Door Anoniem: @karma4: Blijf kritisch: ......
Je hebt als gebruiker telkens de afweging tussen gemak en privacy.
De vraag is eerder in wat voor een wereld/maatschappij willen we leven?
Klopt. Enerzijds willen we een bepaalde sociale controle en anderzijds onze eigen waarde en privacy.
We zijn in een tijd beland dat het mogelijk is 10 jaar dood in je eigen huis te liggen zonder dat iemand dat merkt.
Participatiemaatschappij (zoek het zelf maar uit) en mantelzorg zijn bewegingen dat het zoiets mogelijk maakt.
De privacy en vrijheid houdt op zodra het iemand anders raakt. De extremisten zijn zo extreem dat alles ze raakt.
Het is moeilijk zonder op FUD te reageren daar een balans in te vinden.
"De praktijk leert dat veel bedrijven security te weinig serieus nemen en pas achteraf reageren. Daarom is de best practice dat een OS out of the box secure is. Waarbij information leakage onderdeel is van security. Bovendien (zo leert de ervaring) zijn er genoeg ICT'ers, die security minder belangrijk vinden dan usability."
Eens, je kon het niet beter stellen. Dat is het gebied waar ik me echt meer zorgen over maak. Daar zou veel meer aandacht naar uit moeten gaan om het wel acceptabel/correct te krijgen. Hier zitten de veel grotere risico's en impact.
In deze omgevingen is traceability en auditiblity van belang. Om dat te kunnen doen met SIEM en IDS systemen wil je JUIST ALLE ACTIES van gebruikers LOGGEN en als het goed is ook analyseren (big data). Dit moet wel binnenshuis blijven en niet in vrijheid blijheid zo naar buiten gaan.
Nee een dump of backup van een systeem geeft ik niet zo maar aan een leverancier omdat hij een probleem wil uitzoeken. Dat is helaas wel vaak de gewoonte (3e-lijns support). zelfs het open laten staan van een open internet verbinding. Dat wordt als "handig" verkocht (niet goed). Helaas als je er wat van zegt ben je lastig en een storende factor.
Daarom is de best practice dat een OS out of the box secure is.
Ua, die is pijnlijk fout. Het is het argument van managers om niet serieus met security bezig te zijn. Maakt niet uit waar.
Hierbij ga je voorbij aan “Standard of good practice”. Het uitgangspunt van iso/iec 27001:2013 nora NEN7510 en alles wat zich druk maakt voor geode security.
Het is de reden dat ITIL (V3) die kreet "best" ook verlaten heeft. Je moet het willen verbeteren.
Het grote gevaar is de mismatch tussen ICT en gebruikers. ICT-ers kunnen compleet doorschieten in (verkeerde) eigen ideëen over het zou moeten. Gevolg thuishobbyisten die een nog groter gevaar introduceren met eigen oplossingen (schaduw-ict) dan wel andere zaken als ongecontroleerde BYOD of Cloud.
Leveranciers die binnenkomen en die gesloten desktops maar niets vinden. Ze willen zelf software zonder tussenkomst bij de eindgebruikers installeren. Ze willen dat de data die in hun leveranciers systeem komt rechtstreeks door hun beheerd wordt. Ik zie dit in de praktijk. Hoe erg wil je het hebben.
Banken: ... ING ...
Ze reageerden op de publieke reactie. Geen enkele instantie heeft er wat over gezegd. Alleen het CBP heeft een uitspraak gedaan over het koppelen van verzekeren (NN en banken NMB-Postbank WUH RVS). Het laatste nieuws na de publieke reactie is dat ze er toch gewoon mee doorgaan. Zoek maar eens op scyfer netezza data-scientist ING (wisselende combinaties).
huisartsen, psychologen, ...ziekenhuizen ....
Het zijn specialisten in hun vakgebied niet ICT-ers. Als je ziet wat ze voor ICT over hebben… “ïf you pay peanuts you get monkeys”. Het is VS maar kijk eens naar:
https://www.security.nl/posting/437892/Ziekenhuizen+VS+gewaarschuwd+voor+te+hacken+infuussystemen ontzettend weinig reacties op dat verhaal.
Een huisarts zou geen eigen systeembeheer moeten doen. Alternatieven: aansluiten op een cloud-service (b.v. regio ziekenhuizen) dan wel iets via collectief afnemen. En als richtlijn die machines zeker niet tevens privé gebruiken.
Retailers: ....omzetverhoging ....
Een beetje on “Target” blijven. Target (de retailer) is het voorbeeld van big-data profiling waarbij tiener zwangerschap herkend werd door ander koopgedrag. Het is tevens de firma waarbij de credit-card (pos systemen) gehackt zijn met massale impact ondanks alle maatregelen (fire-eye software). De cruciale fout: geen reactie ondernomen op een signaal dat er iets mis was. Zoek eens op data-science (en meer) met Wehkamp Coolblue Bol (ahold) en je ziet het zelfde patroon.
financiële administratie..
De belastingdienst heft al een voor ingevulde aangifte je hoeft alleen nog maar ja-akkoord te geven. Voor bedrijven is het er advies een administratiekantoor in te huren en voor de kleinere om de ICT uit te besteden “in de cloud” kijk eens naar:
http://www.managementkennisbank.nl/nl/financieel-advies/administratie-boekhouding/online-boekhouden-administratie-software. Een goede boehouder is nog niet een goede ICT-er. Dat wordt voor BCM wel verwacht. Eigen machine waarom? Salesforce vaart wel bij de cloud aanpak.
Providers: .... telecomwet ....
Ze zijn nog steeds verplicht om gegevens te bewaren en te kunnen overhandigen alleen de periode is wat ingekort.
Ze geven ongevraagd en onaangekondigd jouw wijzigingen zo aan banken door, ook daar niet gedocumenteerd. Schijnt mogelijk gemaakt te zijn ivm mogelijke hacking. oVerigens ook hier big-data het toverwoord voor kalntprofilering en verkoop. Er zijn veel gegevens (geo marktprofielen) gewoon te koop.
Dan zullen we het over de OV-chip maar niet hebben. Je moet van huis naar elke bestemming gevolgd kunnen worden (ook bij “altijd vrij”). Het grote gevaar wat die bedrijven denken te zien is het mislopen van inkomsten. Jouw privacy is in het geheel niet relevant.
Ook in de privé sfeer is deze ontwikkeling niet wenselijk. Denk aan je financiële administratie, foto's, contracten etc.
Je kan je eigen computer dan wel goed beveiligen.
Jouw vakantiekiekjes je hobby en sport op jouw computer zijn het minste waar je je druk over zou moeten maken.
Al het andere ligt al op straat en daar wordt niet op eens over nagedacht.
Ja, je begon met “kritisch blijven”.
Het leidt bij mij alleen tot iets anders. Ik hou niet van FUD en hypes die niet kloppen en erg opgeblazen worden.
Het is wel goed dat er gedegen onafhankelijk gekeken wordt wat er gedaan wordt door al die grote bedrijven, laten ze wel allemaal gelijk behandelen.