image

Techniek is niet de oplossing; 8 security regels

dinsdag 13 januari 2004, 11:36 door Redactie, 13 reacties

Traditioneel zien mensen security als iets met firewalls en anti-virus programma's. Ze beschouwen de technologie als de oplossing in plaats van een middel. Door deze opvatting wordt elke security implementatie verzwakt. Security is een proces, geen produkt en moet dan ook zo behandeld worden, aldus Dana Epp die op deze pagina de onderstaande 8 regels voor security behandeld:

1. Rule of Least Privilege
2. Rule of Change Management
3. Rule of Trust
4. Rule of the Weakest Link
5. Rule of Separation
6. Rule of the Three-Fold Process
7. Rule of Preventative Action
8. Rule of Immediate and Proper Response

Reacties (13)
13-01-2004, 12:59 door Anoniem
Ja allemaal mooie theorietjes maar uiteindelijk komt het op dit neer:

RULE 1: CLEAN CODE
13-01-2004, 13:16 door Anoniem
Door Anoniem
Ja allemaal mooie theorietjes maar uiteindelijk komt het op dit neer:

RULE 1: CLEAN CODE

Correct in een strikt en volstrekt niet realistische, 1-dimensionale wereld
die alleen uit code staat. In de dagelijkse werkelijkheid is code slechts een
bijverschijnsel. Goede beveiliging bestaat uit een gebalanceerd stelsel van
maatregelen op organisatorisch EN logisch (code) EN fysiek vlak.
13-01-2004, 14:05 door Anoniem
Goede beveiliging bestaat uit een gebalanceerd
stelsel van maatregelen op organisatorisch- EN logisch-
(code) EN fysiek vlak.
Daar mag ik mij graag bij
aansluiten.

Μπας
13-01-2004, 15:24 door Anoniem
Door Anoniem
Ja allemaal mooie theorietjes maar uiteindelijk komt het op dit neer:

RULE 1: CLEAN CODE
Jammer dat dit soort jongens nog steeds onze software programmeren, de
illusie dat je security kunt afdwingen met lauter programmeer regeltjes.
Deze jongens denken dat ze super intelligent zijn, maar feitelijk remmen zij
de vooruitgang.
13-01-2004, 17:12 door Anoniem
Ja, stel dat ik alles op papier doe, grootboek, agenda ed. helemaal zonder
computers. Dan nog zijn deze regels geldig voor een goede Informatie
Beveiliging.
14-01-2004, 09:31 door Anoniem
Toch zit er wel enige waarheid in de CLEAN CODE opmerking. De
doorsnee manager onderschat de waarde hiervan. Programmeurs, testers
zet men te vaak onder hoge (tijds)druk wat ten koste gaat van de kwaliteit en
dus veiligheid. Vervolgens probeert men dit te managen met meer
vertrouwde mechanismen.

De vooruitgang wordt met name geremd door consultants en managers die
beweren dat ze vanuit de business redeneren maar zich vervolgens daarbij
wel laten leiden door hun beperkte kennis van de techniek.
14-01-2004, 12:21 door Anoniem
Door Anoniem
Toch zit er wel enige waarheid in de CLEAN CODE opmerking. De
doorsnee manager onderschat de waarde hiervan. Programmeurs, testers
zet men te vaak onder hoge (tijds)druk wat ten koste gaat van de kwaliteit en
dus veiligheid. Vervolgens probeert men dit te managen met meer
vertrouwde mechanismen.

De vooruitgang wordt met name geremd door consultants en managers die
beweren dat ze vanuit de business redeneren maar zich vervolgens daarbij
wel laten leiden door hun beperkte kennis van de techniek.

Regel 1 van SANS over security.

Denk niet door het security probleem te vergeten dat het vanzelf oplost.
Security staat en valt in mijn ogen voornamelijk doordat er te veel mensen
beslissingen nemen met als doel ik wordt hier beter van en de rest WTF...
14-01-2004, 12:23 door Anoniem
Door Anoniem
De vooruitgang wordt met name geremd door consultants en managers

Wel goed lezen "beveiliging kan niet worden afgedwongen met lauter
programeer regeltjes". Zoals de meeste managers weten is het natuurlijk
een samenhang der dingen .
14-01-2004, 16:32 door Peter_NL
iemand wel eens gehoord van social engeneering want ik ben van mening
dat dit een van de meest voorkomende problemen is
14-01-2004, 16:39 door Anoniem
social engeneering
Klopt, dat is de gemakkelijkste weg naar binnen. Echter de regels in het
artikel beperken ook die mogelijkheden. Als je bjiv. in een bar iemands
password weet te ontfutselen (of uit de vuilnisbak, of afkijken met een
verrekijker .....), dan zorgen deze regels ervoor dat je maar beperkt schade
aan kunt richten.
15-01-2004, 09:38 door Anoniem
Door Anoniem
Door Anoniem
De vooruitgang wordt met name geremd door consultants en managers

Wel goed lezen "beveiliging kan niet worden afgedwongen met lauter
programeer regeltjes". Zoals de meeste managers weten is het natuurlijk
een samenhang der dingen .

De grap is dat de meeste managers zich verschuilen achter een dergelijke
one-liner. Die kennen ze wel, clean-code spreekt ze totaal niet aan (kost tijd,
geld, en ze begrijpen er niets van).

Ze verschuilen zich achter die samenhang om maar niet die enge
programmeurs de ruimte te geven die meer tijd willen voor clean-code.
06-07-2004, 19:58 door Anoniem
Door Peter@NL
iemand wel eens gehoord van social engeneering want ik ben
van mening
dat dit een van de meest voorkomende problemen is

Social engeneering werkt zo goed omdat mensen te weinig
kennis hebben van computer & veiligheid. Wat dat betrefd kan
er flink wat verbeterd worden. Het enige dat jongeren
tegenwoordig leren over computers op school is hoe ze een
word of exceldocument aanmaken. Zo krijgen crackers alle kansen!
06-07-2004, 20:08 door Anoniem
Door Anoniem
Μπας
mpas is terug! Gewonnen met voetbal zeker?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.