Security Professionals - ipfw add deny all from eindgebruikers to any

Externe partij of interne (cyber) security specialist.

09-01-2017, 18:19 door dyon_rs93, 16 reacties
Goedenavond allemaal,

Ik hoor en lees steeds vaker dat bedrijven de (cyber) security overlaten aan externe partijen. Ik weet niet of dit goedkoper is, of makkelijker o.i.d. maar ik vroeg mij af: wat is voor een echt groot internationaal bedrijf het beste, om alles met security uit te besteden, of intern (cyber) security specialisten aan te nemen die hier dagelijks mee bezig zijn etc.?

Bij groot kan worden gedacht aan bedrijven met omzet van 1,5 miljard of groter. Ik ben best wel nieuwsgierig wat hier de afwegingen in zijn en wat zwaar weegt in zulke beslissingen. Hopelijk kunnen jullie mij hier wat meer informatie over geven.

Alvast bedankt.
Reacties (16)
09-01-2017, 19:56 door karma4
Arnold bij grote bedrijven herstel de budgetten en fte's via de boekhouding cultuur. Managers worden beloond bij de waan van de dag op die financiële zichtbare korte termijndoelen.

In dat kader moet je het opgevallen zijn dat veel naar lage lonen landen geoutsourced wordt. On target is er nat me gegaan.
Abnamro heeft alles uit buiten de deur, ing gaat dezelfde kant op https://www.computable.nl/artikel/nieuws/loopbaan/5847888/250449/ing-schrapt-7000-banen-door-digitalisering.html
Ze zijn niet geïnteresseerd in cyberrisico's afvinken van lijstjes en zorgen dat er geen nare berichten in het nieuws komen.
Dat is goedkoper.

Of dat het beste is voor de langere termijn is een heel ander iets. Fred shred Goodwin zit er nog steeds financieel warmpjes bij. De banken en mensen die Door zijn toedoen slecht gegaan zij is een voor hem niet relevant iets.

Wat is je doel waar je heen wilt?
09-01-2017, 20:25 door dyon_rs93
Door karma4: Arnold bij grote bedrijven herstel de budgetten en fte's via de boekhouding cultuur. Managers worden beloond bij de waan van de dag op die financiële zichtbare korte termijndoelen.

In dat kader moet je het opgevallen zijn dat veel naar lage lonen landen geoutsourced wordt. On target is er nat me gegaan.
Abnamro heeft alles uit buiten de deur, ing gaat dezelfde kant op https://www.computable.nl/artikel/nieuws/loopbaan/5847888/250449/ing-schrapt-7000-banen-door-digitalisering.html
Ze zijn niet geïnteresseerd in cyberrisico's afvinken van lijstjes en zorgen dat er geen nare berichten in het nieuws komen.
Dat is goedkoper.

Of dat het beste is voor de langere termijn is een heel ander iets. Fred shred Goodwin zit er nog steeds financieel warmpjes bij. De banken en mensen die Door zijn toedoen slecht gegaan zij is een voor hem niet relevant iets.

Wat is je doel waar je heen wilt?

Karma4, bedankt voor je reactie.

Ik was hier eigenlijk vooral nieuwsgierig naar. Ben op dit moment zelf met de opleiding bezig (en wil me uiteindelijk gaan focussen op (cyber) security). Hierdoor ben ik wat gaan zoeken naar banen, functies binnen bedrijven e.d. en daar viel mij bovenstaande op. Mij lijkt het vooral leuk om binnen een bedrijf verantwoordelijk te zijn voor dit soort taken en onderwerpen, maar vroeg mij af of dit bij grote bedrijven ook gedaan wordt, of uiteindelijk alles extern zou gaan en wat hier eventuele redenen (of juist niet) voor kunnen zijn.
09-01-2017, 21:03 door karma4
Voor een toekomstperspectief als baan bij een groot bedrijf is het beeld wisselend. De lijnen ontwerpen willen ze op gezette momenten zelf intern doen. Met het verloop van de uitbestedingscontracten heb je ook van die momenten. Vervolgens kan het jaren gewoon vast zitten. Het interne politieke spel met reorganisaties heidesessiez met een silovorming is een zich herhalend iets.
Alle zeer grote organisaties kennen dat.

Het leukst zijn denk ik de MB'S met enkele honderden man ict voor een eigen organisatie. Groot genoeg om met de budgetten leuke dingen te doen maar nog zo klein dat je werk niet bijna niets van iets is.
10-01-2017, 08:30 door Anoniem
In het kader van toekomstperspectief kan je ook altijd aan de lokale overheid denken. De grotere lokale overheden hebben cybersecurity best wel hoog op de agenda. Dat gaat ook wel vaak goed. De kleinere lokale overheden daarentegen besteden dit vaak uit aan de grotere lokale overheden of aan een samenwerkingsverband. Waar nog veel winst te halen valt in mijn opinie is het koppelvlak tussen cyber security en privacy, omdat die dingen onlosmakelijk met elkaar verbonden zijn. Wanneer jij de spin in het web bent en de schakel tussen deze twee vakgebieden, dan zit daar zeker een toekomst in (voortbordurend op de privacy verordening van 25 mei 2018)
10-01-2017, 13:35 door Anoniem
Wil je mensen die zich enkel houden aan contractuele afspraken, en die zich buiten die afspraken niet bekommeren om de vraag of je omgeving echt veilig is ? Zoja, besteed je beveiliging uit. Dan zal men keurig, conform contractuele afspraken en overeengekomen SLA's precies dat doen waar je voor betaalt. Meer doen is zakelijk gezien niet interessant; want dat meerwerk, dat is weer een commerciele opportunity......
11-01-2017, 12:32 door Anoniem
Bij een grote organisatie is het verstandig om kennis die in de dagelijkse operatie wordt gebruikt intern te hebben. Vanuit wet- en regelgeving (en om te voldoen aan normen als de 27001') blijft controle door een onafhankelijke partij noodzakelijk.
11-01-2017, 20:56 door karma4
Door Anoniem: Bij een grote organisatie is het verstandig om kennis die in de dagelijkse operatie wordt gebruikt intern te hebben. Vanuit wet- en regelgeving (en om te voldoen aan normen als de 27001') blijft controle door een onafhankelijke partij noodzakelijk.
Bij een grote organisatie gaat het snel om de vinkje rond te krijgen. De controle wordt met zelfregulering ofwel horizontaal toezicht tot iets virtueel gemaakt. Veel zou er moeten gebeuren maar of je ooit iets in beweging kan krijgen Is wat anders.
11-01-2017, 21:49 door yobi
De normen ISO IEC 27001 en ISO IEC 27002 bevatten inderdaad bruikbare informatie.
13-01-2017, 10:03 door Anoniem
Mijn ervaring is dat veel grote organisaties een mix van intern en extern gebruiken. Ze hebben vaak intern een security officer en wat andere mensen die gaan over het interne security beleid. Vervolgens besteden ze de werkzaamheden (Tests e.d.) uit aan externe partijen / werknemers.

Dit wordt deels gemotiveerd met het idee dat je niet wil dat de slager zijn eigen vlees keurt, maar wordt zeker ook ingegeven door financiele redenen. Aan vaste werknemers zit je vast, aan leveranciers niet. Vooral managers zijn dol op dingen als fixed price opdrachten en de mogelijkheid om een klein leger aan specialisten de ene week te laten aanrukken, en de volgende week weer naar buiten te schoppen (je weet wel, om die ene release datum te halen).
16-01-2017, 10:09 door dyon_rs93
Allemaal bedankt voor de reacties. Ik heb er inmiddels en goed en duidelijk beeld bij gekregen.
16-01-2017, 11:00 door Anoniem
Mijn ervaring is dat bedrijven nu vooral staan te springen om programmeurs van apps...
Maar dat soort dingen veranderen bijna dagelijks.

Mijn gevoel is dat er een soort van angst heerst... Mensen, lees managers, hebben geen verstand van waar ze mee bezig zijn. En ze vinden dat ze dat ook niet hoeven omdat ze manager zijn. Toen ik pas begon had ik bij een groot bedrijf een ICT manager die afgestudeerd bioloog was... Had proefschrift gedaan om grassprietjes. Nu had ik zelf al niet erg een hoge pet op van biologen als ICT manager en dat bleek ook wel toen hij nieuwe laptops bestelde zonder mijn consult te vragen... Vrijwel alle (medische) apparatuur werkte met RS232 seriele poorten en deze laptops waren toen de eerste die al geen seriele poorten meer hadden... Hij dacht het op te kunnen lossen (500 laptops) door USB-RS232 converters te kopen. Dat was fout 2... De hardware vereiste hardware handshake en de software had een fysieke com1 of com2 nodig op de juiste interrrupts., dus alle dongles werkten ook niet. Vervolgens heeft ie voor alle mensen die met deze MRI's werkten nieuwe laptops gekocht, en de rest moest het maar doen zonder.

Anyway, om een lang verhaal nog langer te maken... Mensen die de ballen verstand hebben van waar ze mee bezig zijn, zijn gewoon bang. Bang dat andere komen die slimmer zijn, of die erachter komen dat ze dom zijn. Dit soort 'managers' (maar ook teamleiders enzo) verzamelen graag mensen om zich heen waarbij ze zich veilig voelen. Vaak mensen die met ellebogen werken en misschien zelf ook niet al te bright zijn maar het 'gepeupel' onder zich in toom kunnen houden.

Bij voorkeur outsources deze mensen de hele boel... dan is er ook niemand die echt ziet wat ze doen, wat ze niet doen en wat ze fout doen... die schuld ligt dan bij de outsourcing partij.. en als dat te vaak gebeurt, pakken ze gewoon weer een andere club...

Wat ook niet helpt is natuurlijk dat domme managers niet erg goed zijn in slim personeel scoren, binnenhalen en behouden. Ze roepen dan al snel dat ze niet goed gekwalificeerd persoon kunnen vinden en dat de enige oplossing dan outsourcing is. Of andere bullshit als 'het is niet onze corebusiness'...

Overigens heb ik bij de helft van de opdrachten van afgelopen 20 jaar security functies uitgevoerd. Van hardening van servers tot herinrichten van firewalls op datacentra. Of laatst het opzetten van een security afdeling.

Het grootste probleem wat ik nu zie is dat freelancing in Nederland vakkundig de nek is omgedraaid... Die loosers in Den Haag waren superbang met meer dan 1 miljoen freelancers dat ze de macht zouden kwijtraken over loonslaven... Daarom zijn ze al 7 jaar aan het proberen de VAR af te schaffen (belachelijk dat die er uberhaupt was) en nu dan weer 2 jaar uitstel van de DGA wetgeving... Nee.. want 2 jaar langer onzekerheid is veel beter dan effe 3 maanden doorbijten... Waar ik gemiddeld 3x per week gebeld werd voor klussen is dat nu 3x per kwartaal. en de meeste klussen die over zijn zijn bij (semi-)overheids instanties die Max Verstappen willen hebben (19 jaar) met 35 jaar werkervaring en gecertificeerd in astronomie, boekhouden, quantum mechanica en grassprietjes om velgen te wassen.
16-01-2017, 14:47 door Anoniem
Bekijk het eens net als bv met loodgieters. Een grote bank zal zelf geen loodgieters in dienst nemen, zelfs al heb je een groot pant zal je neit ierdere dag iemand nodig hebben om een wc te ontstoppen. Maar je wilt wel 24/7 iemand beschikbaar hebben om dat te doen. Dus sluit je een contract af met een loodgieters bedrijf.Ze zullen daarintegen wel een eigen ge bouwendienst hebben die de verantwoordelijkheid heeft en besluit wat er wanneer en waar gedaan moet worden.

Zo is het ook met beveiliging, als iemand anders het beter en meer op maat kan doen voor je, moet je niet eigenwijs zijn en het zelf gaan proberen. Maar het moet wel kostenefficient zijn en er moet genoeg kennis binnen het bedrijf zijn om verantwoorde beslissingen te nemen.Helaas En ja, ik ben werksaam voor een Security Service provider, maar nee ikzeg niet dat Security service providers beter zijn dan eigen personeel. In iedere situatie moet dekeken worden wat het beste is, helaas wordt die keuze vaak verkeerd gemaakt. (naar beide kanten toe)
18-01-2017, 10:19 door Anoniem
Sjonge, wat weer een hoop vooroordelen en frustraties in dit topic. Het verhaal is betrekkelijk simpel, security is risico beheersing en hygiëne van je netwerk. Of de risico beheerst worden en je IT omgeving netjes opgeruimd is (voldoet alles aan beleid en richtlijnen) kun je als bedrijf alleen maar zelf bepalen. De slimme managers nemen iemand aan die ze aan dat inzicht helpt, de minder slimme komen er snel genoeg achter dat je dat beter niet zelf kunt doen. Informatiebeveiliging is een vak, daar heb je een vakman voor nodig. Voor alle security activiteiten als scanning, patching, monitoring etc kun je prima een andere partij in de arm nemen. De risico afweging en acceptatie van restrisico kun je alleen maar zelf doen. In de uiterste vorm kan een externe partij je adviseren hoe je met de risico's zou kunnen omgaan. Een kleinere organisatie kan dit wellicht nog zelf overzien, maar organisatie's boven de 200 fte imho niet meer.

Dat gezegd hebbende, denk ik dat er een prima toekomst ligt voor iedereen die nu voor informatiebeveiliging kiest in de opleidingsrichting. Ik verwacht dat bedrijven heel veel behoefte gaan hebben aan mensen die ze in normale taal kunnen uitleggen waar al die complexe shizzle en terminologie nou eigenlijk echt over gaat.

my 2 cts
18-01-2017, 18:21 door Anoniem
Gezonde Combinatie tussen Intern en Extern!

- Interne Security officer moet zijn van 't type: Dwingende Ogen.
Of te wel iemand die constant rond neust een beetje angst veroorzaakt binnen de muren, zodat vooral ICT maar ook de rest zelf er voor kiest om liever een beetje moeite te willen doen om de beveiliging zaken ook serieus te nemen dan zich te moeten verantwoorden tegen de Sergeant. De Sec-Off moet ook direct onder CEO of RVB staan, en zeker niet onderdeel zijn van ICT of service delivery oid. Ook de ICT manager moet gezond een tikkeltje nerveus zijn als die met de Sec-Off aan tafel gaat zitten, anders werkt het spel niet. 90% van de Sec-Off's sympathiseren te veel met de operationele kant van de organisatie en ondermijnen daarmee hun eigen functie, (zo ver dat ze zelfs standaard in de verdediging schieten als een externe een tekortkoming meld, ipv met oprechte nieuwsgierigheid uitzoeken wat er zoal geconstateerd is en hoe).
Een Sec-Off bij een multinational doet er goed aan om 2 tot max 4 hulpjes er bij te hebben. Die zelfstandig interne audits uitvoeren, voorlichting geven, mee "luisteren" bij projecten en change overleg, en awareness promoten op ongewone mannieren. Bij meer dan 4 word het een afdeling, en dan komen er inherent weer wat Catch-22's.
! Het doel van de Sec-Off moet zijn dat de verschillende delen van de organisatie zelf genoeg kennis en wilskracht krijgen om zelfstandig hun deel afdoende op orde te krijgen en... willen houden.

[Bijvoorbeeld, een ABN CISO riep apetrots dat ze dik over de 100 mensen hebben voor 'security', zo ook KPN enz. Is dan ook een hopeloze ivoren-toren puinhoop aldaar. En dat is zo van buitenaf binnen 5min te zien.]


- Externe Security testers & consultants van 't type: Vreemde ogen dwingen.
Regelmatig (zeker elk half jaar), steeds weer een Andere organisatie uitnodigen om te laten zien wat zij zoal kunnen vinden en wat zij er als oplossing bij bedacht hebben.
Het rapport moet naar de Sec-Off maar ook Direct naar de CEO/RVB zonder tussenkomst van de Sec-Off. CEO kan zo wat vragen gaan stellen zonder dat een Sec-Off daar al wat zelfrechtvaardiging censuur op los heeft gelaten (iets wat te vaak voorkomt bij de multinationals).
Wat tevens van cruciaal belang is, is dat er geen zogenaamde "limited scope" afgesproken word met de externe partij. Zij bepalen op basis van hun kennis, ervaring en (eigen belangen, helaas) hoe zij willen gaan testen. Wel er voor zorgen dat je vooraf weet welke specifieke personen er voor je aan de slag gaan en wat hun achtergrond is, men wil nog wel eens een schoolverlater junior inzetten om goedkoper uit te zijn, en veel 'security' bedrijven hebben alleen maar CEH's/CISSP's in dienst ipv vakmensen met het nodige aan lef om man en paard te rapporteren.
Met de tijd krijgt de Sec-Off vanzelf een aardig beeld welk type testers echt goed zijn en wat je wel en niet wil horen van consultants die teven een verkoper pet op krijgen van hun baas.
Kaf van koren scheiden is zo een kwestie van tijd ipv blind varen op al die subjectieve meningen van jan en alleman.


Geef maar aan, als je wat meer specifieke (man en paard) praktische tips wil over hoe een gezonde balans te krijgen en allerlei belangenverstrengelingen en standaard Catch-22's, te elimineren.

Groetjes
*Tante Anna.
19-01-2017, 07:52 door Anoniem
LOL, dat eeuwige vooroordeel over CEH en CISSP, lachen man. Als je de certificeringen hebt, is het toegevoegde waarde voor je CV. Daarnaast toont het aan dat je naast de onontbeerlijke praktijkkennis ook over de nodige theoretische basis beschikt. Het zegt natuurlijk niets over je praktische kwaliteiten, daar ben ik het mee eens. Die moet je gewoon met je handjes in de modder op doen.

Vind overigens de rode draad in je stuk wel goed, wat je zegt over de security officer onderschrijf ik.
19-01-2017, 09:47 door Anoniem
Ik lees hier veel goede adviezen, veel herken ik ook uit de praktijk.

Voor de topicstarter is het goed om te weten dat 'werving van geschikt (security) personeel' bij vrijwel iedere grote onderneming als een groot risico wordt gezien. Hierboven wordt vaak outsourcing aangehaald als gevolg van eigen falen, echter zijn er ook voorbeelden dat men met grote tegenzin outsourcet puur vanwege gebrek aan beschikbaar (intern) personeel. De keuze maakt zichzelf in zo'n geval. Besef dat dit tekort bestaat. Gebruik dat ook zeker tijdens de onderhandelingen, geef jezelf niet te goedkoop weg! (tip voor de schoolverlaters in dit vakgebied)

Er zijn in mijn ogen genoeg bedrijven in Nederland die om verschillende redenen IT security in huis willen hebben of houden. Veelal zijn dit bedrijven waarbij IT security heel dicht tegen de bedrijfsdoelen aan zit, of bij wie een slecht IT security beleid met grote zekerheid de ondergang van de organisatie betekent. Dergelijke bedrijven willen dit risico niet bij een externe partij neerleggen.

Wetende dat er veel wordt geoutsourced kun je er ook voor kiezen om bij zo'n outsource partij te gaan werken. Je krijgt dan veel bedrijven te zien, wat weer een voordeel kan zijn voor je carrière.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.