Als het gaat om informatiebeveiliging zijn er verschillende manieren om informatie te beschermen, maar sommige gebruikte maatregelen waren, zijn en zullen nooit effectief zijn. Aan de andere kant kunnen deze maatregelen voor problemen zorgen, IT-afdelingen op kosten jagen en uiteindelijk meer kwaad dan goed doen. Fred Cohen, één van de eerste "virusschrijvers", verzamelde tien van de ergste "security practices."
- Het wijzigen van wachtwoorden: Vaak gehoord maar onnodig. Als aanvallers je wachtwoord niet kennen, is er ook geen reden om het te veranderen.
- Een bron via reverse DNS lookup authenticeren: Veel mechanismen doen een reverse DNS lookup om de afzender van een e-mail te authenticeren, maar dit kan ervoor zorgen dat legitieme mail nooit aankomt, legitieme gebruikers worden gedwarsboomd en dat die uiteindelijk klagen.
- Terugslaan uit zelfverdediging: Alleen militaire organisaties of inlichtingendiensten met toestemming mogen een vergeldingsaanval lanceren. En zelfs als het zou zijn toegestaan, is de aanval niet altijd de beste verdediging.
- Gebruikers over technische zaken laten beslissen: De makers van beveiligingssoftware weten niet eens wat gebruikers moeten doen als hun software de een pop-up waarschuwing geeft. Hoe kun je dan verwachten dat de gebruiker de juiste beslissing maakt? vraagt Cohen zich af. Aangezien niemand dit kan moeten programma's dus stoppen met vragen.
- We kunnen de stekker er bij een incident uittrekken: Er zijn nog altijd mensen die geloven dat ze binnen hun IT-infrastructuur zomaar systemen kunnen platleggen. In een "verbonden" omgeving is dat niet meer zo makkelijk, en zorgt dat er uiteindelijk voor dat bedrijven meer verliezen dan de aanvaller kan winnen.
- Het gebruik van ontdekte lekken als graadmeter: Talloze bedrijven gebruiken nog altijd het aantal gevonden lekken in de organisatie als graadmeter van hun beveiliging. Cijfers zijn zinloos en niet alle lekken zijn hetzelfde.
- Vertrouw wat de leverancier beweert: Geloof het of niet, mensen die beslissingen over de beveiliging maken, geloven wat beveiligingsaanbieders beweren. Zeker producten met teksten als "de laatste bescherming die je nodig hebt", zorgen ervoor dat je failliet zult gaan.
- De NSA gebruikt het, dus kan ik het vertrouwen: De NSA koopt bijna alle beveiligingsproducten om te zien hoe ze die kunnen omzeilen. Ten tweede verzamelt de NSA informatie. Het beste systeem is dat waar alleen zij kunnen inbreken. En als laatste, de NSA vertelt niet waarvoor ze het gebruiken.
- We gebruiken best practices: "Best practices bestaan niet, er is altijd iets dat beter kan. Volgens Cohen zijn de meeste "best practices" de minimale standaard.
- Het is voor uw veiligheid: "Hoe maakt het mij veiliger als je me fouilleert? Dat is helemaal niet voor mijn veiligheid." Hetzelfde geldt voor het afstaan van persoonlijke informatie. Iets wat banken vaak bewaren. "Als je mijn wachtwoord niet kunt beschermen, waarom denk je dan wel dat je mijn persoonlijke informatie kan beschermen? En als je mijn persoonlijke informatie kan beschermen, waarom heb je dan alleen een wachtwoord nodig?"
Naast de tien punten geeft Cohen ook nog een aantal "bonus items". Zo zijn er bedrijven die zeggen dat ze hun werknemers vertrouwen, en daarom niets tegen insiders hoeven te doen. "Ik vertrouw mijn personeel ook, maar dat betekent niet dat ik me er niet tegen bescherm." Een ander vaak gehoorde opmerking is dat bedrijven mensen voor hun loyaliteit betalen. "Vaak blijkt dat de best betaalde mensen de grotere misdrijven plegen."
Het komt er volgens Cohen op neer dat security professionals de verantwoordelijkheid hebben om "bad practices" bloot te leggen en op zo'n manier, dat ze uiteindelijk verdwijnen. "Je mond houden zal de dwaasheid niet stoppen. Verzet je tegen bad practices of anders zullen we er allemaal onder lijden."