Functionaliteit is natuurlijk belangrijk, zo niet de kern van wat het ook is.
Maar als je geen veiligheid kan garanderen, dan is het beter om de functionaliteit niet te hebben.

Hoe is dit überhaupt een vraag op een security forum? Het idee dat security niet gewoon een functionaliteit is, is ook bizar. Een kluis is immers ook niet heel functioneel als het niet beveiligd is.

Het ene sluit het andere niet uit. Beide zijn noodzakelijk!

Optie 3: Beide. Zoals de bovenstaande reguurders ook al aangeven.
Dit is geen binaire keuze (en zou het ook nooit mogen zijn!), waarbij het ene het andere uitsluit.

Net als vormgeving moet beveiliging de functionaliteit volgen.
Anders wordt het systeem onhandelbaar.

Kluis die niet open kan is waardeloos en nutteloos.

Met GrapheneOS en/of GNU+Linux (desktop) levert men eigenlijk niets in, wel moet men zich een beetje aanpassen aan de nieuwe software. (In het geval van GNU+Linux op de desktop)
Beveiliging is dan al een stuk beter, maar met tools zoals TOR en PGP, LUKS, Yubikeys en meer is het al helemaal top.
Alleen met TailsOS en Qubes, DNS blacklists e.d. wordt het iets ingewikkelder, maar nog steeds weinig moeite.
Als men zich onthoud van social media en dergelijke proprietaire troep kan er ook weinig lekken, zeker als men alles offline houd.
Ik spreek hierbij uit eigen ervaring, dit zal voor iedereen weer anders zijn.

Een goed opgezet concept die beide omvat, en idealiter rekening houdt met structurele wijzigingen van het één of het ander...

Ik denk dat als je security niet als functionele eis meeneemt je een groot risico loopt om achter de feiten aan te lopen.

Een systeem (inclusief hardware, besturingssysteem, netwerkcomponenten eromheen) moet niet alleen doen wat er aan functies bedacht was, het moet (zonder bewuste goedkeuring ervoor) ook niet doen wat er niet bedacht was. Elk securityprobleem komt erop neer dat het systeem iets anders doet dan men voor ogen had. Dus wat het systeem doet moet beperkt zijn tot wat men bedacht of goedgekeurd heeft. Die beperking moet een functionele eis zijn, en dan zijn alle securitymaatregelen onderdeel van de implementatie van die functionele eis.

Wat heeft dit, behalve als sluikreclame voor Linux, met het artikel te maken?

Zonder security geen functionality.

Vals dilemma; security is geen object, maar een attribuut.

Een kluis die niet open kan is geen kluis.

functionaliteit is ook geen object.

je kan een functionaliteit hoe leuk het ook lijkt maar beter niet hebben als het onveilig is.

Ik lees hem dan ook letterlijk, als in wat je het eerst geregeld moet hebben. Security by design en daarop de functionaliteit bouwen.

Dat laatste staat toch niet in de vraagstelling?

Functionaliteit komt in de eerste plaats. Dat kun je ook breder opvatten dan de functie van een onderdeel van een systeem. Securityproblemen bedreigen functionaliteit, vandaar dat security een vereiste is.

Overigens is er zonder functionaliteit geen security nodig/toepasbaar.

Het doel van security is natuurlijk dat je functies veilig kan gebruiken. Dat laat overlet dat functie afhankelijk is van security. Je mag niet iets onveiligs gebruiken. Er is dus geen tegenspraak met 'security by design'.

Bij de meeste bedrijven komt tegenwoordig 'het zoveel mogelijk verzamelen van data en vooral persoonsgegevens' op de eerste plaats.
Niet gestemd.

Een bedrijf zal (zo goed als) altijd voor functionaliteit gaan, wat dit dan ook precies inhoud.
Het is juist belangrijk dat je, als security officer (o.i.d.) ervoor zorgt dat de bedrijfsvoering zo min mogelijk belemmerd, maar wel de boel veilig houd. Ik zou dus kijken naar wat het bedrijf wilt en hoe jij als security officer hier invulling aan kunt geven zodat het op een veilige manier kan. Meedenken in plaats van blokkeren!

klopt.
Hoewel veel bedrijven alleen voor de functionaliteit gaan, spreek ik uit ervaring dat er echt wel bedrijven zijn die de bescherming van (persoons)gegevens vanaf het begin als prioriteit hebben. Omdat ze ook begrijpen dat je zonder security niet veel aan de functionaliteit hebt (of niet voor lang...), of dat het de klanten schaadt en dus ook het bedrijf zelf, enz. In dit forum is daar meestal geen aandacht voor uiteraard, komt ook niet in het nieuws. Maar ja, 100% security is ook niet haalbaar, dus zelfs de bedrijven die veel aandacht aan security besteden zullen toch ooit een keer een security incident hebben en dan alsnog mogelijk negatief in het nieuws komen.

Reclame?? Nee, het gaat iver beveiliging znder functionaliteit in te leveren, precies waar het artikel over gaat, wat een mooie aannamens van u overigens.. Wat is er dan mis met Linux volgens u?
Als ik over Windows was begonnen was het dan Windows-reclame?
Uw commentaar slaat als een tang op een varken.

Security by design.
Dus beide.

Niet beide,

Security by design betekent dat je nieuwe functionaliteit ontwerpt met security als primair uitgangspunt.
Blijkt het vervolgens niet veilif te kunnen, dan komt die nieuwe functionaliteit er niet.

Functionaliteit zou te allen tijden ondergeschikt moeten zijn aan security! Kan het niet veilig? Dan kan het dus niet.

Er zijn eisen en wensen. Een eis moet, onvoorwaardelijk. Een wens hoeft niet per se, en door prioriteiten aan je wensenlijstje te hangen kan je bepalen waar je voorrang aan geeft boven wat. Maar eisen zijn niet onderhandelbaar, dat zijn showstoppers als ze niet gerealiseerd kunnen worden.

Security overtreft functionaliteit niet, security is een eis, en overtreft wel wensen maar niet andere eisen, die er natuurlijk ook zijn.

Ik schreef eerder:
Even rondneuzend zie ik dat ik te lang uit het actieve vak weg ben en word ik eraan herinnerd dat men dit een niet-functionele eis zou noemen (ik heb altijd al de neiging gehad om soms wat anders tegen dat soort dingen aan te kijken dan de ware functioneuten, in mijn ogen is de eis dat een systeem een functie als toegang geven aan een indringer niet uitvoert een eis over de functies en dat zou ik een functionele eis noemen, maar dat is kennelijk mijn afwijking).

Maar het verandert niets aan de afweging, ook een niet-functionele eis is niet optioneel, als iets optioneel is is het per definitie een wens. En wat je bouwt is nooit alleen maar gedefinieerd in termen van wat je niet wil, het wordt gebouwd vanwege de dingen die je wel wil. Als je alleen maar ongeoorloofde toegang wilt buitensluiten als eis aan een nieuw systeem dan hoef je dat hele systeem niet te bouwen. Het is niet de reden voor het nieuwe systeem.