Bedrijven moeten security begrijpen
Voor sommigen is security een vies woord. Security aanbieders vinden het lastig om hun klanten te overtuigen dat ze actie moeten ondernemen, vooral omdat de meeste bedrijven niet willen toegeven dat ze security lekken hebben die verholpen moeten worden. Het is dan ook mischien beter om het risk management te noemen. Iets waar ook de nieuwe richtlijnen, zoals BaselII en CAD3, zich op richten. Bedrijven moeten aan deze wetgeving voldoen, wat betekent dat bedrijven continu, voor al hun systemen, de risico's moeten kennen. Het is dan ook belangrijk dat bedrijven en security dezelfde taal spreken, aldus dit artikel.
zijn allen wel patches installeren en configuraties
controleren???
Lijkt me niet. Over een tijd praten we dan weer over een
splitsing van security uit het risk-management, want het
hogere management zit het risk management meer als
"ondernemersrisico in kaart brengen". En de
security-specialisten voelen zich niet thuis en / of niet
begrepen en gaan dan maar weer zelfstandig verder onder de
noemer security. Zucht.
AFZ: Virus
En door het beestje een andere naam te geven, gaan we met
zijn allen wel patches installeren en configuraties
controleren???
Lijkt me niet. Over een tijd praten we dan weer over een
splitsing van security uit het risk-management, want het
hogere management zit het risk management meer als
"ondernemersrisico in kaart brengen". En de
security-specialisten voelen zich niet thuis en / of niet
begrepen en gaan dan maar weer zelfstandig verder onder de
noemer security. Zucht.
Natuurlijk ziet het managment het als onernemersrisico's in kaart brengen.
Dat is wat je als goede beveiliger ook doet. Wat zijn de viatele onderdelen
binnen het bedrijf welke essentieel zijn voor de bedrijfsvoering. En hoe ga
je deze beschremen om het bedrijfsbelang veilig te stellen.
Wat is de kans dat je als klein bedrijf geinfecteerd raakt? Mischien wil je
het wel verzekeren ipv beveiligen. Of wellicht accepteer je het risico.
Als je er maar over nadenkt en een wel overwogen en beargumenteerde
beslissing neemt.
Kosten/baten geldt op ieder vlak dus ook het beveiligen van computers en
netwerken.
Brian
om de ondernemingsdoelstellingen te realiseren en geen doelstellingen op
zich. En daarmee kan 'security' prima vallen onder het ondernemings-risico.
Hoe groot is de kans dat doelstellingen niet gehaald worden op het moment
dat een ICT middel niet beschikbaar is? Hoe groot is de kans dat de
onderneming daardoor niet meer kan bestaan?
Wat zijn de kosten van een hack, virus, niet-herstelbare crash?
Aan de hand van deze gegevens kan het management prima uitspraken
doen. Kost patchen meer, waarom zou je het dan doen?
Maar de meeste ICT-ers denken binair: je bent veilig of je bent het niet.
En 'niet' is niet toegestaan. En dus 'moeten' we patchen.
Vertaald naar een vorige werkgever...
Microsoft levert maandelijks een patch, dat betekend:
Maandelijks 8 tot 10.000 werkplekken patchen. Hierbij moet de werking van
ongeveer 800 verschillende applicaties gewaarborgd blijven.
Daarnaast maandelijks een paar honderd servers patchen.
Ook hiervan moet de werking van de daar op draaiende applicaties
gewaarbordg blijven.
Dan hebben we nog een aantal routers (meerdere locaties, maar ook bijv.
mo de serverruimte te scheiden van de rest van het LAN). Hoe vaak zou ik die
moeten patchen/updaten vanwege lekken?
Dan heb ik nog nog de niet-Microsoft omgeving: Unix, Novell, Linux.
Je kan in dit soort omgevingen echt het hele jaar aan het patchen en updaten
zijn en nog tijd te kort komen.
En hier komt risico-management om de hoek kijken.
Door bijvoorbeeld het netwerk te verdelen in kleine stukken (bijv. door
bepaald verkeer niet door te laten op de router) wordt bij een uitbraak maar
een beperkt aantal werkplekken geraakt. Virusscanners op de mail-servers
en het niet toestaan van bepaalde extenties neemt ook aanzienlijke risico's
weg. En zo zijn er nog veel meer maatregels te bedenken.
Op deze manier worden niet alle plekken beschermd, maar valt de
kosten/baten analyse beduidend positiever uit als bij volledig patchen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer
Grijp deze unieke kans voor carrière-ontwikkeling in informatiebeveiliging! Bij Esri bouw je vertrouwensrelaties op en help je zowel ons als onze klanten veiligere technologie te gebruiken. Ben jij de ervaren Security Officer die energie krijgt van werken in 'twee werelden'? Solliciteer dan nu!
Security Specialist Malware
NCSC
Zit cybersecurity diep in je DNA? Heb jij het in je om op het moment dat het er echt toe doet samen met je collega’s tot de juiste (technische) oplossing te komen? Als security specialist malware bij het Nationaal Cyber Security Centrum (NCSC) doe jij er alles aan om de impact van digitale dreigingen te verminderen en incidenten tegen te gaan.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
No more ransomware!
De nieuwe Ransomware Awareness Experience training biedt een realistische maar vooral leuke introductie in de wereld van ransomware. De deelnemers ervaren hoe eenvoudig een organisatie het slachtoffer kan worden van ransomware en leren meteen hoe een besmetting kan worden voorkomen!