Verder hebben we leuke richtlijnen voor van alles en nog wat maar niemand let er op dat deze goed worden gevolgd en bij overtreding van regels volgen geen sancties. 1 maal raden in welke sector ik werk... haha

Overheid ?
07-09-2009, 07:27 door Anoniem
666 ?
07-09-2009, 08:54 door Airsecure
Door Anoniem: Aan je naam te zien werk je in de luchtvaart? hihi Grapje....


de vraag is heel simpel....Welk type bedrijf is het en waar haalt het het grootste deel van de omzet vandaan. Daarnaast de locatie van het bedrijf ivm nuts-voorzieningen enz....zomaar een lijst kan niet.
Als je het type bedrijf vermeldt en de locatie kan ik je wel een lijst geven

Inderdaad luchtvaart. Locatie?? Tja, ach zullen we zeggen in de buurt van Amsterdam?
07-09-2009, 11:48 door Anoniem

ehm....
de gezondheidszorg ???
goed gegokt ;-) bevalt toch een stukje minder goed dan het bedrijfsleven haha
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.