Heel mooi allemaal, maar nu vanaf het business perspective.
Jouw reactie vind ik vreemd. Als genoeg mensen door rood gaan rijden wordt het acceptabel?
Nee, maar het kan een keer gebeuren. Iets met 100% security bestaat niet, wat je beneden ook zegt.
Tuurlijk is het acceptabel, mensen maken fouten. Het wordt pas onacceptabel als er sprake is van nalatigheid. Krijgen we de 810.000 boete van het CPB? Nee, we hebben het netjes gemeld toch?
Bel team legal even of ze de boel kunnen controleren, dan zitten we prima. Goed - volgende onderwerp op de agenda.
Wat er precies is misgegaan weet ik niet. Maar jouw reactie suggereert dat je minder onderhoudsinspanningen hoeft te verrichten naarmate er bijv. minder mensen voor beschikbaar zijn (vertaald naar commerciële organisaties: inkomsten teruglopen).
'Hoeft te verrichten', lekker theoretisch en een ethisch argument. Als je minder resources hebt, kun je minder doen. It's that simple.
En dat mensen wiens gegevens minder goed worden beveiligd wel zullen begrijpen waarom.
Volgens mij ben je hier sarcastisch. Ik heb even een Google opdracht uitgevoerd op 'HCC gehacked'. De enige twee resultaten zijn de pagina genoemd in topic starter zijn reactie, en een link naar deze post. Op Twitter kwam ik ook noppes tegen. Nu.nl staat het niet op. Waar precies zijn die mensen die het niet begrijpen?
Die drie klanten die ik eventueel hierdoor kwijtraak boeit me niks, heb al lang geld terug verdiend op het besparen op InfoSec.
1) Zodra mankracht ontbreekt om systemen met vertrouwelijke gegevens fatsoenlijk te onderhouden, die systemen uitzetten en de schijven wissen. Indien uitzetten niet "kan", de betrokkenen waarschuwen en ze de kans geven hun gegevens te verwijderen. Alternatief: betrokkenen om een bijdrage vragen om het systeem te laten onderhouden.
Nietsdoen in deze situatie is geen optie en verwijtbaar.
Oh - het interne InfoSec team gaat nu bedrijfsdata verwijderen vanwege een paar ethische standpunten. Lekker dan.
Of we gaan naar onze leden communiceren dat we het eigenlijk niet goed aankunnen en daarmee inherent aangeven dat hun data in geding is.
Dat wordt de PR-campagne van het jaar.
2) Inderdaad, 100% veilige systemen bestaan niet. Echter, de oorzaak van zo'n lek is meestal gebrek aan onderhoud, gebruik van niet meer onderhouden software, onduidelijkheid wie verantwoordelijk is of een zwak beheerderwachtwoord. M.a.w. zelden een 0-day, meestal een gebrek aan cyberhygiène.
Ik dacht juist dat dit de functie was van het infosec team? Wat doen die gasten de hele dag behalve hun verantwoordelijkheden terug de operatie in afschuiven.
3) Bij de start van projecten de risico's afwegen en een exit-strategie vastleggen. En, die risico's en exit-strategie publiceren zodat personen die hun gegevens delen, redelijkerwijs kunnen weten welke risico's zij daarbij lopen.
Nog meer geniale PR van het infosec team. Hey COO - waar zitten die cheffies eigenlijk? Hebben ze uberhaubt wel door dat er aan het einde van de dag geld verdient moet worden?