Door Overcome: Ik denk het niet. Het voornaamste probleem bij bedrijven waar ik heb gewerkt is dat geen enkel bedrijf de IT volledig op orde heeft. De redenen daarvoor zijn legio.
- Omgevingen die te complex zijn geworden om nog volledig te doorgronden en te begrijpen.
- Jonge mensen zonder kennis van zaken (maar die wel lekker goedkoop zijn) worden massaal binnengehaald zonder dat deze personen goed weten wat ze doen, wat de processen zijn en hoe security werkt. Inwerken is vaak half werk.
- Beheerders die onder tijdsdruk hun zaken moeten regelen, waardoor half werk wordt geleverd.
- Beheerders zonder kennis van zaken, doordat de producten steeds complexer worden, beheerders te laag zijn opgeleid voor het complexe werk dat ze doen, studie vooral de vorm aanneemt van "learning on the job", beheerders 101 producten moeten beheren en ook nog alle security ins en outs moeten kennen. Beheerder is een vak apart.
- Managers die onrealistische ideeën, eisen en wensen hebben over kosten, beheer-effort, doorlooptijden, kwaliteit, ...
- Slecht asset management, waardoor bedrijven niet eens weten wat ze nog hebben draaien, laat staan dat al die producten zijn gepatched en onderworpen zijn aan fatsoenlijk lifecycle management. Een enkele zero-day kan al het startschot zijn voor ellende.
- Erfenissen uit het verleden die slechts met zeer veel moeite of niet meer rechtgetrokken kunnen worden. Denk aan firewalls die na 10 jaar een bende zijn geworden.
- Teveel uitgegeven rechten die nooit meer ingetrokken worden, het least privilege principe dat na 15 jaar moet worden afgedwongen, of alle andere IAM zaken die niet goed geregeld zijn.
- Zwak risicobeheer, waarbij de business de dienst uitmaakt, "want zij verdienen het geld". IT is slechts ondersteunend en moet dus maar dansen naar de pijpen van de business, ongeacht hoe onrealistisch de eisen zijn.
- Slecht supplier management. Alles draait in de cloud, en daar is het allemaal goed geregeld. Mooi, weer een zorg minder!
- ...
Het verbaast me dat niet veel meer bedrijven ten prooi vallen aan dit soort aanvallen. Je zou bijna denken dat de goede wil van de meeste medewerkers de nodige zaken voorkomen, want de staat van de techniek bij veel bedrijven is echt om te huilen. Daar zal niets aan veranderen ben ik bang. De punten die ik hierboven opsom speelden in 2005 al. De afgelopen 20 jaar is op deze punten weinig tot geen vooruitgang geboekt, ook doordat de punten voornamelijk menselijke factoren of gevolgen van menselijk gedrag zijn. En die blijken zeer lastig te veranderen.
<sarcasm> ja maar die digtitale dingen die zouden het leven toch alleen maar makkelijker maken ?! wat vertel je me nu, dat het allemaal ingewikkelder ligt ?! </sarcasm>