Leuk voor hackers. De nachten worden langer, buiten wordt het kouder, bedrijven gaan shields down: partytime.
Ik zie het ook waar ik zelf werk :(

Het is toch ongelooflijk! Ignorance is bliss! Godallemachtig, wat een kneuzen staan er aan het roer her en der. IT-managers die er werkelijk geen reet van begrijpen. Beveiliging heeft te maken met de continuiteit van een organisaties. Zaken niet regelen betekent dobbelen met het voortbestaan een organisatie.

Zouden (IT-)managers Uberhaupt op deze manier kijken naar beveiliging?

nee

Nee. Het probleem is dat het gros van de IT managers nauwelijks kennis heeft van het internet, en al helemaal niet op de hoogte is van de bijbehorende risico's. Deze managers zijn voornamelijk (bedrijfs)economen, en bij elke beslissing wordt een kosten/baten analyse gemaakt. Het is dan vrij logisch om te bezuinigen op beveiliging, zeker in tijden zoals deze.

Pas wanneer de volgende generatie managers aan de bak komt (mensen die nu begin twintig zijn en dus de eerste zakenmensen zijn die met computers en internet groot zijn geworden), zal dit beter worden ben ik bang.

De mensen zijn alles behalve stom, en ze handelen precies zoals ze gewend zijn en geleerd hebben. Het is echter een feit dat de zakenwereld een revolutie doormaakt, en deze managers konden daar onmogelijk op voorbereid zijn. Dit geldt trouwens niet alleen voor beveiliging maar eigenlijk voor elk aspect van ICT.

Dit alles terzijde, het is, zoals iedereen hier waarschijnlijk vindt, echt jammer en zeer onverstandig om zo laks met beveiliging om te springen. De risico's zijn zo groot dat het altijd loont om voor goede beveiliging te zorgen.

Volgensmij als je weet hoe nessus werkt, kun proggen en weet wat een bof is dan valt er best wel geld te verdienen in deze business!

Daar twijfel ik ook niet aan!


Echter tóón de bovenstaande bugs; ééns aan een manager?

[url=http://forum.security.nl/showthread.php?threadid=3678&highlight=konijnen]Ik geef je 10 tegen 3 dat die/ zij dit niet zullen begrijpen....

[/url]

?

Deze enquete is gehouden in een periode dat er relatief weinig te merken viel van virussen en wormen. Logisch dat het dan even niet meer zo hoog op de agenda staat.

Dat is na Blaster en Sobig.f wel veranderd. En als de voortekenen niet bedriegen, krijgt de shock therapie nog een vervolg.

De vraag is alleen voor hoe lang dat effectief is. Het is nog altijd niet zo dat er pro-actief over beveiliging gedacht wordt. Je gaat pas wat doen als er wat gebeurt. Tja, dat krijg je als meer geld uitgeeft aan hard en software dan aan bekwaam personeel (ook iets wat uit die enquete naar voren komt).

Ik beschouw mijzelf als een bekwaam personeelslid, maar zelfs als je dat bent, dan nog heb je een probleem. Ik moet mijn tijd verdelen tussen dagelijkse systeembeheers werkzaamheden en het beheer over 3 redundante firewalls, een aantal routers, een IDS, een logging systeem en ook nog werkinstructies produceren,zodat iedere nitwit met bovengenoemde apparatuur om kan gaan. Da's behoorlijk frustrerend, maar ik wil aangeven dat alleen het hebben van bekwaam personeel echt niet voldoende is; je moet dan ook nog de ruimte hebben om je aandacht erop te kunnen richten. Hier is vooralsnog alleen reactief beheer gaande, proactief en repressief is praktisch niet aan de orde...

Dan wordt security eindelijk een normaal onderdeel van het beleid. Managers denken inderdaad heel anders. Wat gaat het mij kosten als ik er niets aan doe en wat gaat het mij kosten als ik er wel iets aan doe. Als je zou willen beveiligen op het niveau zoals sommige mensen (met name de leveranciers) graag zouden willen dan is het maar zeer de vraag of die kosten in de komende 10 jaar wel terug kunnen worden verdient.

Kosten/batenanalyse.
Dat is precies de manier waarop met beveiliging moet worden omgegaan! Werd beveiliging maar eens wat vaker op een dergelijke manier benaderd, ook door IT-ers, security officers, consultants, auditors enz. enz.

Tot op heden lijken managers alleen naar security te kijken als ware het een kostenpost. Natuurlijk zijn er geen baten aan te wijzen als het om beveiliging gaat. Net als bij een brandverzekering. Maar er lijkt in het geheel niet werkelijk stil gestaan te worden bij wat de schade zou kunnen zijn van een beveiligingsincident.

Ik kom iedere dag bedrijven tegen die 100den miljoenen omzet draaien, SAP in het LAN hebben staan en enkel een software-matige firewall hebben om boefjes buiten te houden. Duh..