Het is niet alleen een gebrek aan kennis, maar een gebrek
aan mentaliteit!!!
Security staat nu eenmaal loodrecht op functionaliteit en
kosten drukken. Het gaat om risico inschatting en beperking,
wat is nog aanvaardbaar?

Het is leuk dat in dit artiekel genoemd wordt dat Microsoft
secure software development cursussen ondersteund, maar waar
ze de wereld echt een plezier mee zouden kunnen doen, is
veilige software, protocollen, oplossingen aan te bieden. En
niet bezig doen lijken met veiligheid op een gebied, terwijl
verzaken op veel andere.

Ik weet het, ik smijt met boeken (de titels in elk geval)........ "Exploiting
Software" typeert duidelijk het probleem.

Je moet het vergelijken met een brandend huis (heerlijk vergelijkingen met
huizen). Je probeert het dicht te timmeren en dan maar hopen dat het vuur
uitgaat door gebrek aan zuurstof. Maar voor je zover bent is het al heter en
heter geworden. De dichtgetimmerde delen zijn reeds weer gesmolten en je
bent nog niet klaar. Je bent terug bij af.

Ook software dat lekken moet dichten of moet voorkomen is gevoelig voor
bugs (vuur) en zal dan ook weer gepatcht moeten worden (voordat het smelt).
Dat is geen oplossing. Zorg dat je de kern van je software bugvrij maakt zodat
dat veilig is, dan hoef je dat ook niet met een tweede laag dicht te timmeren.

Je moet het dus bij de kern aanpakken en leren programmeren zonder (al te
veel) fouten. Daar ontbreekt het nogal aan. Tijd is geld en software valt
met "Time to market". Breng je het veilig uit, dan ben je te laat. Breng je het
met ogenschijnlijk onzichtbare bugs uit, dan ben je op tijd. Je concurrent
wacht ook niet op bugvrije software, maar brengt het ook vol bugs uit.

Deze houding kost dus meer geld dan onze marketing mensen denken.
Achteraf patchen, mensen instrueren, geschaad imago, noem maar op.
Achteraf is altijd duurder, dan op tijd alles weten en er snel wat aan doen.

Tuurlijk, geen enkel programma komt 100% bugvrij op de markt, maar dat wil
niet zeggen dat je geen moeite en tijd moet investeren in het uitstellen van
problemen.

- Unomi -

dan te bedenken dat je je huis
probeert te dichten tegen een mogenlijke inbreker
maar helaas heeft die al gezien wat je hebt en rommelt aan de deur
net aan de achterkant terweil jij net de voordeur onderhanden neemt
daarna kijkt hij hoe jij dat doet

het is hopeloos
laten we met elkaar 5 dagen de computer uitzetten
bij wijze van een staking
boycot een hacker of zoiets

Interessante vragen die opkomen na het lezen van dit stukje
zijn vragen als:
- Wat zijn de "juiste security kwalificaties"? (MCSE
Security soms?)
- Waarom zouden zo weinig mensen de code voor
informatiebeveiliging kennen?

Ik denk dat het in Nederland vooral een mentaliteitskwestie is, teveel
bedrijven zien security als een last en niet als een noodzaak. De vergelijking
met een auto gebruik ik meestal (je laat je peperdure leasebak toch ook niet
onafgesloten ergens staan?).

Zodra Nederlanders altijd alles gratis, bijna gratis, of het liefst voor niets
willen hebben zal er weinig gaan veranderen.

Ook het feit dat Nederland 15 miljoen systeembeheerders kent is een groot
probleem, immers iedereen heeft verstand van computers.. toch?

Hahahahahahah...ahum.....ja....die was goed......("En zo....moet het dus niet.")

Ik denk dat je verschillende categorien krijgt binnen de security certificaties.
Een AS/400 is iets geheel anders dan een Sun Solaris op een Alpha
architectuur. Dus moet je gaan bepalen welke architectuur, welke topologie
van het netwerk, welke OS, welke functie het netwerk heeft en daar
verschillende certificaties voor halen.

Je krijgt dus vanzelf een pakket certificaten, een mix van bovenstaande
onderdelen/modules. Enkel om te bepalen wie de eisen mag gaan stellen
en wie de examens mag gaan afnemen zal nog wel een discussie blijven
bestaan voorlopig.

- Unomi -

AS/400 is een goddelijk platform, en... erg veilig!
Trouwens, sinds wanneer bestaat Solaris voor de Alpha? Ik
dacht dat het Sparc (erg goed) en Intel (beetje jammer...) was.

Maar goed, veel security principes zijn voor iedere
UNIX-versie gewoon voor 90% hetzelfde, en heel veel
principes zijn overdraagbaar tussen UNIX en Windows. Dus wat
dat betreft zijn er IMHO voldoende certificaten, waarvan ik
CISSP domweg de allerbeste vind, ook omdat dat het enige(!)
certificaat in de hele IT-industrie is dat je dwingt om
continu je skills up to date te houden.

Ik ben zelf niet zo thuis in die architecturen..... Je kunt best gelijk hebben.
Wilde even de moeite niet nemen het te checken via Google.

Ik zou zelf ook wel willen weten met welke certificering je kunt aantonen goed
op de hoogte te zijn van netwerk- en systeembeveiliging...... Er zullen er
verschillende zijn, maar welke dekt nou echt de lading?

- Unomi -

Security is enerzijds een technische aangelegenheid, die
puur en enkel wordt aangestuurd door een behoefte tot
beperking van risico. Vergaande kennis van platform,
netwerk en applicatieve beveiliging zijn dan zeer relevant.

Echter is technische beveiliging is pas relevant als op
organisatorisch en bedrijfsmatig niveau is bepaald wat de
acceptabele risico's zijn. Gezien deze eerste stap vaak
nooit gebeurd, zal het men dan ook niet verbazen waarom het
zo'n zooitje is bij de meeste bedrijven.

Certificering is alleen relevant voor indicatie van het
kennis niveau van de 'expert' (echter sommige
certificeringen doen mij het tegen deel vermoeden). Dit wil
niet zeggen dat de 'expert' enige affiniteit heeft met
security.

Elk platform kan veilig zijn in de handen van een echte
expert, helaas zijn er veel platformen waar echter weinig
echte experts voor zijn ;-)