En door het beestje een andere naam te geven, gaan we met
zijn allen wel patches installeren en configuraties
controleren???

Lijkt me niet. Over een tijd praten we dan weer over een
splitsing van security uit het risk-management, want het
hogere management zit het risk management meer als
"ondernemersrisico in kaart brengen". En de
security-specialisten voelen zich niet thuis en / of niet
begrepen en gaan dan maar weer zelfstandig verder onder de
noemer security. Zucht.

Het zou heel handig en veilig zijn als we eens een duik nemen in security

AFZ: Virus

Natuurlijk ziet het managment het als onernemersrisico's in kaart brengen.
Dat is wat je als goede beveiliger ook doet. Wat zijn de viatele onderdelen
binnen het bedrijf welke essentieel zijn voor de bedrijfsvoering. En hoe ga
je deze beschremen om het bedrijfsbelang veilig te stellen.

Wat is de kans dat je als klein bedrijf geinfecteerd raakt? Mischien wil je
het wel verzekeren ipv beveiligen. Of wellicht accepteer je het risico.

Als je er maar over nadenkt en een wel overwogen en beargumenteerde
beslissing neemt.

Kosten/baten geldt op ieder vlak dus ook het beveiligen van computers en
netwerken.

Brian

Computers en programmatuur zijn voor veel bedrijven slechts hulpmiddellen
om de ondernemingsdoelstellingen te realiseren en geen doelstellingen op
zich. En daarmee kan 'security' prima vallen onder het ondernemings-risico.

Hoe groot is de kans dat doelstellingen niet gehaald worden op het moment
dat een ICT middel niet beschikbaar is? Hoe groot is de kans dat de
onderneming daardoor niet meer kan bestaan?
Wat zijn de kosten van een hack, virus, niet-herstelbare crash?
Aan de hand van deze gegevens kan het management prima uitspraken
doen. Kost patchen meer, waarom zou je het dan doen?

Maar de meeste ICT-ers denken binair: je bent veilig of je bent het niet.
En 'niet' is niet toegestaan. En dus 'moeten' we patchen.


Vertaald naar een vorige werkgever...
Microsoft levert maandelijks een patch, dat betekend:
Maandelijks 8 tot 10.000 werkplekken patchen. Hierbij moet de werking van
ongeveer 800 verschillende applicaties gewaarborgd blijven.
Daarnaast maandelijks een paar honderd servers patchen.
Ook hiervan moet de werking van de daar op draaiende applicaties
gewaarbordg blijven.
Dan hebben we nog een aantal routers (meerdere locaties, maar ook bijv.
mo de serverruimte te scheiden van de rest van het LAN). Hoe vaak zou ik die
moeten patchen/updaten vanwege lekken?
Dan heb ik nog nog de niet-Microsoft omgeving: Unix, Novell, Linux.

Je kan in dit soort omgevingen echt het hele jaar aan het patchen en updaten
zijn en nog tijd te kort komen.

En hier komt risico-management om de hoek kijken.
Door bijvoorbeeld het netwerk te verdelen in kleine stukken (bijv. door
bepaald verkeer niet door te laten op de router) wordt bij een uitbraak maar
een beperkt aantal werkplekken geraakt. Virusscanners op de mail-servers
en het niet toestaan van bepaalde extenties neemt ook aanzienlijke risico's
weg. En zo zijn er nog veel meer maatregels te bedenken.

Op deze manier worden niet alle plekken beschermd, maar valt de
kosten/baten analyse beduidend positiever uit als bij volledig patchen.