Door iatomory: Hoe verantwoordelijk is het nog om als security professional een workaround aan te bevelen?
Je bent als "security professional" een adviseur, niet een beslisser. Je geeft dus aan wat de mogelijkheden zijn maar de uiteindelijke beslissing is niet aan jou.
Keer op keer blijkt dat deze vaak niet voldoende zijn en gebruikt worden als excuus om niet de noodzakelijke updates te installeren. Updaten is wat mij betreft de enige goede optie en als je daar niet toe in staat bent moet je zorgen dat je dat wel bent, nu en in de toekomst.
Je kan jezelf aanrekenen dat je kennelijk niet goed genoeg geadviseerd hebt, maar dat geeft je niet het recht om op de stoel van de beslisser te gaan zitten. Ik snap wel dat je het probeert, microsoft zelf doet het ook, vaak zelfs, door bijvoorbeeld de mogelijkheid van updates installeren uitstellen (want je hebt nu wat anders te doen en het werk moet wel gewoon op tijd af) steeds verder te beperken en zelfs weg te nemen. Waarmee ze zichzelf belangrijker vinden dan hun klanten. Ze zijn niet de enige die zo handelen maar onderhand begrijp ik echt niet meer dat mensen en bedrijven zich zo laten betuttelen. En al helemaal niet waarom we niet veel luider om betere software met minder defecten roepen, en daar de fabrikanten op uitzoeken.
Stelling: We moeten stoppen met het aanbevelen van workarounds en duidelijk maken dat (beveiligings)updates installeren de enige juiste keuze is.
Denk het niet. Het is nog altijd beter software te gebruiken die geen updates nodig heeft, die je ook wel overwegend veilig kan gebruiken zonder eerst een firewall en een antivirus te installeren, en zo verder. En aangezien er best wel gradaties te zien zijn in hoeveel updates verschillende softwarepakketten nodig hebben, en hoe groot de schade is als dat zo is, is een goede selectie waarin je de aspecten van security en hoeveelheid te verwachten nodige updates vooraf meeweegt een belangrijke eerste stap. En dus ook het heroverwegen van je selectiekeuzes als de updates-vereisende problemen groter zijn en/of vaker voorkomen dan gedacht.
Dus nee, "de enige juiste keuze" is het niet. Want je neemt daarmee impliciet de keuze van de software die updates nodig heeft als in beton gegoten aan. En daar moeten we vanaf, want we willen juist dat er betere software die minder onderhoud nodig heeft op de markt komt.