Security Professionals - ipfw add deny all from eindgebruikers to any

Confidentiality Integrity Awareness

22-09-2019, 22:58 door metahackers, 14 reacties
Waar zijn cursussen te volgen in Confidentiality Integrity Awareness?

Ik heb gehoord dat als je ook maar iets in de IT of security wil doen je rekening moet houden met Confidentiality Integrity Awareness, en Never Say Anything policies.
Reacties (14)
22-09-2019, 22:59 door Anoniem
Klopt het of bestaat er nog een eerlijke markt in Nederland?
23-09-2019, 09:23 door Anoniem
Ik weet niet hoe je bij de term Awareness komt, over het algemeen wordt altijd gewezen naar Confidentiality, Integrity en Availability (CIA-triad). Of in het Nederlands BIV: Beschikbaarheid, Integriteit, Vertrouwelijkheid.

Over het algemeen zijn dat 3 aspecten waar rekening mee gehouden moet worden bij 'security'. Ik heb er zelf niet zoveel mee, maar in vrijwel alle frameworks zijn deze 3 toch wel een kapstok waar alles (of dat nu gaat of niet) aan opgehangen wordt.

Zelf blijf ik toch gechameerd van het completere RMIAS model (site: http://rmias.cardiff.ac.uk/ paper: https://www.researchgate.net/publication/261338307_A_Reference_Model_of_Information_Assurance_Security en blijkbaar ook coursera course tegenwoordig: https://www.coursera.org/lecture/information-security-data/a-brief-introduction-to-the-rmias-model-nXQCU ).
23-09-2019, 10:47 door Erik van Straten
@Anoniem vandaag 09:23: dank voor de info/links betreffende RMIAS!
23-09-2019, 12:09 door Anoniem
Waar zijn cursussen te volgen in Confidentiality Integrity Awareness?

Een cursus in steekwoorden confidentiality, integrity, availability ?

Ik heb gehoord dat als je ook maar iets in de IT of security wil doen je rekening moet houden met Confidentiality Integrity Awareness, en Never Say Anything policies.

Natuurlijk moet je rekening houden met deze zaken. Never Say Anything policies, nooit van gehoord. Wel confidentiality agreements, non-disclose agreements, en meer van dat soort zaken. Bij een werkgever heb je hoe dan ook een geheimhoudingsplicht, wanneer het gaat om vertrouwelijke informatie.
23-09-2019, 16:53 door Anoniem
Door Anoniem:
Waar zijn cursussen te volgen in Confidentiality Integrity Awareness?

Een cursus in steekwoorden confidentiality, integrity, availability ?

Ik heb gehoord dat als je ook maar iets in de IT of security wil doen je rekening moet houden met Confidentiality Integrity Awareness, en Never Say Anything policies.

Natuurlijk moet je rekening houden met deze zaken. Never Say Anything policies, nooit van gehoord. Wel confidentiality agreements, non-disclose agreements, en meer van dat soort zaken. Bij een werkgever heb je hoe dan ook een geheimhoudingsplicht, wanneer het gaat om vertrouwelijke informatie.

Ik heb geen NDAs getekend bij niemand, ook niet bij de AIVD bijvoorbeeld. Ik heb wel eens een AIVD'er horen zeggen dat ik een rechtzaak krijg als ik een boek zou schrijven (over wat mij is aangedaan)... Nou AIVD betalen dan maar?

Hij verwart Availability misschien met SA (Situational Awareness). Een andere tak van sport.
23-09-2019, 21:49 door Anoniem
spooky
24-09-2019, 16:47 door Anoniem
De Nederlandse termen hiervoor zijn Beschikbaarheid, Integriteit en Vertrouwelijkheid, de zogeheten BIV classificatie. Gaat er om te bepalen welke beschermende maatregelen je moet nemen voor je applicaties of documenten. Bij een hoge beschikbaarheidseis, vaker backups maken, bij hogere vertrouwelijkheid encrypte, MFA etcetera.

Geen rocketscience, maar bij veel bedrijven nog nooit over nagedacht. Terwijl het heel logisch is. Een bouwtekeningetje van een rijtjeswoning is wat anders dan van een nieuw kantoor voor de IND. Als je de eerste op de printer laat liggen, geen groot probleem, bij de laatste wel.
29-09-2019, 22:15 door MaxP0
Very interesting.
30-09-2019, 00:38 door Anoniem
Zou het niet zo moeten zijn dat bijvoorbeeld een klokkenluider niet gehouden is aan een NDA,
als de dienst waar hij of zij dit mee is overeengekomen specifiek tegen de wet in handelt?
Is het daarom dat er niets meer in Nederland aan de grondwet getoetst wordt?

Dit was destijds ook het argument van Snowden om te komen tot zijn onthullingen.
Hij achtte zich bij zijn onthullingen meer gebonden aan het niet overtreden van de Amerikaanse Constitutie,
dan zich gebonden te weten aan een opvolging van een NDA,
terwijl wat hij aan info verspreidde ook elders al bekend was via andere kanalen.
Toch was men om het zacht uit te drukken niet blij met zijn acties,
zoals men ook niet blij is met zijn recentste publicatie.
Hij krijgt er geen cent van.

Onder de condities van een spreekverbod via een NDA,
kan iemand ertoe gebracht worden om vreselijke dingen te doen
of die door anderen gedaan te blijven verhullen.

Waar blijf je dan met je BIV classificatie onder alle omstandigheden?

#sockpuppet
30-09-2019, 14:51 door Anoniem
Door Anoniem: Zou het niet zo moeten zijn dat bijvoorbeeld een klokkenluider niet gehouden is aan een NDA,
als de dienst waar hij of zij dit mee is overeengekomen specifiek tegen de wet in handelt?
Is het daarom dat er niets meer in Nederland aan de grondwet getoetst wordt?

Dit was destijds ook het argument van Snowden om te komen tot zijn onthullingen.
Hij achtte zich bij zijn onthullingen meer gebonden aan het niet overtreden van de Amerikaanse Constitutie,
dan zich gebonden te weten aan een opvolging van een NDA,
terwijl wat hij aan info verspreidde ook elders al bekend was via andere kanalen.

Waarom gaat dit opeens over klokkenluiden? De inlichtingendiensten in Nederland hebben speciale privileges, zie WIV. Enkele jaren geleden aangepast omdat de WIV2002 niet meer mee kon in deze tijd. Dat was ook het geval met de herziening van de wet computercriminaliteit uit lang vervlogen jaren. Bij een nieuwe herziening mag je straks misschien niet eens meer een portscan doen maar zover is het nog niet. WiFi's bruteforcen mag (vermoed ik) nog wel maar je mag niet inloggen zonder toestemming want dan is het computervredebreuk. Als ik het mis heb corrigeer me maar over het WiFi scannen.
30-09-2019, 17:10 door Anoniem
Door Anoniem: Zou het niet zo moeten zijn dat bijvoorbeeld een klokkenluider niet gehouden is aan een NDA,
als de dienst waar hij of zij dit mee is overeengekomen specifiek tegen de wet in handelt?
Is het daarom dat er niets meer in Nederland aan de grondwet getoetst wordt?

Dit was destijds ook het argument van Snowden om te komen tot zijn onthullingen.
Hij achtte zich bij zijn onthullingen meer gebonden aan het niet overtreden van de Amerikaanse Constitutie,
dan zich gebonden te weten aan een opvolging van een NDA,
terwijl wat hij aan info verspreidde ook elders al bekend was via andere kanalen.
Toch was men om het zacht uit te drukken niet blij met zijn acties,
zoals men ook niet blij is met zijn recentste publicatie.
Hij krijgt er geen cent van.

Onder de condities van een spreekverbod via een NDA,
kan iemand ertoe gebracht worden om vreselijke dingen te doen
of die door anderen gedaan te blijven verhullen.

Waar blijf je dan met je BIV classificatie onder alle omstandigheden?

#sockpuppet

Snowden is een pariah. De Russen zijn ook niet blij met hem. Informatie willen ze wel, dat willen ze allemaal, ook hier in Nederland. De enige maatregel is: geen info meer geven aan niemand. Simpel, effectief.

NDA? Bij de AIVD hebben alleen bronnen geen geheimhoudingsplicht. Zeg maar informanten. Er klappen regelmatig grote jongens van binnen organisaties (CIA, zie White House leak en ook AIVD) buiten de school. Echte insiders met of zonder documenten (bronnen hebben dat niet). Die schrijven een boek en komen er mee weg. Vreemd.

Maar een baantje bij de overheid help je wel. Het is veiliger.

De US constitutie ligt onder vuur op een paar punten. Het verhaal van Maria Buttina en de NRA is ook zoiets. Die miljoenair Jones met zijn infowars heeft zijn gelijk gekregen. We hebben inderdaad infowars. Hij beinvloedde POTUS ook. "The answer to 1994 is 1776". Dat was tien jaar geleden. Hij is een disinfo agent maar niemand luisterde want "aluminium hoedjes". Nu zijn ze wakker, tenminste dat zou je denken.

Beter zwijgen, niet mee bezig houden. Geen officiele documenten van officials over wat je beweert is didn't happen. En insiders krijgen zwaar betaald en zitten gebeiteld met een luxe leventje.
30-09-2019, 19:17 door Anoniem
@ beste anoniem van 14:51

Het fronsen en de reacties op portscannetjes zijn al in de VS niet mis. Daar mag helemaal weinig tot zeer weinig.
Trouwens overal kan men al bijna niets meer zonder uitdrukkelijke schriftelijke toestemming van de rechthebbenden.

Zelfs bij online vragen over website security wordt gevraagd om de scanresultaten direct te verwijderen,
zodat een manager eventueel niet de incompetentie bemerkt van de website onderhouders e.d.
en dat gaat dan soms op een vrij agressieve en lompe manier.

Wellevendheid is een zeer gezochte kwaliteit online en niet in te vullen met een of ander emoticonnetje.

Online is het delen van scan resultaten ook niet meer zo vanzelfsprekend.
Expliciet mogen de scanresultaten niet online gedeeld worden,
als ze eventueel tegen de website in kwestie kunnen worden gebruikt.

Daarnaast is het ook zo, dat diverse scansites die er toe doen,
geweldig onder vuur zijn komen te liggen van malcreanten en cybercriminelen.
URLQuery.net ligt onder vuur. Een online DOM-XSS scanner is al aan de tweede versie toe.

Dit soort sites liggen er voortdurend uit. Ik deel ook geeen bronnen meer,
omdat ze voortdurend onder vuur komen te liggen ofwel vanwege te groot succes en
bij private scansites de bijkomende serverkosten verdwijnen van het scan-toneel.
Dit valt ook als een vorm van confidentiality te beschouwen.

Gebruik maken van cold recon website security scanresultaten zonder de betreffende sites te bezoeken,
is nog niet expliciet verboden, ook het gebruik maken van shodan.io en censys.io, mx-tools resultaten niet.

De groot-commercie wordt vaak steeds geen strobreed in de weg gelegd in hun jacht naar uiterste winstoptimalisatie.
De onafhankelijke security researchers, the untouchables en onomkoopbaren van heden,
die elk bonnetje overleggen voor de belastingdienst bijvoorbeeld, zodat ze niet te corrumperen zijn door
cybercriminelen, hebben het in deze dagen zeer moeilijk en worden voortdurend
binnen het steeds corrupter wordende veld (op de infrastructuur) dwarsgezeten.

Security consultancy is echter meer gevraagd dan ooit en ook meer en meer noodzakelijk.
Ons aller digitale veiligheid hangt er namelijk mede van af. Keep upm the good work.

luntrus
30-09-2019, 20:56 door Anoniem
Door Anoniem: Zou het niet zo moeten zijn dat bijvoorbeeld een klokkenluider niet gehouden is aan een NDA,
als de dienst waar hij of zij dit mee is overeengekomen specifiek tegen de wet in handelt?
Is het daarom dat er niets meer in Nederland aan de grondwet getoetst wordt?

Dit was destijds ook het argument van Snowden om te komen tot zijn onthullingen.
Hij achtte zich bij zijn onthullingen meer gebonden aan het niet overtreden van de Amerikaanse Constitutie,
dan zich gebonden te weten aan een opvolging van een NDA,
terwijl wat hij aan info verspreidde ook elders al bekend was via andere kanalen.
Toch was men om het zacht uit te drukken niet blij met zijn acties,
zoals men ook niet blij is met zijn recentste publicatie.
Hij krijgt er geen cent van.

Onder de condities van een spreekverbod via een NDA,
kan iemand ertoe gebracht worden om vreselijke dingen te doen
of die door anderen gedaan te blijven verhullen.

Waar blijf je dan met je BIV classificatie onder alle omstandigheden?

#sockpuppet

Snowden zit in de electronische mind bubbel van de Russen. Heeft het ene voor het andere verruild.
01-10-2019, 12:06 door Anoniem
Doe een CISSP training, kom je het vanzelf tegen, wel een beetje droog, maar dat mag de pret niet drukken
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.